|
Log-Analyse und Auswertung: Trojaner Bitte um hife!!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
21.04.2009, 13:51 | #46 |
| Trojaner Bitte um hife!! Ist egal, habe alles gemacht der Trojaner sitzt nur noch in der einen datei die ich geschrieben habe emule ist auch weg. Hoffe ich wie bekomme ich das jetzt noch hin oder gibt es da keinen weg mehr? Mfg |
21.04.2009, 15:50 | #47 |
| Trojaner Bitte um hife!! Vielleicht kann mir ja noch jemand helfen es ist nur noch der eine Virus
__________________Avira AntiVir Premium Erstellungsdatum der Reportdatei: Dienstag, 21. April 2009 16:48 Es wird nach 1359084 Virenstämmen gesucht. Lizenznehmer: Seriennummer: Plattform: Windows XP Windowsversion: (Service Pack 3) [5.1.2600] Boot Modus: Normal gebootet Benutzername: Computername: Versionsinformationen: BUILD.DAT : 8.2.0.382 21404 Bytes 16.03.2009 14:44:00 AVSCAN.EXE : 8.1.4.10 315649 Bytes 25.11.2008 16:29:04 AVSCAN.DLL : 8.1.4.0 48897 Bytes 17.07.2008 14:36:32 LUKE.DLL : 8.1.4.5 164097 Bytes 17.07.2008 14:36:32 LUKERES.DLL : 8.1.4.0 12545 Bytes 17.07.2008 14:36:32 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 17:03:05 ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 13:00:58 ANTIVIR2.VDF : 7.1.3.63 1588224 Bytes 16.04.2009 19:10:48 ANTIVIR3.VDF : 7.1.3.80 65536 Bytes 21.04.2009 07:17:53 Engineversion : 8.2.0.148 AEVDF.DLL : 8.1.1.0 106868 Bytes 01.02.2009 09:03:50 AESCRIPT.DLL : 8.1.1.75 373113 Bytes 14.04.2009 14:44:38 AESCN.DLL : 8.1.1.10 127348 Bytes 04.04.2009 07:43:45 AERDL.DLL : 8.1.1.3 438645 Bytes 05.11.2008 16:10:31 AEPACK.DLL : 8.1.3.14 397685 Bytes 17.04.2009 19:11:00 AEOFFICE.DLL : 8.1.0.36 196987 Bytes 27.02.2009 07:45:33 AEHEUR.DLL : 8.1.0.119 1724791 Bytes 17.04.2009 19:11:00 AEHELP.DLL : 8.1.2.2 119158 Bytes 27.02.2009 07:45:30 AEGEN.DLL : 8.1.1.36 340341 Bytes 17.04.2009 19:10:58 AEEMU.DLL : 8.1.0.9 393588 Bytes 16.10.2008 09:15:19 AECORE.DLL : 8.1.6.9 176500 Bytes 14.04.2009 14:44:35 AEBB.DLL : 8.1.0.3 53618 Bytes 16.10.2008 09:15:18 AVWINLL.DLL : 1.0.0.12 15105 Bytes 17.07.2008 14:36:32 AVPREF.DLL : 8.0.2.0 38657 Bytes 17.07.2008 14:36:32 AVREP.DLL : 8.0.0.3 155688 Bytes 20.04.2009 15:59:38 AVREG.DLL : 8.0.0.1 33537 Bytes 17.07.2008 14:36:32 AVARKT.DLL : 1.0.0.23 307457 Bytes 15.04.2008 12:02:22 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 17.07.2008 14:36:32 SQLITE3.DLL : 3.3.17.1 339968 Bytes 15.04.2008 12:02:23 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 17.07.2008 14:36:32 NETNT.DLL : 8.0.0.1 7937 Bytes 15.04.2008 12:02:23 RCIMAGE.DLL : 8.0.0.51 2564353 Bytes 17.07.2008 14:36:30 RCTEXT.DLL : 8.0.51.0 90369 Bytes 17.07.2008 14:36:30 Konfiguration für den aktuellen Suchlauf: Job Name.........................: ShlExt Konfigurationsdatei..............: C:\DOKUME~1\BENUTZ~1\LOKALE~1\Temp\cb736d18.avp Protokollierung..................: mittel Primäre Aktion...................: reparieren Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, Durchsuche aktive Programme......: aus Durchsuche Registrierung.........: aus Suche nach Rootkits..............: aus Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Dienstag, 21. April 2009 16:48 Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\Dokumente und Einstellungen\Benutzer1\Lokale Einstellungen\Anwendungsdaten\iymum.exe' C:\Dokumente und Einstellungen\Benutzer1\Lokale Einstellungen\Anwendungsdaten\ C:\Dokumente und Einstellungen\Benutzer1\Lokale Einstellungen\Anwendungsdaten\iymum.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a5add41.qua erstellt ( QUARANTÄNE ) Ende des Suchlaufs: Dienstag, 21. April 2009 16:48 Benötigte Zeit: 00:02 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 1 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 0 Dateien ohne Befall 0 Archive wurden durchsucht 0 Warnungen 1 Hinweise |
21.04.2009, 15:54 | #48 |
| Trojaner Bitte um hife!! Lass nochmal Navilog durchlaufen.
__________________Hier nochmal die Beschreibung: Navilog Starte navilog1.exe und installiere die Anwendung, eventuelle Fehlermeldungen Deines Virescanners sind zu ignorieren (Anwendung erlauben!) Alle anderen Anwendungen bitte beenden! Danach sollte navilog automatisch starten, sonst per Doppelklick dem Desktop starten. Im Sprachmenü bitte Englisch auswählen. Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter. Während der Suche nichts am Rechner machen, nur auf Programmaufforderung! Nach dem Durchlauf sollte sich der Editor mit dem Log (fixnavi.txt) öffnen, Inhalt kopieren und in Thread einfügen. Das Log findest Du auch im Hauptverzeichnis (z.B.: "C:\"). http://pagesperso-orange.fr/il.mafio...x/Navilog1.exe Du hast leider eine Neuinfektion.
__________________ |
21.04.2009, 16:12 | #49 |
| Trojaner Bitte um hife!! Search Navipromo version 3.7.6 began on 21.04.2009 at 17:01:17,92 !!! Warning, this report may include legitimate files/programs !!! !!! Post this report on the forum you are being helped !!! !!! Don't continue with removal unless instructed by an authorized helper !!! Fix running from C:\Programme\navilog1 Updated on 14.03.2009 at 18h00 by IL-MAFIOSO Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 3 X86-based PC ( Multiprocessor Free : AMD Athlon(tm) 64 X2 Dual Core Processor 4800+ ) BIOS : BIOS Date: 10/22/07 Ver: 08.00.14 USER : Benutzer1 ( Administrator ) BOOT : Normal boot Antivirus : Avira AntiVir PersonalEdition 8.0.1.30 (Activated) A:\ (USB) C:\ (Local Disk) - NTFS - Total:73 Go (Free:58 Go) D:\ (Local Disk) - NTFS - Total:224 Go (Free:211 Go) E:\ (CD or DVD) F:\ (USB) G:\ (USB) H:\ (USB) Search done in normal mode *** Search folders in "C:\WINDOWS" *** *** Search folders in "C:\Programme" *** *** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" *** *** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" *** *** Search folders in "c:\dokume~1\alluse~1\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\Benutzer1\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\Benutzer1\lokale~1\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\Benutzer1\startm~1\progra~1" *** *** Search with Catchme-rootkit/stealth malware detector by gmer *** for more info : http://www.gmer.net *** Search with GenericNaviSearch *** !!! Possibility of legitimate files in the result !!! !!! Must always be checked before manually deleting !!! * Scan in "C:\WINDOWS\system32" * * Scan in "C:\Dokumente und Einstellungen\Benutzer1\lokale~1\anwend~1" * *** Search files *** *** Search specific Registry keys *** !! Following keys are not certainly all infected !! *** Complementary Search *** (Search specific files) 1)Search new Instant Access files : 2)Heuristic Search : * In "C:\WINDOWS\system32" : * In "C:\Dokumente und Einstellungen\Benutzer1\lokale~1\anwend~1" : 3)Certificates Search : Egroup certificate not found ! Electronic-Group certificate not found ! Montorgueil certificate not found ! OOO-Favorit certificate not found ! Sunny-Day-Design-Ltd certificate not found ! 4)Search others known folders and files : *** Search completed on 21.04.2009 at 17:03:15,34 *** Was soll ich nun machen noch mit 2 durchlaufen lassen? Geändert von Bella1986 (21.04.2009 um 16:23 Uhr) |
21.04.2009, 16:26 | #50 |
| Trojaner Bitte um hife!! Hallo, 1.) Markiere den kompletten Text in der Box und kopiere ihn. Code:
ATTFilter dir /a:-d "C:\Dokumente und Einstellungen\Benutzer1\Lokale Einstellungen\Anwendungsdaten" > "%userprofile%\Desktop\grummel.txt" & notepad "%userprofile%\Desktop\grummel.txt" 3.) [Strg]v 4.) [Strg]s 5.) Links auf Desktop klicken, unten bei Dateityp auf "Alle Dateien" umstellen, als Dateiname grummel.bat vergeben. Klick auf Speichern, Notepad beenden. 6.) Lasse dir den Desktop anzeigen, Doppelklick auf grummel.bat 7.) [Strg]a, [Strg]c, Notepad beenden 8.) Hier auf Antworten klicken, in die große weiße Box klicken, [Strg]v ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
21.04.2009, 16:41 | #51 |
| Trojaner Bitte um hife!! Datentr„ger in Laufwerk C: ist System Volumeseriennummer: 601E-9257 Verzeichnis von C:\Dokumente und Einstellungen\Benutzer1\Lokale Einstellungen\Anwendungsdaten 06.04.2009 19:56 20.992 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini 28.01.2009 18:27 76.304 GDIPFONTCACHEV1.DAT 01.03.2009 20:32 3.171.918 IconCache.db 04.04.2009 17:48 272.896 iymum.exe 4 Datei(en) 3.542.110 Bytes 0 Verzeichnis(se), 63.286.247.424 Bytes frei |
21.04.2009, 16:45 | #52 | |
| Trojaner Bitte um hife!! 1.) Versuche bitte diese Datei Zitat:
2.) ComboFix Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert. Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
21.04.2009, 17:31 | #53 |
| Trojaner Bitte um hife!! http://www.materialordner.de/GBUo6S7TRVgkApx2xujhFEuRK4jBPmrj.html ich hoffe ich habe alles richtig gemacht |
21.04.2009, 17:52 | #54 |
| Trojaner Bitte um hife!!1.) Deinstalliere (falls möglich):
3.) Scripten mit Combofix
Code:
ATTFilter KILLALL:: Driver:: TuneUp.ProgramStatisticsSvc NetSvc:: UxTuneUp Registry:: [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "c:\\Programme\\DNA\\btdna.exe"=- [-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"=- RegNull:: [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{92E364B2-3C99-8131-FA38C55A9DF469B6}\{ED083C7B-BB22-E038-94448FA9BD51D19E}\{5592BF6F-6CA4-ED79-1454C42B0B348E21}*] [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EA20B5D7-213B-BF6A-A687F1F5E27AC26F}\{EEE35091-0AEA-CF92-BEFE1061EF739928}\{47B248DC-A6E0-641B-BA973614FEEFC865}*] Folder:: c:\dokumente und einstellungen\Benutzer1\Anwendungsdaten\SUPERAntiSpyware.com c:\programme\SUPERAntiSpyware c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com c:\programme\Norton Security Scan c:\programme\Gemeinsame Dateien\Symantec Shared c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft c:\dokumente und einstellungen\Benutzer1\Anwendungsdaten\BitTorrent File:: c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008051820080519\index.dat c:\windows\Tasks\1-Klick-Wartung.job c:\windows\Tasks\Norton Security Scan for Benutzer1.job c:\windows\Tasks\WGASetup.job C:\Dokumente und Einstellungen\Benutzer1\Lokale Einstellungen\Anwendungsdaten\iymum.exe
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
21.04.2009, 18:00 | #55 |
| Trojaner Bitte um hife!! Kleine Zwischenfrage die anderen hab ich runter gemacht und die: Symantec BitTorrent find ich nicht warscheinlich schon weg oder? |
21.04.2009, 18:04 | #56 |
| Trojaner Bitte um hife!! Ja, deshalb schrieb ich auch: falls möglich ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
21.04.2009, 19:08 | #57 |
| Trojaner Bitte um hife!! ComboFix 09-04-21.A8 - Benutzer1 21.04.2009 19:57.3 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2047.1610 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Benutzer1\Desktop\ComboFix.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Benutzer1\Desktop\cfscript.txt AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! FILE :: c:\dokumente und einstellungen\Benutzer1\Lokale Einstellungen\Anwendungsdaten\iymum.exe c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008051820080519\index.dat c:\windows\Tasks\1-Klick-Wartung.job c:\windows\Tasks\Norton Security Scan for Benutzer1.job c:\windows\Tasks\WGASetup.job . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\MiniMessage\2 c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com c:\dokumente und einstellungen\Benutzer1\Anwendungsdaten\BitTorrent c:\dokumente und einstellungen\Benutzer1\Anwendungsdaten\BitTorrent\dht.dat c:\dokumente und einstellungen\Benutzer1\Anwendungsdaten\BitTorrent\dht.dat.old c:\dokumente und einstellungen\Benutzer1\Anwendungsdaten\BitTorrent\resume.dat c:\dokumente und einstellungen\Benutzer1\Anwendungsdaten\BitTorrent\resume.dat.old c:\dokumente und einstellungen\Benutzer1\Anwendungsdaten\BitTorrent\rss.dat c:\dokumente und einstellungen\Benutzer1\Anwendungsdaten\BitTorrent\settings.dat c:\dokumente und einstellungen\Benutzer1\Anwendungsdaten\BitTorrent\settings.dat.old c:\dokumente und einstellungen\Benutzer1\Anwendungsdaten\BitTorrent\www.bitreactor.to_Die.letzte.Legion.German.AC3.DVDRiP.XviD-EMPiRE.torrent c:\dokumente und einstellungen\Benutzer1\Anwendungsdaten\SUPERAntiSpyware.com c:\dokumente und einstellungen\Benutzer1\Lokale Einstellungen\Anwendungsdaten\iymum.exe c:\programme\SUPERAntiSpyware c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008051820080519\index.dat c:\windows\Tasks\WGASetup.job . ((((((((((((((((((((((( Dateien erstellt von 2009-03-21 bis 2009-04-21 )))))))))))))))))))))))))))))) . 2009-04-21 17:09 . 2009-04-21 17:09 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller 2009-04-20 16:47 . 2009-04-20 16:47 -------- d-----w c:\programme\CCleaner 2009-04-20 12:32 . 2009-04-20 12:32 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2009-04-20 12:32 . 2009-04-20 12:32 -------- d-----w c:\windows\system32\Kaspersky Lab 2009-04-19 20:56 . 2009-04-19 20:56 73728 ----a-w c:\windows\system32\javacpl.cpl 2009-04-19 20:56 . 2009-04-19 20:56 -------- d-----w c:\programme\Java 2009-04-19 15:01 . 2009-04-19 15:01 -------- d-----w c:\dokumente und einstellungen\Benutzer1\Eigene Dateien 2009-04-19 11:25 . 2009-04-21 15:03 -------- d-----w c:\programme\Navilog1 2009-04-15 22:44 . 2009-03-06 14:19 286720 -c----w c:\windows\system32\dllcache\pdh.dll 2009-04-15 22:44 . 2009-02-06 10:10 227840 -c----w c:\windows\system32\dllcache\wmiprvse.exe 2009-04-15 22:44 . 2009-02-09 11:21 111104 -c----w c:\windows\system32\dllcache\services.exe 2009-04-15 22:44 . 2009-02-09 10:51 736768 -c----w c:\windows\system32\dllcache\lsasrv.dll 2009-04-15 22:44 . 2009-02-09 10:51 401408 -c----w c:\windows\system32\dllcache\rpcss.dll 2009-04-15 22:44 . 2009-02-09 10:51 678400 -c----w c:\windows\system32\dllcache\advapi32.dll 2009-04-15 22:44 . 2009-02-09 10:51 473600 -c----w c:\windows\system32\dllcache\fastprox.dll 2009-04-15 22:44 . 2009-02-09 10:51 740352 -c----w c:\windows\system32\dllcache\ntdll.dll 2009-04-15 22:44 . 2009-02-09 10:51 453120 -c----w c:\windows\system32\dllcache\wmiprvsd.dll 2009-04-15 22:44 . 2009-03-27 06:49 1203922 -c----w c:\windows\system32\dllcache\sysmain.sdb 2009-04-15 22:44 . 2008-04-21 21:13 217600 -c----w c:\windows\system32\dllcache\wordpad.exe 2009-04-15 16:44 . 2009-04-15 16:44 -------- d-----r c:\programme\Skype 2009-04-14 14:00 . 2009-04-14 14:00 -------- d-----w c:\windows\system32\KB905474 2009-04-14 14:00 . 2009-03-10 20:26 1436544 ----a-w c:\windows\system32\KB905474\wganotifypackageinner.exe 2009-04-14 14:00 . 2009-03-10 20:18 455048 ----a-w c:\windows\system32\KB905474\wgasetup.exe 2009-04-14 14:00 . 2009-02-09 16:51 15772 ----a-w c:\windows\system32\KB905474\wga_eula.txt . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-04-21 16:29 . 2009-04-21 16:29 15735 ----a-w C:\log.txt 2009-04-21 15:16 . 2008-05-18 06:30 -------- d-----w c:\programme\Gemeinsame Dateien\Real 2009-04-21 15:03 . 2009-04-19 11:28 2554 ----a-w C:\fixnavi.txt 2009-04-21 13:24 . 2008-03-14 08:33 -------- d--h--w c:\programme\InstallShield Installation Information 2009-04-21 13:22 . 2008-04-27 07:53 -------- d-----w c:\programme\BricksofEgypt2_at 2009-04-21 07:17 . 2008-03-14 14:41 -------- d-----w c:\programme\AntiVir PersonalEdition Premium 2009-04-21 07:17 . 2008-03-14 14:41 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Premium 2009-04-21 07:17 . 2008-03-14 15:43 -------- d-----w c:\dokumente und einstellungen\Benutzer1\Anwendungsdaten\Skype 2009-04-19 20:56 . 2008-12-05 14:43 410984 ----a-w c:\windows\system32\deploytk.dll 2009-04-19 15:42 . 2008-03-14 15:24 -------- d-----w c:\programme\Google 2009-04-19 15:02 . 2008-03-14 15:25 -------- d-----w c:\programme\Gemeinsame Dateien\Adobe 2009-04-19 14:59 . 2008-11-16 09:53 -------- d-----w c:\programme\Yahoo! 2009-04-19 12:04 . 2009-04-19 12:02 2774 ----a-w C:\cleannavi.txt 2009-04-19 06:51 . 2008-10-06 13:51 -------- d-----w c:\programme\Malwarebytes' Anti-Malware 2009-04-18 06:59 . 2008-03-14 16:14 -------- d-----w c:\programme\FreeCommander 2009-04-16 19:12 . 2004-08-04 12:00 448470 ----a-w c:\windows\system32\perfh007.dat 2009-04-16 19:12 . 2004-08-04 12:00 80104 ----a-w c:\windows\system32\perfc007.dat 2009-04-16 14:01 . 2008-03-14 16:51 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help 2009-04-15 16:44 . 2008-03-14 15:24 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype 2009-04-12 06:06 . 2008-03-14 15:45 -------- d-----w c:\dokumente und einstellungen\Benutzer1\Anwendungsdaten\skypePM 2009-04-06 13:32 . 2008-10-06 13:51 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys 2009-04-06 13:32 . 2008-10-06 13:51 15504 ----a-w c:\windows\system32\drivers\mbam.sys 2009-03-06 14:19 . 2004-08-04 12:00 286720 ----a-w c:\windows\system32\pdh.dll 2009-03-03 00:03 . 2004-08-04 12:00 826368 ----a-w c:\windows\system32\wininet.dll 2009-03-01 18:21 . 2009-03-01 18:21 -------- d-----w c:\dokumente und einstellungen\Benutzer1\Anwendungsdaten\TuneUp Software 2009-03-01 18:21 . 2009-03-01 18:21 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software 2009-03-01 18:20 . 2009-03-01 18:20 -------- d-sh--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357} 2009-03-01 17:02 . 2008-04-05 06:38 -------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP 2009-02-20 16:49 . 2004-08-04 12:00 78336 ----a-w c:\windows\system32\ieencode.dll 2009-02-09 14:04 . 2004-08-04 12:00 1846912 ----a-w c:\windows\system32\win32k.sys 2009-02-09 11:21 . 2004-08-04 00:50 2026496 ----a-w c:\windows\system32\ntkrnlpa.exe 2009-02-09 11:21 . 2004-08-04 12:00 2147840 ----a-w c:\windows\system32\ntoskrnl.exe 2009-02-09 11:21 . 2004-08-04 12:00 111104 ----a-w c:\windows\system32\services.exe 2009-02-09 10:51 . 2004-08-04 12:00 736768 ----a-w c:\windows\system32\lsasrv.dll 2009-02-09 10:51 . 2004-08-04 12:00 401408 ----a-w c:\windows\system32\rpcss.dll 2009-02-09 10:51 . 2004-08-04 12:00 678400 ----a-w c:\windows\system32\advapi32.dll 2009-02-09 10:51 . 2004-08-04 12:00 740352 ----a-w c:\windows\system32\ntdll.dll 2009-02-06 10:39 . 2004-08-04 12:00 35328 ----a-w c:\windows\system32\sc.exe 2009-02-03 19:57 . 2004-08-04 12:00 56832 ----a-w c:\windows\system32\secur32.dll 2009-01-28 16:27 . 2008-03-14 20:46 76304 ----a-w c:\dokumente und einstellungen\Benutzer1\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2008-05-18 06:30 . 2008-05-18 06:30 774144 ----a-w c:\programme\RngInterstitial.dll 2008-03-14 15:45 . 2008-03-14 15:45 32 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsid.dat 2008-03-14 14:41 . 2008-03-14 14:41 66484 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat . ((((((((((((((((((((((((((((( SnapShot@2009-04-21_16.18.44 ))))))))))))))))))))))))))))))))))))))))) . + 2009-04-21 18:00 . 2009-04-21 18:00 16384 c:\windows\temp\Perflib_Perfdata_aec.dat + 2009-04-21 18:00 . 2009-04-21 18:00 16384 c:\windows\temp\Perflib_Perfdata_148.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LightScribe Control Panel"="c:\programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe" [2008-02-26 2289664] "IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" [2007-12-13 1688872] "MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232] "Rainlendar2"="c:\programme\Rainlendar2\Rainlendar2.exe" [2007-12-30 1365504] "Messenger (Yahoo!)"="c:\programme\Yahoo!\Messenger\YahooMessenger.exe" [2008-11-05 4347120] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-17 13574144] "avgnt"="c:\programme\AntiVir PersonalEdition Premium\avgnt.exe" [2008-07-17 266497] "NBKeyScan"="c:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-12-03 2213160] "FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2007-06-26 312320] "GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648] "LVCOMS"="c:\programme\Gemeinsame Dateien\Logitech\QCDriver2\LVCOMS.EXE" [2003-09-04 135214] "CloneCDElbyCDFL"="c:\programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" [2001-12-06 45056] "CloneCDTray"="c:\programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" [2002-04-15 57344] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-09-17 86016] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"= "c:\\WINDOWS\\system32\\dpvsetup.exe"= "c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= R3 PID_0920;Logitech QuickCam Express(PID_0920);c:\windows\system32\DRIVERS\LV532AV.SYS [2003-09-04 152576] S2 AntiVirMailService;AntiVir PersonalEdition Premium MailGuard;c:\programme\AntiVir PersonalEdition Premium\avmailc.exe [2008-11-25 164097] S2 AVEService;AntiVir PersonalEdition Premium MailGuard Hilfsdienst;c:\programme\AntiVir PersonalEdition Premium\avesvc.exe [2008-07-17 41217] S3 AtcL001;NDIS Miniport Driver for Atheros L1 Gigabit Ethernet Controller;c:\windows\system32\DRIVERS\l151x86.sys [2007-08-29 36864] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}] "c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe" . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 LSP: avsda.dll DPF: {E2A2AF54-194A-499D-B6C7-79B646BC0ED6} - hxxp://reptiland.selfip.info:8080/UltraCamX.cab FF - ProfilePath - c:\dokumente und einstellungen\Benutzer1\Anwendungsdaten\Mozilla\Firefox\Profiles\oc9mis1x.default\ FF - prefs.js: browser.search.defaulturl - hxxp://de.search.yahoo.com/search?ei=UTF-8&fr=ytff-msgr&p= FF - prefs.js: browser.search.selectedEngine - Yahoo FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ FF - prefs.js: keyword.URL - hxxp://de.search.yahoo.com/search?ei=UTF-8&fr=ytff-msgr&p= ---- FIREFOX Richtlinien ---- FF - user.js: network.http.max-persistent-connections-per-server - 4 FF - user.js: nglayout.initialpaint.delay - 600 FF - user.js: content.notify.interval - 600000 FF - user.js: content.max.tokenizing.time - 1800000 FF - user.js: content.switch.threshold - 600000 . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-04-21 20:00 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'lsass.exe'(956) c:\windows\system32\avsda.dll - - - - - - - > 'explorer.exe'(1348) c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\brss01a.exe c:\programme\AntiVir PersonalEdition Premium\avguard.exe c:\windows\system32\rundll32.exe c:\programme\AntiVir PersonalEdition Premium\sched.exe c:\programme\Java\jre6\bin\jqs.exe c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe c:\programme\Nero\Nero8\Nero BackItUp\NBService.exe c:\windows\system32\nvsvc32.exe c:\programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe c:\windows\system32\wscntfy.exe c:\programme\Yahoo!\Messenger\Ymsgr_tray.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-04-21 20:02 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-04-21 18:02 ComboFix2.txt 2009-04-21 17:36 ComboFix3.txt 2009-04-21 16:19 Vor Suchlauf: 16 Verzeichnis(se), 63.415.881.728 Bytes frei Nach Suchlauf: 15 Verzeichnis(se), 63.402.430.464 Bytes frei |
21.04.2009, 19:12 | #58 |
| Trojaner Bitte um hife!! 1.) Kommen noch Meldungen von Avira? 2.) Start => Ausführen => combofix /u => OK ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
21.04.2009, 19:40 | #59 |
| Trojaner Bitte um hife!! Er hat noch Viren gefunden http://www.materialordner.de/2fif6hV8afrumljseYLZcRAyW8t0C4Ht.html Was soll ich nun machen oder einfach nur hoffnungslos |
21.04.2009, 20:09 | #60 | ||
| Trojaner Bitte um hife!!Zitat:
1.) Lade die Datei Zitat:
2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde. Nach Neustart kann sie wieder aktiviert werden. 3.) Start => Ausführen => combofix /u => OK 4.) http://www.trojaner-board.de/54192-a...tellungen.html. Log posten. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
Themen zu Trojaner Bitte um hife!! |
adware.gamesbar, adware.navipromo, anti-malware, bösartige, current, dateien, dokumente, einstellungen, entfern, entfernt, gefunde, infizierte, infizierten, malware, microsoft, minute, objekte, registrierungsschlüssel, rogue.antivirus2008, rogue.residue, service, software, troja, trojaner, version, verzeichnisse, vollständiger, vorgehen |