|
Log-Analyse und Auswertung: hilfe ... dringend ... :(Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
27.04.2009, 14:43 | #1 |
| hilfe ... dringend ... :( das hier ist die hijack log ... kenn mich nicht aus ? was muss ich tun ? irgend wein trojaner namens TR/crypt.xpack.gen !? Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:37:32, on 27.04.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\PnkBstrB.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Winamp\winampa.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\Java\jre6\bin\jusched.exe C:\WINDOWS\system32\frmwrk32.exe C:\WINDOWS\system32\frmwrk32.exe C:\Programme\Hama\Common\RaUI.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\WINDOWS\eHome\ehmsas.exe c:\programme\avira\antivir personaledition classic\avcenter.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\userinit.exe C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\TEMP\vo0q382.exe C:\WINDOWS\TEMP\vo0q382.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.imesh.com/sidebar.html?src=ssb R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: C:\WINDOWS\system32\yhs783ijfo3fe.dll - {B2BA40A2-74F0-42BD-F434-12345A2C8953} - C:\WINDOWS\system32\yhs783ijfo3fe.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: iMesh MediaBar - {B7D3E479-CC68-42B5-A338-938ECE35F419} - C:\Programme\iMesh Applications\iMesh MediaBar\iMeshMediaBar.dll (file missing) O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [{1290A33C-85F5-4164-A1BE-7DD299D4986A}] C:\Programme\CyberLink\PowerBackup\PBKScheduler.exe O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [Framework Windows] frmwrk32.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Hama Wireless LAN Utility.lnk = C:\Programme\Hama\Common\RaUI.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\temp\ntdll64.dll O10 - Unknown file in Winsock LSP: c:\windows\temp\ntdll64.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{DD9123ED-BFBD-4EA3-90A8-06CC915847CE}: NameServer = 192.168.2.254,192.168.2.1 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O22 - SharedTaskScheduler: jso8joigm409gopgmrlgd - {B2BA40A2-74F0-42BD-F434-12345A2C8953} - C:\WINDOWS\system32\yhs783ijfo3fe.dll O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe -- End of file - 6039 bytes |
27.04.2009, 14:48 | #2 | |
| hilfe ... dringend ... :( Hallo, lasse mal folgende Datein bei unseren Upload Channel gemäß dieser Anleitung http://www.trojaner-board.de/54791-a...ner-board.html auswerten.
__________________Hier die Datein zum Analysieren: Zitat:
__________________ |
27.04.2009, 14:56 | #3 |
| hilfe ... dringend ... :( C:\WINDOWS\TEMP\vo0q382.exe <--- kann ihc nicht sehn ... und komme auch nicht ins menü um " versteckte dateien anzeigen" zu ändern !?
__________________habe auch keine admin rechte mehr ... kann keinen task manager öffnen ?! |
27.04.2009, 14:59 | #4 |
| hilfe ... dringend ... :( Gehe auf "Extras - Ordneroptionen - Ansicht - versteckte Datein und Ordner - Ankreuzen "Alle Datein und Ordner anzeigen"". Somit sind alle versteckten Ordner und Unterordner angezeigt.
__________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around! |
27.04.2009, 15:02 | #5 |
| hilfe ... dringend ... :( steht da nicht... geht wohl ohne admin rechte nicht ?! kann das sein ? hintergrund bildschirm hat sich verändert ... " Warning - Spyware detected" ahh ... !!! |
27.04.2009, 15:03 | #6 |
| hilfe ... dringend ... :( Welches Programm meldet diese Meldung? Hat das verschicken auf den Upload Channel bei der anderen Datei geklappt?
__________________ --> hilfe ... dringend ... :( |
27.04.2009, 15:05 | #7 |
| hilfe ... dringend ... :( " warning - spyware detected " steht als hintergrund bild auf dem desktop ... jop ... eine datei wurde erfolgreich verschickt |
27.04.2009, 15:08 | #8 |
| hilfe ... dringend ... :( und jedes mal wenn ich eine datei oder ordner anklicke öffnet sich firefox mit einer werbe seite für spyware ... ausserdem sind in der taskleiste unten rechts zwei runde rote buttons mit einem weißen X in der mitte zu sehn... diese zeigen an " Warning! Security report - your computer is infected! It is recommended to start spyware cleaner tool! " Geändert von freshsef (27.04.2009 um 15:14 Uhr) |
27.04.2009, 15:25 | #9 | |
| hilfe ... dringend ... :( Lasse Malwarebytes im Quick Scan durchlaufen. Poste hier das Log. Lasse noch diese hier Uploaden bei unserem Channel: Zitat:
__________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around! |
27.04.2009, 15:35 | #10 |
| hilfe ... dringend ... :( Malwarebytes' Anti-Malware 1.36 Datenbank Version: 2047 Windows 5.1.2600 Service Pack 3 27.04.2009 16:33:53 mbam-log-2009-04-27 (16-33-48).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 84566 Laufzeit: 3 minute(s), 48 second(s) Infizierte Speicherprozesse: 2 Infizierte Speichermodule: 3 Infizierte Registrierungsschlüssel: 7 Infizierte Registrierungswerte: 5 Infizierte Dateiobjekte der Registrierung: 10 Infizierte Verzeichnisse: 0 Infizierte Dateien: 13 Infizierte Speicherprozesse: C:\WINDOWS\system32\ntdll64.exe (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\frmwrk32.exe (Trojan.FakeAlert) -> No action taken. Infizierte Speichermodule: C:\Dokumente und Einstellungen\Youssef\Lokale Einstellungen\Temp\mousehook.dll (Trojan.FakeAlert) -> No action taken. C:\WINDOWS\Temp\ntdll64.dll (Trojan.FakeAlert) -> No action taken. C:\WINDOWS\system32\yhs783ijfo3fe.dll (Trojan.Ertfor) -> No action taken. Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\CLSID\{b2ba40a2-74f0-42bd-f434-12345a2c8953} (Trojan.Zlob.H) -> No action taken. HKEY_CLASSES_ROOT\imeshmediabar.stockbar (Adware.SoftMate) -> No action taken. HKEY_CLASSES_ROOT\imeshmediabar.stockbar.1 (Adware.SoftMate) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b2ba40a2-74f0-42bd-f434-12345a2c8953} (Trojan.Ertfor) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b2ba40a2-74f0-42bd-f434-12345a2c8953} (Trojan.Ertfor) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{b7d3e479-cc68-42b5-a338-938ece35f419} (Adware.SoftMate) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b7d3e479-cc68-42b5-a338-938ece35f419} (Adware.SoftMate) -> No action taken. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{b2ba40a2-74f0-42bd-f434-12345a2c8953} (Trojan.Zlob.H) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{b7d3e479-cc68-42b5-a338-938ece35f419} (Adware.SoftMate) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{b7d3e479-cc68-42b5-a338-938ece35f419} (Adware.SoftMate) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Framework Windows (Trojan.FakeAlert) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\diagnostic manager (Trojan.Downloader) -> No action taken. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\userinit.exe -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions (Hijack.FolderOptions) -> Bad: (1) Good: (0) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\activedesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\yhs783ijfo3fe.dll (Trojan.Zlob.H) -> No action taken. C:\Dokumente und Einstellungen\Youssef\Lokale Einstellungen\Temp\mousehook.dll (Trojan.FakeAlert) -> No action taken. C:\WINDOWS\Temp\ntdll64.dll (Trojan.FakeAlert) -> No action taken. C:\Dokumente und Einstellungen\Youssef\Lokale Einstellungen\Temp\ntdll64.dll (Trojan.FakeAlert) -> No action taken. C:\WINDOWS\Temp\mousehook.dll (Trojan.FakeAlert) -> No action taken. C:\WINDOWS\system32\ntdll64.exe (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\p2hhr.bat (Malware.Trace) -> No action taken. C:\WINDOWS\system32\warning.gif (Trojan.FakeAlert) -> No action taken. C:\WINDOWS\system32\ahtn.htm (Trojan.FakeAlert) -> No action taken. C:\WINDOWS\system32\frmwrk32.exe (Trojan.FakeAlert) -> No action taken. C:\WINDOWS\system32\win32hlp.cnf (Trojan.Agent) -> No action taken. C:\Dokumente und Einstellungen\Youssef\Lokale Einstellungen\Temp\3228361682.exe (Trojan.Downloader) -> No action taken. C:\WINDOWS\system32\ak1.exe (Virus.Virut) -> No action taken. jop ... dateien sind auch hochgeladen ... |
27.04.2009, 15:43 | #11 | |
| hilfe ... dringend ... :( Lade diese Datei ebenso hoch: Zitat:
Und wiederrum danach einen Fullscan mit Malwarebytes.
__________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around! |
27.04.2009, 15:54 | #12 |
| hilfe ... dringend ... :( jop ... gemacht ... hat wohl eine regedit in quarantäne gesetzt und wird wohl später wieder aktviert ... ausserdem hat er einige dateien nicht löschen können ... diese wurden in einen ordner verschoben " lköschen nach neustart" jetz fragt er mich ob ich weiter machen will ... hab angst " ja " anzuklicken ... am ende fährt er vielleicht nicht mehr hoch oder so ... hier die log : Malwarebytes' Anti-Malware 1.36 Datenbank Version: 2047 Windows 5.1.2600 Service Pack 3 27.04.2009 16:50:55 mbam-log-2009-04-27 (16-50-55).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 84566 Laufzeit: 3 minute(s), 48 second(s) Infizierte Speicherprozesse: 2 Infizierte Speichermodule: 3 Infizierte Registrierungsschlüssel: 7 Infizierte Registrierungswerte: 5 Infizierte Dateiobjekte der Registrierung: 10 Infizierte Verzeichnisse: 0 Infizierte Dateien: 13 Infizierte Speicherprozesse: C:\WINDOWS\system32\ntdll64.exe (Trojan.Agent) -> Unloaded process successfully. C:\WINDOWS\system32\frmwrk32.exe (Trojan.FakeAlert) -> Unloaded process successfully. Infizierte Speichermodule: C:\Dokumente und Einstellungen\Youssef\Lokale Einstellungen\Temp\mousehook.dll (Trojan.FakeAlert) -> Delete on reboot. C:\WINDOWS\Temp\ntdll64.dll (Trojan.FakeAlert) -> Delete on reboot. C:\WINDOWS\system32\yhs783ijfo3fe.dll (Trojan.Ertfor) -> Delete on reboot. Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\CLSID\{b2ba40a2-74f0-42bd-f434-12345a2c8953} (Trojan.Zlob.H) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\imeshmediabar.stockbar (Adware.SoftMate) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\imeshmediabar.stockbar.1 (Adware.SoftMate) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b2ba40a2-74f0-42bd-f434-12345a2c8953} (Trojan.Ertfor) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b2ba40a2-74f0-42bd-f434-12345a2c8953} (Trojan.Ertfor) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{b7d3e479-cc68-42b5-a338-938ece35f419} (Adware.SoftMate) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b7d3e479-cc68-42b5-a338-938ece35f419} (Adware.SoftMate) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{b2ba40a2-74f0-42bd-f434-12345a2c8953} (Trojan.Zlob.H) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{b7d3e479-cc68-42b5-a338-938ece35f419} (Adware.SoftMate) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{b7d3e479-cc68-42b5-a338-938ece35f419} (Adware.SoftMate) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Framework Windows (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\diagnostic manager (Trojan.Downloader) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\userinit.exe -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions (Hijack.FolderOptions) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\activedesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\yhs783ijfo3fe.dll (Trojan.Zlob.H) -> Delete on reboot. C:\Dokumente und Einstellungen\Youssef\Lokale Einstellungen\Temp\mousehook.dll (Trojan.FakeAlert) -> Delete on reboot. C:\WINDOWS\Temp\ntdll64.dll (Trojan.FakeAlert) -> Delete on reboot. C:\Dokumente und Einstellungen\Youssef\Lokale Einstellungen\Temp\ntdll64.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\Temp\mousehook.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\system32\ntdll64.exe (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\p2hhr.bat (Malware.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\system32\warning.gif (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\system32\ahtn.htm (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\system32\frmwrk32.exe (Trojan.FakeAlert) -> Delete on reboot. C:\WINDOWS\system32\win32hlp.cnf (Trojan.Agent) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Youssef\Lokale Einstellungen\Temp\3228361682.exe (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\system32\ak1.exe (Virus.Virut) -> Quarantined and deleted successfully. |
27.04.2009, 15:55 | #13 |
| hilfe ... dringend ... :( Hast du die eine Datei die ich sagte hochgeladen bei unserem Channel, wenn JA dann kannst du einen "Delete on Reboot" ausführen. Also auf JA gehen.
__________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around! |
27.04.2009, 16:00 | #14 |
| hilfe ... dringend ... :( ja hab ich ... hab aber schon auf nein geklickt ... habs jetzt nochmal scannen lassen ... hier dir neue log : Malwarebytes' Anti-Malware 1.36 Datenbank Version: 2047 Windows 5.1.2600 Service Pack 3 27.04.2009 16:58:39 mbam-log-2009-04-27 (16-58-37).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 84574 Laufzeit: 3 minute(s), 27 second(s) Infizierte Speicherprozesse: 2 Infizierte Speichermodule: 2 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 6 Infizierte Speicherprozesse: C:\WINDOWS\system32\ntdll64.exe (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\frmwrk32.exe (Trojan.FakeAlert) -> No action taken. Infizierte Speichermodule: C:\Dokumente und Einstellungen\Youssef\Lokale Einstellungen\Temp\mousehook.dll (Trojan.FakeAlert) -> No action taken. C:\WINDOWS\Temp\ntdll64.dll (Trojan.FakeAlert) -> No action taken. Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\userinit.exe -> No action taken. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\Youssef\Lokale Einstellungen\Temp\mousehook.dll (Trojan.FakeAlert) -> No action taken. C:\WINDOWS\Temp\ntdll64.dll (Trojan.FakeAlert) -> No action taken. C:\WINDOWS\system32\ntdll64.exe (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\warning.gif (Trojan.FakeAlert) -> No action taken. C:\WINDOWS\system32\ahtn.htm (Trojan.FakeAlert) -> No action taken. C:\WINDOWS\system32\frmwrk32.exe (Trojan.FakeAlert) -> No action taken. |
27.04.2009, 16:03 | #15 |
| hilfe ... dringend ... :( Bitte alles löschen und danach einen Fullscan mit Malwarebytes nochmal.
__________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around! |
Themen zu hilfe ... dringend ... :( |
adobe, antivir, antivirus, avg, avira, bho, dringend, explorer, firefox, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, mozilla, nvidia, programme, rundll, software, system, temp, tr/crypt.xpack.ge, tr/crypt.xpack.gen, trojaner, windows, windows xp, windows\temp, wireless lan |