|
Plagegeister aller Art und deren Bekämpfung: Rogue.ResidueWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
18.05.2009, 16:58 | #1 |
| Rogue.Residue Hallo, Ich habe das Problem, dass mein System von einem oder auch mehreren Viren/Trojanern whatever belastet wird. Sie fallen dadurch auf, dass mein Internet viel langsamer geworden ist und ich auf diversen Werbeseiten lande. Rogue.Residue ist einer davon, der nach jedem löschen wieder neu auftaucht. Habe Malwarebytes und Hijack drüber laufen lassen,wobei ich sagen muss, dass ich mich mit Hijack nicht auskenne. Würde mich sehr freuen, wenn ihr mir helfen könnt. Hier das Logfile von Hijack Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:53:42, on 18.05.2009 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18226) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\System32\CTHELPER.EXE C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe I:\Program Files\SlySoft\CloneCD\CloneCDTray.exe C:\Windows\System32\rundll32.exe C:\Program Files\McAfee.com\Agent\mcagent.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe I:\Program Files\DAEMON Tools Lite\daemon.exe C:\Windows\ehome\ehtray.exe C:\Users\aaa\AppData\Local\augyo.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Program Files\PC-TV\WinManager\WinManager.exe I:\Program Files\RivaTuner v2.24\RivaTuner.exe C:\Windows\ehome\ehmsas.exe C:\PROGRA~1\McAfee\MSC\mcregist.exe C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe c:\PROGRA~1\mcafee\msc\mcuimgr.exe C:\Program Files\Mozilla Firefox\firefox.exe I:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ICQ.com Suche R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll O1 - Hosts: ::1 localhost O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - c:\PROGRA~1\mcafee\VIRUSS~1\scriptsn.dll O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [RivaTuner] "I:\Program Files\RivaTuner v2.24\RivaTunerWrapper.exe" /T O4 - HKLM\..\Run: [AsioReg] REGSVR32 /S CTASIO.DLL O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [CloneCDTray] "i:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [mcagent_exe] C:\Program Files\McAfee.com\Agent\mcagent.exe /runkey O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [DAEMON Tools Lite] "I:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [augyo] "c:\users\micha\appdata\local\augyo.exe" augyo O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [DevconDefaultDB] C:\Windows\system32\READREG /SILENT /FAIL=1 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [DevconDefaultDB] C:\Windows\system32\READREG /SILENT /FAIL=1 (User 'Default user') O4 - Global Startup: WinManager.lnk = C:\Program Files\PC-TV\WinManager\WinManager.exe O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - i:\Program Files\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - i:\Program Files\ICQ6.5\ICQ.exe O13 - Gopher Prefix: O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll O23 - Service: ICQ Service - Unknown owner - C:\Program Files\ICQ6Toolbar\ICQ Service.exe O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Program Files\McAfee\SiteAdvisor\McSACore.exe O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\COMMON~1\mcafee\mna\mcnasvc.exe O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\COMMON~1\mcafee\mcproxy\mcproxy.exe O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe -- End of file - 7746 bytes |
18.05.2009, 17:08 | #2 | |
| Rogue.Residue Hallo und guten sonnigen Tag wünsche ich,
__________________du hast Navipromo drauf. Äußert sich an diesem Eintrag: Zitat:
Führe Navilog bitte mit Administratorrechten durch. Navilog Starte navilog1.exe und installiere die Anwendung, eventuelle Fehlermeldungen Deines Virescanners sind zu ignorieren (Anwendung erlauben!) Alle anderen Anwendungen bitte beenden! Danach sollte navilog automatisch starten, sonst per Doppelklick dem Desktop starten. Im Sprachmenü bitte Englisch auswählen. Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter. Während der Suche nichts am Rechner machen, nur auf Programmaufforderung! Nach dem Durchlauf sollte sich der Editor mit dem Log (fixnavi.txt) öffnen, Inhalt kopieren und in Thread einfügen. Das Log findest Du auch im Hauptverzeichnis (z.B.: "C:\"). http://pagesperso-orange.fr/il.mafio...x/Navilog1.exe
__________________ |
18.05.2009, 17:27 | #3 | |
| Rogue.Residue Hallo,
__________________Erstmal vielen Dank für die schnelle Antwort :aplaus: So ein schöner Tag und man muss ich mit sonem Schrott rumschlagen^^ Habe deine Anweisungen ausgeführt... Hier das Logfile: Zitat:
|
18.05.2009, 17:28 | #4 |
| Rogue.Residue Gut, das selbe nur mit Option 2 durchlaufen lassen. Log posten
__________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around! |
18.05.2009, 21:14 | #5 | |
| Rogue.Residue Tut mir Leid das es etwas länger gedauert hat, hatte Training Hier das Ergebnis Zitat:
|
18.05.2009, 21:16 | #6 |
| Rogue.Residue Gut gut, das ist das gewünschte Log, danke Navipromo haben wir los Nun arbeite bitte folgende Liste ab: http://www.trojaner-board.de/69886-a...-beachten.html Unter Punkt 2 bitte. Alles an Logs posten.
__________________ --> Rogue.Residue |
18.05.2009, 22:28 | #7 | |||
| Rogue.Residue Sodele..., hab das alles so gemacht bis zu dem Hijack-Protokoll: (Habe da aber och nichts entfernt) Zitat:
Zitat:
Zitat:
Geändert von Leibchen (18.05.2009 um 22:37 Uhr) |
18.05.2009, 22:33 | #8 |
| Rogue.Residue Das Mbam Log sieht gut aus. Gibt es eine Besserung aufem PC? Setze noch bitte die Liste aller installierten Programme rein.
__________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around! |
18.05.2009, 22:42 | #9 |
| Rogue.Residue Hallo, Japp Besserung ist da.., ich bekomm keine bescheuerte Werbung mehr Habe die Liste unten noch angefügt. Gruß Micha |
18.05.2009, 22:48 | #10 | |
| Rogue.Residue Deinstallier: Navilog (brauchst du nicht mehr) Alle Toolbars (bäh, braucht niemand) Öffne HJT -> do a system scan only -> markiere: Zitat:
Bin Morgen wieder da, werde es mir dann in Ruhe anschauen
__________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around! Geändert von Angel21 (18.05.2009 um 22:56 Uhr) |
18.05.2009, 22:59 | #11 |
| Rogue.Residue Hallo, Erstmal vielen Dank. Also entweder ich bin blöde oder du hast dich vlt. verschaut. Kann kein Limewire und auch kein Java Runtime Updater 7 finden. LG und eine Gute Nacht |
18.05.2009, 23:02 | #12 | |
| Rogue.Residue Sodele.. 1-2 Toolbars hab ich behalten, weil ich die doch des öfteren mal benutze. Hier nochmal der Hijack-Log nachdem ich den "R3" ausgeschaltet hab^^ Zitat:
|
19.05.2009, 13:30 | #13 |
| Rogue.Residue Okay, das sieht schonmal sehr gut aus Hab mich verschaut bei Java und Limewire *lach* war spät abends Lade dir den Regseeker
Wiederhole die Suche und das Entfernen mit dem Regseeker entweder zehnmal oder solange bis entweder keine oder immer die gleichen grünen gefunden werden.
__________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around! |
19.05.2009, 18:45 | #14 |
| Rogue.Residue Sodele... Habe alles brav ausgeführt wie beschrieben. 2 grüne treten immer wieder auf. Muss/soll ich jetzt noch iwas machen oder bin ich theoretisch geheilt ? LG Micha |
19.05.2009, 18:49 | #15 |
| Rogue.Residue Wie geht es denn deinem rechner? Noch irgendwelche störenden Effekte zu sehen? Wenn nein, dann kann ich dich kündigen
__________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around! |
Themen zu Rogue.Residue |
adobe, bho, browser, defender, dll, explorer, firefox, firewall, gservice, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, mozilla, nvidia, object, problem, proxy, rundll, senden, siteadvisor, software, system, vista, windows, windows sidebar |