Hallo zusammen,

ich habe seit vorgestern irgendein komisches Virus auf meinem Laptop und erhalte immer von links und rechts eine Windows Meldung, dass ich Trojaner habe, es handelt sich um den Virusnamen Renos und FakeSmoke, ich habe bereits viele Programme benutzt um sie zu löschen, unteranderem SpyWare Doctor, welches sie auch gelöscht hat, bei aber erneutem Scan, findet er sie wieder..ich konnte davor auch keine HijackThis Scan's machen, da ich immer bei der Öffnung von dem Programm ein Blue-Screen erhalten habe, der aber nach ca.5sek weg war und das System wieder normal startet nur wieder mit Virenmeldungen.

Nachdem ich Spyware und andere Programme benutzt hatte, um die Viren zu löschen, hatte ich Zugang zum Programm SpyWare, nun bitte ich euch um Hilfe, verbleibe und hinterlasse euch diesen Log vom HJT:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:34:37, on 27.06.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\ASUS\ATK Hotkey\HControlUser.exe
C:\Program Files\ASUS\ATKOSD2\ATKOSD2.exe
C:\Windows\System32\mobsync.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\ASUS\ATK Media\DMedia.exe
C:\Windows\AsScrPro.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Mozilla Firefox 3.1 Beta 3\firefox.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Sophos\AutoUpdate\ALMon.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\DllHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.asus.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Users\Germanys Finest\Documents\ws.js
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 9\SnagItBHO.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 9\SnagItIEAddin.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [HControlUser] C:\Program Files\ASUS\ATK Hotkey\HControlUser.exe
O4 - HKLM\..\Run: [ATKOSD2] C:\Program Files\ASUS\ATKOSD2\ATKOSD2.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Media\DMedia.exe
O4 - HKLM\..\Run: [ASUS Screen Saver Protector] C:\Windows\AsScrPro.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [setup2.exe] C:\Windows\system32\setup2.exe
O4 - HKCU\..\RunOnce: [gi216392813] "C:\Users\GERMAN~1\AppData\Local\Temp\gi74Q456.exe" /resume:"C:\Users\GERMAN~1\AppData\Local\Temp\3C74Q2MM" /exename:"C:\Users\Germanys Finest\Downloads\SpyHunter.Security.Suite.v3.7.19.Cracked.Full\SpyHunter.Security.Suite.v3.7.19.Cracked.Full\spyhunterS.exe"
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Program Files\Sophos\AutoUpdate\ALMon.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ASUS\ATK Hotkey\ASLDRSrv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MSSQL$SONY_MEDIAMGR - Unknown owner - C:\Program Files\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Program Files\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Program Files\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Program Files\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
O23 - Service: SQLAgent$SONY_MEDIAMGR - Unknown owner - C:\Program Files\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlagent.EXE (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe

--
End of file - 7875 bytes

Ich habe versucht die gefährlichen Programme zu löschen, aber sie lassen sich nicht fixen, und KillBox wird von meinem Virenprogramm abgelockt.

Gruß
Scotty

Hallo Scotty,

das sieht in meinen Augen nach übel aus!
Arbeite bitte folgende Liste ab Punkt 2 ab.

http://www.trojaner-board.de/69886-a...-beachten.html
Bitte alle anfallenden Lofiles posten.

Sehe ich das richtig??????

Code: Alles auswählenAufklappen

ATTFilter

O4 - HKCU\..\RunOnce: [gi216392813] "C:\Users\GERMAN~1\AppData\Local\Temp\gi74Q456.exe " /resume:"C:\Users\GERMAN~1\AppData\Local\Temp\3C74Q 2MM" /exename:"C:\Users\Germanys Finest\Downloads\SpyHunter.Security.Suite.v3.7.19. Cracked.Full\SpyHunter.Security.Suite.v3.7.19.Crac ked.Full\spyhunterS.exe"
         

Du lädst dir ein AntiViren-Programm fragwürdiger Sicherheit herunter und crackst es??

Das kann man damit vergleichen, als ob mit einer Spritze eines gefährlichen Viruses zum Arzt gehst, vor seien Augen dir diese Spritze gibst und ihn anschließend fragst, ob er dich behandeln könne...

Lass bitte folgende Dateien bei VirusTotal - Kostenloser online Viren- und Malwarescanner auswerten:

Code: Alles auswählenAufklappen

ATTFilter

C:\Users\GERMAN~1\AppData\Local\Temp\gi74Q456.exe
C:\Users\Germanys Finest\Downloads\SpyHunter.Security.Suite.v3.7.19. Cracked.Full\SpyHunter.Security.Suite.v3.7.19.Crac ked.Full\spyhunterS.exe
         

Mich würde es brennend interessieren, was so in diesem Crack alles dabei war...

Gruß
Handball10

Danke für die schnelle Rückmeldung.

Ja würd mich auch interessieren was ich da verbockt habe

Ich habe nun einfach meinen HJT Log an den von Dir hinterlegten Link hochgeladen, war das richtig ?

Folgendes Ergebnis:

Zitat:

Datei hijackthis.log empfangen 2009.06.27 13:05:52 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/40 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.18 2009.06.27 -
AhnLab-V3 5.0.0.2 2009.06.27 -
AntiVir 7.9.0.199 2009.06.26 -
Antiy-AVL 2.0.3.1 2009.06.26 -
Authentium 5.1.2.4 2009.06.27 -
Avast 4.8.1335.0 2009.06.26 -
AVG 8.5.0.339 2009.06.27 -
BitDefender 7.2 2009.06.27 -
CAT-QuickHeal 10.00 2009.06.26 -
ClamAV 0.94.1 2009.06.27 -
Comodo 1452 2009.06.27 -
DrWeb 5.0.0.12182 2009.06.27 -
eSafe 7.0.17.0 2009.06.25 -
eTrust-Vet 31.6.6582 2009.06.26 -
F-Prot 4.4.4.56 2009.06.26 -
F-Secure 8.0.14470.0 2009.06.27 -
Fortinet 3.117.0.0 2009.06.27 -
GData 19 2009.06.27 -
Ikarus T3.1.1.64.0 2009.06.27 -
Jiangmin 11.0.706 2009.06.27 -
K7AntiVirus 7.10.768 2009.06.19 -
Kaspersky 7.0.0.125 2009.06.27 -
McAfee 5658 2009.06.26 -
McAfee+Artemis 5658 2009.06.26 -
McAfee-GW-Edition 6.7.6 2009.06.26 -
Microsoft 1.4803 2009.06.27 -
NOD32 4193 2009.06.26 -
Norman 6.01.09 2009.06.26 -
nProtect 2009.1.8.0 2009.06.27 -
Panda 10.0.0.16 2009.06.27 -
PCTools 4.4.2.0 2009.06.26 -
Prevx 3.0 2009.06.27 -
Rising 21.35.52.00 2009.06.27 -
Sophos 4.43.0 2009.06.27 -
Sunbelt 3.2.1858.2 2009.06.27 -
Symantec 1.4.4.12 2009.06.27 -
TheHacker 6.3.4.3.356 2009.06.27 -
TrendMicro 8.950.0.1094 2009.06.26 -
ViRobot 2009.6.27.1808 2009.06.27 -
VirusBuster 4.6.5.0 2009.06.26 -
weitere Informationen
File size: 7261 bytes
MD5...: bb619e79d75c0c462ac9383834a28b79
SHA1..: b96559a853bf720fd1a909c91c0bd078d3aaab1b
SHA256: c61bc537b7ce44f064bcd41afcf5305939c38aaf914eb9758423f85efd223283
ssdeep: 96:HSipLH6jlrgQiejug5QBfH475MJI9rfB0iBwtLUPvuvWVZKG9QPk93wzgz0au
CqA:JzLwe8flWyz/9gK0aAtRSjz3dVn
PEiD..: -
TrID..: File type identification
HijackThis logfile (100.0%)
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set

hi Scotty,

Zitat:

Ich habe nun einfach meinen HJT Log an den von Dir hinterlegten Link hochgeladen, war das richtig ?

- Nein

Du solltest die beiden Dateien , die ich dirgesagt habe bei Virustotal hochladen...
Bitte nachholen!

Hier nochma ldie beiden Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\Users\GERMAN~1\AppData\Local\Temp\gi74Q456.exe
C:\Users\Germanys Finest\Downloads\SpyHunter.Security.Suite.v3.7.19. Cracked.Full\SpyHunter.Security.Suite.v3.7.19.Crac ked.Full\spyhunterS.exe
         

Poste bitte die Ergebnisse und arbeite bitte die Anleitung ab.

Wichtig:
Alle Logfiles hier posten.

Gruß
Handball10

Ich bitte um genaue Hilfe:

C:\Users\GERMAN~1\AppData\Local\Temp\gi74Q456.exe

(finde ich leider nicht, vielleicht weil es versteckt ist ? Wie mach ich es sichtbar ?

C:\Users\Germanys Finest\Downloads\SpyHunter.Security.Suite.v3.7.19. Cracked.Full\SpyHunter.Security.Suite.v3.7.19.Crac ked.Full\spyhunterS.exe

(wurde bereits gelöscht von mir bzw. Virenprogramm.)

ok,

schieben wir die beiden Datein mal kurz zur Seite und konzentrieren wir uns auf folgendes:

Code: Alles auswählenAufklappen

ATTFilter

C:\Windows\system32\setup2.exe
         

Lass diese Datei bitte auch bei Virustotal überprüfen.

Gruß
Handball10