Verseuchter Externer Tb, Noob BRAUCHT hilfe

john.doe · 26.07.2009, 00:28

Ja. ComboFix hat zwar gemeldet, dass er ihn nicht gelöscht hat, aber die Fehlermeldungen bei Avenger zeigen, dass er nicht mehr da ist. Egal wie, wech is wech.

Dein Link zum Bild funktioniert nicht.

1.) Start => Ausführen => combofix /u => OK

2.) Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

3.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte.

ciao, andreas

Bladejr · 26.07.2009, 00:46

tatsache!, sry ^^
http://s3.directupload.net/file/d/1867/65oonze4_jpg.htm

-----------------------------------------------------------------------

Die Komponente Kaspersky Online Scanner ActiveX konnte nicht geladen werden!

Administratorrechte für diesen Computer sind erforderlich;!!!?????????? o.O
Legen Sie außerdem in IE die mittlere Sicherheitsstufe fest. ---- isse eig.

PrevXCSI sagt mir bei der installation auch, dass ich kein admin bin -.-

john.doe · 26.07.2009, 10:32

Bei Vista musst du alle Programme mit Mausklick rechts => Ausführen als Administrator starten. Vista ist toll.

ciao, andreas

Bladejr · 26.07.2009, 11:09

-----------------------------------------------------------
den Kaspersky Online Scanner konnte ich trotzdem nicht machen,.... ^^

und mir ist aufgefallen, dass sich mein sony walkmen nicht mehr automatisch verbindet, is das ein problem???

john.doe · 26.07.2009, 11:17

Zitat:

den Kaspersky Online Scanner konnte ich trotzdem nicht machen,

Der zickt häufiger herum, aber wir haben ja noch mehr im Angebot.

1.) http://www.trojaner-board.de/59299-a...eb-cureit.html

2.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

Zitat:

und mir ist aufgefallen, dass sich mein sony walkmen nicht mehr automatisch verbindet, is das ein problem???

Das bekommen wir schon noch gebacken.

Zuerst müssen alle Schädlinge weg, dann kommen die kleineren Probleme an die Reihe.

ciao, andreas

Bladejr · 26.07.2009, 15:53

Dr.Web:

VBE6.DLL;C:\Program Files\Common Files\microsoft shared\VBA\VBA6;Wahrscheinlich Trojan.Packed.189;;
Deadspace.exe;C:\Program Files\Electronic Arts\Dead Space;Wahrscheinlich Trojan.Packed.189;;
ff2ogg.exe;C:\Program Files\eRightSoft\SUPER;Wahrscheinlich Trojan.Packed.Gen;;
ffmpeg.exe;C:\Program Files\eRightSoft\SUPER;Wahrscheinlich Trojan.Packed.Gen;;
Movawin.spk\data009;C:\Program Files\eRightSoft\SUPER\spk\Movawin.spk;Wahrscheinlich Trojan.Packed.Gen;;
Movawin.spk;C:\Program Files\eRightSoft\SUPER\spk;Container enthält infizierte Objekte;Verschoben.;
Rm8dmod.spk;C:\Program Files\eRightSoft\SUPER\spk;Wahrscheinlich Trojan.Packed.Gen;;

;**************************************************
ANALYSIS: 2009-07-26 16:47:08
PROTECTIONS: 1
MALWARE: 2
SUSPECTS: 0
;****************************************
PROTECTIONS
Description Version Active Updated
;======================================
Windows Defender 1.1.1505.0 No Yes
;==============================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;==================================================
02106838 Trj/Banbra.GIY Virus/Trojan No 1 Yes No C:\Users\**----**\Desktop\Hopsassa.exe
03898968 Generic Malware Virus/Trojan No 0 No No J:\mp4&stuff\Battlefield 2\Battlefield.2-RELOADED.ShadowCast\data1.cab[BF2.exe]
;==================================================
SUSPECTS
Sent Location f4p0��3 �9
;==================================================
;==============================================
VULNERABILITIES
Id Severity Description f4p0��3 �9
;=======================================================
;===================================================

das mit dem walkmen meinte ich so, dasss wenn der infiziert ist und sich nicht verbindet, kann der ja auch nicht durchsucht werden, oder??

john.doe · 26.07.2009, 16:39

Seit wann kann der sich denn nicht mehr verbinden. War das vor oder nach ComboFix der Fall oder besteht das Problem schon länger?

ciao, andreas

Bladejr · 26.07.2009, 16:48

also wann genau weiß ich leider nicht, ich habs erst gestern gemerkt, am anfang der behandlung wurde mir gesagt alles dran zu machen und das hab ich ^^ da ging es noch

jetzt steht nur noch verbinden auf dem display und im pc tut sich gar nichts

--------------------------------------------------------------------------

und prevx 3.0 fragt mich die ganze zeit was mit hopsassa.exe geschehen soll

john.doe · 26.07.2009, 17:03

Lösche Hopsassa, lösche den Ordner c:\avenger und die Datei c:\avenger.txt.

Die Meldungen von Dr. Web Cureit halte ich für Falschmeldungen. Hole alle Dateien wieder aus der Quarantäne, sonst läuft das Programm Super nicht mehr.

Die Meldungen von Panda sind ernster. Lösche

Zitat:

J:\mp4&stuff\Battlefield 2\Battlefield.2-RELOADED.ShadowCast\data1.cab

Hast du noch die CD von Sony für den Walkman? Es ist möglich, dass eine von den von Combofix gelöschten Dateien der Treiber war.

ciao, andreas

Bladejr · 26.07.2009, 19:26

Battlefield 2, Hopsassa, avenger und avenger.txt. gelöscht!!

das mit dem walkman krieg ich schon hin, ka wo jetzt grad die cd is,... aber des bast schon.

hab grad nochmal gezoggt, die lags sind immer noch da, was mich nochmal zu der frage bringt: kann man sich genau alles anzeigen lassen, welche programme zu welchem zeitpunkt mit dem internet verbunden sind?

irgendwas muss da in meinen ping pfuschen und ich finds nicht!!

^^

-----------------------------------------------------------------------
aber hej, erstmal ein ganz dickes DANKESCHÖN!!! :aplaus: klasse hilfe, trotz den imensen anfragen hier sehr schnelle antworten und ich hab dicken respect vor dem wissen das für den quatsch hier nötig ist!!

thx 4 waste ur time

john.doe · 26.07.2009, 19:35

Zitat:

kann man sich genau alles anzeigen lassen, welche programme zu welchem zeitpunkt mit dem internet verbunden sind?

Ja, klar.

Lade dir TCPView for Windows

Dort kannst du jedes Programm sehen, das mit dem Internet Kontakt aufnimmt und sogar wohin.

Falls du bei der Auswertung Hilfe brauchst, dann poste hier das Log. Poste auch noch ein letztes HJT-Log.

ciao, andreas

Bladejr · 26.07.2009, 20:14

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:49:14, on 24.07.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Program Files\ASUS Security Center\ASUS Security Protect Manager\Bin\AsGHost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\ASUS\SmartLogon\sensorsrv.exe
C:\Program Files\ASUS\ATK Hotkey\HControlUser.exe
C:\Program Files\ASUS\ATKOSD2\ATKOSD2.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\ASUS\ATK Media\DMedia.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Mumble\dbus-daemon.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Windows\System32\mobsync.exe
C:\Windows\system32\conime.exe
C:\Windows\Explorer.exe
C:\Users\**----**\Desktop\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\**----**.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**----**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**----**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**----**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ASUS Security Protect Manager - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Program Files\ASUS Security Center\ASUS Security Protect Manager\Bin\ItIEAddIn.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Program Files\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O4 - HKLM\..\Run: [P2Go_Menu] "C:\Program Files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\Power2Go" UpdateWithCreateOnce "SOFTWARE\CyberLink\Power2Go\6.0"
O4 - HKLM\..\Run: [HControlUser] C:\Program Files\ASUS\ATK Hotkey\HControlUser.exe
O4 - HKLM\..\Run: [ATKOSD2] C:\Program Files\ASUS\ATKOSD2\ATKOSD2.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\ASUSSE~1\ASUSSE~1\Bin\ASTSVCC.dll,RegisterModule
O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Media\DMedia.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [DataCardMonitor] C:\Program Files\T-Mobile\web'n'walk Manager\DataCardMonitor.exe
O4 - HKLM\..\Run: [Anti Trojan Elite] C:\Program Files\Anti Trojan Elite\TJEnder.exe :NO
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [OODefragTray] C:\Windows\system32\oodtray.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [Updater shortcut] C:\Program Files\T-Mobile\web'n'walk Manager\WTGU.exe
O4 - HKCU\..\Run: [DesktopX] "C:\Program Files\Stardock\Object Desktop\DesktopX\DesktopX.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\Windows\System32\APSHook.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O22 - SharedTaskScheduler: Stardock Vista ControlPanel Extension - {EC654325-1273-C2A9-2B7C-45D29BCE68FD} - C:\PROGRA~1\Stardock\OBJECT~2\DESKSC~1\DesktopControlPanel.dll
O22 - SharedTaskScheduler: StardockDreamController - {EC654325-1273-C2A9-2B7C-45D29BCE68FF} - C:\PROGRA~1\Stardock\OBJECT~2\DESKSC~1\DreamControl.dll
O22 - SharedTaskScheduler: Deskscapes - {EC654325-1273-C2A9-2B7C-45D29BCE68FB} - C:\PROGRA~1\Stardock\OBJECT~2\DESKSC~1\deskscapes.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ASUS\ATK Hotkey\ASLDRSrv.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 6514 bytes

-----------------------------------------------------------------
das prog passt, genau das hab ich gesucht, jetzt kann ich auf jagt gehen

john.doe · 26.07.2009, 20:48

1.) Deinstalliere:

Dr.Web CureIt
Panda Online Scanner
Kaspersky Online Scanner (falls vorhanden)

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Start => Ausführen => cmd [Strg][Alt][Enter]
sc stop LightScribeService [Enter]
sc delete LightScribeService [Enter]
exit [Enter]

4.) Mausklick rechts auf HJT => Ausführen als Administrator => Do a system scan only => Markiere:

Code:

ATTFilter

Alle R0, R1, O2, O3, O8, O9 und O22-Einträge
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Anti Trojan Elite] C:\Program Files\Anti Trojan Elite\TJEnder.exe :NO
O4 - HKCU\..\Run: [DesktopX] "C:\Program Files\Stardock\Object Desktop\DesktopX\DesktopX.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

=> Fix checked => Neustart => Neues HJT-Log posten

5.) Aktiviere die Systemwiederherstellung.

ciao, andreas

Bladejr · 26.07.2009, 23:03

Das mit der cmd hab ich nicht hingekriegt, da steht nach beiden befehlen:
[SC] OpenService FEHLER 5:

Zugriff verweigert

und die:

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Anti Trojan Elite] C:\Program Files\Anti Trojan Elite\TJEnder.exe :NO
O4 - HKCU\..\Run: [DesktopX] "C:\Program Files\Stardock\Object Desktop\DesktopX\DesktopX.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

hab ich nicht gefunden,....

-----------------------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:55:54, on 26.07.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Program Files\ASUS Security Center\ASUS Security Protect Manager\Bin\AsGHost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\ASUS\SmartLogon\sensorsrv.exe
C:\Program Files\ASUS\ATK Hotkey\HControlUser.exe
C:\Program Files\ASUS\ASUS Live Update\ALU.exe
C:\Program Files\ASUS\ATKOSD2\ATKOSD2.exe
C:\Windows\System32\rundll32.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\ASUS\ATK Media\DMedia.exe
C:\Program Files\Prevx\prevx.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\T-Mobile\web'n'walk Manager\DataCardMonitor.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\System32\oodtray.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\T-Mobile\web'n'walk Manager\WTGU.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
C:\Program Files\Trillian\trillian.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [P2Go_Menu] "C:\Program Files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\Power2Go" UpdateWithCreateOnce "SOFTWARE\CyberLink\Power2Go\6.0"
O4 - HKLM\..\Run: [HControlUser] C:\Program Files\ASUS\ATK Hotkey\HControlUser.exe
O4 - HKLM\..\Run: [ATKOSD2] C:\Program Files\ASUS\ATKOSD2\ATKOSD2.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\ASUSSE~1\ASUSSE~1\Bin\ASTSVCC.dll,RegisterModule
O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Media\DMedia.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [DataCardMonitor] C:\Program Files\T-Mobile\web'n'walk Manager\DataCardMonitor.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [OODefragTray] C:\Windows\system32\oodtray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [Updater shortcut] C:\Program Files\T-Mobile\web'n'walk Manager\WTGU.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O13 - Gopher Prefix:
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\Windows\System32\APSHook.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ASUS\ATK Hotkey\ASLDRSrv.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: CSIScanner - Prevx - C:\Program Files\Prevx\prevx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 4763 bytes

----------------------------------------------------------------------
der rest is erledigt ^^

john.doe · 26.07.2009, 23:16

1.) Deinstalliere:

PrevxCSI

2.) Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

ATTFilter

Drivers to delete:
LightScribeService

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

3.) Lösche, wie vorhin die Dateien und Ordner vom Avenger.

4.) Wie geht es dem Rechner? Noch irgendwelche Meldungen oder Auffälligkeiten?

ciao, andreas

Verseuchter Externer Tb, Noob BRAUCHT hilfe

Log-Analyse und Auswertung: Verseuchter Externer Tb, Noob BRAUCHT hilfe