![]() |
|
Plagegeister aller Art und deren Bekämpfung: Wie kann ich diese Viren entfernen?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() |
|
![]() | #1 |
![]() ![]() | ![]() Wie kann ich diese Viren entfernen? Guten Tag, ich habe einen Laptop von einer Bekannten bekommen auf dem sich einiges an Viren angesammelt hat. Auf dem Laptop befand sich WinXP-Home mit dem SP2. Der Rechner lief am Anfang kaum noch d.h. etliche Fehler Meldungen beim Windows Start. Nach einiger Zeit hat der PC von sich aus ganz viele Tasks geöffnet. Das erste was ich gemacht habe war alle Dinge aus dem Autostart zu schmeissen und fast alles unnötige vom PC zu werfen... (Software). Der IE und FF liesen sich auch nicht mehr ausführen. Habe erstmal das SP3 installiert danach das SP3 Winfuture Update. Danach ging FF wenigstens nach einer Neuinstalltion wieder habe Antivir drüber laufen lassen diese hat 23Viren gefunden und entfernt. Danach AVG drüber laufen lassen die hat nochmal 17 Viren gefunden und entfernt. Danach Avast drübr laufen lassen mit den höchsten Einstellungen diese hat nochmal 119 Viren gefunden davon konnte sie 72 Viren entfernen. Jetzt gingen die Microsoft Seiten wieder (aspx Seiten die vorher nicht gingen). Danach hab ich mal F-Secure via Linux drüber laufen lassen die hat nochmal 2Viren im MBR gefunden plus einen auf der Platte. Danach nochmal BartCD drüber laufen mit Avast. Diese hat auch nochmal 19 Viren gefunden und entfernt. So jetzt habe ich nochmal Avast in Windows drüber luafen lassen mit den höchsten Sicherheitseinstellungen leider findet diese immernoch 21Viren aber diese können nicht entfernt werden. Wie gehe ich jetzt vor? Das Sicherheitscenter von XP SP3 lässt sich auch nicht öffnen auch nicht über services.msg aktivieren es springt gleich auf "deaktiviert" Die restlichen automatischen XP Updates laufen wie gewohnt durch. Hier das HijackThis Protokol und im Anhang findet ihr das Avast Ergebniss über die restlichen Viren. Ich denke ich bin schon richtig erfolgreich gewesen der Laptop funzt auch wieder wie geschmiert allerdings zeigt mir !!NUR!! Avast noch diese restlichen Viren an. Ich wäre euch echt dankbar wenn ihr mir helfen könntet. Jetzt will ich es auch zu ende bringen und nicht einfach formatieren. *eifrig bin ![]() EDIT: "Malwarebytes-Anti-Malware" lässt sich übrigens nicht installieren. Bei jedem hochfahren bekomm ich ne Fehlermeldung das GoogleUpdate.exe nen Problem verursacht hat. Ein Eintrag lässt sich ausserdem nicht aus dem Autostart entfernen (CCleaner) Screens im Anhang. HIJACKTHIS: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:19:36, on 30.10.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Alwil Software\Avast5\AvastSvc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\system32\svchost.exe C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe C:\WINDOWS\System32\alg.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe, O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: (no name) - {35A5B43B-CB8A-49CA-A9F4-D3B308D2E3CC} - (no file) O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - S-1-5-18 Startup: scandisk.lnk = ? (User 'SYSTEM') O4 - .DEFAULT Startup: scandisk.lnk = ? (User 'Default user') O4 - Startup: scandisk.lnk = ? O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1256911654937 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1256911647296 O17 - HKLM\System\CCS\Services\Tcpip\..\{D753F73B-AD74-42FA-9D69-D412D8028F93}: NameServer = 192.168.2.1 O23 - Service: Warndienst AlerterALG (AlerterALG) - Unknown owner - C:\WINDOWS\TEMP\vjljrgyfms.exe (file missing) O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast5\AvastSvc.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast5\AvastSvc.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast5\AvastSvc.exe O23 - Service: Google Update Service (gupdate1c9b2e728892258) (gupdate1c9b2e728892258) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe -- End of file - 4202 bytes Geändert von Runner (30.10.2009 um 19:45 Uhr) Grund: LOGFILE UPDATE |
![]() | #2 | |
![]() ![]() ![]() ![]() ![]() ![]() | ![]() Wie kann ich diese Viren entfernen? Schliesse alle Fenster und starte Hijack This
__________________Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei Zitat:
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst Benenne die mbam.exe auf “C:\Programme\Malwarebytes' Anti-Malware“in winlogon.exe um und versuchs nochmal |
![]() | #3 |
/// Selecta Jahrusso ![]() ![]() ![]() ![]() ![]() ![]() | ![]() Wie kann ich diese Viren entfernen?![]() Bitte warte noch mit dem Fixen. schritt 1
schritt 2 Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
schritt 3 Rootkit-Suche Was sind Rootkits? Einige Scans auf Dateien, Prozesse u2nd Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):
Nun das Logfile in Code-Tags posten. Bitte poste in Deiner nächsten Antwort Logfile von SDFix Beide Logfiles von OTL Gmer Logfile bitte nicht hochladen sondern aufteilen
__________________ |
![]() | #4 |
![]() ![]() | ![]() Wie kann ich diese Viren entfernen? @Argus Vielen dank mit deinem Trick konnte ich "Malwarebytes-Anti-Malware" installieren und ausführen. Nach 3 durchgängen hat das Programm auch nichts mehr gefunden was ich hätte entfernen können. Unten noch mal mein aktueller HijackThis Viren Bericht mit geschlossenem IE (und alle anderen Programme auch). Avast findet nun mit den stärksten Einstellungen auch nichts mehr. Mein System läuft wieder super. Auch das Sicherheitscenter ließ sich wieder starten und ausführen. Die "GoogleUpdate.exe" wird auch nicht mehr beim start als Fehlermeldung angeziegt. Das einzige was leider noch nicht funktioniert ist der abgesicherte Modus dort bekomm ich immer einen Bluescreen angezeigt. HiJackThis Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:23:44, on 31.10.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Alwil Software\Avast5\AvastSvc.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\system32\svchost.exe C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1256911654937 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1256911647296 O17 - HKLM\System\CCS\Services\Tcpip\..\{D753F73B-AD74-42FA-9D69-D412D8028F93}: NameServer = 192.168.2.1 O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast5\AvastSvc.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast5\AvastSvc.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast5\AvastSvc.exe O23 - Service: Google Update Service (gupdate1c9b2e728892258) (gupdate1c9b2e728892258) - Unknown owner - C:\Programme\Google\Update\GoogleUpdate.exe (file missing) O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe -- End of file - 3572 bytes @Larusso Ich glaube GMER hat noch was gefunden. Schritt1 "Lade das SDFix" kann ich nicht ausführen da der abgesciherte Modus nicht funktioniert. Schritt2 OTL hier mein Ergebnis: EDIT: Kann ich nicht posten das Ergbeniss ist zu lang =( Schritt3 GMER hier mein Ergebnis: Code:
ATTFilter GMER 1.0.15.15163 - http://www.gmer.net Rootkit scan 2009-10-31 13:55:30 Windows 5.1.2600 Service Pack 3 Running: b56nr1n9.exe; Driver: C:\DOKUME~1\Marion\LOKALE~1\Temp\kwtyipow.sys ---- System - GMER 1.0.15 ---- SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xF0B10E6E] SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xF0B10D2A] SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xF0B11208] SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xF0B10902] SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xF0B10E04] SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xF0B10842] SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xF0B108A6] SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xF0B10F24] SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xF0B10EE4] SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xF0B11064] ---- User IAT/EAT - GMER 1.0.15 ---- IAT C:\WINDOWS\system32\services.exe[856] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00040002 IAT C:\WINDOWS\system32\services.exe[856] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00040000 ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software) AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software) AttachedDevice \Driver\Tcpip \Device\Tcp aswRdr.SYS (avast! TDI RDR Driver/ALWIL Software) AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software) AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software) AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software) ---- Services - GMER 1.0.15 ---- Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] zmbvreac <-- ROOTKIT !!! ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\zmbvreac@DisplayName Image Manager Reg HKLM\SYSTEM\CurrentControlSet\Services\zmbvreac@Type 32 Reg HKLM\SYSTEM\CurrentControlSet\Services\zmbvreac@Start 2 Reg HKLM\SYSTEM\CurrentControlSet\Services\zmbvreac@ErrorControl 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\zmbvreac@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs Reg HKLM\SYSTEM\CurrentControlSet\Services\zmbvreac@ObjectName LocalSystem Reg HKLM\SYSTEM\CurrentControlSet\Services\zmbvreac@Description Aktiviert das Hilfe- und Supportcenter auf diesem Computer. Das Hilfe- und Supportcenter ist nicht verf?gbar, wenn dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, k?nnen die Dienste, die von diesem Dienst ausschlie?lich abh?ngig sind, nicht mehr gestartet werden. Reg HKLM\SYSTEM\CurrentControlSet\Services\zmbvreac\Parameters Reg HKLM\SYSTEM\CurrentControlSet\Services\zmbvreac\Parameters@ServiceDll C:\WINDOWS\system32\dsxnmilp.dll Reg HKLM\SYSTEM\ControlSet002\Services\SKYNETiornssfv@start 1 Reg HKLM\SYSTEM\ControlSet002\Services\SKYNETiornssfv@type 1 Reg HKLM\SYSTEM\ControlSet002\Services\SKYNETiornssfv@group file system Reg HKLM\SYSTEM\ControlSet002\Services\SKYNETiornssfv@imagepath \systemroot\system32\drivers\SKYNETxtqxxylk.sys Reg HKLM\SYSTEM\ControlSet002\Services\SKYNETiornssfv\main (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\SKYNETiornssfv\main@aid 10063 Reg HKLM\SYSTEM\ControlSet002\Services\SKYNETiornssfv\main@sid 0 Reg HKLM\SYSTEM\ControlSet002\Services\SKYNETiornssfv\main@cmddelay 14400 Reg HKLM\SYSTEM\ControlSet002\Services\SKYNETiornssfv\main\delete (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\SKYNETiornssfv\main\injector (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\SKYNETiornssfv\main\injector@* SKYNETwsp8.dll Reg HKLM\SYSTEM\ControlSet002\Services\SKYNETiornssfv\main\injector@svchost.exe SKYNETcont.dll Reg HKLM\SYSTEM\ControlSet002\Services\SKYNETiornssfv\main\tasks (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\SKYNETiornssfv\modules (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\SKYNETiornssfv\modules@SKYNETrk.sys \systemroot\system32\drivers\SKYNETxtqxxylk.sys Reg HKLM\SYSTEM\ControlSet002\Services\SKYNETiornssfv\modules@SKYNETcmd.dll \systemroot\system32\SKYNETvcnpevng.dll Reg HKLM\SYSTEM\ControlSet002\Services\SKYNETiornssfv\modules@SKYNETlog.dat \systemroot\system32\SKYNETyueqxewb.dat Reg HKLM\SYSTEM\ControlSet002\Services\SKYNETiornssfv\modules@SKYNETwsp.dll \systemroot\system32\SKYNETchwmqbdv.dll Reg HKLM\SYSTEM\ControlSet002\Services\SKYNETiornssfv\modules@SKYNET.dat \systemroot\system32\SKYNETirvbmifp.dat Reg HKLM\SYSTEM\ControlSet002\Services\SKYNETiornssfv\modules@SKYNETwsp8.dll \systemroot\system32\SKYNETxewbscvh.dll Reg HKLM\SYSTEM\ControlSet002\Services\SKYNETiornssfv\modules@SKYNETconz.dll \systemroot\system32\SKYNETuxnqweae.dll Reg HKLM\SYSTEM\ControlSet002\Services\SKYNETiornssfv\modules@SKYNETwsp8p.dll \systemroot\system32\SKYNETnqbfaswq.dll Reg HKLM\SYSTEM\ControlSet002\Services\SKYNETiornssfv\modules@SKYNETcont.dll \systemroot\system32\SKYNETqhxfyxms.dll Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys@start 1 Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys@type 1 Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys@imagepath \systemroot\system32\drivers\UACoextimxfmu.sys Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys@group file system Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@UACd \\?\globalroot\systemroot\system32\drivers\UACoextimxfmu.sys Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@UACc \\?\globalroot\systemroot\system32\UACwylyavbwuc.dll Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@UACbbr \\?\globalroot\systemroot\system32\UACiumaxphxid.dll Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@UACsr \\?\globalroot\systemroot\system32\UACverwimsnsf.dat Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@uacserf \\?\globalroot\systemroot\system32\UACoswxngbprt.dll Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@UACerrors \\?\globalroot\systemroot\system32\UACpymecbnreq.log Reg HKLM\SYSTEM\ControlSet002\Services\zmbvreac@DisplayName Image Manager Reg HKLM\SYSTEM\ControlSet002\Services\zmbvreac@Type 32 Reg HKLM\SYSTEM\ControlSet002\Services\zmbvreac@Start 2 Reg HKLM\SYSTEM\ControlSet002\Services\zmbvreac@ErrorControl 0 Reg HKLM\SYSTEM\ControlSet002\Services\zmbvreac@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs Reg HKLM\SYSTEM\ControlSet002\Services\zmbvreac@ObjectName LocalSystem Reg HKLM\SYSTEM\ControlSet002\Services\zmbvreac@Description Aktiviert das Hilfe- und Supportcenter auf diesem Computer. Das Hilfe- und Supportcenter ist nicht verf?gbar, wenn dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, k?nnen die Dienste, die von diesem Dienst ausschlie?lich abh?ngig sind, nicht mehr gestartet werden. Reg HKLM\SYSTEM\ControlSet002\Services\zmbvreac\Parameters (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\zmbvreac\Parameters@ServiceDll C:\WINDOWS\system32\dsxnmilp.dll Reg HKLM\SYSTEM\ControlSet003\Services\zmbvreac@DisplayName Image Manager Reg HKLM\SYSTEM\ControlSet003\Services\zmbvreac@Type 32 Reg HKLM\SYSTEM\ControlSet003\Services\zmbvreac@Start 2 Reg HKLM\SYSTEM\ControlSet003\Services\zmbvreac@ErrorControl 0 Reg HKLM\SYSTEM\ControlSet003\Services\zmbvreac@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs Reg HKLM\SYSTEM\ControlSet003\Services\zmbvreac@ObjectName LocalSystem Reg HKLM\SYSTEM\ControlSet003\Services\zmbvreac@Description Aktiviert das Hilfe- und Supportcenter auf diesem Computer. Das Hilfe- und Supportcenter ist nicht verf?gbar, wenn dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, k?nnen die Dienste, die von diesem Dienst ausschlie?lich abh?ngig sind, nicht mehr gestartet werden. Reg HKLM\SYSTEM\ControlSet003\Services\zmbvreac\Parameters (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\zmbvreac\Parameters@ServiceDll C:\WINDOWS\system32\dsxnmilp.dll ---- EOF - GMER 1.0.15 ---- Geändert von Runner (31.10.2009 um 15:14 Uhr) |
![]() | #5 |
/// Selecta Jahrusso ![]() ![]() ![]() ![]() ![]() ![]() | ![]() Wie kann ich diese Viren entfernen? wo sind die ganzen Logfiles?
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
![]() | #6 |
![]() ![]() | ![]() Wie kann ich diese Viren entfernen? Sorry ich kann die OTL Ergebnisse nicht posten. Die sind irgendwie zu lang. Bin aber auf minimal Output gegangen. Auch im "Code Tag" gehts nicht. ![]() |
![]() | #7 | |
/// Selecta Jahrusso ![]() ![]() ![]() ![]() ![]() ![]() | ![]() Wie kann ich diese Viren entfernen?Zitat:
![]() Noch was. Was spricht gegen ein neu Installieren ? Das sieht nicht gut aus
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
![]() | #8 |
| ![]() Wie kann ich diese Viren entfernen? Entschuldigung, könnte sich das hier bitte mal jemand ansehen und seine Meinung mitteilen. MfG Protokoll Findykill: ----------------- FindyKill V4.005 ------------------ * User : PCS - LENOVO-ED8A7C5A * Emplacement : C:\Programme\FindyKill * Outils Mis a jours le 17/10/08 par Chiquitine29 * Recherche effectuée à 10:43:47 le 02.11.2009 * Windows XP - Internet Explorer 7.0.5730.11 ((((((((((((((((( *** Recherche *** )))))))))))))))))) --------------- [ Processus actifs ] ---------------- C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\ibmpmsvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\IPSSVC.EXE C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Autodesk\Data Management Server 2008\Server\Webserver\Connectivity.EDMWS.Server.exe C:\Programme\Dassault Systemes\B11\intel_a\code\bin\CATSysDemon.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\WINDOWS\system32\FastNetSrv.exe C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe C:\Programme\FLEXlm\MDESIGN\lmgrd.exe C:\Programme\Microsoft SQL Server\MSSQL.2\MSSQL\Binn\sqlservr.exe C:\Programme\FLEXlm\MDESIGN\lmgrd.exe C:\Programme\FLEXlm\MDESIGN\TEDATA.exe c:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\System32\snmp.exe C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe C:\WINDOWS\System32\TPHDEXLG.exe C:\Programme\Lenovo\Client Security Solution\tvttcsd.exe C:\Programme\Lenovo\Rescue and Recovery\rrpservice.exe C:\Programme\Lenovo\Rescue and Recovery\rrservice.exe c:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe C:\Programme\Lenovo\Rescue and Recovery\ADM\IUService.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\Gemeinsame Dateien\Lenovo\Logger\logmon.exe C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe C:\DOKUME~1\PCS\LOKALE~1\Temp\b.exe C:\WINDOWS\msb.exe C:\WINDOWS\Explorer.EXE C:\Programme\Diskeeper Corporation\Diskeeper\DkIcon.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Lenovo\NPDIRECT\TPFNF7SP.exe C:\Programme\Apoint2K\Apoint.exe C:\WINDOWS\system32\TpShocks.exe C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\igfxpers.exe C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\WINDOWS\System32\DLA\DLACTRLW.EXE C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\Programme\Lenovo\AwayTask\AwaySch.EXE C:\PROGRA~1\THINKV~1\PrdCtr\LPMGR.exe C:\PROGRA~1\THINKV~1\AMSG\amsg.exe C:\Programme\Lenovo\Client Security Solution\cssauth.exe C:\Programme\Winamp\winampa.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\pdfforge Toolbar\SearchSettings.exe C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\System32\reader_s.exe C:\WINDOWS\system32\restorer32_a.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\wintems.exe C:\Dokumente und Einstellungen\PCS\Anwendungsdaten\m\flec006.exe C:\Dokumente und Einstellungen\PCS\Anwendungsdaten\DealAssistant\dealassistant.exe C:\Dokumente und Einstellungen\PCS\reader_s.exe C:\Dokumente und Einstellungen\PCS\restorer32_a.exe C:\Dokumente und Einstellungen\PCS\Anwendungsdaten\Microsoft\Windows\oulwsv.exe C:\Programme\ThinkPad\Bluetooth Software\BTTray.exe C:\Programme\Digital Line Detect\DLG.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Apoint2K\ApMsgFwd.exe C:\WINDOWS\system32\igfxsrvc.exe C:\Programme\Lenovo\Client Security Solution\tvtpwm_tray.exe C:\WINDOWS\System32\svchost.exe c:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe C:\Programme\Apoint2K\Apntex.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Uniblue\RegistryBooster 2010\registrybooster.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\system32\wbem\wmiprvse.exe --------------- [ Processus infectieux stoppés ] ---------------- "C:\WINDOWS\system32\wintems.exe" (3460) "C:\Dokumente und Einstellungen\PCS\Anwendungsdaten\m\flec006.exe" (1864) --------------- [ Fichiers/Dossiers infectieux ] ---------------- »»»» Presence des fichiers dans C: »»»» Presence des fichiers dans C:\WINDOWS »»»» Presence des fichiers dans C:\WINDOWS\Prefetch Present ! - C:\WINDOWS\prefetch\3862578.EXE-048435A3.pf Present ! - C:\WINDOWS\prefetch\FLEC006.EXE-33FC3620.pf Present ! - C:\WINDOWS\prefetch\MDELK.EXE-1D176F91.pf Present ! - C:\WINDOWS\prefetch\WINTEMS.EXE-2A563F9B.pf »»»» Presence des fichiers dans C:\WINDOWS\system32 Présent ! - C:\WINDOWS\system32\mdelk.exe Présent ! - C:\WINDOWS\system32\wintems.exe »»»» Presence des fichiers dans C:\WINDOWS\system32\drivers Présent ! - C:\WINDOWS\system32\drivers\mdelk.exe Présent ! - C:\WINDOWS\system32\drivers\srosa.sys Présent ! - C:\WINDOWS\system32\drivers\hldrrr.exe Présent ! - "C:\WINDOWS\system32\drivers\down" Présent ! - "C:\WINDOWS\system32\drivers\downld" »»»» Presence des fichiers dans C:\Dokumente und Einstellungen\PCS\Anwendungsdaten Présent ! - "C:\Dokumente und Einstellungen\PCS\Anwendungsdaten\m\flec006.exe" Présent ! - "C:\Dokumente und Einstellungen\PCS\Anwendungsdaten\m\list.oct" Présent ! - "C:\Dokumente und Einstellungen\PCS\Anwendungsdaten\m\data.oct" Présent ! - "C:\Dokumente und Einstellungen\PCS\Anwendungsdaten\m\srvlist.oct" Présent ! - "C:\Dokumente und Einstellungen\PCS\Anwendungsdaten\m\shared" Présent ! - "C:\Dokumente und Einstellungen\PCS\Anwendungsdaten\m" »»»» Presence des fichiers dans C:\DOKUME~1\PCS\LOKALE~1\Temp --------------- [ Registre / Startup ] ---------------- ! REG.EXE VERSION 3.0 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run PWRMGRTR REG_SZ rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor BLOG REG_SZ rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog TPFNF7 REG_SZ C:\Programme\Lenovo\NPDIRECT\TPFNF7SP.exe /r TPHOTKEY REG_SZ C:\Programme\Lenovo\HOTKEY\TPOSDSVC.exe Apoint REG_SZ C:\Programme\Apoint2K\Apoint.exe TpShocks REG_SZ TpShocks.exe EZEJMNAP REG_SZ C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe IgfxTray REG_SZ C:\WINDOWS\system32\igfxtray.exe HotKeysCmds REG_SZ C:\WINDOWS\system32\hkcmd.exe Persistence REG_SZ C:\WINDOWS\system32\igfxpers.exe TVT Scheduler Proxy REG_SZ C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe SunJavaUpdateSched REG_SZ C:\Programme\Java\jre1.5.0_06\bin\jusched.exe DLA REG_SZ C:\WINDOWS\System32\DLA\DLACTRLW.EXE ISUSPM Startup REG_SZ C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup ISUSScheduler REG_SZ "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start AwaySch REG_SZ C:\Programme\Lenovo\AwayTask\AwaySch.EXE LPManager REG_SZ C:\PROGRA~1\THINKV~1\PrdCtr\LPMGR.exe AMSG REG_SZ C:\PROGRA~1\THINKV~1\AMSG\amsg.exe DiskeeperSystray REG_SZ "C:\Programme\Diskeeper Corporation\Diskeeper\DkIcon.exe" cssauth REG_SZ "C:\Programme\Lenovo\Client Security Solution\cssauth.exe" silent WinampAgent REG_SZ C:\Programme\Winamp\winampa.exe QuickTime Task REG_SZ "C:\Programme\QuickTime\qttask.exe" -atboottime iTunesHelper REG_SZ "C:\Programme\iTunes\iTunesHelper.exe" Adobe Reader Speed Launcher REG_SZ "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" SearchSettings REG_SZ C:\Programme\pdfforge Toolbar\SearchSettings.exe VirtualCloneDrive REG_SZ "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s <NO NAME> REG_SZ StatusClient REG_SZ C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto TomcatStartup REG_SZ C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe net REG_SZ "C:\WINDOWS\system32\net.net" ter8m REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\msxm192z.dll,w reader_s REG_SZ C:\WINDOWS\System32\reader_s.exe restorer32_a REG_SZ C:\WINDOWS\system32\restorer32_a.exe Windows System Defender REG_SZ "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\e5a1660\WSe5a1.exe" /s /d Regedit32 REG_SZ C:\WINDOWS\system32\regedit.exe ClamWin REG_SZ "C:\Programme\ClamWin\bin\ClamTray.exe" --logon Winpooch REG_SZ C:\Programme\Winpooch\Winpooch.exe avast! REG_SZ C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents ! REG.EXE VERSION 3.0 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run CTFMON.EXE REG_SZ C:\WINDOWS\system32\ctfmon.exe PopRock REG_SZ C:\DOKUME~1\PCS\LOKALE~1\Temp\b.exe DealAssistant REG_SZ C:\Dokumente und Einstellungen\PCS\Anwendungsdaten\DealAssistant\dealassistant.exe reader_s REG_SZ C:\Dokumente und Einstellungen\PCS\reader_s.exe restorer32_a REG_SZ C:\Dokumente und Einstellungen\PCS\restorer32_a.exe SfKg6wIPuSpdcduD7 REG_SZ C:\Dokumente und Einstellungen\PCS\Anwendungsdaten\Microsoft\Windows\oulwsv.exe NordBull REG_SZ C:\WINDOWS\msb.exe SpybotSD TeaTimer REG_SZ C:\Programme\Spybot - Search & Destroy\TeaTimer.exe HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\not active --------------- [ Registre / Clés infectieuses ] ---------------- Présent ! - HKEY_USERS\S-1-5-21-4284965654-3998773893-3154732862-1008\Software\Local AppWizard-Generated Applications\uiytuhjy Présent ! - HKEY_USERS\S-1-5-21-4284965654-3998773893-3154732862-1008\Software\DateTime4 Présent ! - HKEY_USERS\S-1-5-21-4284965654-3998773893-3154732862-1008\Software\FirstRRRun Présent ! - HKEY_USERS\S-1-5-21-4284965654-3998773893-3154732862-1008\Software\FirtR Présent ! - HKEY_USERS\S-1-5-21-4284965654-3998773893-3154732862-1008\Software\MuleAppData Présent ! - HKEY_USERS\S-1-5-21-4284965654-3998773893-3154732862-1008\Software\XYZ Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\uiytuhjy Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA Présent ! - HKEY_CURRENT_USER\Software\DateTime4 Présent ! - HKEY_CURRENT_USER\Software\XYZ Présent ! - HKEY_CURRENT_USER\Software\FirtR Présent ! - HKEY_CURRENT_USER\Software\FirstRRRun --------------- [ Etat / Services ] ---------------- +- Services : [ Auto=2 Demande=3 Désactivé=4 ] /!\ Ndisuio - Type de démarrage = 4 /!\ Ip6Fw - Type de démarrage = 4 /!\ SharedAccess - Type de démarrage = 4 /!\ wuauserv - Type de démarrage = 4 /!\ wscsvc - Type de démarrage = 4 --------------- [ Recherche dans supports amovibles] ---------------- +- Informations : C: - Eingebautes Laufwerk +- presence des fichiers : --------------- [ Registre / Moutpoint2 ] ---------------- -> Recherche négative. ------------------- ! Fin du rapport ! -------------------- |
![]() | #9 | |
/// Selecta Jahrusso ![]() ![]() ![]() ![]() ![]() ![]() | ![]() Wie kann ich diese Viren entfernen? @ Mentalmaxxl Format C ist hierbei der einzige Weg was sinnvoll ist. Und nicht in Fremde Threads posten, der hier gehört runner. So Back MBR ist OK ![]() schritt 1 Registry mit ERUNT sichern Da wir in der Registry Änderungen vornehmen müssen, wirst Du die Registry vorher wie folgt sichern: Lade das Tool ERUNT von Lars Hederer herunter und installiere es. Starte die erunt.exe und erstelle damit eine Backup der Registry in den vorgegebenen Ordner. Unter Sicherungsoptionen bitte alle drei Möglichkeiten anhaken. Das Programm nicht in den Systemstart aufnehmen. schritt 2 Abgesicherterten Modus reparieren
Zitat:
Berichte ob es geklappt hat. Windows CD ist vorhanden wie ich gelesen habe ![]()
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
![]() | #10 |
![]() ![]() | ![]() Wie kann ich diese Viren entfernen? Anleitung befolgt ;D Der abgesicherte Modus funktioniert. ![]() |
![]() | #11 |
/// Selecta Jahrusso ![]() ![]() ![]() ![]() ![]() ![]() | ![]() Wie kann ich diese Viren entfernen? << the best ![]() So räumen wir auf ![]() Tool-Bereinigung mit OTM Wir werden nun die CleanUp!-Funktion von OTM nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.
Zu CCleaner kommen wir dann noch. Der kann das nämlich auch ![]() Schlankes AntiViren Programm Avira ![]() Poste mir bitte eine HJT Logfile und berichte wie sich der Rechner macht. (ich meld mich gegen 22 uhr wieder. Muss in die schule ![]()
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
![]() | #12 |
![]() ![]() | ![]() Wie kann ich diese Viren entfernen? Super und nochmal vielen Dank. ![]() Der Rechner macht sich sehr gut. Läuft soweit alles perfekt. EDIT: Nur der vorletzte Eintrag bei HJT ich habe hier keine Google Software installiert (Googel Earth oder sonstiges). Ich sehe auch keinen Google Ordner in den Programmen oder Software etc: Code:
ATTFilter O23 - Service: Google Update Service (gupdate1c9b2e728892258) (gupdate1c9b2e728892258) - Unknown owner - C:\Programme\Google\Update\GoogleUpdate.exe (file missing) HJT: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:59:55, on 02.11.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1256911654937 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1256911647296 O17 - HKLM\System\CCS\Services\Tcpip\..\{D753F73B-AD74-42FA-9D69-D412D8028F93}: NameServer = 192.168.2.1 O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Google Update Service (gupdate1c9b2e728892258) (gupdate1c9b2e728892258) - Unknown owner - C:\Programme\Google\Update\GoogleUpdate.exe (file missing) O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe -- End of file - 3401 bytes Geändert von Runner (02.11.2009 um 17:09 Uhr) |
![]() |
Themen zu Wie kann ich diese Viren entfernen? |
7 viren, anfang, antivir, automatische, autostart, avast, avast!, avg, c:\windows\temp, einstellungen, entfernen, f-secure, fehler, gen, gupdate, hijack, hijackthis, hkus\s-1-5-18, laptop, linux, microsoft, nicht mehr, nicht öffnen, rechner, sdra64.exe, seite, seiten, sicherheitscenter, software, sp3, updates, userinit.exe, viren, viren entfernen, windows, windows\temp, öffnen |