| |
| |||||||
Log-Analyse und Auswertung: Bekomme Virus nicht wegWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
21.11.2009, 10:39
| #1 |
 |  Bekomme Virus nicht weg Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File "C:\WINDOWS\Help\svchost.exe" deleted successfully. Error: could not open file "F:\RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\svchost.exe" Deletion of file "F:\RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\svchost.exe" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Error: could not open file "J:\RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\svchost.exe" Deletion of file "J:\RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\svchost.exe" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Error: registry key "HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ljjkhig" not found! Deletion of registry key "HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ljjkhig" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: registry key "HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmnlk" not found! Deletion of registry key "HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmnlk" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|MediaPlayerXz" deleted successfully. Completed script processing. ******************* Finished! Terminate. |
|
21.11.2009, 10:42
| #2 |
| |  Bekomme Virus nicht weg Noch eine frage wenn ich Hjackthis scannen lassen bei den häkchen muss ich das alles ankreuzen??
__________________R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - (no file) R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: XBTP01621 - {F6104497-54FD-4688-9162-5115CC8AB0FB} - (no file) O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file) O3 - Toolbar: (no name) - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - (no file) O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - (no file) O4 - HKCU\..\Run: [MediaPlayerXv] C:\WINDOWS\Help\svchost.exe O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\Help\svchost.exe O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\Help\svchost.exe O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} |
|
21.11.2009, 10:43
| #3 |
  | Bekomme Virus nicht weg Hi,
__________________bitte MAM laufen lassen und das Log posten... Was hat die Auswertung bei virustotal ergeben? Danach noch GMER; Was sind die Laufwerke F und J? Dort sind die kleinen Viecher auch noch, darum kümmern wir uns später... Wenn es sich um USB-Sticks/Festplatten handelt, unbedingt nirgendwo mehr anschließen bis wir uns um sie hier kümmern... chris
__________________ |
|
21.11.2009, 10:46
| #4 |
| | Bekomme Virus nicht weg ja das sind USB - Sticks aber hab schon gemerkt das da viren drauf sind hab sie dann weggeworfen,... wenn ich über Virus Total die datei scannen lasssen möchte finde ich die datei nicht! ich gehe immer über scurity Task manager in den ordner aber der prozess von dem Virus ist auch nicht mehr da und am anfang beim booten kam aufeinmal auch nichts mehr o,o ich denke er ist weg... |
|
21.11.2009, 10:48
| #5 |
| | Bekomme Virus nicht weg Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:48:04, on 21.11.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\IObit\IObit Security 360\IS360srv.exe C:\Programme\cFos\cFosDNT.exe C:\WINDOWS\system32\RunDLL32.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Vista Drive Icon\DrvIcon.exe C:\Programme\VisualTooltip\VisualToolTip.exe C:\Programme\IObit\IObit Security 360\IS360tray.exe C:\Programme\ViOrb\ViOrb.exe C:\Programme\LClock\lclock.exe C:\Programme\ViStart\ViStart.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\VisualTooltip\VisualToolTip.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Programme\Opera\opera.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsxlive.net R3 - URLSearchHook: (no name) - - (no file) F0 - system.ini: Shell=Explorer.exe c:\windows\system32\msiexec16.exe O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Programme\Styler\TB\StylerTB.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [cFosDNT] C:\Programme\cFos\cFosDNT.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [DrvIcon] C:\Programme\Vista Drive Icon\DrvIcon.exe O4 - HKLM\..\Run: [GLSetIT32] c:\windows\system32\msiexec16.exe O4 - HKLM\..\Run: [VisualTooltip] C:\Programme\VisualTooltip\VisualToolTip.exe O4 - HKLM\..\Run: [IObit Security 360] "C:\Programme\IObit\IObit Security 360\IS360tray.exe" /autostart O4 - HKCU\..\Run: [ViOrb] C:\Programme\ViOrb\ViOrb.exe O4 - HKCU\..\Run: [LClock] C:\Programme\LClock\lclock.exe O4 - HKCU\..\Run: [Vista Rainbar] C:\Programme\Vista Rainbar\launcher.exe O4 - HKCU\..\Run: [ViStart] C:\Programme\ViStart\ViStart.exe O4 - HKCU\..\Run: [VisualTooltip] C:\Programme\VisualTooltip\VisualToolTip.exe O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\Help\svchost.exe O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\Help\svchost.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{9B9C842D-14C1-4ACE-855E-AD8FE99DCD56}: NameServer = 82.194.98.136 82.194.96.126 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: IS360service - IObit - C:\Programme\IObit\IObit Security 360\IS360srv.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 5620 bytes Hjackthis log file moment^^ |
|
21.11.2009, 19:59
| #6 |
| | Bekomme Virus nicht weg Hi, zu HJ: Nach dem neuen Log zufolge bitte das hier fixen: Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code:
ATTFilter R3 - URLSearchHook: (no name) - - (no file)
O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\Help\svchost.exe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\Help\svchost.exe
O4 - HKLM\..\Run: [GLSetIT32] c:\windows\system32\msiexec16.exe
c:\windows\system32\msiexec16.exe -> http://www.bleepingcomputer.com/star...IT32-1848.html Also Avenger:: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:  2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|GLSetIT32
Files to delete:
c:\windows\system32\msiexec16.exe
4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Lasse unbedingt MAM laufen und poste das Log (auch von GMER!).... chris
__________________ --> Bekomme Virus nicht weg |
|
| Themen zu Bekomme Virus nicht weg |
| ahnung, bild, bilder, brauche, dringend, eingefangen, gefangen, gelöscht, hack, hackt, hilfe!, hilfe!!, hilfe!!!, links, logfile, mutter, niemand, rapidshare, rechner, screens, suche, virus, virus eingefangen |
Hybrid-Darstellung
