Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Critical System Error. Bekomme ihn nicht weg (https://www.trojaner-board.de/34465-critical-system-error-bekomme-ihn-weg.html)

blackbird 16.12.2006 17:58
Critical System Error. Bekomme ihn nicht weg
 
Also hier nochmals das HJT-File:

Logfile of HijackThis v1.99.1
Scan saved at 11:29:26, on 16.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Dantz\Retrospect\retrorun.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
C:\WINDOWS\MXOALDR.EXE
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Dokumente und Einstellungen\XXX\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {192c5b4a-3efd-40c7-9f99-c472deb8efc0} - (no file)
O2 - BHO: (no name) - {30EEF660-B842-41AC-99F1-CA65C68CF018} - (no file)
O2 - BHO: (no name) - {35F7813A-AF74-4474-B1DC-7EE6FB6C43C6} - C:\WINDOWS\system32\inxahdbs.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: (no name) - {74a49269-9779-48b4-a0e6-3a5af2a3ade6} - (no file)
O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [MXO Auto Loader] C:\WINDOWS\MXOALDR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\RunOnce: [NpsUpdate] "C:\DOKUME~1\MARCOD~1\LOKALE~1\Temp\NeroDemo11008\setupx.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [NeroHomeFirstStart] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMFirstStart.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2D2BEE6E-3C9A-4D58-B9EC-458EDB28D0F6} - http://cdn.drivecleaner.com/installdrivecleanerstart_de.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: featherweed - {ab340860-fd81-4a65-b345-82eb77a66b5e} - C:\WINDOWS\system32\jbtazy.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Retrospect Launcher (RetroLauncher) - Dantz Development Corporation - C:\Programme\Dantz\Retrospect\retrorun.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Dann die (wie von nochdigga empfohlene) Überprüfung der 41.5 Kb grossen Datei inxahdbs.dll und zwar gleich alles weil ich den Durchblick ned ganz hab:

Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
-

AntiVir
TR/Juan.A gefunden
ArcaVir
Trojan.Bho.G gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Generic2.LFR gefunden
BitDefender
Trojan.Juan.A gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Trojan.Juan gefunden
F-Prot Antivirus
Keine Viren gefunden
F-Secure Anti-Virus
Trojan.Win32.BHO.g gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Trojan.Win32.BHO.g gefunden
NOD32
a variant of Win32/BHO.G gefunden
Norman Virus Control
W32/Smalltroj.NYQ gefunden
VirusBuster
Trojan.BHO.CC gefunden
VBA32
Trojan.Win32.BHO.g gefunden

Passt das so nochdigga?^^

nochdigger 16.12.2006 19:38
Hallo

jo so ist es wesentlich besser.

Lade dir mal Blacklight
und poste anschließend das Log (findest du im selben Ordner wie Blacklight)
lade dir auch Smidfraudfix
halte dich an die Anleitung und poste den rapport.txt
von vor und den rapport2.txt nach der Bereinigung
sowie ein neues HijackThis Log.

MFG

blackbird 17.12.2006 21:46
Also smitfraudfix hat ned funktioniert. Hab aber blacklight gestartet und hier nun zuerst log VOR scan und NACHHER denke ich:

12/17/06 21:23:06 [Info]: BlackLight Engine 1.0.47 initialized
12/17/06 21:23:06 [Info]: OS: 5.1 build 2600 (Service Pack 2)
12/17/06 21:23:06 [Note]: 7019 4
12/17/06 21:23:06 [Note]: 7005 0
12/17/06 21:23:14 [Note]: 7006 0
12/17/06 21:23:14 [Note]: 7011 1624
12/17/06 21:23:15 [Note]: 7026 0
12/17/06 21:23:15 [Note]: 7026 0
12/17/06 21:23:23 [Note]: FSRAW library version 1.7.1020
12/17/06 21:36:15 [Note]: 2000 1012
12/17/06 21:36:15 [Note]: 2000 1012
12/17/06 21:36:15 [Note]: 2000 1012
12/17/06 21:42:54 [Note]: 7007 0


12/17/06 21:42:58 [Info]: BlackLight Engine 1.0.47 initialized
12/17/06 21:42:58 [Info]: OS: 5.1 build 2600 (Service Pack 2)
12/17/06 21:42:58 [Note]: 7019 4
12/17/06 21:42:58 [Note]: 7005 0
12/17/06 21:43:01 [Note]: 7006 0
12/17/06 21:43:01 [Note]: 7011 1624
12/17/06 21:43:01 [Note]: 7026 0
12/17/06 21:43:02 [Note]: 7026 0
12/17/06 21:43:05 [Note]: FSRAW library version 1.7.1020
12/17/06 21:44:40 [Note]: 7007 0


Dann noch neues HJT Log:

Logfile of HijackThis v1.99.1
Scan saved at 21:45:38, on 17.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Dantz\Retrospect\retrorun.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
C:\WINDOWS\MXOALDR.EXE
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Dokumente und Einstellungen\XXX\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {192c5b4a-3efd-40c7-9f99-c472deb8efc0} - (no file)
O2 - BHO: (no name) - {30EEF660-B842-41AC-99F1-CA65C68CF018} - (no file)
O2 - BHO: (no name) - {35F7813A-AF74-4474-B1DC-7EE6FB6C43C6} - C:\WINDOWS\system32\inxahdbs.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: (no name) - {74a49269-9779-48b4-a0e6-3a5af2a3ade6} - (no file)
O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [MXO Auto Loader] C:\WINDOWS\MXOALDR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2D2BEE6E-3C9A-4D58-B9EC-458EDB28D0F6} - http://cdn.drivecleaner.com/installdrivecleanerstart_de.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: featherweed - {ab340860-fd81-4a65-b345-82eb77a66b5e} - C:\WINDOWS\system32\jbtazy.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Retrospect Launcher (RetroLauncher) - Dantz Development Corporation - C:\Programme\Dantz\Retrospect\retrorun.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

nochdigger 18.12.2006 06:03
mOIn

Zitat:
Also smitfraudfix hat ned funktioniert.
aber warum?
Hat es eine Fehlermeldung gegeben?
Bist du nicht klargekommen?

MFG

blackbird 18.12.2006 21:28
Nene der Link hat ned funktioniert...

nochdigger 18.12.2006 22:46
Hallo

Du hast Escan installiert oder?
führe mal ein Update durch und lass ihn im abgesichten Modus (beim Start F8 drücken) laufen anschließend öffne das mwav.log --> Bearbeiten --> Suchen --> infected oder tagged eingeben -->
Weitersuchen --> Treffer markieren/kopieren und ins Forum posten.

MFG

blackbird 19.12.2006 08:53
Werds heut Nachmittag probieren, wenn ich daheim bin

blackbird 21.12.2006 20:22
Hab gestern mal escan laufen lassen, dann jedoch abbrechen müssen, weil der so lange hatte und ich meinen PC runterfahren musste. Der hat schon n paar erwischt, und irgendwie hab ich das Gefühl, auch Critical System Error. Weil das Symbol nicht mehr rechts unten blinkt...

Sunny 21.12.2006 20:52
Zitat:
Zitat von blackbird (Beitrag 245080)
Hab gestern mal escan laufen lassen, dann jedoch abbrechen müssen, weil der so lange hatte und ich meinen PC runterfahren musste. Der hat schon n paar erwischt, und irgendwie hab ich das Gefühl, auch Critical System Error. Weil das Symbol nicht mehr rechts unten blinkt...
Könntest du doch bitte mal das tun was dir die Helfer hier im Forum schreiben? :teufel2:
Wo sind die gefundenen Treffer (infected oder tagged eingegeben?) von eScan? :rolleyes:

Abgesehen davon das das Symbol "critical system error" weg ist, hast du im System immer noch Malware:

Lass daher folgende Dateien bei Virustotal auswerten:

Zitat:
C:\WINDOWS\system32\inxahdbs.dll
C:\WINDOWS\system32\jbtazy.dll
Diese sollten mit VirusBusters in Verbindung stehen.
Aber erst die Dateien nacheinander auswerten lassen, danach den Bildschirmtext kopieren und hier in einen Beitrag einfügen.
Wie man VirusBusters löscht, erkläre ich dir danach..

Gruß
Sunny

blackbird 23.12.2006 19:37
Ja ich würde sogar sehr gerne das machen, was mir die Helfer sagen. Doch für Noobs ist das manchmal schwierig, denn ich habe überhaupt keine Ahnung, wo ich infected oder tagged eingeben soll in Escan. Das ist mein Problem.

nochdigger 24.12.2006 06:50
mOIn

Zitat:
Ja ich würde sogar sehr gerne das machen, was mir die Helfer sagen. Doch für Noobs ist das manchmal schwierig
bleib gans ruhig

bitte versuche den escan nochmal ganz durchlaufen zu lassen, nach Beendigung des scans schaust du in den Ordner von escan dort sollte es ein mwav.log geben, öffne dieses Log, unter -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> klicke auf Weitersuchen -> Funde makieren und hierher posten.

MFG

blackbird 24.12.2006 20:10
Aaalso, im Ordner finde ich keine Datei mit genauem Namen mwav.log. Jedoch kann ich nach nun beendigtem Scan das Protokoll direkt öffnen. Ist dieses damit gemeint, weil dann kann ich auch dieses bearbeiten. Habs schon versucht mit eingeben, ich muss ja wohl nicht den Begriff "infected oder tagged" eingeben, sondern zuerst "infected" und alles suchen und posten, und dann "tagged" und das gleiche?

Gruss und fröhliche Weihnachten

nochdigger 25.12.2006 07:56
mOIn

wenn du escan öffnest und auf - view log - klickst öffnet sich (bei mir zumindest) das letzte erstellte logfile.
Unter -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> klicke auf Weitersuchen -> Funde makieren und hierher posten.

Zitat:
Habs schon versucht mit eingeben, ich muss ja wohl nicht den Begriff "infected oder tagged" eingeben, sondern zuerst "infected" und alles suchen und posten, und dann "tagged" und das gleiche?
Ja, aber ausprobieren hätte auch nicht geschadet:blabla:

MFG

Edit und dir auch ein frohes Fest

blackbird 25.12.2006 11:08
Ja ich habs ja versucht, wollte nur sicher gehen^^ Aaalso, hier mal n Versuch:

So Dez 24 14:58:36 2006 => C:\Dokumente und Einstellungen\Marco Duss\Eigene Dateien\Eigene Musik\Placebo - The Singles (1996 - 2004) Ltd Edition\CD2 - 03 - Every You Every Me (Infected by the Scourge of the Earth Mix).mp3 ***** Datei hat Grössenbeschränkung *****

So Dez 24 15:47:37 2006 => Datei wird gescannt C:\Programme\eScan\infected.wav

Das erste ist ja wohl ein Lied, dat kann ja nix schlimmes sein oda?^^
Und Tagged kann er ned finden meint er...

Gruss

nochdigger 25.12.2006 12:06
mOIn

sind das wirklich alle Funde?
Also das erste sollte tatsächlich nur ein Song von Placebo sein und das zwote ist der Benachrichtigungssound bei einem Virenfund vom escan denk ich.

Lade dir mal dies --> datFind.bat, entpacke es nach C:\ , es werden 6 logs entstehen fasse sie zusammen und nach dem Scan kopiere nur die Einträge der letzten 30 Tage ab und poste sie.
Ich schlage auch vor, dass du mal einen Onlinescan bei Panda machst (mit dem Internet Explorer), deaktiviere dazu den Guard deines Antivirenprograms.

MFG

blackbird 26.12.2006 23:17
Also ich weiss jetzt wirklich nicht, ob ich das richtige gemacht hab. Habe das Gefühl, komme je länger je weniger nicht mehr nach. Also hab diese Datei geloadet, und dann doppelgeklickt. Dann hat sich ein kleines DOS-Fenster geöffnet und nach kurzer Zeit öffnete sich eine Editordatei, von wo ich folgendes, grosszügig 30 Tage, kopiert habe:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C028-C724

Verzeichnis von C:\WINDOWS\system32

26.12.2006 22:53 49'790 nvapps.xml
26.12.2006 22:53 2'422 wpa.dbl
26.12.2006 22:53 54'112 vsconfig.xml
20.12.2006 21:49 7'890 eInstall.dat
13.12.2006 21:22 380'350 perfh009.dat
13.12.2006 21:22 52'764 perfc009.dat
13.12.2006 21:22 391'000 perfh007.dat
13.12.2006 21:22 63'580 perfc007.dat
13.12.2006 21:22 897'954 PerfStringBackup.INI
13.12.2006 21:21 23'392 nscompat.tlb
13.12.2006 21:21 16'832 amcompat.tlb
08.12.2006 00:13 10'716'584 MRT.exe
30.11.2006 19:51 24'576 VundoFixSVC.exe
11.11.2006 02:10 955'774 ikhcore.log


Kann man damit was anfangen?

nochdigger 27.12.2006 05:50
Hallo

Zitat:
Also hab diese Datei geloadet, und dann doppelgeklickt. Dann hat sich ein kleines DOS-Fenster geöffnet und nach kurzer Zeit öffnete sich eine Editordatei
der Anfang ist nicht schlecht, du solltest aber nochmal die Kurzanleitung von datfind.bat lesen:blabla: .
Versuche auch den Onlinescan bei Panda durchzuführen.

MFG

blackbird 27.12.2006 15:36
Ja habs sogar gerade danach rausgefunden, nur ne Taste drücken im DOS-Fenster, dann kommen die übrigen. Hier sindse:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C028-C724

Verzeichnis von C:\DOKUME~1\MARCOD~1\LOKALE~1\Temp

26.12.2006 23:01 512 ~DF3DC0.tmp
26.12.2006 23:01 655'360 ~DF3D9C.tmp
26.12.2006 23:01 512 ~DF2DDD.tmp
26.12.2006 23:01 655'360 ~DF2D90.tmp
25.12.2006 01:22 1'434 wmplog00.sqm
24.12.2006 11:56 2'912 java_install_reg.log
16.12.2006 12:54 7'141 Nero2a4cd558127a4284afd74ede3c540091.nra
16.12.2006 12:42 0 TempCover2
16.12.2006 10:10 250 Kopie1.ncp
13.12.2006 21:22 14'579 wmsetup.log
13.12.2006 21:04 12'936 control.xml
15.09.2006 12:37 53'760 260f2.mst

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C028-C724

Verzeichnis von C:\WINDOWS

26.12.2006 22:53 92'601 ESCAN.LOG
26.12.2006 22:53 3'057 win.ini
26.12.2006 22:53 1'716 general.log
26.12.2006 22:53 0 0.log
26.12.2006 22:53 81'612 WindowsUpdate.log
26.12.2006 22:52 159 wiadebug.log
26.12.2006 22:52 50 wiaservc.log
26.12.2006 22:52 726 frights.log
26.12.2006 22:52 2'048 bootstat.dat
26.12.2006 17:42 32'502 SchedLgU.Txt
24.12.2006 00:54 116 NeroDigital.ini
23.12.2006 22:01 399 wmsetup.log
21.12.2006 06:30 0 Sti_Trace.log
20.12.2006 21:55 398 MAILINST.LOG
20.12.2006 21:50 4'918'153 REGBK02.ZIP
20.12.2006 21:45 26 escan.dbf
20.12.2006 21:45 261 SYSTEM.INI
15.12.2006 20:01 1'393 imsins.BAK
13.12.2006 21:19 316'640 WMSysPr9.prx
13.12.2006 20:56 54'156 QTFont.qfn
08.12.2006 19:06 1'859'595 setupapi.log.0.old
22.11.2006 17:27 3'073 Ascd_tmp.ini

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C028-C724

Verzeichnis von C:\WINDOWS\Temp

26.12.2006 22:53 409 WGANotify.settings
26.12.2006 22:53 255 WGAErrLog.txt
26.12.2006 22:53 12'288 kav1.tmp
26.12.2006 22:52 256 ZLT02975.TMP
26.12.2006 22:52 256 ZLT02971.TMP
26.12.2006 11:32 256 ZLT02075.TMP
25.12.2006 10:34 256 ZLT02616.TMP
24.12.2006 11:31 256 ZLT0036b.TMP
24.12.2006 11:31 256 ZLT003ab.TMP
23.12.2006 18:49 256 ZLT06786.TMP
23.12.2006 18:49 256 ZLT0049d.TMP
23.12.2006 15:10 256 ZLT051d9.TMP
23.12.2006 15:10 256 ZLT05d1d.TMP
23.12.2006 09:55 256 ZLT06c4a.TMP
21.12.2006 16:27 256 ZLT07c16.TMP
20.12.2006 19:16 256 ZLT01b1e.TMP
20.12.2006 19:16 256 ZLT02f0f.TMP
20.12.2006 16:16 256 ZLT02572.TMP
20.12.2006 16:16 256 ZLT0256e.TMP
18.12.2006 19:19 256 ZLT014df.TMP
18.12.2006 16:18 256 ZLT00a4a.TMP
17.12.2006 21:01 256 ZLT014a4.TMP
16.12.2006 08:39 256 ZLT00e90.TMP
16.12.2006 08:39 256 ZLT00e8d.TMP
15.12.2006 18:17 256 ZLT02ee8.TMP
15.12.2006 18:17 256 ZLT07b5a.TMP
14.12.2006 16:26 256 ZLT04b3a.TMP
14.12.2006 16:26 256 ZLT05846.TMP
13.12.2006 16:35 256 ZLT004f8.TMP
13.12.2006 16:35 256 ZLT01099.TMP
11.12.2006 16:43 256 ZLT07a53.TMP
11.12.2006 16:43 256 ZLT07a50.TMP
10.12.2006 20:46 256 ZLT066b0.TMP
08.12.2006 16:16 256 ZLT07b9e.TMP
08.12.2006 16:16 256 ZLT07b9b.TMP
06.12.2006 16:42 256 ZLT072ec.TMP
04.12.2006 16:17 256 ZLT043c6.TMP
02.12.2006 12:45 256 ZLT005a5.TMP
01.12.2006 18:20 256 ZLT0374a.TMP
30.11.2006 19:20 256 ZLT03aad.TMP
30.11.2006 19:20 256 ZLT0176c.TMP

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C028-C724

Verzeichnis von C:\WINDOWS\Downloaded Program Files

09.11.2006 14:36 5'019 swflash.inf

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C028-C724

Verzeichnis von C:\

26.12.2006 23:19 0 sys.txt
26.12.2006 23:19 979 down.txt
26.12.2006 23:19 2'280 tmp.txt
26.12.2006 23:19 6'503 system.txt
26.12.2006 23:18 1'019 systemtemp.txt
26.12.2006 23:14 106'542 system32.txt
26.12.2006 22:52 1'610'612'736 pagefile.sys
24.12.2006 14:37 0 23990098.$$$
20.12.2006 21:45 373 boot.ini
16.12.2006 13:36 1'176 INSTALL.LOG
30.11.2006 19:51 4'253 VundoFix.txt
30.11.2006 19:20 10'195 vm404.log

nochdigger 27.12.2006 18:16
Hallo

diese Datein unter ...\System32\
eInstall.dat
ikhcore.log
nscompat.tlb
amcompat.tlb
sollten gelöscht werden.

lasse die folgenden Dateien aus dem C:\WINDOWS :
WMSysPr9.prx
QTFont.qfn
hier
Virustotal
oder hier
Jotti
überprüfen (kann bisschen dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
auch wenn nichts gefunden wurde.

Also von den typischen Dateien der Smitfraudinfektion ist nix zu sehen:balla: , hast du zwischenzeitlich Smitfraudfix doch zum laufen bekommen?

MFG

blackbird 27.12.2006 23:39
also eInstall.dat sind zwei dateien, weiss ned, welche löschen, die eine ist eine Anwendung, die andere ein Video CD Movie. Ich nehme an, ich muss die Anwendung löschen. Auch amcompat.tlb konnte ich nicht löschen, weil diese im Ordner system32 gar nicht vorhanden war.

Dann zu den zwei Dateien, die überprüft wurden:
WMSysPr9.prx Grösse, 309KB
Wenn mit dem Scan (in Jotti) die obere Statistik gemeint ist, hat er nirgends Viren gefunden und Status lautet OK

QTFont.qfn Grösse 52.8KB
Auch hier keine Viren, Status OK

Smitfraudfix habsch nicht mehr probiert....

nochdigger 28.12.2006 06:10
Hallo nochmal

Zitat:
also eInstall.dat sind zwei dateien, weiss ned, welche löschen, die eine ist eine Anwendung, die andere ein Video CD Movie
Ja die Anwendung

Mache alle Ordner und Dateien sichtbar :
Start --> Einstellungen --> Systemsteuerung --> Ordneroptionen --> Ansicht -->
häkchen raus bei - Geschützte Systemdateien ausblenden -
häkchen raus bei - Erweiterungen bei bekannten Dateitypen ausblenden -
anhaken - Inhalte von Systemordnern anzeigen -
bei Versteckte Dateien und Ordner - alle Dateien und Ordner anzeigen lassen -
--> Übernehmen
schau jetzt nochmal nach den Dateien die du nicht finden konntest.
Wenn sich Dateien nicht löschen lassen benutze die Killbox.

Auch möchte ich, dass du Smidfraudfix noch einmal probierst.
(Links überprüft)

MFG

blackbird 29.12.2006 02:34
Konnte noch amcompat.tlb löschen. ikhcore.log hab ich doch ned gefunden, und auch eInstall.dat nicht (hat diese Datei etwas mit eScan zu tun? Hab den nämlich gestern gelöscht, dachte, ich brauch ihn nicht mehr, der hat voll genervt wegen aktivieren usw...).

Smitfraudfix habsch geloadet. Gebe dann noch Bescheid.

blackbird 02.01.2007 22:29
Irgendwie komisch. Hab jetzt n Ordner von Smitfraudfix. Lauter icons und ich weiss nicht, was ich damit anfangen soll...Kann mir jemand helfen? Nochdigger?

nochdigger 03.01.2007 06:27
mOIn

Auswertung :
Doppelklick auf SmitfraudFix.exe --> die 1 auf der Tatatur drücken --> drücke auf Enter --> den Bericht findest auf der Festplatte normalerweise als C:\rapport.txt --> benenne den rapport.txt um in rapport1.txt

Bereinigung :
Starte deinen Rechner in den abgesichten Modus (beim Start F8 drücken) --> die 2 auf der Tatatur drücken --> drücke auf Enter --> Du wirst dann gefragt: Do you want to clean the registry ? antworte mit Y (ja) und drücke auf Enter --> Evtl. wirst du dies gefragt : Replace infected file ? antworte Y (ja) und drücke auf Enter --> Starte deinen Rechner neu in den normalen Modus --> den Bericht findest auf der Festplatte normalerweise als C:\rapport.txt

Poste bitte die Logs und erstelle auch ein neues HijackThis log.
Ach ja und ein frohes Neues noch

MFG

blackbird 03.01.2007 21:04
Hab gar keine Zeit zum die 1 drücken, das Fenster schliesst sich gleich wieder...Hab auch kein Bericht unter C: gefunden. Aber auf dem Desktop ist ein eine neue TXT-Datei namens Activescan.txt. Ist dies die gesuchte Rapport-Datei?

Edit: Auch ein gutes neues Jahr wünsche ich...

nochdigger 04.01.2007 04:46
mOIn

Zitat:
Hab gar keine Zeit zum die 1 drücken, das Fenster schliesst sich gleich wieder...
dann versuche gleich mit der Bereinigung weiterzumachen.

Zitat:
Aber auf dem Desktop ist ein eine neue TXT-Datei namens Activescan.txt. Ist dies die gesuchte Rapport-Datei?
Nein das dürfte das Scanergebnis von Panda sein, das kannst auch ruhig posten wenn Funde (keine Cockies) beschrieben sind.

MFG

blackbird 08.01.2007 21:32
Bin ja jetzt bei der "Bereinigung". Also ich kann sehr wohl in den abgesicherten Modus starten, aber irgendwie weiss ich nicht so genau, zu welchem Zeitpunkt ich die Taste 2 drücken soll. Nachdem ich nämlich im Menu neben vielen anderen Bootmöglichkeiten den simplen Abgesicherten Modus gewählt habe, und anschliessend noch mein OS, Windows XP Home, startet der einfach ganz normal und ich hab keinen blassen mehr wo die 2 drücken.

Naja, hier noch was konstruktives:

Virus:Trj/Dropper.RB Nicht desinfiziert C:\Dokumente und Einstellungen\ICH\Eigene Dateien\WinRARs\CDRWIN.v6.1.1.0.Incl.Keygen-Virility.rar[cdrwin6.exe]
Virus:Trj/Dropper.RB Desinfiziert C:\Programme\CDRWIN 6\cdrwin6.exe
Adware:Adware/SaveNow Nicht desinfiziert C:\Programme\MyEmoticons\My.Emo
Adware:Adware/SaveNow Nicht desinfiziert C:\Programme\MyEmoticons\uninstall.exe
Potenziell unerwünschtes Tool:Application/WinFixer2006 Nicht desinfiziert C:\VundoFix Backups\ahwakuds.dll.bad.mwt
Adware:Adware/SystemDoctor Nicht desinfiziert C:\VundoFix Backups\anblcire.exe.bad
Spyware:Spyware/Virtumonde Nicht desinfiziert C:\VundoFix Backups\ljjifef.dll.bad
Potenziell unerwünschtes Tool:Application/WinFixer2006 Nicht desinfiziert C:\VundoFix Backups\mdpjqrto.dll.bad.mwt
Spyware:Spyware/Virtumonde Nicht desinfiziert C:\VundoFix Backups\mljjiff.dll.bad
Spyware:Spyware/Virtumonde Nicht desinfiziert C:\VundoFix Backups\nnnnoli.dll.bad
Adware:Adware/AdwareShooter Nicht desinfiziert C:\VundoFix Backups\odsda.dll.bad
Potenziell unerwünschtes Tool:Application/WinFixer2006 Nicht desinfiziert C:\VundoFix Backups\oprmyohx.dll.bad.mwt
Potenziell unerwünschtes Tool:Application/VSToolbar Nicht desinfiziert C:\VundoFix Backups\ypapwtuc.exe.bad
Potenziell unerwünschtes Tool:Application/Winantivirus2006 Nicht desinfiziert C:\WINDOWS\Downloaded Program Files\CONFLICT.1\UERSU_0001_N91M2407NetInstaller.exe
Potenziell unerwünschtes Tool:Application/Winantivirus2006 Nicht desinfiziert C:\WINDOWS\Downloaded Program Files\CONFLICT.1\UERSU_9999_N91S2009NetInstaller.exe
Potenziell unerwünschtes Tool:Application/Winantivirus2006 Nicht desinfiziert C:\WINDOWS\Downloaded Program Files\CONFLICT.1\UWA6PU_0001_N91M2107NetInstaller.exe
Potenziell unerwünschtes Tool:Application/Winantivirus2006 Nicht desinfiziert C:\WINDOWS\Downloaded Program Files\CONFLICT.10\UWA6PU_0001_N91M2107NetInstaller.exe
Potenziell unerwünschtes Tool:Application/Winantivirus2006 Nicht desinfiziert C:\WINDOWS\Downloaded Program Files\CONFLICT.11\UWA6PU_0001_N91M2107NetInstaller.exe
Potenziell unerwünschtes Tool:Application/Winantivirus2006 Nicht desinfiziert C:\WINDOWS\Downloaded Program Files\CONFLICT.12\UWA6PU_0001_N91M2107NetInstaller.exe
Potenziell unerwünschtes Tool:Application/Winantivirus2006 Nicht desinfiziert C:\WINDOWS\Downloaded Program Files\CONFLICT.13\UWA6PU_0001_N91M2107NetInstaller.exe
Potenziell unerwünschtes Tool:Application/Winantivirus2006 Nicht desinfiziert C:\WINDOWS\Downloaded Program Files\CONFLICT.14\UWA6PU_0001_N91M2107NetInstaller.exe
Potenziell unerwünschtes Tool:Application/Winantivirus2006 Nicht desinfiziert C:\WINDOWS\Downloaded Program Files\CONFLICT.15\UWA6PU_0001_N91M2107NetInstaller.exe
Potenziell unerwünschtes Tool:Application/Winantivirus2006 Nicht desinfiziert C:\WINDOWS\Downloaded Program Files\CONFLICT.16\UWA6PU_0001_N91M2107NetInstaller.exe
Potenziell unerwünschtes Tool:Application/Winantivirus2006 Nicht desinfiziert C:\WINDOWS\Downloaded Program Files\CONFLICT.17\UWA6PU_0001_N91M2107NetInstaller.exe
Potenziell unerwünschtes Tool:Application/Winantivirus2006 Nicht desinfiziert C:\WINDOWS\Downloaded Program Files\CONFLICT.18\UWA6PU_0001_N91M2107NetInstaller.exe
Potenziell unerwünschtes Tool:Application/Winantivirus2006 Nicht desinfiziert C:\WINDOWS\Downloaded Program Files\CONFLICT.19\UWA6PU_0001_N91M2107NetInstaller.exe
Potenziell unerwünschtes Tool:Application/Winantivirus2006 Nicht desinfiziert C:\WINDOWS\Downloaded Program Files\CONFLICT.2\UERSU_0001_N91M2407NetInstaller.exe
Potenziell unerwünschtes Tool:Application/Winantivirus2006 Nicht desinfiziert C:\WINDOWS\Downloaded Program Files\CONFLICT.2\UWA6PU_0001_N91M2107NetInstaller.exe
Potenziell unerwünschtes Tool:Application/Winantivirus2006 Nicht desinfiziert C:\WINDOWS\Downloaded Program Files\CONFLICT.20\UWA6PU_0001_N91M2107NetInstaller.exe
Potenziell unerwünschtes Tool:Application/Winantivirus2006 Nicht desinfiziert C:\WINDOWS\Downloaded Program Files\CONFLICT.21\UWA6PU_0001_N91M2107NetInstaller.exe
Potenziell unerwünschtes Tool:Application/Winantivirus2006 Nicht desinfiziert C:\WINDOWS\Downloaded Program Files\CONFLICT.22\UWA6PU_0001_N91M2107NetInstaller.exe
Potenziell unerwünschtes Tool:Application/Winantivirus2006 Nicht desinfiziert C:\WINDOWS\Downloaded Program Files\CONFLICT.23\UWA6PU_0001_N91M2107NetInstaller.exe
Potenziell unerwünschtes Tool:Application/Winantivirus2006 Nicht desinfiziert C:\WINDOWS\Downloaded Program Files\CONFLICT.24\UWA6PU_0001_N91M2107NetInstaller.exe
Potenziell unerwünschtes Tool:Application/Winantivirus2006 Nicht desinfiziert C:\WINDOWS\Downloaded Program Files\CONFLICT.25\UWA6PU_0001_N91M2107NetInstaller.exe
Potenziell unerwünschtes Tool:Application/Winantivirus2006 Nicht desinfiziert C:\WINDOWS\Downloaded Program Files\CONFLICT.26\UWA6PU_0001_N91M2107NetInstaller.exe
Potenziell unerwünschtes Tool:Application/Winantivirus2006 Nicht desinfiziert C:\WINDOWS\Downloaded Program Files\CONFLICT.27\UWA6PU_0001_N91M2107NetInstaller.exe
Potenziell unerwünschtes Tool:Application/Winantivirus2006 Nicht desinfiziert C:\WINDOWS\Downloaded Program Files\CONFLICT.28\UWA6PU_0001_N91M2107NetInstaller.exe
Potenziell unerwünschtes Tool:Application/Winantivirus2006 Nicht desinfiziert C:\WINDOWS\Downloaded Program Files\CONFLICT.29\UWA6PU_0001_N91M2107NetInstaller.exe
Potenziell unerwünschtes Tool:Application/Winantivirus2006 Nicht desinfiziert C:\WINDOWS\Downloaded Program Files\CONFLICT.3\UWA6PU_0001_N91M2107NetInstaller.exe
Potenziell unerwünschtes Tool:Application/Winantivirus2006 Nicht desinfiziert C:\WINDOWS\Downloaded Program Files\CONFLICT.30\UWA6PU_0001_N91M2107NetInstaller.exe
Potenziell unerwünschtes Tool:Application/Winantivirus2006 Nicht desinfiziert C:\WINDOWS\Downloaded Program Files\CONFLICT.31\UWA6PU_0001_N91M2107NetInstaller.exe
Potenziell unerwünschtes Tool:Application/Winantivirus2006 Nicht desinfiziert C:\WINDOWS\Downloaded Program Files\CONFLICT.32\UWA6PU_0001_N91M2107NetInstaller.exe
Potenziell unerwünschtes Tool:Application/Winantivirus2006 Nicht desinfiziert C:\WINDOWS\Downloaded Program Files\CONFLICT.33\UWA6PU_0001_N91M2107NetInstaller.exe
Potenziell unerwünschtes Tool:Application/Winantivirus2006 Nicht desinfiziert C:\WINDOWS\Downloaded Program Files\CONFLICT.34\UWA6PU_0001_N91M2107NetInstaller.exe
Potenziell unerwünschtes Tool:Application/Winantivirus2006 Nicht desinfiziert C:\WINDOWS\Downloaded Program Files\CONFLICT.35\UWA6PU_0001_N91M2107NetInstaller.exe
Potenziell unerwünschtes Tool:Application/Winantivirus2006 Nicht desinfiziert C:\WINDOWS\Downloaded Program Files\CONFLICT.36\UWA6PU_0001_N91M2107NetInstaller.exe
Potenziell unerwünschtes Tool:Application/Winantivirus2006 Nicht desinfiziert C:\WINDOWS\Downloaded Program Files\CONFLICT.37\UWA6PU_0001_N91M2107NetInstaller.exe
Potenziell unerwünschtes Tool:Application/Winantivirus2006 Nicht desinfiziert C:\WINDOWS\Downloaded Program Files\CONFLICT.4\UWA6PU_0001_N91M2107NetInstaller.exe
Potenziell unerwünschtes Tool:Application/Winantivirus2006 Nicht desinfiziert C:\WINDOWS\Downloaded Program Files\CONFLICT.5\UWA6PU_0001_N91M2107NetInstaller.exe
Potenziell unerwünschtes Tool:Application/Winantivirus2006 Nicht desinfiziert C:\WINDOWS\Downloaded Program Files\CONFLICT.6\UWA6PU_0001_N91M2107NetInstaller.exe
Potenziell unerwünschtes Tool:Application/Winantivirus2006 Nicht desinfiziert C:\WINDOWS\Downloaded Program Files\CONFLICT.7\UWA6PU_0001_N91M2107NetInstaller.exe
Potenziell unerwünschtes Tool:Application/Winantivirus2006 Nicht desinfiziert C:\WINDOWS\Downloaded Program Files\CONFLICT.8\UWA6PU_0001_N91M2107NetInstaller.exe
Potenziell unerwünschtes Tool:Application/Winantivirus2006 Nicht desinfiziert C:\WINDOWS\Downloaded Program Files\CONFLICT.9\UWA6PU_0001_N91M2107NetInstaller.exe
Potenziell unerwünschtes Tool:application/winfixer2005 Nicht desinfiziert C:\WINDOWS\Downloaded Program Files\UDC6U_0001_D19M0709NetInstaller.exe
Potenziell unerwünschtes Tool:Application/ErrorSafe Nicht desinfiziert C:\WINDOWS\Downloaded Program Files\UERSU_0001_N68M1402NetInstaller.exe
Potenziell unerwünschtes Tool:Application/Winantivirus2006 Nicht desinfiziert C:\WINDOWS\Downloaded Program Files\UERSU_0001_N91M2407NetInstaller.exe
Potenziell unerwünschtes Tool:Application/Winantivirus2006 Nicht desinfiziert C:\WINDOWS\Downloaded Program Files\UERSU_9999_N91S2009NetInstaller.exe
Potenziell unerwünschtes Tool:Application/Winantivirus2006 Nicht desinfiziert C:\WINDOWS\Downloaded Program Files\UWA6PU_0001_N91M2107NetInstaller.exe
Potenziell unerwünschtes Tool:Application/Winantivirus2006 Nicht desinfiziert C:\WINDOWS\Downloaded Program Files\UWAS6_0001_N91M1508NetInstaller.exe
Adware:Adware/SecurityError Nicht desinfiziert C:\WINDOWS\system32\ufykelnf.exe
Adware:Adware/SpywareQuake Nicht desinfiziert C:\WINDOWS\system32\yvvdj.dll.mwt

nochdigger 09.01.2007 05:52
mOIn

Lösche bitte in dem Ordner C:\WINDOWS\Downloaded Program Files\CONFLICT....
alles mit \UERSU.........NetInstaller.exe siehst du ja auch in dem Bericht von dir und leere den C:\VundoFix Backups\ Ordner auch mit.

Zitat:
Bin ja jetzt bei der "Bereinigung". Also ich kann sehr wohl in den abgesicherten Modus starten, aber irgendwie weiss ich nicht so genau, zu welchem Zeitpunkt ich die Taste 2 drücken soll. Nachdem ich nämlich im Menu neben vielen anderen Bootmöglichkeiten den simplen Abgesicherten Modus gewählt habe, und anschliessend noch mein OS, Windows XP Home, startet der einfach ganz normal und ich hab keinen blassen mehr wo die 2 drücken.
Tschuldige ich hab mich nicht klar ausgedrückt.
Starte deinen Rechner im abgesicherten Modus, dann starte Smitfraudfix und geb die 2 ein anschließend drücke Enter dann siehe auch (Kurzbeschreibung)
Bereinigung die zweite :
Starte deinen Rechner in den abgesichten Modus (beim Start F8 drücken) --> Doppelklick auf SmitfraudFix.exe --> die 2 auf der Tatatur drücken --> drücke auf Enter --> Du wirst dann gefragt: Do you want to clean the registry ? antworte mit Y (ja) und drücke auf Enter --> Evtl. wirst du dies gefragt : Replace infected file ? antworte Y (ja) und drücke auf Enter --> Starte deinen Rechner neu in den normalen Modus --> den Bericht findest auf der Festplatte normalerweise als C:\rapport.txt


MFG

blackbird 09.01.2007 09:01
Werd ich machen daheim. Nur noch ne Frage. Also mir ist klar, das was ich löschen muss, sind die unerwünschten Tools. Diese Installer und auch VundoFix. Was ist jedoch gleich auf der ersten Zeile, dort steht ja "Virus"???

Übrigens: Auf VundoFix bin ich gestossen während der Suche nach einer Löschmethode für Critical System Error...Offenbar nicht das Richtige^^

nochdigger 09.01.2007 17:38
mOIn

bitte den Backupordner von Vundofix leeren, diese Dateien sind beim Bereinigen dorthin vorschoben worden,
Zitat:
Übrigens: Auf VundoFix bin ich gestossen während der Suche nach einer Löschmethode für Critical System Error...Offenbar nicht das Richtige^^
du lagst also mit Vundofix nich so verkehrt.
Sonst wie geschrieben vorgehen.

MFG

blackbird 09.01.2007 17:46
Also in den Downloaded Program Files in C:WINDOWS konnte ich nichts löschen, dort werden irgendwie nur 4 Dateien angezeigt, die nicht deinem Beschrieb entsprechen. VundoFix Ordner hab ich den ganzen Inhalt gelöscht. Die Smit-Geschichte läuft nicht. Im abgesicherten Modus passiert beim gewollten Start von Smitfraudfix.exe genau das Gleiche: Das Fenster öffnet sich kurz, und ich habe keine Zeit, um die 2 irgendwie zu drücken...

Edit: hab deinen Post erst nachher gesehen. VundoFix ist jetzt leer.

nochdigger 10.01.2007 05:59
mOIn auch

aufgrund des sehr eigenartigen verhaltens deines Rechners bin ich drauf und dran aufzugeben:( .

Ich möchte aber noch einen letzten Versuch starten, lade dir Silentrunners (das zip File)
deaktiviere deinen Guard des Antivirenprogramms, entpacke Silentrunners.zip und starte Silentrunners.vbs, lasse es dein System scannen dauert etwa 2 min, anschließend poste das Log.

MFG

blackbird 10.01.2007 08:33
Werd ich machen. Ja ich bin auch nahe dran^^ Denn das Logo rechts unten ist ja schon lange weg und stellt kein Problem mehr dar. Müsste denn Smitfraudfix.exe im abgesicherten Modus offen bleiben und ich könnte die 2 drücken? - bei einem "normalen" Rechner natürlich :-)
Vielleicht werd ich auch einfach nochmals n neues HJT Log machen und zusätzlich posten.
Könnt auch sein, dass ich doch irgendwie etwas falsches von Smitfraudfix geladen habe, kann es mir zwar nicht vorstellen, aber kann sein...

nochdigger 10.01.2007 16:05
Hallo

Zitat:
Vielleicht werd ich auch einfach nochmals n neues HJT Log machen und zusätzlich posten.
ja mach das mal so.

MFG

blackbird 13.01.2007 10:24
Silentrunners: "Der Zugriff auf Windows Script Host wurde für diesen Computer deaktiviert. Wenden Sie sich an Ihren Administrator, um weitere Details in Erfahrung zu bringen."

HJT Log:

Logfile of HijackThis v1.99.1
Scan saved at 10:23:09, on 13.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Dantz\Retrospect\retrorun.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
C:\WINDOWS\MXOALDR.EXE
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Dokumente und Einstellungen\ICH\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {30EEF660-B842-41AC-99F1-CA65C68CF018} - (no file)
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: (no name) - {74a49269-9779-48b4-a0e6-3a5af2a3ade6} - (no file)
O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [MXO Auto Loader] C:\WINDOWS\MXOALDR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2D2BEE6E-3C9A-4D58-B9EC-458EDB28D0F6} - http://cdn.drivecleaner.com/installdrivecleanerstart_de.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Retrospect Launcher (RetroLauncher) - Dantz Development Corporation - C:\Programme\Dantz\Retrospect\retrorun.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

blackbird 15.01.2007 08:58
PUSH. Nochdigger?

nochdigger 15.01.2007 10:35
Hallo

ich kann in deinem Log nichts mehr an Schadsoftware erkennen (was aber nichts bedeutet), es macht mich stutzig, dass einige Programme nicht laufen warum auch immer:confused: ob durch Anwenderfehler (glaub eigentlich nicht) oder durch Schädlinge.

Gibt es denn noch Probleme mit dem System?

- wenn nein, würde ich das System einige Zeit beobachten, aber beim geringsten Verdacht auf einen Schädling, wurde ich den Rechner Neuinstallieren.

- wenn ja, würde ich den Rechner an dieser Stelle Neuaufsetzen.

MFG

blackbird 15.01.2007 19:22
Hö, gerade so? Ne hab eigentlich keine Probleme mehr atm. Naja, woran sieht man denn, dass einige Programme nicht einwandfrei laufen? Ich hab nix gemerkt bis jetzt...


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:10 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131