|
Kann ja vielleicht nochmal mein hijackthis log nach dem löschen posten: Logfile of HijackThis v1.99.1 Scan saved at 18:53:51, on 25.02.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\brsvc01a.exe C:\WINDOWS\System32\brss01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Brother\Brmfcmon\brmfcwnd.exe C:\DOKUME~1\Kilian\LOKALE~1\Temp\Rar$EX00.782\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1154771646031 O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktopManager.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe mfg Kilian |
Hi Backdoor.Agent.ahj? :aplaus: Das hört sich gut an! ffudf.exe wurde als Backdoor.Agent.ahj erkannt. Erstelle nochmal ein neues HijackThis Logfile und überprüfe ob es noch eine ffudf.exe gibt. MfG EDIT: Oh... Da haste eins gepostet als ich geschrieben hab. Gucke nochmal ob es die Datei noch gibt. |
Hallo, also die Datei wurde gelöscht. ich starte vielleicht mal neu, weil sie nach dem neustart schon mal wiederkam. Aber erstmal danke für dein hilfe kilian |
Hi Also wenn du nach dem neustarten keine ffudf.exe mehr findest würde ich sagen du bist jetzt virenfrei ;). MfG |
hallo, also leider is das eingetreten was ich befürchtete. nach dem neustart is die datei wieder da. mfg Kilian |
Hi Hmmm... Es scheint wohl noch eine oder mehrere Dateien zu geben die wir nicht entdeckt haben welche ffudf.exe immer wieder neu erstellen. Downloade mal Blacklight. Nehme "Blacklight Beta graphical user interface version". Poste bitte wieder das Logfile. Es erstellt sich in dem gleichen Ordner in dem Blacklight läuft. Benenne danach HijackThis.exe mal in HJT1991.exe um und poste ein neues Logfile. MfG |
Hallo, hier mein log von blacklight(wenns denn der richtige is) 02/25/07 19:26:14 [Info]: BlackLight Engine 1.0.55 initialized 02/25/07 19:26:14 [Info]: OS: 5.1 build 2600 (Service Pack 2) 02/25/07 19:26:14 [Note]: 7019 4 02/25/07 19:26:14 [Note]: 7005 0 02/25/07 19:26:16 [Note]: 7006 0 02/25/07 19:26:16 [Note]: 7011 3600 02/25/07 19:26:16 [Note]: 7026 0 02/25/07 19:26:16 [Note]: 7026 0 02/25/07 19:26:23 [Note]: FSRAW library version 1.7.1021 02/25/07 19:29:38 [Note]: 7007 0 und hier mein hijackthis log Logfile of HijackThis v1.99.1 Scan saved at 19:31:45, on 25.02.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\brsvc01a.exe C:\WINDOWS\System32\brss01a.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\system32\ffudf.exe C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Kilian\Desktop\HJT1991.exe.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kuaiso.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://hao123.union123.com/index.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - URLSearchHook: ToolbarURLSearchHook Class - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - C:\PROGRA~1\7A99~1\tbhelper.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: TBSB03263 - {EEC7E620-B32A-4E3B-B200-291660803474} - C:\PROGRA~1\7A99~1\eqiso.dll O3 - Toolbar: ??? - {33E640D8-EB95-4B22-B475-1852B7D35993} - C:\Programme\ËÑË÷À¸\eqiso.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1154771646031 O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktopManager.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe mfg Kilian |
Hi In dem Logfile sind neue böse Dateien aufgetaucht... Kann damit zusammenhängen das du HijackTHis umbenannt hast. Lasse diese Dateien bitte nochmal bei Virustotal scannen: Code: C:\PROGRA~1\7A99~1\tbhelper.dll |
Hallo, hier das Ergenbnis: Complete scanning result of "tbhelper.dll", received in VirusTotal at 02.25.2007, 19:41:01 (CET). Antivirus Version Update Result AntiVir 7.3.1.38 02.25.2007 no virus found Authentium 4.93.8 02.25.2007 no virus found Avast 4.7.936.0 02.23.2007 no virus found AVG 386 02.25.2007 no virus found BitDefender 7.2 02.25.2007 no virus found CAT-QuickHeal 9.00 02.24.2007 no virus found ClamAV devel-20060426 02.25.2007 no virus found DrWeb 4.33 02.25.2007 no virus found eSafe 7.0.14.0 02.25.2007 no virus found eTrust-Vet 30.4.3424 02.23.2007 no virus found Ewido 4.0 02.25.2007 Adware.Softomate FileAdvisor 1 02.25.2007 no virus found Fortinet 2.85.0.0 02.25.2007 no virus found F-Prot 4.3.1.45 02.25.2007 no virus found F-Secure 6.70.13030.0 02.25.2007 no virus found Ikarus T3.1.0.31 02.25.2007 no virus found Kaspersky 4.0.2.24 02.25.2007 not-a-virus:AdWare.Win32.Softomate.ah McAfee 4970 02.23.2007 no virus found Microsoft 1.2204 02.25.2007 no virus found NOD32v2 2080 02.25.2007 no virus found Norman 5.80.02 02.23.2007 no virus found Panda 9.0.0.4 02.25.2007 Suspicious file Prevx1 V2 02.25.2007 no virus found Sophos 4.14.0 02.24.2007 no virus found Sunbelt 2.2.907.0 02.24.2007 no virus found Symantec 10 02.25.2007 no virus found TheHacker 6.1.6.064 02.25.2007 no virus found UNA 1.83 02.23.2007 no virus found VBA32 3.11.2 02.25.2007 no virus found VirusBuster 4.3.19:9 02.25.2007 no virus found Aditional Information File size: 180297 bytes MD5: c59c21a13608fa3edca21e4f8bc4d0f9 SHA1: 971829c950804db5470842cd79e0680b03858a81 |
Complete scanning result of "eqiso.dll", received in VirusTotal at 02.25.2007, 19:42:25 (CET). Antivirus Version Update Result AntiVir 7.3.1.38 02.25.2007 no virus found Authentium 4.93.8 02.25.2007 no virus found Avast 4.7.936.0 02.23.2007 no virus found AVG 386 02.25.2007 no virus found BitDefender 7.2 02.25.2007 no virus found CAT-QuickHeal 9.00 02.24.2007 no virus found ClamAV devel-20060426 02.25.2007 no virus found DrWeb 4.33 02.25.2007 no virus found eSafe 7.0.14.0 02.25.2007 no virus found eTrust-Vet 30.4.3424 02.23.2007 no virus found Ewido 4.0 02.25.2007 no virus found FileAdvisor 1 02.25.2007 no virus found Fortinet 2.85.0.0 02.25.2007 no virus found F-Prot 4.3.1.45 02.25.2007 no virus found F-Secure 6.70.13030.0 02.25.2007 no virus found Ikarus T3.1.0.31 02.25.2007 no virus found Kaspersky 4.0.2.24 02.25.2007 no virus found McAfee 4970 02.23.2007 no virus found Microsoft 1.2204 02.25.2007 no virus found NOD32v2 2080 02.25.2007 no virus found Norman 5.80.02 02.23.2007 no virus found Panda 9.0.0.4 02.25.2007 no virus found Prevx1 V2 02.25.2007 no virus found Sophos 4.14.0 02.24.2007 no virus found Sunbelt 2.2.907.0 02.24.2007 no virus found Symantec 10 02.25.2007 no virus found TheHacker 6.1.6.064 02.25.2007 no virus found UNA 1.83 02.23.2007 no virus found VBA32 3.11.2 02.25.2007 no virus found VirusBuster 4.3.19:9 02.25.2007 no virus found Aditional Information File size: 868424 bytes MD5: 2d9b93fa1bb6e00c140fd21a4145e2b4 SHA1: 5e24dda44be5df4d18c552dca5e7b0a0c63fcd27 |
Complete scanning result of "eqiso.dll", received in VirusTotal at 02.25.2007, 19:42:58 (CET). Antivirus Version Update Result AntiVir 7.3.1.38 02.25.2007 no virus found Authentium 4.93.8 02.25.2007 no virus found Avast 4.7.936.0 02.23.2007 no virus found AVG 386 02.25.2007 no virus found BitDefender 7.2 02.25.2007 no virus found CAT-QuickHeal 9.00 02.24.2007 no virus found ClamAV devel-20060426 02.25.2007 no virus found DrWeb 4.33 02.25.2007 no virus found eSafe 7.0.14.0 02.25.2007 no virus found eTrust-Vet 30.4.3424 02.23.2007 no virus found Ewido 4.0 02.25.2007 no virus found FileAdvisor 1 02.25.2007 no virus found Fortinet 2.85.0.0 02.25.2007 no virus found F-Prot 4.3.1.45 02.25.2007 no virus found F-Secure 6.70.13030.0 02.25.2007 no virus found Ikarus T3.1.0.31 02.25.2007 no virus found Kaspersky 4.0.2.24 02.25.2007 no virus found McAfee 4970 02.23.2007 no virus found Microsoft 1.2204 02.25.2007 no virus found NOD32v2 2080 02.25.2007 no virus found Norman 5.80.02 02.23.2007 no virus found Panda 9.0.0.4 02.25.2007 no virus found Prevx1 V2 02.25.2007 no virus found Sophos 4.14.0 02.24.2007 no virus found Sunbelt 2.2.907.0 02.24.2007 no virus found Symantec 10 02.25.2007 no virus found TheHacker 6.1.6.064 02.25.2007 no virus found UNA 1.83 02.23.2007 no virus found VBA32 3.11.2 02.25.2007 no virus found VirusBuster 4.3.19:9 02.25.2007 no virus found Aditional Information File size: 868424 bytes MD5: 2d9b93fa1bb6e00c140fd21a4145e2b4 SHA1: 5e24dda44be5df4d18c552dca5e7b0a0c63fcd27 |
Hi Die Dateien sind wohl nicht wirklich gefährlich... Nur Adware... Aber ich habe keine Ideen wie man ffudf.exe löschen könnte ohne das sie wiederkommt. Und da es ja eh ein Backdoortrojaner ist wo man sich nie sicher sein kann das alles entfernt ist würde ich jetzt neu aufsetzen sagen. Es können sich ja nochmal andere im Forum die ffudf.exe angucken aber ich denke es hilft nur noch neu aufsetzten. MfG |
ok trotzdem danke für deine hilfe ich werd dann wohl mal neu aufsetzen danke nochmal mfg kilian |
Hallo, wollte nur sagen dass ich neu aufgesetzt hab, nich dass sich noch einer die mühe macht ne lösung zu finden. trotzdem vielen vielen dank an Rene-gade und Chuck0r mfg Kilian |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:50 Uhr. |
Copyright ©2000-2025, Trojaner-Board