|
HJT Log-Files: Problem: h*tp://securityiepage.com/" Hallo liebe Leute! Hab grad irgendeinen Virus ausgefasst, daher im Anschluß meine HJT Log-Files. Bin nicht gerade computerbewandert und hoffe jemand kann mir sagen, was ich löschen darf/soll. Symptome: Meine voreingestellte Internetstartseite wird automatisch durch die Seite "h*tp://securityiepage.com/" ersetzt Es erscheinen permanent popups wie "System performance monitor:Warning", "System alert" usw. Vielen Dank! Logfile of HijackThis v1.99.1 Scan saved at 18:18:52, on 24.5.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\alg.exe C:\Programme\Video ActiveX Access\iesmn.exe C:\Programme\Video ActiveX Access\imsmain.exe C:\Programme\Video ActiveX Access\iesmin.exe C:\Programme\Video ActiveX Access\imsmn.exe C:\WINDOWS\system32\atiptaxx.exe C:\Programme\mobile PhoneTools\CapFax.EXE C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Spyware Doctor\swdoctor.exe C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\EzSystem\EZButton.exe C:\Programme\Ez Mail V1.03\EzMail.exe C:\Programme\Video ActiveX Access\iesmin.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Video ActiveX Access\iesmin.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\unzipped\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/ O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: (no name) - {740FB5D9-1B51-4133-9478-1192F28AEFA3} - C:\WINDOWS\system32\poxrprof.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O2 - BHO: (no name) - {B8C5186E-EC37-4889-9C2E-F73649FFB7BB} - C:\Programme\Video ActiveX Access\iesplg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll O3 - Toolbar: Protection Bar - {31615D5C-5126-448A-818A-A7CDFEE85A9B} - C:\Programme\Video ActiveX Access\iesbpl.dll O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [CapFax] C:\Programme\mobile PhoneTools\CapFax.EXE O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [Fast Home] C:\WINDOWS\system32\svcnvt.exe home O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdS0_0_0 O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe O4 - Startup: Ez Button.lnk = C:\Programme\EzSystem\EZButton.exe O4 - Startup: Ez Mail.lnk = C:\Programme\Ez Mail V1.03\EzMail.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h#tp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1136548014560 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe |
Hallo, eigentlich ist klar was passiert ist...:heulen: Aber wir gehen auf Nummer sicher... Hier : Online Malware scan lädst du nacheinander folgende Dateien hoch und postest das komplette Ergebniss. Zitat:
Zitat:
|
Es reicht übrigens, wenn du die : Zitat:
Irrlicht ist grad etwas übereifrig. ;) |
Danke Irrlicht für die rasche Antwort. Ich glaub ich hab das richtig gemacht, aber warum muss man die gleiche Datei öfters überprüfen? Und was ist deiner Meinung nach passiert? Datei: iesmn.exe Auslastung: 0% 100% Status: INFIZIERT/MALWARE Entdeckte Packprogramme: - A-Squared Keine Viren gefunden AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web STPAGE.Trojan gefunden (mögliche Variante) F-Prot Antivirus Keine Viren gefunden F-Secure Anti-Virus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Trojan-Downloader.Win32.Zlob.btq gefunden NOD32 Win32/TrojanDownloader.Zlob.AWS gefunden Norman Virus Control Keine Viren gefunden Panda Antivirus Keine Viren gefunden Rising Antivirus Keine Viren gefunden VirusBuster Keine Viren gefunden VBA32 Keine Viren gefunden Datei: imsmain.exe Auslastung: 0% 100% Status: INFIZIERT/MALWARE Entdeckte Packprogramme: - A-Squared Keine Viren gefunden AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Win32:Zlob-UR gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden F-Secure Anti-Virus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Trojan-Downloader.Win32.Zlob.btq gefunden NOD32 Win32/TrojanDownloader.Zlob.AWS gefunden Norman Virus Control Keine Viren gefunden Panda Antivirus Keine Viren gefunden Rising Antivirus Keine Viren gefunden VirusBuster Keine Viren gefunden VBA32 Keine Viren gefunden Datei: iesmin.exe Auslastung: 0% 100% Status: INFIZIERT/MALWARE Entdeckte Packprogramme: PE_PATCH.UPX, UPX A-Squared Keine Viren gefunden AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Win32:Zlob-WL gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden F-Secure Anti-Virus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Trojan-Downloader.Win32.Zlob.btq gefunden NOD32 Win32/TrojanDownloader.Zlob.AWS gefunden Norman Virus Control Keine Viren gefunden Panda Antivirus Keine Viren gefunden Rising Antivirus Keine Viren gefunden VirusBuster Keine Viren gefunden VBA32 Keine Viren gefunden Datei: imsmn.exe Auslastung: 0% 100% Status: INFIZIERT/MALWARE Entdeckte Packprogramme: Bitte warten... A-Squared Keine Viren gefunden AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden F-Secure Anti-Virus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Trojan-Downloader.Win32.Zlob.btq gefunden NOD32 Win32/TrojanDownloader.Zlob.AWS gefunden Norman Virus Control Keine Viren gefunden Panda Antivirus Keine Viren gefunden Rising Antivirus Keine Viren gefunden VirusBuster Keine Viren gefunden VBA32 Keine Viren gefunden Datei: iesmin.exe Auslastung: 0% 100% Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) Entdeckte Packprogramme: PE_PATCH.UPX, UPX A-Squared Keine Viren gefunden AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Win32:Zlob-WL gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden F-Secure Anti-Virus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Trojan-Downloader.Win32.Zlob.btq gefunden NOD32 Win32/TrojanDownloader.Zlob.AWS gefunden Norman Virus Control Keine Viren gefunden Panda Antivirus Keine Viren gefunden Rising Antivirus Keine Viren gefunden VirusBuster Keine Viren gefunden VBA32 Keine Viren gefunden Datei: iesmin.exe Auslastung: 0% 100% Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) Entdeckte Packprogramme: PE_PATCH.UPX, UPX A-Squared Keine Viren gefunden AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Win32:Zlob-WL gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden F-Secure Anti-Virus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Trojan-Downloader.Win32.Zlob.btq gefunden NOD32 Win32/TrojanDownloader.Zlob.AWS gefunden Norman Virus Control Keine Viren gefunden Panda Antivirus Keine Viren gefunden Rising Antivirus Keine Viren gefunden VirusBuster Keine Viren gefunden VBA32 Keine Viren gefunden |
Danke Myrtille, schon zu spät! Aber selbst mir als Unwissenden ist das etwas überflüssig vorgekommen..:lach: |
Keine großen Überraschungen bei der Auswertung. :) Für Zlob gibt es hier ne Anleitung Stelle nach dem abarbeiten nochmal nen HJT-Log hier rein, wahrscheinlich muss man noch ein wenig nachhelfen. lg myrtille (ich bin dann auch weg. Antwort also wahrscheinlich erst wieder morgen) |
Hello again! Hab alles gemacht wie ihr es erklärt habt und das Meiste ist weg. Es kommt allerdings noch immer eines der Popups. Hab also den Kaspersky laufen lassen, der auch einiges gefunden hat. Ergebnis im Anschluss - zusätzlich ein neues HTL. Bitte um neuerliche Auskunft - Danke! Scan-Einstellungen Folgende Antiviren-Datenbanken zur Untersuchung verwenden Standard Archive untersuchen ja Mail-Datenbanken untersuchen ja Untersuchungsobjekt Arbeitsplatz C:\ D:\ Untersuchungsergebnisse Untersuchte Objekte insgesamt 69116 Viren gefunden 4 Infizierte Objekte gefunden 20 / 0 Verdächtige Objekte gefunden 0 Untersuchungszeit 01:28:24 Name des infizierten Objekts Virusname Letzte Aktion C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SYSTEM Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SOFTWARE Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\DEFAULT Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\Temp\ZLT041b5.TMP Das Objekt ist gesperrt übersprungen C:\WINDOWS\Temp\ZLT041bf.TMP Das Objekt ist gesperrt übersprungen C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\SoftwareDistribution\EventCache\{9330B9B7-756A-409B-B450-7DFBFEE3EF07}.bin Das Objekt ist gesperrt übersprungen C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\Internet Logs\IAMDB.RDB Das Objekt ist gesperrt übersprungen C:\WINDOWS\Internet Logs\fwpktlog.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\Internet Logs\fwdbglog.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\Internet Logs\MAXITO.ldb Das Objekt ist gesperrt übersprungen C:\WINDOWS\Internet Logs\tvDebug.log Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Max Mustermann\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Max Mustermann\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Max Mustermann\Eigene Dateien\setup.exe/stream/data0006 Infizierte Objekte: Trojan-Downloader.Win32.Zlob.buk übersprungen C:\Dokumente und Einstellungen\Max Mustermann\Eigene Dateien\setup.exe/stream Infizierte Objekte: Trojan-Downloader.Win32.Zlob.buk übersprungen C:\Dokumente und Einstellungen\Max Mustermann\Eigene Dateien\setup.exe NSIS: infiziert - 2 übersprungen C:\Dokumente und Einstellungen\Max Mustermann\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Max Mustermann\Lokale Einstellungen\Verlauf\History.IE5\MSHist012007052520070526\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Max Mustermann\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Max Mustermann\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Max Mustermann\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Max Mustermann\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\System Volume Information\_restore{7EC20273-093B-4FA2-92C0-4C893501770F}\RP124\A0075571.dll Infizierte Objekte: Trojan-Downloader.Win32.Zlob.btq übersprungen C:\System Volume Information\_restore{7EC20273-093B-4FA2-92C0-4C893501770F}\RP124\A0075572.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.btq übersprungen C:\System Volume Information\_restore{7EC20273-093B-4FA2-92C0-4C893501770F}\RP124\A0075573.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.btq übersprungen C:\System Volume Information\_restore{7EC20273-093B-4FA2-92C0-4C893501770F}\RP124\A0075663.dll Infizierte Objekte: Trojan-Downloader.Win32.Zlob.btq übersprungen C:\System Volume Information\_restore{7EC20273-093B-4FA2-92C0-4C893501770F}\RP124\A0075664.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.btq übersprungen C:\System Volume Information\_restore{7EC20273-093B-4FA2-92C0-4C893501770F}\RP124\A0075665.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.btq übersprungen C:\System Volume Information\_restore{7EC20273-093B-4FA2-92C0-4C893501770F}\RP124\A0075672.dll Infizierte Objekte: Trojan-Downloader.Win32.Zlob.btq übersprungen C:\System Volume Information\_restore{7EC20273-093B-4FA2-92C0-4C893501770F}\RP124\A0075673.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.btq übersprungen C:\System Volume Information\_restore{7EC20273-093B-4FA2-92C0-4C893501770F}\RP124\A0075674.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.btq übersprungen C:\System Volume Information\_restore{7EC20273-093B-4FA2-92C0-4C893501770F}\RP124\A0075687.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.btq übersprungen C:\System Volume Information\_restore{7EC20273-093B-4FA2-92C0-4C893501770F}\RP124\A0075688.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.bgl übersprungen C:\System Volume Information\_restore{7EC20273-093B-4FA2-92C0-4C893501770F}\RP124\A0075689.dll Infizierte Objekte: Trojan-Downloader.Win32.Zlob.btq übersprungen C:\System Volume Information\_restore{7EC20273-093B-4FA2-92C0-4C893501770F}\RP124\A0075690.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.btq übersprungen C:\System Volume Information\_restore{7EC20273-093B-4FA2-92C0-4C893501770F}\RP124\A0075691.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.bgl übersprungen C:\System Volume Information\_restore{7EC20273-093B-4FA2-92C0-4C893501770F}\RP124\A0075692.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.btq übersprungen C:\System Volume Information\_restore{7EC20273-093B-4FA2-92C0-4C893501770F}\RP124\A0075693.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.btq übersprungen C:\System Volume Information\_restore{7EC20273-093B-4FA2-92C0-4C893501770F}\RP124\A0075696.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.btj übersprungen C:\System Volume Information\_restore{7EC20273-093B-4FA2-92C0-4C893501770F}\RP125\change.log Das Objekt ist gesperrt übersprungen Die Untersuchung wurde abgeschlossen. Logfile of HijackThis v1.99.1 Scan saved at 10:47:57, on 25.5.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\atiptaxx.exe C:\Programme\mobile PhoneTools\CapFax.EXE C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32Info.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\unzipped\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h#tp://www.yahoo.com/ O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: (no name) - {740FB5D9-1B51-4133-9478-1192F28AEFA3} - C:\WINDOWS\system32\poxrprof.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [CapFax] C:\Programme\mobile PhoneTools\CapFax.EXE O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [Fast Home] C:\WINDOWS\system32\svcnvt.exe home O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdS0_0_0 O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1136548014560 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\ O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe |
sorry - hab diesen rapport vergessen! SmitFraudFix v2.186 Scan done at 23:14:50,17, Do 24.05.2007 Run from C:\Dokumente und Einstellungen\Hannes Moser\Eigene Dateien\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is FAT32 Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{25b7d2fd-4f71-46d1-801a-7de323e4ec82}"="equiparant" [HKEY_CLASSES_ROOT\CLSID\{25b7d2fd-4f71-46d1-801a-7de323e4ec82}\InProcServer32] @="C:\WINDOWS\system32\indwvm.dll" [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{25b7d2fd-4f71-46d1-801a-7de323e4ec82}\InProcServer32] @="C:\WINDOWS\system32\indwvm.dll" »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost 127.0.0.1 localhost 127.0.0.1 localhost »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri C:\WINDOWS\system32\indwvm.dll -> Hoax.Win32.Renos.gen.n C:\WINDOWS\system32\indwvm.dll -> Deleted »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files C:\WINDOWS\blank.mht Deleted C:\Programme\Video ActiveX Access\ Deleted »»»»»»»»»»»»»»»»»»»»»»»» DNS HKLM\SYSTEM\CCS\Services\Tcpip\..\{3F5C8787-0B5C-4B44-B7B3-4F1ACA3F528C}: DhcpNameServer=195.34.133.21 195.34.133.22 HKLM\SYSTEM\CS1\Services\Tcpip\..\{3F5C8787-0B5C-4B44-B7B3-4F1ACA3F528C}: DhcpNameServer=195.34.133.21 195.34.133.22 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=195.34.133.21 195.34.133.22 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=195.34.133.21 195.34.133.22 »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning HKLM\SOFTWARE\SHUDDERLTD Deleted Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End |
Hi, irgendwie seh ich das Problem grade nicht. :confused: Mach also bitte mal folgendes: -Deaktiviere die Systemwiederherstellung (Systemsteuerung->System->Systemwiederherstellung-> den Haken bei "Systemwiederherstellung deaktivieren" setzen) -lade dir ccleaner und bereinige nun damit dein system. (starten und dann unter der Kategorie Cleaner, Karteireiter Windows "Analyze" und dann "Run Cleaner" klicken). Danach sollten die meisten Meldungen von Kapersky weg sein. Lass dann nochmal nen eScan laufen und poste das Ergebnis hier. (Die verlinkte find.bat mit "speichern unter" aufn Rechner holen und in 12. den Teil mit der find.zip überspringen und gleich mit der find.bat weitermachen.) Außerdem bitte einmal diese Datei: Zitat:
|
Hallo Myrtille! Bevor ich das mache noch schnell eine Frage: Gibt es bei meinen HJT Files eigentlich nichts was zu "fixen" wäre? HS |
Jein, HJT stellt eine Diagnose zb der Programme die beim Starten automatisch ausgeführt werden. Würdest du jetzt etwas fixen, nimmst du das Programm damit sozusagen ausm Autostart. Mehr nicht. Man wird einen Trojaner also nie dadurch loswerden, dass man im HJT etwas "fixt" Bei dir ist es nun so, dass die "bösen" Zlobeinträge im HJT zwar vorhanden waren, allerdings hat sich Smitfraud um die gekümmert, deswegen gibt es jetzt auch keine Überbleibsel von Zlob mehr im HJT-Log, ganz sauber ist es deswegen allerdings nicht. ;) Andererseits sind diese Einträge: Zitat:
Ok und den hier, darfste gleich auch noch auswerten. Zitat:
|
Hallo, Zitat:
Troj/StartP-BDA - Trojaner - Sophos Bedrohungsanalyse Allerdings müßte uns "helpsearcher" etwas dazu sagen können... Bekommst du nackte Mädels auf den Bildaschirm,ohne es zu wollen ? Nur an welche denken ,zählt nicht...:heilig: Bin gespannt ,was Jotti oder Virustotal dazu sagen. Irrlicht |
Ich hatte die Info hierher: Trojan-Downloader.Win32.Delf.ks Ob das bei sophos ein Tippfehler ist? :heilig: ;) |
Naja - die erste Datei hier bietet ja einiges. Die andere scheint verschollen zu sein, denn wenn ich sie durch den Jotti suchen lasse, kann er sie nicht finden. Den e-scan hab ich übrigens noch nicht gemacht, da das runterladen ewig dauern würde (16 MB - und meine download Geschwindigkeit ist seit dem Virus deutlich zurückgegangen). Außerdem gibt es keine nackten Mädls die aus dem Nichts auftauchen (wobei die Frage hier offen ist, ob das dann ein schlechter oder ein guter Virus ist :D ) Datei: poxrprof.dll Auslastung: 0% 100% Status: INFIZIERT/MALWARE Entdeckte Packprogramme: UPX A-Squared Adware.Win32.Stud.a gefunden AntiVir ADSPY/Stud.A.1 gefunden ArcaVir Adware.Stud.A gefunden Avast Win32:Trojano-3384 gefunden AVG Antivirus Generic.LRH gefunden BitDefender Trojan.Downloader.6588.E gefunden ClamAV Adware.BHO-13 gefunden Dr.Web Trojan.DownLoader.6588 gefunden F-Prot Antivirus Keine Viren gefunden F-Secure Anti-Virus not-a-virus:AdWare.Win32.Stud.a (4, 1, 400) gefunden Fortinet W32/Small.CGU!tr gefunden Kaspersky Anti-Virus not-a-virus:AdWare.Win32.Stud.a gefunden NOD32 Win32/Adware.BHO.AA application gefunden Norman Virus Control W32/Stud.B gefunden Panda Antivirus Keine Viren gefunden Rising Antivirus Trojan.PSW.KorGame.i gefunden VirusBuster Keine Viren gefunden VBA32 AdWare.Win32.Stud.a gefunden |
Hallo! Ich weiß, nachdem ich ja nicht gerade ein Computerexperte bin frag ich vielleicht Sachen die euch ziemlich dumm erscheinen, aber irgendwann muss man ja anfangen dazuzulernen - also ich bitte um Nachsicht :o 1. Wie aufgelistet ist die Datei: poxrprof.dll mit allen möglichen Sachen infiziert - was mach ich jetzt damit? Darf ich die als Ganzes löschen? 2. Wie ist es möglich, dass der Jotti eine Datei nicht findet, die beim HJT aufscheint? Danke! |
Hallo Leute! Hier kommt mein E-scan! - Was mach ich nun damit?? Danke! ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\WINDOWS\system32\309635.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\475714.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\309635.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\475714.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\Max Muster\Eigene Dateien\Nachhilfe\AdbeRdr705_enu_full.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\Max Muster\Anwendungsdaten\Adobe\Acrobat\7.0\Updater\AdbeRdr705_enu_full.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ File C:\WINDOWS\system32\poxrprof.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\system32\poxrprof.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\system32\poxrprof.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Dokumente und Einstellungen\Max Muster\Eigene Dateien\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Dokumente und Einstellungen\Max Muster\Eigene Dateien\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Programme\SpyLocked 4.0\SpyLocked 4.0.exe//Armadillo markiert als "not-a-virus:FraudTool.Win32.SpyLocked.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\Dokumente und Einstellungen\Max Muster\Eigene Dateien\smitfraudfix\process.exe Offending file found: C:\Dokumente und Einstellungen\Max Muster\Eigene Dateien\smitfraudfix\reboot.exe Offending file found: C:\Dokumente und Einstellungen\Max Muster\Eigene Dateien\smitfraudfix\swreg.exe Offending file found: C:\Dokumente und Einstellungen\Max Muster\Eigene Dateien\smitfraudfix\swsc.exe Offending file found: C:\WINDOWS\system32\unrar.dll ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cyberlink\powerdvd\ipower\images\hd ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\best search engine!!! !!! Offending Key found: HKLM\System\CurrentControlSet\Services\iprip !!! Offending Key found: HKLM\System\ControlSet001\Services\iprip !!! Offending Key found: HKLM\System\ControlSet004\Services\iprip !!! Offending Key found: HKLM\System\ControlSet005\Services\iprip !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}... ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 83391 Gefundene Viren: 23 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 120 Dauer des Scans bisher: 01:16:42 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 14:40:13,50 Batchende: 14:40:59,51 |
Du hast Spy Locked aufm Rechner? Freiwillig? Die beiden bitte nochmal bei virustotal hochladen: C:\WINDOWS\system32\309635.exe C:\WINDOWS\system32\475714.exe Was die scnvt.exe (oÄ) angeht: Es kann natürlich sein, dass die Datei bereits durch SmitFraud oÄ gelöscht worden ist. Erstelle daher vielleicht nochmal ein neues HJT-Log und stelle das hier rein (bitte Links modifizieren: http -> h**p) |
Hallo Myrtille! Zuerst die HJT Log-Files: Diese svcnvt.exe scheint zwar noch immer auf soweit ich das richtig erkenne, aber sie kann z.B auch vom Virustotal nicht gefunden werden. Habs auch dann am Rechner selbst mit "suchen" versucht - nicht auffindbar. Die beiden anderen (309635..) die ich durchs Virustotal jagen sollte sind zwar vorhanden, aber leer. Ich denke am Besten lösch ich die einfach...? Hab dann noch die spylocked mit Virustotal anschauen lassen (Ergebnis unten). Hab das Programm übrigens unfreiwillig oben. Was nun??? Ich denke ich sollte mal spylocked und vor allem die poxrprof.dll loswerden, oder? Und wie mach ich das ohne Rückstände zu hinterlassen. Übrigens abgesehen davon, dass das Ganze (vor allem die stark reduzierte downloadGeschwindigkeit) einigermaßen nervt, lerne ich gleichzeitig doch ein wenig dazu. Danke Myrtille! Logfile of HijackThis v1.99.1 Scan saved at 10:28:39, on 2.6.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\atiptaxx.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\PROGRA~1\WINZIP\winzip32.exe C:\unzipped\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://www.yahoo.com/ R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file) O2 - BHO: (no name) - {740FB5D9-1B51-4133-9478-1192F28AEFA3} - C:\WINDOWS\system32\poxrprof.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Fast Home] C:\WINDOWS\system32\svcnvt.exe home O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdS0_0_0 O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h++p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1136548014560 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\ O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe STATUS: FINISHED Complete scanning result of "SpyLocked_4.0.exe", received in VirusTotal at 06.02.2007, 10:16:48 (CET). Antivirus Version Update Result AhnLab-V3 2007.5.31.2 06.01.2007 no virus found AntiVir 7.4.0.29 06.01.2007 no virus found Authentium 4.93.8 05.23.2007 no virus found Avast 4.7.997.0 06.01.2007 no virus found AVG 7.5.0.467 06.01.2007 Potentially harmful program Fake_AntiSpyware.AB BitDefender 7.2 06.02.2007 Adware.SpyLocked.C CAT-QuickHeal 9.00 06.01.2007 FraudTool.SpyLocked.b (Not a Virus) ClamAV devel-20070416 06.02.2007 no virus found DrWeb 4.33 06.02.2007 no virus found eSafe 7.0.15.0 05.31.2007 no virus found eTrust-Vet 30.7.3684 06.02.2007 no virus found Ewido 4.0 06.01.2007 Adware.SpyLocked FileAdvisor 1 06.02.2007 No threat detected Fortinet 2.85.0.0 06.02.2007 W32/SpyLocked F-Prot 4.3.2.48 06.01.2007 no virus found Ikarus T3.1.1.8 06.02.2007 not-a-virus:.FraudTool.Win32.SpyLocked.b Kaspersky 4.0.2.24 06.02.2007 not-a-virus:FraudTool.Win32.SpyLocked.b McAfee 5044 06.01.2007 potentially unwanted program SpyLocked Microsoft 1.2503 06.02.2007 Program:Win32/SpyLocked (threat-c) NOD32v2 2305 06.01.2007 Win32/Adware.SpyLocked Norman 5.80.02 06.01.2007 no virus found Panda 9.0.0.4 06.01.2007 Adware/Spylocked Prevx1 V2 06.02.2007 SpywareQuake Sophos 4.18.0 06.01.2007 no virus found Sunbelt 2.2.907.0 05.30.2007 VirusBurst Symantec 10 06.02.2007 SpyLocked TheHacker 6.1.6.128 05.31.2007 no virus found VBA32 3.12.0 06.01.2007 Application.Win32.Adware.SpyLocked VirusBuster 4.3.23:9 06.01.2007 no virus found Webwasher-Gateway 6.0.1 06.02.2007 Riskware.FakeScan.AB Aditional Information File size: 2580480 bytes MD5: 664fd5742430f8bfb4482cfbbb807d71 SHA1: cbee7de3d5914d69611166035909612f10646f38 Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=664fd5742430f8bfb4482cfbbb807d71 Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=d7a897320902 |
Hi, die "leeren" Dateien sind sicherlich nicht leer, sondern werden geschützt, sodass man sie nicht hochladen kann. Ich möchte die Datein ungern löschen, ohne zu wissen, dass sie böse sind. Hijackthis listet Einträge im Autostart und ähnliche Einträge. Ein Eintrag im HJT-Log heißt deswegen noch lange nicht, dass die Datei ebenfalls existiert. Ich würde jetzt erstmal SpyLocked deinstallieren. (Über Systemsteuerung->Software, sofern es dort gelistet.) Dann lade dir killbox und lösche dort mittels "Delete on reboot" den SpyLocked-Ordner, die ppoxrprof.dll, sowie die "1235341".exe-Dateien. Wenn du ganz sicher gehen willst, kannst du auch nochmal versuchen die svcvnt.exe zu löschen, aber die wird vermutlich auch von Killbox nicht gefunden. Die Dateien befinden sich dann im Ordner C:/!killbox, diesen dann bitte auch löschen. Dann fixe noch die Einträge im Hijackthis: Zitat:
Ich würde dir außerdem empfehlen einen alternativen Browser zu benutzen. Da die meisten Menschen IE benutzen, gibt es auch hauptsächlich Malware für Schachstelen im IE. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:01 Uhr. |
Copyright ©2000-2025, Trojaner-Board