|
bitte um auswertung Pc is zur zeit ziemlich langsam , hoff ihr könnt mir sagen ob da was ned ok is . vielen dank im vorraus . lg Montana Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 03:12:31, on 14.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\G DATA AntiVirus\AVK\AVKService.exe C:\Programme\G DATA AntiVirus\AVK\AVKWCtl.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\XpertVision\TBPanel.exe C:\Programme\G DATA AntiVirus\AVKTray\AVKTray.exe C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe C:\programme\powerstrip\pstrip.exe C:\Programme\Spyware Doctor\SDTrayApp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\Spyware Doctor\svcntaux.exe C:\Programme\Spyware Doctor\swdsvc.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe C:\Programme\MSN Messenger\usnsvc.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\System32\wbem\wmiprvse.exe O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA AntiVirus\Webfilter\AVKWebIE.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (no name) - {E7DDD230-45F3-660A-D22E-31E6758708B1} - C:\WINDOWS\system32\ofu.dll (file missing) O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA AntiVirus\Webfilter\AVKWebIE.dll O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [Gainward] C:\Programme\XpertVision\TBPanel.exe /A O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA AntiVirus\AVKTray\AVKTray.exe" O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount O4 - HKCU\..\Run: [Comrade.exe] C:\Programme\GameSpy\Comrade\Comrade.exe O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA AntiVirus\AVK\AVKService.exe O23 - Service: AVK Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA AntiVirus\AVK\AVKWCtl.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe |
Den Spyware Doc würde ich löschen... C:\WINDOWS\system32\ofu.dll Dateien Online überprüfen lassen: * Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien: (lass auch die versteckten Dateien anzeigen!) Zitat:
Wenn die Meldung kommt, dass diese Datei schon geprüft wurde, lasse die betreffende Datei dennoch noch einmal prüfen. * Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. (Wichtig: Auch die Größenangabe sowie den SHA1 /MD5 und dem Kopf kopieren!) |
Gehe wiefolgt vor Bitte öffne Deine HiJackThis nochmal und scanne. Check die klickboxen neben den Einträgen die untenstehend gelistet sind. O2 - BHO: (no name) - {E7DDD230-45F3-660A-D22E-31E6758708B1} - C:\WINDOWS\system32\ofu.dll (file missing) dann Klicke Fix Checked. Schließe HiJackThis. Wenn die Datei schon weg ist, hat sie vermutlich Gdata gelöscht, nützlich wäre es zu wissen, was das für ein Fund es war. Schau doch mal in den Logs nach, ob Du was findest. |
Beim Öffnen der Datei "C:\WINDOWS\system32\ineWc01\ineWc011065.exe" wurde der Virus "Trojan-Downloader.Win32.VB.cby" von der Engine "Engine A" entdeckt. Datei gesäubert: nein. Datei gelöscht: ja. Quarantäne: nein. Beim Öffnen der Datei "C:\WINDOWS\system32\AрpPatch\аti2evxx.exe" wurde der Virus "not-a-virus:AdWare.Win32.PurityScan.gq" von der Engine "Engine A" entdeckt. Datei gesäubert: nein. Datei gelöscht: ja. Quarantäne: nein. Beim Öffnen der Datei "C:\WINDOWS\SoftwareDistribution\Download\e3b9e8cd6239a53ea3486ac0e70fdfac\sp2gdr\user32.dll" wurde der Virus "Win32:Trojan-gen {Other}" von der Engine "Engine B" entdeckt. Datei gesäubert: nein. Datei gelöscht: ja. Quarantäne: nein. eim Öffnen der Datei "C:\System Volume Information\_restore{4C63B4AA-BA1D-4285-95C5-AC232C295110}\RP56\A0034455.exe" wurde der Virus "Trojan-Downloader.Win32.PurityScan.fg" von der Engine "Engine A" entdeckt. Datei gesäubert: nein. Datei gelöscht: ja. Quarantäne: nein. Beim Öffnen der Datei "C:\System Volume Information\_restore{4C63B4AA-BA1D-4285-95C5-AC232C295110}\RP56\A0034457.dll" wurde der Virus "not-a-virus:AdWare.Win32.ZenoSearch.ad" von der Engine "Engine A" entdeckt. Datei gesäubert: nein. Datei gelöscht: ja. Quarantäne: nein. Beim Öffnen der Datei "C:\System Volume Information\_restore{4C63B4AA-BA1D-4285-95C5-AC232C295110}\RP56\A0034458.exe" wurde der Virus "Trojan-Downloader.Win32.PurityScan.ez" von der Engine "Engine A" entdeckt. Datei gesäubert: nein. Datei gelöscht: ja. Quarantäne: nein. Beim Öffnen der Datei "C:\System Volume Information\_restore{4C63B4AA-BA1D-4285-95C5-AC232C295110}\RP56\A0034374.dll" wurde der Virus "Win32:Trojan-gen {Other}" von der Engine "Engine B" entdeckt. Datei gesäubert: nein. Datei gelöscht: ja. Quarantäne: nein. Beim Öffnen der Datei "C:\System Volume Information\_restore{4C63B4AA-BA1D-4285-95C5-AC232C295110}\RP56\A0034396.dll" wurde der Virus "Win32:Trojan-gen {Other}" von der Engine "Engine B" entdeckt. Datei gesäubert: nein. Datei gelöscht: ja. Quarantäne: nein. Beim Öffnen der Datei "C:\System Volume Information\_restore{4C63B4AA-BA1D-4285-95C5-AC232C295110}\RP56\A0034415.exe" wurde der Virus "Trojan-Downloader.Win32.Agent.frs" von der Engine "Engine A" entdeckt. Datei gesäubert: nein. Datei gelöscht: ja. Quarantäne: nein. Beim Öffnen der Datei "C:\Programme\Аdobe\wuaclt.exe" wurde der Virus "Trojan-Downloader.Win32.PurityScan.ez" von der Engine "Engine A" entdeckt. Datei gesäubert: nein. Datei gelöscht: ja. Quarantäne: nein. eim Öffnen der Datei "C:\Programme\Outerinfo\FF\components\FF.dll" wurde der Virus "not-a-virus:AdWare.Win32.ZenoSearch.ad" von der Engine "Engine A" entdeckt. Datei gesäubert: nein. Datei gelöscht: nein. Quarantäne: nein. ........ usw. sind noch ca. 18 andere Funde . wurden alle gelöscht laut gdata . mfg Montana |
Ich hoffe Du hast nicht auch die user32.dll überall löschen lassen! Bei so vielen Infektionen müssen wir mal sehen, was sonst noch so da ist. Filelist 1. Lade das filelist.zip auf deinen Desktop herunter. 2. Entpacke die Zip-Datei auf deinen Desktop (mit einem Packprogramm), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei 3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen 4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein. Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen: Verzeichnis von C:\ Verzeichnis von C:\WINDOWS\system32 Verzeichnis von C:\WINDOWS Verzeichnis von C:\WINDOWS\Prefetch (Windows XP) Verzeichnis von C:\WINDOWS\tasks Verzeichnis von C:\WINDOWS\Temp Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp Credits to Karl83 / KarlKarl :) |
hm was is wenn ich user32.dll überall gelöscht hab ? laut suche auf der platte is die user32.dll noch paar mal vorhanden :dummguck: es war jedes verzeichnis in der filelist.txt bis auf ->>C:\WINDOWS\tasks<<- hier der link zu der datei mit den verzeichnissen lg Montana |
Lies Dir diesen Link dazu mal durch. Combofix - Download ComboFix von hier oder hier auf Deinen Desktop. - Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. - Mache einen Doppelklick auf combofix.exe - Wenn combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht. |
hab die 2 dateien mal angehängt . vielen dank im vorraus . |
Sieht für mich sauber aus. :aplaus: Um Dein System vor zukünfigen Infektionen zu schützen, lies bitte das folgende aufmerksam. Das folgende ist eine Sammlung von Tools und Hilfsmitteln. Diese helfen Dir zu verstehen, wie Du infiziert wurdest und wie Du Dich in Zunkunft davor schützen kannst. Spybot Search & Destroy - Ein gutes Tool , welches bösartige Software sucht und unschädlich macht. Bei der Installation darauf achten den Tea Timer & SD Helper nicht zu aktivieren! AdAware - Ein weiteres "Multi Tool" welches nach bösen Einträgen sucht und diese beseitigt. AdAware und Spybot Search & Destroy vertragen sich bisher noch gut auf einem System. Nutze standardmäßig einen alternativen Browser, wie zb Firefox oder Opera Der Internet Explorer sollte nur für das Windows- Officeupdate benutzt werden. Eine Alternative zu Outlook ist zb Thunderbird, Eudora Plugins für Mozilla härten diesen zudem noch. - NoScript Plugin, welches das ausführen von Scripten blockiert. - Flashblock Plugin, welches das Laden von Flash Filmen verhindert (auch ideal zum surfen via Schmalband geeignet) Miranda-IM - Die ist ein Malware freier, Open Source Instant Messenger welcher mit den Protokollen von AOL, Yahoo, ICQ, IRC, MSN zusammenarbeitet. Ein weiterer ist PidGin CCleaner Download - ist eine Freeware-Software zur Optimierung und zum Aufräumen von Windows. Hier findest Du eine Sammlung(Englisch) von falschen Antivirenprogrammen. Diese Liste ist nicht immer upToDate. Bei Unklarheiten im Forum vor einer Installation nachfragen. Vorsichtig bleiben. Lade keine Software von dir komplett unbekannten Seiten (zb goldencodecs.com, morefreesoftware.com etc namen ausgedacht, kein zusammenhang mit evtl real existierenden Seiten) und benutze kein p2p um an Software (oder sonst was) zu kommen. Bist du unsicher, ob das geladene Programm sauber ist, dann lade den Installer zb bei virustotal hoch und lass ihn dort überprüfen. Die meisten Crack/Keylogger/Entsprechende Seiten nehmen im Hintergrund Änderungen am System vor, beinflussen es, oder Installieren Schadsoftware Keine unbekannten Dateien annehmen und öffnen, weder per Mail noch per MSN/ICQ/Instant Messenger. Auch von Freunden unverlangt erhaltene Dateien immer kritisch nachragen. Wenn eine Seite dubios aussieht und versucht Dateien auf deinem Rechner zu installieren (sei es zum Video abspielen oder sonstwas), dann vertrau deinem Gefühl und verschwinde. Überprüfe dein System bei Bedarf mit einem On-Demandscanner um eventuelle Befälle aufzuspüren. Windows Update - Es ist sehr wichtig sicher zu sein das Internet Explorer und Windows mit allen aktuellen Patches von Microsoft versorgt sind. Um dies zu prüfen öffne den Internet Explorer, wähle Extras und dort Windows Update, und folge den Anweisungen. Generell gilt: Halte immer alle Anwendung auf einem akutellem Stand! |
alles klar . vielen dank für deine hilfe . hat mir sehr geholfen ! mfg Montana |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:44 Uhr. |
Copyright ©2000-2025, Trojaner-Board