|
erbitte log-file prüfung HI Ich hab die log-file auch mal in so einen automatischen log-file auswerter gesteckt und dann gefixt checked hat aber irgendwie nicht gebracht. HAB IMMER NOCH SO TROJANER::teufel1: vielleicht könnt ihr mir ja helfen. Logfile of HijackThis v1.99.1 Scan saved at 11:03:17, on 10.02.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\Spyware Doctor\pctsAuxs.exe C:\Programme\Spyware Doctor\pctsSvc.exe C:\Programme\Spyware Doctor\pctsTray.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\system32\UAService7.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\MSI\Media Center Deluxe II\WinIRXHelper.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\NETGEAR\WG311v3\wlancfg5.exe C:\Programme\Google\Google Updater\GoogleUpdater.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\.\Eigene Dateien\Unzipped\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe" O4 - HKLM\..\Run: [85afa1c9] rundll32.exe "C:\WINDOWS\system32\inkaywuw.dll",b O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: WinIRXHelper.lnk = C:\Programme\MSI\Media Center Deluxe II\WinIRXHelper.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O4 - Global Startup: NETGEAR WG311v3 Smart Wizard.lnk = ? O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - C:\WINDOWS\system32\windows (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe |
Hallli hallo. Was für Einträge waren das die du gefixt hast? Du findest sie unter Backups wieder! Dateien Online überprüfen lassen: * Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien: (lass auch die versteckten Dateien anzeigen!) Zitat:
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!) |
soll ich dir die namen der dateien posten die ich schon gefixt habe?????? ich kann diese datein ja auch nochmal durch das virus-total durchlaufen lassen. hier ist aber auf jeden fall schonmal das ergebnis aus virus-total. AhnLab-V3 2008.2.6.10 2008.02.05 - AntiVir 7.6.0.62 2008.02.08 TR/Dldr.ConHook.Gen Authentium 4.93.8 2008.02.08 - Avast 4.7.1098.0 2008.02.09 Win32:TratBHO AVG 7.5.0.516 2008.02.09 Lop BitDefender 7.2 2008.02.10 Trojan.Vundo.Gen.2 CAT-QuickHeal None 2008.02.08 - ClamAV 0.92 2008.02.10 - DrWeb 4.44.0.09170 2008.02.09 - eSafe 7.0.15.0 2008.01.28 - eTrust-Vet 31.3.5522 2008.02.08 - Ewido 4.0 2008.02.09 - FileAdvisor 1 2008.02.10 - Fortinet 3.14.0.0 2008.02.10 - F-Prot 4.4.2.54 2008.02.10 W32/Virtumonde.G.gen!Eldorado F-Secure 6.70.13260.0 2008.02.09 - Ikarus T3.1.1.20 2008.02.10 - Kaspersky 7.0.0.125 2008.02.10 not-a-virus:AdWare.Win32.Virtumonde.gen McAfee 5226 2008.02.08 - Microsoft 1.3204 2008.02.10 Trojan:Win32/Vundo.gen!A NOD32v2 2861 2008.02.09 - Norman 5.80.02 2008.02.08 - Panda 9.0.0.4 2008.02.09 Suspicious file Prevx1 V2 2008.02.10 Lop Rising 20.29.22.00 2008.01.30 - Sophos 4.26.0 2008.02.10 - Sunbelt 2.2.907.0 2008.02.09 - Symantec 10 2008.02.10 - TheHacker 6.2.9.215 2008.02.09 - VBA32 3.12.6.0 2008.02.09 - VirusBuster 4.3.26:9 2008.02.09 Adware.Vundo.V.Gen Webwasher-Gateway 6.6.2 2008.02.10 Trojan.Dldr.ConHook.Gen weitere Informationen File size: 89664 bytes MD5: 9bd00d1161a4770ad31b00ffec806bee SHA1: 45e584ae13c1d2a82463be51fcb8d123a91cb2e1 PEiD: - Prevx info: 25607267.DLL - Prevx |
Sehr gut! Da denkt einer mit.. das ist immer schön.. :) eine VT Auswertung der gefixten Dateien wäre super! Kannst du dir allerdings auch sparen wenn es sich um kryptische .dll Dateien handelt. Die sind dann ebenfalls vom Vundo.. Lasse bitte folgende Tools laufen und poste die entstandenen logfiles: - VudoFix - VirutumondeBeGone - SmitFraudFix - Combofix Und lass dir bitte mal die Details eines Dienstes anzeigen: Start => ausführen => cmd (reinschreiben) => OK Es öffnet sich ein DOS-Fenster => sc qc MSControlService > C:\services.txt (reinschreiben) Poste bitte den Inhalt der C:\services.txt |
Hallo nochmal. Bei den gelöschten datein handelt es sich wie du schon vermutet hast auch vundo datein.also brauch ich die doch nicht mehr zu posten. hier ist auf jeden fall SIND auf jeden fall mal die log-files(wo bildet sich den bei vundO-fix ne log-file????????, und coMbo fix klappt irgendwie nicht) [02/10/2008, 12:30:32] - VirtumundoBeGone v1.5 ( "C:\Dokumente und Einstellungen\Chris\Desktop\VirtumundoBeGone.exe" ) [02/10/2008, 12:30:38] - Detected System Information: [02/10/2008, 12:30:38] - Windows Version: 5.1.2600, Service Pack 2 [02/10/2008, 12:30:38] - Current Username: Chris (Admin) [02/10/2008, 12:30:38] - Windows is in NORMAL mode. [02/10/2008, 12:30:38] - Searching for Browser Helper Objects: [02/10/2008, 12:30:38] - BHO 1: {1B0A883E-7952-481E-B1F1-9EC904FC06D3} () [02/10/2008, 12:30:38] - WARNING: BHO has no default name. Checking for Winlogon reference. [02/10/2008, 12:30:38] - Checking for HKLM\...\Winlogon\Notify\ddabc [02/10/2008, 12:30:38] - Key not found: HKLM\...\Winlogon\Notify\ddabc, continuing. [02/10/2008, 12:30:38] - BHO 2: {42A44A09-3A1E-4BA2-B14C-D8398E0C3317} () [02/10/2008, 12:30:38] - WARNING: BHO has no default name. Checking for Winlogon reference. [02/10/2008, 12:30:38] - Checking for HKLM\...\Winlogon\Notify\fccayyv [02/10/2008, 12:30:38] - Found: HKLM\...\Winlogon\Notify\fccayyv - This is probably Virtumundo. [02/10/2008, 12:30:38] - Assigning {42A44A09-3A1E-4BA2-B14C-D8398E0C3317} MSEvents Object [02/10/2008, 12:30:38] - BHO list has been changed! Starting over... [02/10/2008, 12:30:38] - BHO 1: {1B0A883E-7952-481E-B1F1-9EC904FC06D3} () [02/10/2008, 12:30:38] - WARNING: BHO has no default name. Checking for Winlogon reference. [02/10/2008, 12:30:38] - Checking for HKLM\...\Winlogon\Notify\ddabc [02/10/2008, 12:30:38] - Key not found: HKLM\...\Winlogon\Notify\ddabc, continuing. [02/10/2008, 12:30:38] - BHO 2: {42A44A09-3A1E-4BA2-B14C-D8398E0C3317} (MSEvents Object) [02/10/2008, 12:30:38] - ALERT: Found MSEvents Object! [02/10/2008, 12:30:38] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class) [02/10/2008, 12:30:38] - BHO 4: {91a173f6-9c08-4258-8a01-85fc1906c80e} () [02/10/2008, 12:30:38] - WARNING: BHO has no default name. Checking for Winlogon reference. [02/10/2008, 12:30:38] - Checking for HKLM\...\Winlogon\Notify\hveqsokw [02/10/2008, 12:30:38] - Key not found: HKLM\...\Winlogon\Notify\hveqsokw, continuing. [02/10/2008, 12:30:38] - BHO 5: {A95B2816-1D7E-4561-A202-68C0DE02353A} () [02/10/2008, 12:30:38] - WARNING: BHO has no default name. Checking for Winlogon reference. [02/10/2008, 12:30:38] - Checking for HKLM\...\Winlogon\Notify\nwiarjue [02/10/2008, 12:30:38] - Found: HKLM\...\Winlogon\Notify\nwiarjue - This is probably Virtumundo. [02/10/2008, 12:30:38] - Assigning {A95B2816-1D7E-4561-A202-68C0DE02353A} MSEvents Object [02/10/2008, 12:30:38] - BHO list has been changed! Starting over... [02/10/2008, 12:30:38] - BHO 1: {1B0A883E-7952-481E-B1F1-9EC904FC06D3} () [02/10/2008, 12:30:38] - WARNING: BHO has no default name. Checking for Winlogon reference. [02/10/2008, 12:30:38] - Checking for HKLM\...\Winlogon\Notify\ddabc [02/10/2008, 12:30:38] - Key not found: HKLM\...\Winlogon\Notify\ddabc, continuing. [02/10/2008, 12:30:38] - BHO 2: {42A44A09-3A1E-4BA2-B14C-D8398E0C3317} (MSEvents Object) [02/10/2008, 12:30:38] - ALERT: Found MSEvents Object! [02/10/2008, 12:30:38] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class) [02/10/2008, 12:30:38] - BHO 4: {91a173f6-9c08-4258-8a01-85fc1906c80e} () [02/10/2008, 12:30:38] - WARNING: BHO has no default name. Checking for Winlogon reference. [02/10/2008, 12:30:38] - Checking for HKLM\...\Winlogon\Notify\hveqsokw [02/10/2008, 12:30:38] - Key not found: HKLM\...\Winlogon\Notify\hveqsokw, continuing. [02/10/2008, 12:30:38] - BHO 5: {A95B2816-1D7E-4561-A202-68C0DE02353A} (MSEvents Object) [02/10/2008, 12:30:38] - ALERT: Found MSEvents Object! [02/10/2008, 12:30:38] - BHO 6: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} (Google Toolbar Notifier BHO) [02/10/2008, 12:30:38] - Finished Searching Browser Helper Objects [02/10/2008, 12:30:38] - *** Detected MSEvents Object [02/10/2008, 12:30:38] - Trying to remove MSEvents Object... [02/10/2008, 12:30:39] - Terminating Process: IEXPLORE.EXE [02/10/2008, 12:30:39] - Terminating Process: RUNDLL32.EXE [02/10/2008, 12:30:39] - Disabling Automatic Shell Restart [02/10/2008, 12:30:39] - Terminating Process: EXPLORER.EXE [02/10/2008, 12:30:40] - Suspending the NT Session Manager System Service [02/10/2008, 12:30:40] - Terminating Windows NT Logon/Logoff Manager [02/10/2008, 12:30:41] - Re-enabling Automatic Shell Restart [02/10/2008, 12:30:41] - File to disable: C:\WINDOWS\system32\fccayyv.dll [02/10/2008, 12:30:41] - Renaming C:\WINDOWS\system32\fccayyv.dll -> C:\WINDOWS\system32\fccayyv.dll.vir [02/10/2008, 12:30:41] - File successfully renamed! [02/10/2008, 12:30:41] - Removing HKLM\...\Browser Helper Objects\{42A44A09-3A1E-4BA2-B14C-D8398E0C3317} [02/10/2008, 12:30:41] - Removing HKCR\CLSID\{42A44A09-3A1E-4BA2-B14C-D8398E0C3317} [02/10/2008, 12:30:41] - Adding Kill Bit for ActiveX for GUID: {42A44A09-3A1E-4BA2-B14C-D8398E0C3317} [02/10/2008, 12:30:41] - Deleting ATLEvents/MSEvents Registry entries [02/10/2008, 12:30:41] - Removing HKLM\...\Winlogon\Notify\fccayyv [02/10/2008, 12:30:41] - Searching for Browser Helper Objects: [02/10/2008, 12:30:41] - BHO 1: {1B0A883E-7952-481E-B1F1-9EC904FC06D3} () [02/10/2008, 12:30:41] - WARNING: BHO has no default name. Checking for Winlogon reference. [02/10/2008, 12:30:41] - Checking for HKLM\...\Winlogon\Notify\ddabc [02/10/2008, 12:30:42] - Key not found: HKLM\...\Winlogon\Notify\ddabc, continuing. [02/10/2008, 12:30:42] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class) [02/10/2008, 12:30:42] - BHO 3: {91a173f6-9c08-4258-8a01-85fc1906c80e} () [02/10/2008, 12:30:42] - WARNING: BHO has no default name. Checking for Winlogon reference. [02/10/2008, 12:30:42] - Checking for HKLM\...\Winlogon\Notify\hveqsokw [02/10/2008, 12:30:42] - Key not found: HKLM\...\Winlogon\Notify\hveqsokw, continuing. [02/10/2008, 12:30:42] - BHO 4: {A95B2816-1D7E-4561-A202-68C0DE02353A} (MSEvents Object) [02/10/2008, 12:30:42] - ALERT: Found MSEvents Object! [02/10/2008, 12:30:42] - BHO 5: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} (Google Toolbar Notifier BHO) [02/10/2008, 12:30:42] - Finished Searching Browser Helper Objects [02/10/2008, 12:30:42] - *** Detected MSEvents Object [02/10/2008, 12:30:42] - Trying to remove MSEvents Object... [02/10/2008, 12:30:43] - Terminating Process: IEXPLORE.EXE [02/10/2008, 12:30:43] - Terminating Process: RUNDLL32.EXE [02/10/2008, 12:30:43] - Disabling Automatic Shell Restart [02/10/2008, 12:30:43] - Terminating Process: EXPLORER.EXE [02/10/2008, 12:30:44] - Suspending the NT Session Manager System Service [02/10/2008, 12:30:44] - Terminating Windows NT Logon/Logoff Manager [02/10/2008, 12:30:44] - Re-enabling Automatic Shell Restart [02/10/2008, 12:30:44] - File to disable: C:\WINDOWS\system32\nwiarjue.dll [02/10/2008, 12:30:45] - Renaming C:\WINDOWS\system32\nwiarjue.dll -> C:\WINDOWS\system32\nwiarjue.dll.vir [02/10/2008, 12:30:45] - File successfully renamed! [02/10/2008, 12:30:45] - Removing HKLM\...\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A} [02/10/2008, 12:30:45] - Removing HKCR\CLSID\{A95B2816-1D7E-4561-A202-68C0DE02353A} [02/10/2008, 12:30:45] - Adding Kill Bit for ActiveX for GUID: {A95B2816-1D7E-4561-A202-68C0DE02353A} [02/10/2008, 12:30:45] - Deleting ATLEvents/MSEvents Registry entries [02/10/2008, 12:30:45] - Removing HKLM\...\Winlogon\Notify\nwiarjue [02/10/2008, 12:30:45] - Searching for Browser Helper Objects: [02/10/2008, 12:30:45] - BHO 1: {1B0A883E-7952-481E-B1F1-9EC904FC06D3} () [02/10/2008, 12:30:45] - WARNING: BHO has no default name. Checking for Winlogon reference. [02/10/2008, 12:30:45] - Checking for HKLM\...\Winlogon\Notify\ddabc [02/10/2008, 12:30:45] - Key not found: HKLM\...\Winlogon\Notify\ddabc, continuing. [02/10/2008, 12:30:45] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class) [02/10/2008, 12:30:45] - BHO 3: {91a173f6-9c08-4258-8a01-85fc1906c80e} () [02/10/2008, 12:30:45] - WARNING: BHO has no default name. Checking for Winlogon reference. [02/10/2008, 12:30:45] - Checking for HKLM\...\Winlogon\Notify\hveqsokw [02/10/2008, 12:30:45] - Key not found: HKLM\...\Winlogon\Notify\hveqsokw, continuing. [02/10/2008, 12:30:45] - BHO 4: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} (Google Toolbar Notifier BHO) [02/10/2008, 12:30:45] - Finished Searching Browser Helper Objects [02/10/2008, 12:30:45] - Finishing up... [02/10/2008, 12:30:45] - A restart is needed. [02/10/2008, 12:31:01] - Attempting to Restart via STOP error (Blue Screen!) [02/10/2008, 12:36:20] - VirtumundoBeGone v1.5 ( "C:\Dokumente und Einstellungen\Chris\Desktop\VirtumundoBeGone.exe" ) [02/10/2008, 12:36:29] - User choose NOT to continue. Exiting... SmitFraudFix v2.285 Scan done at 12:28:06,42, 10.02.2008 Run from C:\Programme\Mozilla Firefox\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is FAT32 Fix run in normal mode »»»»»»»»»»»»»»»»»»»»»»»» Process »»»»»»»»»»»»»»»»»»»»»»»» hosts »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Chris »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Chris\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\CHRIS\FAVORI~1 »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" »»»»»»»»»»»»»»»»»»»»»»»» IEDFix !!!Attention, following keys are not inevitably infected!!! IEDFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» VACFix !!!Attention, following keys are not inevitably infected!!! VACFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" "LoadAppInit_DLLs"=dword:00000001 »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Rustock »»»»»»»»»»»»»»»»»»»»»»»» DNS »»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End |
der befehl C:\services.txt kann dort aber irgendwie nicht ausgeführt werden. darf ich die datein die vundofix aufgespürt hat eigentlich löschen????? |
Du gibst im Start->ausführen-Feld erst cmd ein. In dem schwarzen Fenster was sich dann öffnet gibst du sc qc MSControlService > C:\services.txt ein. Dann postest du den Inhalt der grade angelegten C:\services.txt Datei. Die Vundofix Dateien solltest du löschen, ja. Steht auch so in der Anleitung ;) Gab es bei der VirtumondeBeGone-Asuführung eigentlich irgendwelche Fehlermeldungen oder sonstige Meldungen? |
ICH HABS GESCHAFFT:huepp: hier ist es. udn bei der ausführung von virtumondbegone hat es keine probleme gegeben. [SC] GetServiceConfig SUCCESS SERVICE_NAME: MSControlService TYPE : 10 WIN32_OWN_PROCESS START_TYPE : 3 DEMAND_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\system32\windows LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Microsoft cache control DEPENDENCIES : SERVICE_START_NAME : LocalSystem |
hier sind nochmal die neuen logs aus smit fraud und VBG nachdem ich mit smitfraud und vundo noch so einiges gelöscht hab. SmitFraudFix v2.285 Scan done at 15:36:05,51, 11.02.2008 Run from C:\Dokumente und Einstellungen\Chris\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is FAT32 Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost »»»»»»»»»»»»»»»»»»»»»»»» VACFix VACFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix S!Ri's WS2Fix: LSP not Found. »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files »»»»»»»»»»»»»»»»»»»»»»»» IEDFix IEDFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» DNS »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End [02/11/2008, 15:50:29] - VirtumundoBeGone v1.5 ( "C:\Dokumente und Einstellungen\Chris\Desktop\VirtumundoBeGone.exe" ) [02/11/2008, 15:50:30] - Detected System Information: [02/11/2008, 15:50:30] - Windows Version: 5.1.2600, Service Pack 2 [02/11/2008, 15:50:30] - Current Username: Chris (Admin) [02/11/2008, 15:50:30] - Windows is in NORMAL mode. [02/11/2008, 15:50:30] - Searching for Browser Helper Objects: [02/11/2008, 15:50:30] - BHO 1: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class) [02/11/2008, 15:50:30] - BHO 2: {91a173f6-9c08-4258-8a01-85fc1906c80e} () [02/11/2008, 15:50:30] - WARNING: BHO has no default name. Checking for Winlogon reference. [02/11/2008, 15:50:30] - Checking for HKLM\...\Winlogon\Notify\hveqsokw [02/11/2008, 15:50:30] - Key not found: HKLM\...\Winlogon\Notify\hveqsokw, continuing. [02/11/2008, 15:50:30] - BHO 3: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} (Google Toolbar Notifier BHO) [02/11/2008, 15:50:30] - BHO 4: {EA5332AA-280E-4FEF-822D-0584877B2B4A} () [02/11/2008, 15:50:30] - WARNING: BHO has no default name. Checking for Winlogon reference. [02/11/2008, 15:50:30] - Checking for HKLM\...\Winlogon\Notify\ddabc [02/11/2008, 15:50:30] - Key not found: HKLM\...\Winlogon\Notify\ddabc, continuing. [02/11/2008, 15:50:30] - Finished Searching Browser Helper Objects [02/11/2008, 15:50:30] - Finishing up... [02/11/2008, 15:50:30] - Nothing found! Exiting... |
TACH NOCHMA ich hab jetz zwar deutlich weniger vitumonde auf meinem pc:aplaus: doch der spyware doctor scan zeigt immer noch 20 infizierungen mit virtumonden an und außerdem 2 infizierungen mit dem trojan-dowloader.conhook...:heulen: ne idee vielleicht wie ich die noch wegbekomme?????? |
Führe bitte einen eScan durch. Anleitung dazu findest du in meiner Signatur. |
Alles klar habs geschafft ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NORMAL eScan Version: 9.2.6 Sprache: German Virus-Datenbank Datum: 2/11/2008 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen. System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\Dokumente und Einstellungen\Chris\Desktop\ComboFix.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\windows infiziert von "Trojan.Win32.Zapchast.dt" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\windows infiziert von "Trojan.Win32.Zapchast.dt" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\windows infiziert von "Trojan.Win32.Zapchast.dt" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online_ZusatzSoftware\Virenschutz\NAV\External\NORTON\NAVAPW32.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\Chris\Desktop\ComboFix.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Recycled\Dc11.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ File C:\Dokumente und Einstellungen\Chris\Desktop\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Dokumente und Einstellungen\Chris\Desktop\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\system32\nwiarjue.dll.vir markiert als "not-a-virus:AdWare.Win32.Virtumonde.dnn". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\system32\nwiarjue.dll.vir markiert als "not-a-virus:AdWare.Win32.Virtumonde.dnn". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Dokumente und Einstellungen\Chris\Desktop\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Dokumente und Einstellungen\Chris\Desktop\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Programme\Mozilla Firefox\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{43F07DC6-92FC-4C42-B92E-4F48C15D3C71}\RP365\A0240672.DLL markiert als "not-a-virus:AdWare.Win32.Virtumonde.dnn". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{43F07DC6-92FC-4C42-B92E-4F48C15D3C71}\RP365\A0241656.DLL markiert als "not-a-virus:AdWare.Win32.Virtumonde.dnn". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{43F07DC6-92FC-4C42-B92E-4F48C15D3C71}\RP366\A0243855.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.dnn". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{43F07DC6-92FC-4C42-B92E-4F48C15D3C71}\RP366\A0243919.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.dnn". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{43F07DC6-92FC-4C42-B92E-4F48C15D3C71}\RP366\A0243922.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.dnn". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\VundoFix Backups\mxyqwqft.dll.bad markiert als "not-a-virus:AdWare.Win32.Virtumonde.dnn". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\VundoFix Backups\yequldkj.dll.bad markiert als "not-a-virus:AdWare.Win32.Virtumonde.dnn". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\WINDOWS\system32\swreg.exe Offending file found: C:\WINDOWS\system32\swsc.exe Offending file found: C:\WINDOWS\system32\process.exe Offending file found: C:\Dokumente und Einstellungen\Chris\Desktop\smitfraudfix\process.exe Offending file found: C:\Dokumente und Einstellungen\Chris\Desktop\smitfraudfix\reboot.exe Offending file found: C:\Dokumente und Einstellungen\Chris\Desktop\smitfraudfix\swreg.exe Offending file found: C:\Dokumente und Einstellungen\Chris\Desktop\smitfraudfix\swsc.exe Offending file found: C:\WINDOWS\system32\unrar.dll ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKLM\Software\magnet !!! Offending Key found: HKCU\\magnet !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\F !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{94a816a0-00fa-11da-a517-806d6172696f} !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ Executable Command Found in F\Name\Shell\AutoRun\command: F:\Autorun.exe Executable Command Found in {94a816a0-00fa-11da-a517-806d6172696f}\Name\Shell\AutoRun\command: F:\Autorun.exe ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\WINDOWS\Temp\ZLT01880.TMP nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\WINDOWS\Temp\ZLT047d6.TMP nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\WINDOWS\Temp\ZLT062a9.TMP nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\WINDOWS\Temp\ZLT06e58.TMP nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\WINDOWS\Temp\ZLT034b4.TMP nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\WINDOWS\Temp\ZLT022af.TMP nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 113519 Gefundene Viren: 33 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 355 Dauer des Scans bisher: 00:59:01 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Aktiviert Überprüfung aller Festplatten :Deaktiviert Batchstart: 22:07:12,45 Batchende: 22:07:40,53 |
Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Arbeiten mit regedit. Starte den Rechner im abgesicherten Modus Start->ausführen-> " regedit "->#ENTER# drücken! Datei->exportieren->speichern an einem Platz wo du sie wiederfindest.. ;) Die Datei die erstellt wurde dient als Sicherung falls etwas bei der Bearbeitung der Registrierung schief geht kannst du sie durch die Import-Funktion wiederherstellen. Dann navigierst du links zu den folgenden Schlüsseln und löscht sie: Zitat:
Installation des cCleaners bitte ohne die Toolbar! Benutzerdefinierte Installation wählen. Dann startest du den Rechner im normalen Modus neu. |
JAAAAAAAAA DANKE MANN SPYWARE DOCTOR ZEIGT KEINEN BEFUND MEHR AN; ICH DENK MAL DAS WARS:Boogie::Boogie::Boogie::Boogie::Boogie::Boogie: DANKE MANN:party: |
:) immer gerne.. Die Systemwiederherstellung kannst du wieder aktivieren.. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:04 Uhr. |
Copyright ©2000-2025, Trojaner-Board