|
"Your privacy is in danger!"-Problem, Anleitung erwünscht. Hallo. Bin gerade zu Besuch bei meinen Eltern und muss feststellen, dass der PC von meinem Vater total verseucht ist. Der Desktop zeigt ein rotes "Biohazard" Bild und den Schriftzug "Your Privacy is in Danger". Ich habe mich schon etwas informiert und mir die Programme: hijackthis und SmidFraudFix runtergeladen. Während ich hier schreibe öffnen sich andauernd PopUps und die wollen, dass ich AntiVir-Software runterladen und die mir erzählen wie verseucht mein PC ist. Ich wäre euch dankbar, wenn Ihr mir Schritt für Schritt erklären könntet, wie ich die Fülle an Malware, Trojanern etc. loswerden kann ohne das System neu aufsetzten zu müssen. Ich würde meinen Vater auch gerne eine Art Liste über den Rechner hängen auf der steht, was er niemals im Internet machen soll und was er sich nicht runterladen darf... eine Art Leitfaden für sicheres Surfen im Internet. Kennt Ihr so etwas? Hier erstmal der LogFile von HiJackThis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:51:53, on 04.03.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe c:\programme\gemeinsame dateien\mcafee\mna\mcnasvc.exe c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe C:\Programme\McAfee\MPF\MPFSrv.exe C:\Programme\McAfee\MSK\MskSrver.exe C:\WINDOWS\system32\svchost.exe C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe C:\PROGRA~1\McAfee.com\Agent\mcagent.exe C:\WINDOWS\Explorer.EXE C:\Programme\Analog Devices\Core\smax4pnp.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe C:\Programme\FRITZ!DSL\Awatch.exe C:\Programme\avmwlanstick\FRITZWLANMini.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\antiviirus.exe C:\Programme\WEB.DE\WEB.DE Club E-Mail Alarm\EmailAlarm.exe C:\Programme\WEB.DE\WEB.DE SmartDrive Manager\DAVSRV.EXE C:\Programme\XP Antivirus\xpa.exe C:\DOKUME~1\JEAN-F~1\LOKALE~1\Temp\D01Trslh.exe C:\Programme\WISO\Sparbuch 2008\urteilsmonitor.exe C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe C:\WINDOWS\system32\winlagan.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\McAfee\VIRUSS~1\mcvsshld.exe C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe C:\Programme\HiJackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = **://www.euro.dell.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = **://de.rd.yahoo.com/customize/ycomp/defaults/sb/***://de.docs.yahoo.com/info/ie6.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = **://de.rd.yahoo.com/customize/ycomp/defaults/sp/***://de.yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = **://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = **://de.rd.yahoo.com/customize/ycomp/defaults/su/***://de.yahoo.com R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1 R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programme\IEPro\iepro.dll O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: McAntiPhishingBHO - {377C180E-6F0E-4D4C-980F-F45BD3D40CF4} - C:\Programme\McAfee\MSK\mcapbho.dll O2 - BHO: RDL Rolex - {6027FDCA-AE2C-438B-8535-3A96C154F97C} - C:\WINDOWS\dgtxrdfqnt.dll O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan\scriptsn.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll O2 - BHO: Google.Awards - {D5E929E5-6B86-401F-A478-95205721B202} - C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Microsoft\PrintHood\msodocaul.gl1 O2 - BHO: Gamburg provider - {D8E11460-0D64-4a20-BED9-BA68BED58342} - wirpc.dll (file missing) O3 - Toolbar: (no name) - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - (no file) O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file) O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll O3 - Toolbar: ekvgsnw - {7EB9F20D-11C7-4D4C-828A-A29F010BD259} - C:\WINDOWS\ekvgsnw.dll O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [mcagent_exe] C:\Programme\McAfee.com\Agent\mcagent.exe /runkey O4 - HKLM\..\Run: [antiviirus] C:\Programme\antiviirus.exe O4 - HKLM\..\Run: [autoload] C:\Dokumente und Einstellungen\***\Local Settings\Application Data\cftmon.exe O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1 O4 - HKCU\..\Run: [WEB.DE Club E-Mail Alarm] C:\Programme\WEB.DE\WEB.DE Club E-Mail Alarm\EmailAlarm.exe O4 - HKCU\..\Run: [WEB.DE_WEB.DE SmartDrive Manager] "C:\Programme\WEB.DE\WEB.DE SmartDrive Manager\DAVSRV.EXE" /hide O4 - HKCU\..\Run: [XP Antivirus] C:\Programme\XP Antivirus\xpa.exe O4 - HKCU\..\Run: [autoload] C:\Dokumente und Einstellungen\***\Local Settings\Application Data\cftmon.exe O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WISO Urteilsmonitor.lnk = C:\Programme\WISO\Sparbuch 2008\urteilsmonitor.exe O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - Software - (no file) O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - **://download.mcafee.com/molbin/shared/mcinsctl/de/4,0,0,83/mcinsctl.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{6CE2E41A-10B7-4903-A24B-1676CBCBC162}: NameServer = 192.168.122.252,192.168.122.253 O21 - SSODL: alofkmn - {AF1921A6-CE44-4B29-8023-FFF7D8CB1ADF} - C:\WINDOWS\alofkmn.dll O21 - SSODL: bxlrvps - {9895B79A-58B6-47F3-9E30-6D06D0612F0C} - C:\WINDOWS\bxlrvps.dll O21 - SSODL: KernelCD - {400c297d-fef6-4988-a5ba-25cde7a915fd} - C:\WINDOWS\Installer\{400c297d-fef6-4988-a5ba-25cde7a915fd}\KernelCD.dll O21 - SSODL: zip - {93cea0af-68d9-4ab2-ad46-407f763c1adf} - C:\WINDOWS\Installer\{93cea0af-68d9-4ab2-ad46-407f763c1adf}\zip.dll O21 - SSODL: RamChk - {f8d7c3b3-ecb9-4fe4-923a-7e99e6bd7f4d} - C:\WINDOWS\Installer\{f8d7c3b3-ecb9-4fe4-923a-7e99e6bd7f4d}\RamChk.dll O22 - SharedTaskScheduler: Wheel Mouse Optical Driver - {D1A2E7CD-F5C1-21A8-CA2C-13D0AC72D19D} - C:\WINDOWS\system32\dxmpp.dll (file missing) O23 - Service: McAfee Application Installer Cleanup (0248351204632602) (0248351204632602mcinstcleanup) - McAfee, Inc. - C:\WINDOWS\TEMP\024835~1.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Google Online Search Service - Unknown owner - C:\WINDOWS\system32\winlagan.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\programme\gemeinsame dateien\mcafee\mna\mcnasvc.exe O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programme\McAfee\MPF\MPFSrv.exe O23 - Service: McAfee SpamKiller Service (MSK80Service) - McAfee, Inc. - C:\Programme\McAfee\MSK\MskSrver.exe O23 - Service: Taskplaner (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe O23 - Service: [verify-U]-Service ([verify-U]) - Unknown owner - C:\Programme\[verify-U] AVS\[verify-U]-Service.exe (file missing) O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm -- End of file - 12368 bytes Vielen Dank für eure Hilfe. |
Die Büchse ist ganz schön zerdaddelt. Einfacher und sicherer wäre es schon die Kiste neu aufzusetzen. Schädlingsdateien aus dem Log ersichtlich: C:\Programme\antiviirus.exe C:\Programme\XP Antivirus\xpa.exe C:\DOKUME~1\JEAN-F~1\LOKALE~1\Temp\D01Trslh.exe C:\WINDOWS\system32\winlagan.exe C:\WINDOWS\dgtxrdfqnt.dll C:\WINDOWS\ekvgsnw.dll C:\Dokumente und Einstellungen\***\Local Settings\Application Data\cftmon.exe C:\WINDOWS\system32\drivers\spools.exe C:\WINDOWS\alofkmn.dll C:\WINDOWS\bxlrvps.dll C:\PROGRA~1\WinTV\HCWTVS~1.EXE Sicherheitssoftware kann einfach nicht zuverlässig schützen, wenn so sorglos gesurft wird, ich wette um 100 € mit Adminrechten :D - Surfen mit IE6 - Java-Version ist uralt Hier ist zu viel Müll auf einem haufen, von einer Bereinigung würde ich abraten und zu einem flachmachen und neu aufsetzen des Betriebssystems dringends raten. |
Danke für die schnelle Antwort. Das Problem ist, dass mein Vater zur Zeit im Urlaub ist und ich nicht weiß welche Dateien er noch braucht. Könnte man überhaupt Bilder, Dokumente oder speziell WisoMeinGeld-Daten ohne Gefahr auf ein Speicher-Stick "backuppen", ohne irgendwelche Schädlinge mitzuschleppen? Soll ich mal die von Dir rot markierten Einträgen fixen? In einem anderen Thread wurde versucht das Problem mit unterschiedlichsten Programmen zu bekämpfen. Ginge das hierei wirklich nicht?? Wenigsten so lange bis mein Vater wieder kommt und die wichtigsten Sachen backuppen kann. Danach würde ich ihm zu einem neuaufsetzen raten. Da ich auch ein Laie bin, hätte ich gerne gewusst, was du mit "surfen mit Adminrechten" meinst? Wie sollte man denn am besten surfen? Als "Gast"? Ich wäre dir dankbar, wenn du mir beim Aufräumen des Systems helfen würdest. |
Zitat:
Zitat:
Zitat:
Und wenn Du schon mehrfach irgendwo ein und dasselbe postest, solltest du den anderen wenigstens den Link geben um zu sehen was schon für Maßnahmen ergriffen wurden. Zitat:
Zitat:
Zitat:
2.) Beachte diese Anleitung zum Avenger, kopiere aber folgenden Text hinein (statt den *** schreibst du den Username rein!): Code: folders to delete:3.) CCleaner/Datfind.bat => Anleitung 4.) Zusätzlich diese Tools und deren logs posten: * Blacklight5.) Ein frisches HJT-Logfile mit Hilfe dieser umbenannten hijackthis.exe |
hallo root24, Danke dafür dass du an meinem Problem dran bleibst. Ich werde mich heute Abend an Deine Aufgaben machen. Vielen Dank! Ich habe mein Problem noch in keinem anderen Thread gepostet und kein X-Posting betrieben!! Ich meinte nur, dass ich das gleiche Problem schon in anderen Posts gelesen habe, von anderen Usern, und dort wurde versucht das System mit unterschiedlichsten Mitteln zu bereinigen. Ich bin dir sehr dankbar für Deine Hilfe. Grüße Vince |
So, los geht's: 1) Avenger-Logfile: Logfile of The Avenger Version 2.0, (c) by Swandog46 Swandog46's Public Anti-Malware Tools Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: could not open folder ""C:\WINDOWS\privacy_danger"" Deletion of folder ""C:\WINDOWS\privacy_danger"" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Error: could not open folder ""C:\Programme\XP Antivirus"" Deletion of folder ""C:\Programme\XP Antivirus"" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Error: could not open file ""C:\Programme\antiviirus.exe"" Deletion of file ""C:\Programme\antiviirus.exe"" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Error: could not open file ""C:\DOKUME~1\JEAN-F~1\LOKALE~1\Temp\D01Trslh.exe"" Deletion of file ""C:\DOKUME~1\JEAN-F~1\LOKALE~1\Temp\D01Trslh.exe"" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Error: could not open file ""C:\WINDOWS\system32\winlagan.exe"" Deletion of file ""C:\WINDOWS\system32\winlagan.exe"" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Error: could not open file ""C:\WINDOWS\dgtxrdfqnt.dll"" Deletion of file ""C:\WINDOWS\dgtxrdfqnt.dll"" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Error: could not open file ""C:\WINDOWS\ekvgsnw.dll"" Deletion of file ""C:\WINDOWS\ekvgsnw.dll"" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Error: could not open file ""C:\Dokumente und Einstellungen\---\Local Settings\Application Data\cftmon.exe"" Deletion of file ""C:\Dokumente und Einstellungen\---\Local Settings\Application Data\cftmon.exe"" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Error: could not open file ""C:\WINDOWS\system32\drivers\spools.exe"" Deletion of file ""C:\WINDOWS\system32\drivers\spools.exe"" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Error: could not open file ""C:\WINDOWS\alofkmn.dll"" Deletion of file ""C:\WINDOWS\alofkmn.dll"" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Error: could not open file ""C:\WINDOWS\bxlrvps.dll"" Deletion of file ""C:\WINDOWS\bxlrvps.dll"" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Completed script processing. ******************* Finished! Terminate. ----- Leider konnte ich das back-Up-file noch nicht hochladen. file-upload.net hat irgendein Problem. ich versuche es später noch mal. |
Hm das Löschen hat irgendwie nicht geklappt. Ich vermute die Anführungszeichen sind schuld, kann sein das sich beim Avenger das geändert hat (seit kurzem wurde das Programm überarbeitet). Mach das nochmal mit diesem Tool aber kopiere diesen Text rein: Code: folders to delete: |
Habe es noch mal gemacht. Aber dieses Mal findet er die Dateien im "Dokumente und Einstellungen"-Ordner nicht. Muss ich dabei irgendetwas beachten? Habe mal den Namen drin gelassen. Mein Vater hat es ja eh nicht so mit Anonymität und Sicherheit ;o) Logfile: Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. Hidden driver "NdisWon" found! Start Type: 2 (Automatic) Rootkit scan completed. Folder "C:\WINDOWS\privacy_danger" deleted successfully. Folder "C:\Programme\XP Antivirus" deleted successfully. File "C:\Programme\antiviirus.exe" deleted successfully. Error: file "C:\DOKUME~1\JEAN-F~1\LOKALE~1\Temp\D01Trslh.exe" not found! Deletion of file "C:\DOKUME~1\JEAN-F~1\LOKALE~1\Temp\D01Trslh.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist File "C:\WINDOWS\system32\winlagan.exe" deleted successfully. File "C:\WINDOWS\dgtxrdfqnt.dll" deleted successfully. File "C:\WINDOWS\ekvgsnw.dll" deleted successfully. Error: could not open file "C:\Dokumente und Einstellungen\Jean-Francois\Local Settings\Application Data\cftmon.exe" Deletion of file "C:\Dokumente und Einstellungen\Jean-Francois\Local Settings\Application Data\cftmon.exe" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist File "C:\WINDOWS\system32\drivers\spools.exe" deleted successfully. File "C:\WINDOWS\alofkmn.dll" deleted successfully. File "C:\WINDOWS\bxlrvps.dll" deleted successfully. Completed script processing. ******************* Finished! Terminate. |
2.) Datfindbat-File: dirdat.txt Ist das so OK mit dem Link, oder einfach Text reinkopieren? Grüße & Danke. |
3.) Blacklite hat nichts gefunden. 4.) e-scan: Ich habe die e-scan anleitung befolgt, doch bei der Auswertung mit Hilfe der find.bat muss etwas schief gelaufen sein. Beim Scan mit e-scan wurden diverse Viren etc. gefunden, aber bei der Auswertung steht nichts davon. Das Log-File ist 7.6 MB groß, soll ich es hochladen? ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NETWORK eScan Version: 9.7.6 Sprache: English C:\DOKUME~1\JEAN-F~1\LOKALE~1\Temp\MWAV.LOG ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Batchstart: 0:58:44,39 Batchende: 0:59:00,40 Was nun? 5.) Silentrunners: Silenthunters-Logfile |
|
so, der letze Schritt: eine neu Hijckthis-File: HiJackThis-Logfile Ich danke Dir vielmals für Deine Hilfe. Bin nur noch bis heute Abend bei meinem Vater. Wäre schön wenn ich heute noch eine Antwort von Dir erhalten könnte bzw. die nächsten Schritte. Hast Du denn Links zu Seiten auf denen erklärt wird wie man ein System neu aufsetzt und was man danach beachten soll? Grüße, Vince |
Hi, bei der find.bat gibts derzeit ein paar Probleme. Würdest du für mich mal folgende find.bat testen: Code: @echo offund das Ergebnis posten? lg myrtille |
Hi myrtille. Sorry, aber ich bin da gerade etwas überfordert :confused:. Wenn ich Dich richtig verstanden habe, dann soll ich den code-text kopieren und eine neue Textdatei erstellen und diese als find.bat abspeichern. Dadurch erhalte ich eine Textdatei mit dem Namen find.bat und diesen Text soll ich dann posten.!? Doch das ist doch der gleiche Text?? Oder soll ich datfind noch mal ausführen? Bitte noch mal für ganz Dumme! :headbang: Danke. |
Liste der Anhänge anzeigen (Anzahl: 1) 'Äh ja.. Da fehlt wohl ein Schritt in der Anleitung :D Wenn du die bisherige Anleitung richtig gemacht hast, sollte die Datei jetzt folgendes Icon haben: http://www.trojaner-board.de/attachm...1&d=1204809552 Stimmt das soweit? Wenn ja einfach die Datei per Doppelklick ausführen und es sollte sich am Schluss (kann länger dauern) ein neues Texteditor fenster öffnen, in dem das eScanergebnis steht. Damit das ganze funktioniert muss die Datei MWAV.log in %temp% liegen. Gib dafür in deinem Explorer in die Adressleiste (wenn diese nicht angezeigt wird, kannst du das einfach ändern, indem du im Explorer im Menüpunkt "Ansicht" --> "Symbolleisten" --> "Adressleiste" anwählst) einfach %temp% ein und schau ob in dem Ordner die Datei MWAV.log vorhanden ist. Wenn nicht kannst du dir die find.bat sparen. ;) lg myrtille |
Das Problem ist, dass ich irgendwie kein Editor öffnen kann. Wenn ich eine neue Datei erstellen will, dann wird mir das Editor-Programm nicht angezeigt! Mit dem "Textdokument" kann ich keine Bat-Datei erstellen. Außerdem befindet sich im Temp-Ordner keine MWAV.log! Hm...und jetzt? |
Kannst du denn nicht für mich die find.bat erstellen und sie mit file-upload.net hochladen? ich führ die dann aus und lade das Ergebnis hoch? geht das`? |
Das ist die find.bat. :D Aber versuch es mal hiermit: klick lg myrtille BTW: Wie hast du denn die find.bat aus der eScan-Anleitung gespeichert? |
Habe bei der escan anleitung mit "ziel speichern unter..." die Datei auf meinem Desktop gespeichert. Beim ausführen Deiner find.dat bekomme ich die Fehlermeldung, dass mein escan in englisch installiert wurde.... Wie wäre es wenn ich den escan nochmal durchführe? Also, escan installieren, im abgesicherten Modus durchführen und dann die neue find.dat benutze? |
Argh, das hatte ich übersehen. :o Sorry für die ganzen Umstände, die nichts gebracht haben. :o Ähm, warten wir vllt einfach mal ab ob root das Log wirklich braucht. ;) Wenn ja wirst du um einen neuen Scan nicht herumkommen. ;) lg myrtille |
Zitat:
Den ersten Anschein nach liegt aber noch ne Menge Müll in Systembereichen!! :pfui: Ich würd Dir eigenlich schon lieber dazu raten, das System neu aufzusetzen. |
Ok. Ich werde wohl erst am Sonntag dazu kommen. Ich danke dir schon mal für deine Hilfe. Danke. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:06 Uhr. |
Copyright ©2000-2025, Trojaner-Board