|
Worm.Win32.NetSky macht auch bei mir Probleme Liebe Spezis. Ich habe, wie auch viele andere hier, das Problem mit "Worm.Win32.NetSky". Hier schon mal, so wie Ihr es ja zu Anfang immer fordert, das gerade erstellte HiJackTihs-Logfile des betroffenen Laptops. ++++++++++++++++++++ Logfile of HijackThis v1.99.1 Scan saved at 13:39:11, on 17.03.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16608) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe C:\WINDOWS\System32\wltrysvc.exe C:\WINDOWS\System32\bcmwltry.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\WINDOWS\stsystra.exe C:\Programme\Dell\Media Experience\DMXLauncher.exe C:\WINDOWS\system32\WLTRAY.exe C:\WINDOWS\system32\igfxsrvc.exe C:\Programme\Dell\QuickSet\quickset.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\WINDOWS\System32\DLA\DLACTRLW.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe C:\Programme\antiviirus.exe C:\Programme\tmp0.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Digital Line Detect\DLG.exe C:\Programme\CASIO\Photo Loader\Plauto.exe C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe C:\Programme\HiJackThis\HijackThis.exe C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://w*w.euro.dell.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: GNX Rolex - {34D7198C-3B26-4434-B8B0-53DCE7410E70} - C:\WINDOWS\drnpfdxwrs.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll O3 - Toolbar: etlrlws - {269B1AAF-415B-4C27-B8D0-1618BB6F03A1} - C:\WINDOWS\etlrlws.dll O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe O4 - HKLM\..\Run: [DMXLauncher] C:\Programme\Dell\Media Experience\DMXLauncher.exe O4 - HKLM\..\Run: [Dell Wireless Manager UI] C:\WINDOWS\system32\WLTRAY O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE O4 - HKLM\..\Run: [MSKDetectorExe] C:\Programme\McAfee\SpamKiller\MSKDetct.exe /uninstall O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton AntiVirus\osCheck.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [antiviirus] C:\Programme\antiviirus.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ModemOnHold] C:\Programme\NetWaiting\netwaiting.exe O4 - Global Startup: Digital Line Detect.lnk = ? O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O17 - HKLM\System\CCS\Services\Tcpip\..\{B70B27B8-B6CD-4BEC-AAA9-05C9A174D181}: NameServer = 192.168.1.1 O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: bokpkov - {FDCDF4E0-E483-423A-9F38-2D9A788AF093} - C:\WINDOWS\bokpkov.dll O21 - SSODL: altvxvm - {65933D47-B3C0-4410-9094-D566196B26F9} - C:\WINDOWS\altvxvm.dll O21 - SSODL: VolumeChk - {edf012d3-1577-4fd6-b5cd-7f8e73e5bfdc} - C:\WINDOWS\Installer\{edf012d3-1577-4fd6-b5cd-7f8e73e5bfdc}\VolumeChk.dll O21 - SSODL: zip - {daa729e0-0dbb-4450-bb46-34f747e62fb2} - C:\WINDOWS\Installer\{daa729e0-0dbb-4450-bb46-34f747e62fb2}\zip.dll O23 - Service: Automatisches LiveUpdate - Scheduler (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE O23 - Service: LiveUpdate Notice - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe ++++++++++++++++++++ Ich hoffe, dass Ihr mir genau so gut helfen könnt wie meine Leidensgenossen. Vorab vielen Dank für die Unterstützung. Herzliche Grüße Fredmann |
So , das hier sind die schädlichen .exes: Unbekannt C:\Programme\antiviirus.exe C:\Programme\tmp0.exe C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe --->Wobei ich mir dort nicht sicher bin. R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2 --->Dieser Eintrag sollte unbedingt mit HiJackThis gefixt werden. O2 - BHO: GNX Rolex - {34D7198C-3B26-4434-B8B0-53DCE7410E70} - C:\WINDOWS\drnpfdxwrs.dll O3 - Toolbar: etlrlws - {269B1AAF-415B-4C27-B8D0-1618BB6F03A1} - C:\WINDOWS\etlrlws.dll O4 - HKLM\..\Run: [antiviirus] C:\Programme\antiviirus.exe Lade diese Dateien nach genauen Pfad nacheinander bei Virustotal.com hoch. Wer weiß wen Worm.Netsky so noch mitgebracht hat. Poste bitte die vollständigen Ergebisse hier. |
Hallo und vielen Dank zunächst. Anbei das Ergebnis der Datei "antiviirus.exe". ++++++++++++++++++++ Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.3.18.0 2008.03.17 - AntiVir 7.6.0.73 2008.03.17 TR/Agent.fwi Authentium 4.93.8 2008.03.14 - Avast 4.7.1098.0 2008.03.16 - AVG 7.5.0.516 2008.03.17 - BitDefender 7.2 2008.03.17 - CAT-QuickHeal 9.50 2008.03.14 (Suspicious) - DNAScan ClamAV 0.92.1 2008.03.17 Trojan.Dropper-5246 DrWeb 4.44.0.09170 2008.03.17 - eSafe 7.0.15.0 2008.03.09 Suspicious File eTrust-Vet 31.3.5621 2008.03.17 Win32/Pripecs.JK Ewido 4.0 2008.03.17 - F-Prot 4.4.2.54 2008.03.16 - F-Secure 6.70.13260.0 2008.03.17 Trojan-Downloader.Win32.Small.ivo FileAdvisor 1 2008.03.17 - Fortinet 3.14.0.0 2008.03.17 - Ikarus T3.1.1.20 2008.03.17 Trojan-Clicker.Win32.Small.BG Kaspersky 7.0.0.125 2008.03.17 Trojan-Downloader.Win32.Small.ivo McAfee 5252 2008.03.14 - Microsoft 1.3301 2008.03.16 TrojanDownloader:Win32/Zirit.A NOD32v2 2952 2008.03.17 a variant of Win32/TrojanDropper.Agent.EYA Norman 5.80.02 2008.03.17 W32/DLoader.GEAT Panda 9.0.0.4 2008.03.16 Suspicious file Prevx1 V2 2008.03.17 Generic9.AUST Rising 20.36.02.00 2008.03.17 - Sophos 4.27.0 2008.03.17 - Sunbelt 3.0.963.0 2008.03.14 - Symantec 10 2008.03.17 - TheHacker 6.2.92.247 2008.03.15 - VBA32 3.12.6.2 2008.03.16 - VirusBuster 4.3.26:9 2008.03.17 Trojan.DL.Lodll.B Webwasher-Gateway 6.6.2 2008.03.17 Trojan.Agent.fwi weitere Informationen File size: 21740 bytes MD5: edacb33c3d1dd836b90cb9727f0630a7 SHA1: 3f0017afca8a6dcf95b4456c5a39c5bd834d7126 PEiD: PECompact 2.xx --> BitSum Technologies packers: embedded, PecBundle, PECompact packers: PE_Patch.PECompact, PecBundle, PECompact Prevx info: h**p://info.prevx.com/aboutprogramtext.asp?PX5=7228DE47EC9782F940DB0008D381AB00AEB9480E +++++++++++++++++++ Die Datei "NICCONFIGSVC.exe" hatte zum Glück kein Ergebnis, so dass ich auf den Bericht verzichte. Leider konnte ich die Datei "tmp0.exe" haben ich unter "C:\Programme\tmp0.exe" nicht gefunden, obwohl unter HiJackThis diese Datei immer im o.a. Verzeichnis angezeigt wird. Kann man aus aus dem ersten Logfile schon was entnehmen? Vielen Dank und Grüße Fredmann |
Entnehmen kann mann schon aller Hand. Ich werde noch etwas länger brauchen , um die richtige Reinigung herauszufinden. |
Hallo Fredmann Information antiviirus.exe / tmp0.exe löschen ------------- mit dem HijackThis löschen ("fixen") Klicke: "Do a system scan only" Setze ein Häckchen in das Kästchen vor den genannten Eintrag und wähle fix checked Zitat:
wende sdfix an (nur im abgesicherten Modus möglich) SDFix poste dann hier den report 2. wende Malwarebytes an + poste den report (vorher alles gefundene löschen lassen) Malwarebytes Anti-Malware 3. wende Combofix an + poste den report combofix |
Hallo Sabina. Vielen Dank für Deine Hilfe! Habe alles nach Deinen Vorgaben ausgeführt. Hier die Logs. Log von sdfix: ++++++++++++++++++++ SDFix: Version 1.158 Run by Administrator on 17.03.2008 at 16:41 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Checking Services : Restoring Windows Registry Values Restoring Windows Default Hosts File Restoring Default HomePage Value Restoring Default Desktop Components Value Rebooting Checking Files : Trojan Files Found: C:\WINDOWS\Installer\{edf012d3-1577-4fd6-b5cd-7f8e73e5bfdc}\VolumeChk.dll - Deleted C:\WINDOWS\Installer\{daa729e0-0dbb-4450-bb46-34f747e62fb2}\zip.dll - Deleted C:\WINDOWS\drnpfdxwrs.dll - Deleted C:\Programme\antiviirus.exe - Deleted C:\WINDOWS\altvxvm.dll - Deleted C:\WINDOWS\bokpkov.dll - Deleted C:\WINDOWS\etlrlws.dll - Deleted C:\WINDOWS\fmsxwqs.exe - Deleted Folder C:\WINDOWS\Installer\{edf012d3-1577-4fd6-b5cd-7f8e73e5bfdc} - Removed Folder C:\WINDOWS\Installer\{daa729e0-0dbb-4450-bb46-34f747e62fb2} - Removed Removing Temp Files ADS Check : Final Check : catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://w*w.gmer.net Rootkit scan 2008-03-17 16:46:23 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... ++++++++++++++++++++ Log von ComboFix: ++++++++++++++++++++ ComboFix 08-03-14.4 - ****** 2008-03-17 17:03:42.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.176 [GMT 1:00] ausgeführt von:: F:\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\******\Desktop\Error Cleaner.url C:\Dokumente und Einstellungen\******\Desktop\Privacy Protector.url C:\Dokumente und Einstellungen\******\Desktop\Spyware&Malware Protection.url C:\Dokumente und Einstellungen\******\Favoriten\Error Cleaner.url C:\Dokumente und Einstellungen\******\Favoriten\Privacy Protector.url C:\Dokumente und Einstellungen\****** \Favoriten\Spyware&Malware Protection.url . ((((((((((((((((((((((( Dateien erstellt von 2008-02-17 bis 2008-03-17 )))))))))))))))))))))))))))))) . 2008-03-17 16:38 . 2008-03-17 16:38 <DIR> d-------- C:\WINDOWS\ERUNT 2008-03-17 16:37 . 2008-03-17 16:47 <DIR> d-------- C:\SDFix 2008-03-17 16:31 . 2004-08-18 14:12 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2008-03-17 16:31 . 2004-08-18 14:12 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü 2008-03-17 16:31 . 2004-08-18 14:12 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2008-03-17 16:31 . 2004-08-18 14:12 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2008-03-17 16:31 . 2004-08-18 14:23 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten 2008-03-17 16:31 . 2006-02-07 13:16 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien 2008-03-17 16:31 . 2004-08-18 14:12 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung 2008-03-17 16:31 . 2006-02-07 13:17 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Corel 2008-03-17 16:31 . 2006-02-07 13:06 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2008-03-16 11:39 . 2008-03-16 11:39 16,616 -r-hs---- C:\Programme\tmp0.exe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-03-16 10:30 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared 2008-02-01 13:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec 2008-01-11 05:32 44,544 ----a-w C:\WINDOWS\system32\dllcache\pngfilt.dll 2007-12-19 22:48 347,136 ----a-w C:\WINDOWS\system32\dllcache\dxtmsft.dll 2007-12-18 09:51 179,584 ------w C:\WINDOWS\system32\dllcache\mrxdav.sys 2006-03-08 17:55 56 --sh--r C:\WINDOWS\system32\7595C84C0B.sys 2006-03-08 17:55 3,766 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6D53EC84-6AAE-4787-AEEE-F4628F01010C}] 2008-01-31 12:34 116088 --a------ C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15:00 15360] "ModemOnHold"="C:\Programme\NetWaiting\netwaiting.exe" [2003-09-10 03:24 20480] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-06-24 07:36 729178] "igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-10-14 21:49 94208] "igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-10-14 21:46 77824] "igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-10-14 21:50 114688] "SunJavaUpdateSched"="C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe" [2003-11-19 18:48 32881] "SigmatelSysTrayApp"="stsystra.exe" [2005-09-10 00:19 393216 C:\WINDOWS\stsystra.exe] "DMXLauncher"="C:\Programme\Dell\Media Experience\DMXLauncher.exe" [2005-11-01 04:12 94208] "Dell Wireless Manager UI"="C:\WINDOWS\system32\WLTRAY" [ ] "Dell QuickSet"="C:\Programme\Dell\QuickSet\quickset.exe" [2005-09-01 18:24 684032] "ISUSPM Startup"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" [2005-06-10 11:44 249856] "ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2005-06-10 11:44 81920] "DLA"="C:\WINDOWS\System32\DLA\DLACTRLW.EXE" [2005-09-08 06:20 122940] "MSKDetectorExe"="C:\Programme\McAfee\SpamKiller\MSKDetct.exe" [2005-08-12 16:16 1121792] "ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2008-01-31 13:15 51048] "osCheck"="C:\Programme\Norton AntiVirus\osCheck.exe" [2007-08-24 21:53 714608] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15:00 15360] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Digital Line Detect.lnk - C:\Programme\Digital Line Detect\DLG.exe [2006-02-07 13:12:00 24576] Photo Loader resident.lnk - C:\Programme\CASIO\Photo Loader\Plauto.exe [2006-12-25 12:01:32 217088] [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= R2 LiveUpdate Notice;LiveUpdate Notice;"C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon [] R3 SymIMMP;SymIMMP;C:\WINDOWS\system32\DRIVERS\SymIM.sys [2007-08-09 17:27] S3 COH_Mon;COH_Mon;C:\WINDOWS\system32\Drivers\COH_Mon.sys [2008-01-12 18:32] S3 SymIM;Symantec Network Security Intermediate Filter Service;C:\WINDOWS\system32\DRIVERS\SymIM.sys [2007-08-09 17:27] . Inhalt des "geplante Tasks" Ordners "2007-10-15 19:07:08 C:\WINDOWS\Tasks\Norton AntiVirus - Systemprüfung ausführen - ******.job" - C:\Programme\Norton AntiVirus\Navw32.exel/TASK: . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://w*w.gmer.net Rootkit scan 2008-03-17 17:05:12 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-03-17 17:05:50 ComboFix-quarantined-files.txt 2008-03-17 16:05:40 . 2008-03-15 09:06:01 --- E O F --- ++++++++++++++++++++ Ich hoffe weiterhin um Hilfe. Vielsten Dank! Grüße Fredmann |
«« OTMoveIt by OldTimer öffne: OTMoveIt.exe Kopiere rein: im linken Fenster ,wo steht: Paste Standart List of Files/Folders to be Move Code: C:\Programme\tmp0.exe»» scanne, poste den report Malwarebytes Anti-Malware |
Hallo Sabina. Nach dem Neustart des Rechners kommen die ursprünglichen Probleme nicht mehr. Kannst Du, anhand der Logs sagen, ob mein Problem beseitigt ist? Vieln Dank und beste Grüße Fredmann |
Hallo Sabina. Das Log, nachdem eine Fehlermeldung kam, lautet: ++++++++++++++++++++ File move failed. C:\Programme\tmp0.exe scheduled to be moved on reboot. OTMoveIt2 by OldTimer - Version 1.0.21 log created on 03172008_193429 +++++++++++++++++++ Grüße Fredmann |
STARTE DEN RECHNER NEU ~~~~ ich würde gern noch das SCAN-log sehen von malwarebytes :) Malwarebytes Anti-Malware |
Hallo Sabina. Rechnerneustart und Malware ausgeführt. Logfile wie folgt: ++++++++++++++++++++ Malwarebytes' Anti-Malware 1.08 Datenbank Version: 499 Scan Art: Schnell Scan Objekte gescannt: 26938 Scan Dauer: 6 minute(s), 25 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 2 Infizierte Registrierungswerte: 0 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\etlrlws.bvgl (Trojan.FakeAlert) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Classes\etlrlws.ToolBar.1 (Trojan.FakeAlert) -> No action taken. Infizierte Registrierungswerte: (Keine Malware Objekte gefunden) Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: C:\Programme\tmp0.exe (Trojan.Alphabet) -> No action taken. ++++++++++++++++++++ Beste Grüße Fredmann |
nfizierte Dateien: C:\Programme\tmp0.exe (Trojan.Alphabet) -> No action taken. :( das Proggie loescht, zur Not scanne im abgesicherten modus, dann, nach dem scan klicke auf bereinigen + poste den neuen report |
Hallo Sabina. Im abgesicherten Modus wurde nicht gefunden, so dass ich den Scan dann im normalen Mudus durchführte, 3 infizierte Files fand und diese auch entfernen konnte. Nach einem Neustart und erneutem Scan habe ich folgendes Log erhalten. ++++++++++++++++++++ Malwarebytes' Anti-Malware 1.08 Datenbank Version: 499 Scan Art: Schnell Scan Objekte gescannt: 26804 Scan Dauer: 2 minute(s), 44 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine Malware Objekte gefunden) Infizierte Registrierungswerte: (Keine Malware Objekte gefunden) Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: (Keine Malware Objekte gefunden) ++++++++++++++++++++ Das müsstes es doch hoffentlich gewesen sein - oder? Beste Grüße Fredmann |
ja, das wars ...wunderbar ausgeführt :) Alles Gute. |
Liebe Sabina. 1.000.000 Dankeschön für Deine Rettung! Ein verdientes Osterfest wünsche ich Dir. Herzliche Grüße Fredmann |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:36 Uhr. |
Copyright ©2000-2025, Trojaner-Board