|
bitte logfile-auswertung - trojaner? + windows-problem hallo. ich habe beim internet-explorer ein "hacked by" in der titelleiste stehen. ist das ein trojaner? ich krieg das nicht weg und antivir findet auch nichts. gleichzeitig (soweit ich das beurteilen kann) ist ein weiteres problem aufgetaucht. und zwar kann ich im windows-explorer nicht mehr auf meine festplatten per doppelklick zugreifen. da passiert gar nichts. wenn ich über rechtsklick und öffnen gehe, funktioniert alles ganz normal. oder hat das damit nichts zu tun? (bei den einstellungen habe ich "mit doppelklick öffnen" eingegeben) anbei mein aktuelles logfile. ich hoffe, jemand kann mir helfen. grüße fantatrinker Logfile of Trend Micro HijackThis v2.0.0 (BETA) Scan saved at 10:11:02, on 17.05.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) Boot mode: Normal Running processes: G:\WINDOWS\System32\smss.exe G:\WINDOWS\system32\winlogon.exe G:\WINDOWS\system32\services.exe G:\WINDOWS\system32\lsass.exe G:\WINDOWS\system32\svchost.exe G:\WINDOWS\System32\svchost.exe G:\WINDOWS\system32\spoolsv.exe G:\WINDOWS\Explorer.EXE G:\WINDOWS\system32\RUNDLL32.EXE G:\Programme\AntiVir PersonalEdition Premium\avgnt.exe G:\WINDOWS\SOUNDMAN.EXE G:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe G:\Programme\Java\jre1.6.0_05\bin\jusched.exe G:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe G:\WINDOWS\System32\WScript.exe G:\WINDOWS\system32\ctfmon.exe G:\Programme\phonostar\ps_timer.exe G:\Programme\Olympus\DeviceDetector\DevDtct2.exe G:\Programme\Gemeinsame Dateien\AAV\aavus.exe G:\Programme\AntiVir PersonalEdition Premium\sched.exe G:\Programme\AntiVir PersonalEdition Premium\avguard.exe G:\Programme\AntiVir PersonalEdition Premium\avesvc.exe G:\WINDOWS\System32\nvsvc32.exe G:\WINDOWS\System32\svchost.exe G:\Programme\AntiVir PersonalEdition Premium\avmailc.exe G:\WINDOWS\system32\wscript.exe G:\WINDOWS\system32\wscript.exe G:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe G:\Programme\Mozilla Firefox\firefox.exe G:\WINDOWS\system32\wscript.exe G:\Programme\Mozilla Thunderbird\thunderbird.exe G:\Dokumente und Einstellungen\***\Desktop\HiJackThis_v2.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.***.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by HUMUNKULUS O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - G:\Programme\Java\jre1.6.0_05\bin\ssv.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "G:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [OpwareSE2] "G:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "G:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "G:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [TkBellExe] "G:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [HUMUNKULUS] G:\WINDOWS\SYSTEM32\HUMUNKULUS.vbs O4 - HKCU\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [PhonostarTimer] G:\Programme\phonostar\ps_timer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] G:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] G:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] G:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] G:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Device Detector 3.lnk = G:\Programme\Olympus\DeviceDetector\DevDtct2.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1163271839859 O17 - HKLM\System\CCS\Services\Tcpip\..\{22B95604-91EE-4A7F-9DC0-BBDD9FF0D985}: NameServer = 217.237.151.142 217.237.150.188 O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - G:\WINDOWS\System32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - G:\WINDOWS\System32\browseui.dll O23 - Service: AAV UpdateService - Unknown owner - G:\Programme\Gemeinsame Dateien\AAV\aavus.exe O23 - Service: Adobe LM Service - Adobe Systems - G:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - G:\Programme\AntiVir PersonalEdition Premium\avmailc.exe O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - G:\Programme\AntiVir PersonalEdition Premium\sched.exe O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - G:\Programme\AntiVir PersonalEdition Premium\avguard.exe O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - G:\Programme\AntiVir PersonalEdition Premium\avesvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - G:\WINDOWS\System32\nvsvc32.exe O23 - Service: L Ile Noyee Drivers Auto Removal (pr2ajbeb) (pr2ajbeb) - Micro Application - G:\WINDOWS\system32\pr2ajbeb.exe -- End of file - 6686 bytes |
Hallo Fantatrinker und :hallo: Dateien Online überprüfen lassen: * Lasse dir auch die versteckten Dateien anzeigen! * Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"! * Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen. Zitat:
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!) |
hallo undoreal. zunächst einmal danke für deine rasche antwort. bei mir hat's jetzt etwas länger gedauert. aber ich habe, wie von dir vorgeschlagen, die beiden dateien hochgeladen und die gesamten auswertungen kopiert. sie folgen gleich. wie geht es weiter? schon mal im voraus danke an alle, die's lesen und mir weiterhelfen können. grüße fantatrinker Datei pr2ajbeb.exe empfangen 2008.02.18 15:15:47 (CET) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.2.18.0 2008.02.18 - AntiVir 7.6.0.67 2008.02.18 - Authentium 4.93.8 2008.02.17 - Avast 4.7.1098.0 2008.02.18 - AVG 7.5.0.516 2008.02.18 - BitDefender 7.2 2008.02.18 - CAT-QuickHeal 9.50 2008.02.16 - ClamAV None 2008.02.18 - DrWeb 4.44.0.09170 2008.02.18 - eSafe 7.0.15.0 2008.02.17 - eTrust-Vet 31.3.5546 2008.02.18 - Ewido 4.0 2008.02.18 - F-Prot 4.4.2.54 2008.02.17 - F-Secure 6.70.13260.0 2008.02.18 - FileAdvisor 1 2008.02.18 - Fortinet 3.14.0.0 2008.02.18 - Ikarus T3.1.1.20 2008.02.18 - Kaspersky 7.0.0.125 2008.02.18 - McAfee 5231 2008.02.15 - Microsoft 1.3204 2008.02.18 - NOD32v2 2882 2008.02.18 - Norman 5.80.02 2008.02.15 - Panda 9.0.0.4 2008.02.17 - Prevx1 V2 2008.02.18 - Rising 20.32.02.00 2008.02.18 - Sophos 4.26.0 2008.02.18 - Sunbelt 3.0.884.0 2008.02.18 - Symantec 10 2008.02.18 - TheHacker 6.2.9.222 2008.02.16 - VBA32 3.12.6.1 2008.02.17 - VirusBuster 4.3.26:9 2008.02.18 - Webwasher-Gateway 6.6.2 2008.02.18 - weitere Informationen File size: 411000 bytes MD5: ed83a07fcc79f8a96845486cc93b342a SHA1: 22de4e0f183d13258115c630b26cf28e9dd55430 PEiD: - Datei HUMUNKULUS.vbs empfangen 2008.05.18 00:03:48 (CET) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.5.16.0 2008.05.16 - AntiVir 7.8.0.19 2008.05.17 HEUR/Exploit.HTML Authentium 5.1.0.4 2008.05.17 VBS/Solow.A Avast 4.8.1195.0 2008.05.17 VBS:Solow-C AVG 7.5.0.516 2008.05.17 VBS/Small BitDefender 7.2 2008.05.17 Generic.ScriptWorm.B9387D85 CAT-QuickHeal 9.50 2008.05.17 VBS/IETitle ClamAV 0.92.1 2008.05.17 - DrWeb 4.44.0.09170 2008.05.17 VBS.Generic.582 eSafe 7.0.15.0 2008.05.16 - eTrust-Vet 31.4.5798 2008.05.16 VBS/Slogod Ewido 4.0 2008.05.14 - F-Prot 4.4.2.54 2008.05.16 VBS/Solow.A F-Secure 6.70.13260.0 2008.05.17 VBS/Solow.I Fortinet 3.14.0.0 2008.05.17 - GData 2.0.7306.1023 2008.05.17 Virus.VBS.AutoRun.au Ikarus T3.1.1.26.0 2008.05.17 Virus.VBS.AutoRun.c Kaspersky 7.0.0.125 2008.05.17 Virus.VBS.AutoRun.au McAfee 5297 2008.05.17 VBS/IE-Title Microsoft 1.3408 2008.05.13 Worm:VBS/Slogod.F NOD32v2 3106 2008.05.16 VBS/Butsur.E Norman 5.80.02 2008.05.16 VBS/Solow.I Panda 9.0.0.4 2008.05.17 VBS/FlashJumper.E.worm Prevx1 V2 2008.05.18 - Rising 20.44.52.00 2008.05.17 Worm.VBS.Sowel.a Sophos 4.29.0 2008.05.17 VBS/Solow-Gen Sunbelt 3.0.1123.1 2008.05.17 - Symantec 10 2008.05.17 VBS.Solow TheHacker 6.2.92.311 2008.05.15 - VBA32 3.12.6.6 2008.05.17 - VirusBuster 4.3.26:9 2008.05.17 VBS.Niric.B Webwasher-Gateway 6.6.2 2008.05.17 Heuristic.Exploit.HTML weitere Informationen File size: 4258 bytes MD5...: e180fa279cba58a772cc9c61fbf190f2 SHA1..: 4d22a3b42a07699374d497ca225b5ec49d88f784 SHA256: 93289bef4c8b48a5d6ca707344df52ff1e58ae4f8bacdf3812b2e92391a82170 SHA512: b6787793a1b82ab74e3c4ad0d0fd286ecb3ee5affddb448505c4e7cb65897c78<br>d998714974033627c5510c93473f334c92ae9f33d813d9b80f227a9665b00201 PEiD..: - PEInfo: - packers (Authentium): Unicode packers (F-Prot): Unicode |
VBS/Solow-Gen Win32 worm - Sophos security analysis Formatiere bitte jegliche Speichermedien die mit deinem Rechner in Kontakt gekommen sind und isoliere deinen rechner bis die Bereinigung beendet ist. Jeder der von dir einen USB Stick bekommen hat und ihn an seinen Rechner gesteckt hat ist ebenfalls infiziert. Wechsel bitte in den abgesicherten Modus. Abgesicherter Modus (alle Windows Versionen) So wird der abgesicherte Modus am einfachsten aufgerufen -> KLICK MICH Dort fixe folgenden HJT Eintrag: Zitat:
Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://saved.im/mjy0mthybjrp/avenger.bmp 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: G:\WINDOWS\SYSTEM32\HUMUNKULUS.vbs4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Poste bitte auch ein aktuelles HJT log. |
danke erstmal, undoreal, für deine erneute antwort und die anleitung. dazu habe ich zwei fragen: beim abgesicherten modus habe ich die möglichkeit, mich als "administrator" oder mit meinem namen anzumelden. welche variante soll ich wählen, oder ist das egal? ich habe gerade den von dir beschriebenen lösungsweg ausprobiert, aber vom avenger eine fehlermeldung bekommen, irgendwas in der art, ich hätte kein kommando gegeben. aber ich habe den code so eingegeben wie von dir in dem kasten abgedruckt. muß ich da noch was vorschieben? eins noch zu den speichersticks: wenn ich deren inhalt auf die festplatte ziehe und sie erst dann formatiere, bevor ich diese reinigungsaktion durchführe - riskiere ich dann auch eine erneute verseuchung? grüße fantatrinker |
Melde dich als Admin an. Script für den Avenger: Zitat:
Zitat:
|
so, ich hab die schritte jetzt mal so ausgeführt. ich bin kein experte, aber es hört sich nicht so gut an, was das avenger-skript mir sagt. ich hänge es an, außerdem das neue hjt log. grüße fantatrinker ////////////////////////////////////////// Avenger Pre-Processor log ////////////////////////////////////////// Platform: Windows XP (build 2600, Service Pack 2) Sun May 18 18:28:17 2008 18:28:17: Error: Invalid script. A valid script must begin with a command directive. Aborting execution! ////////////////////////////////////////// ////////////////////////////////////////// Avenger Pre-Processor log ////////////////////////////////////////// Platform: Windows XP (build 2600, Service Pack 2) Sun May 18 18:28:40 2008 18:28:40: Error: Invalid script. A valid script must begin with a command directive. Aborting execution! ////////////////////////////////////////// Logfile of The Avenger Version 2.0, (c) by Swandog46 Swandog46's Public Anti-Malware Tools Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at G:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: could not open file "G:\WÍNDOWS\SYSTEM32\HUMUNKULUS.vbs" Deletion of file "G:\WÍNDOWS\SYSTEM32\HUMUNKULUS.vbs" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Completed script processing. ******************* Finished! Terminate. und das logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:43:16, on 18.05.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: G:\WINDOWS\System32\smss.exe G:\WINDOWS\system32\winlogon.exe G:\WINDOWS\system32\services.exe G:\WINDOWS\system32\lsass.exe G:\WINDOWS\system32\svchost.exe G:\WINDOWS\System32\svchost.exe G:\WINDOWS\system32\spoolsv.exe G:\WINDOWS\Explorer.EXE G:\WINDOWS\system32\RUNDLL32.EXE G:\Programme\AntiVir PersonalEdition Premium\avgnt.exe G:\WINDOWS\SOUNDMAN.EXE G:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe G:\Programme\Java\jre1.6.0_05\bin\jusched.exe G:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe G:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe G:\WINDOWS\System32\WScript.exe G:\WINDOWS\system32\ctfmon.exe G:\Programme\phonostar\ps_timer.exe G:\Programme\Olympus\DeviceDetector\DevDtct2.exe G:\Programme\Gemeinsame Dateien\AAV\aavus.exe G:\Programme\AntiVir PersonalEdition Premium\sched.exe G:\Programme\AntiVir PersonalEdition Premium\avguard.exe G:\Programme\AntiVir PersonalEdition Premium\avesvc.exe G:\WINDOWS\System32\nvsvc32.exe G:\WINDOWS\System32\svchost.exe G:\Programme\AntiVir PersonalEdition Premium\avmailc.exe G:\WINDOWS\system32\wuauclt.exe G:\Programme\Mozilla Firefox\firefox.exe G:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.***.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by HUMUNKULUS O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - G:\Programme\Java\jre1.6.0_05\bin\ssv.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "G:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [OpwareSE2] "G:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "G:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "G:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [TkBellExe] "G:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [HUMUNKULUS] G:\WINDOWS\SYSTEM32\HUMUNKULUS.vbs O4 - HKCU\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [PhonostarTimer] G:\Programme\phonostar\ps_timer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] G:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] G:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] G:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] G:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Device Detector 3.lnk = G:\Programme\Olympus\DeviceDetector\DevDtct2.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - G:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - G:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1163271839859 O17 - HKLM\System\CCS\Services\Tcpip\..\{22B95604-91EE-4A7F-9DC0-BBDD9FF0D985}: NameServer = 217.237.151.142 217.237.150.188 O23 - Service: AAV UpdateService - Unknown owner - G:\Programme\Gemeinsame Dateien\AAV\aavus.exe O23 - Service: Adobe LM Service - Adobe Systems - G:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - G:\Programme\AntiVir PersonalEdition Premium\avmailc.exe O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - G:\Programme\AntiVir PersonalEdition Premium\sched.exe O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - G:\Programme\AntiVir PersonalEdition Premium\avguard.exe O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - G:\Programme\AntiVir PersonalEdition Premium\avesvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - G:\WINDOWS\System32\nvsvc32.exe O23 - Service: L Ile Noyee Drivers Auto Removal (pr2ajbeb) (pr2ajbeb) - Micro Application - G:\WINDOWS\system32\pr2ajbeb.exe -- End of file - 6313 bytes |
Grrr. Da will uns jemand verarschen. Hast du bevor du mit dem Avenger probiert hast die Datei zu löschen den HJ Eintrag gefixt?? Wechsel in den abgesicherten Modus Fixe den HJT Eintrag. Dann versuche die Datei mit Killbox zu löschen; aktiviere die Option "delete on reboot". |
Code: Error: could not open file "G:\WÍNDOWS\SYSTEM32\HUMUNKULUS.vbs" |
lol danke Lucky. ;) Wie kommt das denn dort hin? |
Zitat:
1. Vorerst keine USB-Sticks und -Platten an den Rechner anschließen, eventuell angeschlossene trennen. 2. Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen: Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg Geschützte Systemdateien ausblenden -> Haken weg Inhalte von Systemordnern anzeigen -> Haken setzen (diese Option ist bei Windows 2000 nicht vorhanden) Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen 3. Taskmanager: alle laufenden Prozesse wscript.exe bzw. cscript.exe beenden. 4. Die schon erkannte VBS-Datei löschen. 5. Deine Festplatten nach Dateien mit dme Namen autorun.inf absuchen. Dabei drauf achten, dass alles durchsucht wird, "weitere Optionen" entsprechend setzen. Die ebenfalls löschen. 6. In Hijackthis vor folgende Zeile(n) einen Haken machen und dann "Fix checked" klicken, dabei alle anderen Programme (besonders Webbrowser) geschlossen haben: Code: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by wasauchimmer O4 - HKLM\..\Run: [NOTEBOOK] C:\WINDOWS\SYSTEM32\wasauchimmer.vbs 7. Damit sollte der Rechner selber erledigt sein, nun kommen die USB-Laufwerke dran. Um beim Anschluss eine Neuinfektion zu verhindern, die Shift-Taste gedrückt halten, das verhindert den Autorun. Zusätzlich kannst Du auch vorher in system32 die wscript.exe umbenennen, das aber am Ende wieder rückgängig machen, sie ist ein wichtiger Teil von Windows. 8. Auf allen USB-Geräten nun nach Kopien dieser vbs-Datei und autorun.inf-Dateien suchen und die ebenfalls löschen. dabei ebenfalls die Suchoptionen beachten. Das sollte es gewesen sein. Ohne einen einzigen Neustart, ohne formatieren und neuinstallieren, wann kann man das schon haben Die Boardsuche ist im übrigen eingebaut. :rolleyes: |
hallo ihr helden - undoreal, lucky und bataalexander. ich hab das problem nun gelöst. die ganzen "hacked by" entfernt, sie sind auch nicht wieder aufgetaucht nach der aktion, damit hat sich auch die geschichte mit dem doppelklick erledigt. mein herzlicher dank an euch. grüße fantatrinker |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:28 Uhr. |
Copyright ©2000-2025, Trojaner-Board