|
Probleme mit Trojanern Hi leute, ich bin neu hier und habe ein riesen probelm gehabt naja das problem ist halbiert^^ ich habe mir heute mittag ein crack gesaugt und das war ein ziemlich heftiger virus -.- 1.wo die zeit steht unten rechts stand immer VIRUS und noch irgend was 2.ich konnte nicht mehr Alle programme,Systemseteuerung und den Task-Maneger öffnen 3.ich wurde vollgespammt von antivirprogramme-.- 4.immer ein weißer bildschirm diese probleme habe ich eigenständig gemeistert das einzigste was jetzt noch ist mein antivirus classic zeigt mir immer neue trojaner an -.- und diese verschibe ich immer in der quarantäne! so meine frage ist jetzt womit soll ich die vieren am besten beseitigen irgendein gutes programm währe sehr hilfreich und ob mein pc wieder soweit voll einsetzbar ist habe nehmlich am freitag ne lanparty^^ ich habe schon ma ein HiJackThis Log-File gemacht^^ Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:53:37, on 30.06.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\svchost.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe C:\Programme\RALINK\Common\RaUI.exe C:\Programme\Malwarebytes' Anti-Malware\mbam.exe C:\Programme\Opera\Opera.exe C:\Programme\Spybot - Search & Destroy\SpybotSD.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" autostart O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Programme\Ares\chatServer.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 6158 bytes ist hir mit alles ok?? ich bedanke mich schon mal im vorraus^^:) |
ich habe mein system jetzt repariert mit der windows pro. 2008 cd^^ ein neues HiJackThis log Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:36:51, on 01.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\svchost.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wscntfy.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe C:\Programme\RALINK\Common\RaUI.exe C:\Programme\TuneUp Utilities 2008\OneClick.exe C:\Programme\TuneUp Utilities 2008\RegistryCleaner.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\System32\TuneUpDefragService.exe R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: (no name) - {7C109800-A5D5-438F-9640-18D17E168B88} - (no file) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (no name) - {92A0B4A2-15C1-4AC8-A2CB-6332AE8CB100} - (no file) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" autostart O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Programme\Ares\chatServer.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 6861 bytes ich hoffe das das alles ok ist^^ |
Was meinst du mit repariert? Wenn du nicht sicher neuaufsetzt ist das alles nur Augenwischerei.. Dein HJt log ist nicht sauber. Und dein Rechner wahrscheinlich auch nicht. Lerne aus deinem Fehler und setzte sauber neu auf. Bereinigung nach einer Kompromitierung Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist. Master Boot Record überprüfen: Lade dir die mbr.exe von gmer auf den Desktop und führe die Datei aus. Poste das log! Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck Zitat:
Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop. Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig. Dann führe die mbr.bat. durch einen Doppelklick aus. Dabei muss sich die mbr.exe von gmer ebenfalls auf dem Desktop befinden! Der MBR wird bereinigt und es erscheint ein log. Poste auch diese log! Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen. Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!! |
mbr.exe log Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK mbr.bat log Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK ich hoffe das dies gut aussiht^^ und noch was mit dem hitjackthis im 2 post was muss ich da fixen?? und noch etwas ich kann mein sys nicht formatiern da ich sonst meine grafikkarte nicht wieder installieren kann (es kommt dann immer bei der geräteinstall. zugriff verweigert und wenn ich es denn mal schaffe kommt ein schwarzer bildschirm -.- das hat mir ein computer freak gemacht von meinem vater^^ und es sind sehr wwichtige datein auf meinem rechen die ich brauche^^) ich würde formatieren wenn ich wüsste wie ich das mit der graka machen könnte und ich habe keine lust dann wieder 60 euro hinzublettern -.- |
Dann frag ihn doch ob er es dir wieder macht.. Eigentlich sollte es so oder so keine Probleme geben... Hast du schonmal neuaufgesetzt? Ist garicht schwer und hinterher funktioniert wenigstens alles. |
ich habe schon mal neu aufgesetzt und das mit der graka meine alte funktioniert immer sofort aber die neue die ich gekauft habe nvidia geforce 8600 gts (ist nicht defekt oder so) bekomme ich nie hin kp warum und wenn ich wieder frage muss ich mein pc wieder weggeben und geld abblättern-.- mein pc leuft ya so weit immoment gut aber ich habe halt ein dumme gefühl weil ich neu aufsetzten soll und dann wieder mit der graka und noch was mit meinem ram is dann auch wieder was habe 4 gb dual change es werde nua 3 angezeit is mia auch kla das das so ist und da hat er auch was gemacht weil wenn ich die drinn habe wird die onboard soundkarte nicht mehr erkannt und da hat er auch was gemacht. |
Dein Rechner ist definitiv nicht gesund! Auch wenn es evtl. nach außen so scheint. Warum sollte die neue Graka nicht funktionieren? Hast du mit der schonmal neuaufgesetzt? Die ist doch jetzt installier oder? Einfach nach unsere Anleitung neuaufsetzten und danach die mitgelieferten Treiber installieren. Sollte passen.. ;) O.k. Wenn du mich so dermaßen per PN nervst :) dann probieren wir es halt... Systembereinigung
http://img339.imageshack.us/img339/3...ameterssf7.png
|
also erst mal danke das wir es so versuchen ^^ ja ich habe das system schon mal neu aufgesetzt (auch in vista) für die graka hat aber auch nicht gefuntzt wenn die geräteinstallation kommt nach dem hochfahren war immer "zugriff verweigert" und wenn uch es versucht habe mit den dazugehörigen treibern kam immer mitten in der installation ein schwarzer bildschirm. im abgesicherten modus konnte ich sie installieren aber wenn ich dann gerebootet habe (normal) kam immer schwarz weisser bildschirm -.- als ich dieses avz gemacht habe hatte ich danach ekin zugriff mehr auf garnichts musste rechner nue starten und dann ging es wieder -.- was das wohl war erster log von avz AVZ Antiviral Toolkit log; AVZ version is 4.30 Scanning started at 01.07.2008 17:23:55 Database loaded: signatures - 174076, NN profile(s) - 2, microprograms of healing - 56, signature database released 30.06.2008 21:10 Heuristic microprograms loaded: 370 SPV microprograms loaded: 9 Digital signatures of system files loaded: 71156 Heuristic analyzer mode: Maximum heuristics level Healing mode: enabled Windows version: 5.1.2600, Service Pack 2 ; AVZ is launched with administrator rights System Restore: Disabled 1. Searching for Rootkits and programs intercepting API functions 1.1 Searching for user-mode API hooks Analysis: kernel32.dll, export table found in section .text Analysis: ntdll.dll, export table found in section .text Analysis: user32.dll, export table found in section .text Analysis: advapi32.dll, export table found in section .text Analysis: ws2_32.dll, export table found in section .text Analysis: wininet.dll, export table found in section .text Analysis: rasapi32.dll, export table found in section .text Analysis: urlmon.dll, export table found in section .text Analysis: netapi32.dll, export table found in section .text 1.2 Searching for kernel-mode API hooks Driver loaded successfully SDT found (RVA=0846E0) Kernel ntkrnlpa.exe found in memory at address 804D7000 SDT = 8055B6E0 KiST = 80503734 (284) Function NtCreateThread (35) intercepted (805CF804->BAE8FC7C), hook not defined Function NtOpenProcess (7A) intercepted (805C9C46->BAE8FC68), hook not defined Function NtOpenThread (80) intercepted (805C9ED2->BAE8FC6D), hook not defined Function NtTerminateProcess (101) intercepted (805D1170->BAE8FC77), hook not defined Function NtWriteVirtualMemory (115) intercepted (805B2D5C->BAE8FC72), hook not defined Functions checked: 284, intercepted: 5, restored: 0 1.3 Checking IDT and SYSENTER Analysis for CPU 1 Analysis for CPU 2 Checking IDT and SYSENTER - complete 1.4 Searching for masking processes and drivers Checking not performed: extended monitoring driver (AVZPM) is not installed Driver loaded successfully 1.5 Checking of IRP handlers Checking - complete 2. Scanning memory Number of processes found: 35 Analyzer: process under analysis is 1660 C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe [ES]:Contains network functionality [ES]:Application has no visible windows Analyzer: process under analysis is 204 C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe [ES]:Contains network functionality [ES]:Application has no visible windows [ES]:Loads RASAPI DLL - may use dialing ? Analyzer: process under analysis is 288 C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe [ES]:Contains network functionality [ES]:Application has no visible windows [ES]:Loads RASAPI DLL - may use dialing ? Analyzer: process under analysis is 416 C:\WINDOWS\system32\PnkBstrA.exe [ES]:Contains network functionality [ES]:Capable of sending mail ?! [ES]:Application has no visible windows [ES]:Located in system folder Analyzer: process under analysis is 680 C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe [ES]:Contains network functionality [ES]:Application has no visible windows Analyzer: process under analysis is 1872 C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe [ES]:Contains network functionality [ES]:Application has no visible windows [ES]:Registered in autoruns !! Analyzer: process under analysis is 3344 C:\Programme\RALINK\Common\RaUI.exe [ES]:Contains network functionality [ES]:Application has no visible windows [ES]:Registered in autoruns !! Number of modules loaded: 350 Scanning memory - complete 3. Scanning disks Direct reading C:\Dokumente und Einstellungen\Jorge\Cookies\index.dat Direct reading C:\Dokumente und Einstellungen\Jorge\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat C:\Dokumente und Einstellungen\Jorge\Lokale Einstellungen\Temp\mexe.com - PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%) File quarantined succesfully (C:\Dokumente und Einstellungen\Jorge\Lokale Einstellungen\Temp\mexe.com) C:\Dokumente und Einstellungen\Jorge\Lokale Einstellungen\Temp\MWAVSCAN.COM - PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%) File quarantined succesfully (C:\Dokumente und Einstellungen\Jorge\Lokale Einstellungen\Temp\MWAVSCAN.COM) C:\Dokumente und Einstellungen\Jorge\Lokale Einstellungen\Temp\ScanningProcess.exe >>> suspicion for Trojan-Spy.Win32.Cpatcha ( 005D5D6D 08CCEE7D 00202E3B 002202DD 139264) File quarantined succesfully (C:\Dokumente und Einstellungen\Jorge\Lokale Einstellungen\Temp\ScanningProcess.exe) Direct reading C:\Dokumente und Einstellungen\Jorge\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Direct reading C:\Dokumente und Einstellungen\Jorge\Lokale Einstellungen\Verlauf\History.IE5\index.dat Direct reading C:\Dokumente und Einstellungen\Jorge\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008070120080702\index.dat Direct reading C:\Dokumente und Einstellungen\Jorge\ntuser.dat Direct reading C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Direct reading C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Direct reading C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Direct reading C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Direct reading C:\Dokumente und Einstellungen\LocalService\ntuser.dat Direct reading C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat Direct reading C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Direct reading C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Direct reading C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Direct reading C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT C:\Programme\Netdevil\Warmonger\Binaries\Log-WMGame.com - PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%) File quarantined succesfully (C:\Programme\Netdevil\Warmonger\Binaries\Log-WMGame.com) Direct reading C:\WINDOWS\SchedLgU.Txt Direct reading C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Direct reading C:\WINDOWS\system32\CatRoot2\edb.log Direct reading C:\WINDOWS\system32\CatRoot2\tmp.edb Direct reading C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb Direct reading C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb Direct reading C:\WINDOWS\system32\config\AppEvent.Evt Direct reading C:\WINDOWS\system32\config\default Direct reading C:\WINDOWS\system32\config\sam Direct reading C:\WINDOWS\system32\config\SecEvent.Evt Direct reading C:\WINDOWS\system32\config\security Direct reading C:\WINDOWS\system32\config\software Direct reading C:\WINDOWS\system32\config\SysEvent.Evt Direct reading C:\WINDOWS\system32\config\system Direct reading C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Direct reading C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Direct reading C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Direct reading C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Direct reading C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Direct reading C:\WINDOWS\Temp\Perflib_Perfdata_120.dat Direct reading C:\WINDOWS\WindowsUpdate.log 4. Checking Winsock Layered Service Provider (SPI/LSP) LSP settings checked. No errors detected 5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs) C:\WINDOWS\system32\nview.dll --> Suspicion for Keylogger or Trojan DLL C:\WINDOWS\system32\nview.dll>>> Behavioural analysis 1. Reacts to events: keyboard, mouse, all events 2. Determines PID of current process C:\WINDOWS\system32\nview.dll>>> Neural net: file with probability 0.22% like a typical keyboard/mouse events interceptor File quarantined succesfully (C:\WINDOWS\system32\nview.dll) C:\WINDOWS\system32\NVWRSDE.DLL --> Suspicion for Keylogger or Trojan DLL C:\WINDOWS\system32\NVWRSDE.DLL>>> Behavioural analysis Behaviour typical for keyloggers not detected File quarantined succesfully (C:\WINDOWS\system32\NVWRSDE.DLL) Note: Do NOT delete suspicious files, send them for analysis (see FAQ for more details), because there are lots of useful hooking DLLs 6. Searching for opened TCP/UDP ports used by malicious programs Checking disabled by user 7. Heuristic system check Checking - complete 8. Searching for vulnerabilities >> Services: potentially dangerous service allowed: RemoteRegistry (Remote-Registrierung) >> Services: potentially dangerous service allowed: TermService (Terminaldienste) >> Services: potentially dangerous service allowed: SSDPSRV (SSDP-Suchdienst) >> Services: potentially dangerous service allowed: Schedule (Taskplaner) >> Services: potentially dangerous service allowed: mnmsrvc (NetMeeting-Remotedesktop-Freigabe) >> Services: potentially dangerous service allowed: RDSessMgr (Sitzungs-Manager für Remotedesktophilfe) > Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)! >> Security: disk drives' autorun is enabled >> Security: administrative shares (C$, D$ ...) are enabled >> Security: anonymous user access is enabled >> Security: sending Remote Assistant queries is enabled Checking - complete 9. Troubleshooting wizard >> Abnormal REG files association >> HDD autorun are allowed >> Autorun from network drives are allowed >> Removable media autorun are allowed Checking - complete Files scanned: 312724, extracted from archives: 211341, malicious software found 0, suspicions - 1 Scanning finished at 01.07.2008 17:47:20 Time of scanning: 00:23:26 If you have a suspicion on presence of viruses or questions on the suspected objects, you can address VirusInfo conference zweiter log C:\Dokumente und Einstellungen\Jorge\Lokale Einstellungen\Temp\mexe.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%) C:\Dokumente und Einstellungen\Jorge\Lokale Einstellungen\Temp\MWAVSCAN.COM;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%) C:\Dokumente und Einstellungen\Jorge\Lokale Einstellungen\Temp\ScanningProcess.exe;2;Suspicion for Trojan-Spy.Win32.Cpatcha ( 005D5D6D 08CCEE7D 00202E3B 002202DD 139264) C:\Programme\Netdevil\Warmonger\Binaries\Log-WMGame.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%) C:\WINDOWS\system32\nview.dll;5;Suspicion for Keylogger or Trojan DLL C:\WINDOWS\system32\NVWRSDE.DLL;5;Suspicion for Keylogger or Trojan DLL hoffe das das nicht so schlimm aussiht^^:Boogie::aplaus: und sry wegen den pn´s |
Das erste log erscheint mir sehr kurz. Hast du auch definitiv alle deine Festplatten durchsuchen lassen? Zitat:
Das log sollte übrigens einegtlich angehängt werden. Bei der Größe macht das aber nichts. ;) |
ich habe meine beiden festplatten angekreutzt (C=360GB,D=19GB) und 45 GB sind belegt habe also ALLE festplatten angekreutzt die eingebaut sind^^ siht das denn soweit gut aus??^^ |
Ja, soweit sieht's ganz gut aus. Aber für diesen Rechner kann ich auch bei noch so vielen Scans keine Garantie übernehmen. ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Wichtiger Hinweis: Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. |
so habe alles gemacht die autostart funktion is zwar aus oder so aber das is egal^^ hia der log hat super funktioniert Code: ComboFix 08-06-30.2 - Jorge 2008-07-01 22:34:40.1 - NTFSx86 |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 19:47 Uhr. |
Copyright ©2000-2025, Trojaner-Board