Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   rfhseju.exe (https://www.trojaner-board.de/63293-rfhseju-exe.html)

danielsan79 31.10.2008 07:50
rfhseju.exe
 
Hallo,

ich habe ein Problem mit diesem Eintrag im Task Manager. Diesen Eintrag habe ich seit 2 Tagen weil ich so ein verdammtes Live Stream Programm installiert habe, ich schätze da war wohl ein Trojaner dabei. Der Eintrag kommt mir komisch vor, bitte kann mir jemand helfen wie ich es weg bekomme oder was es ist!? Wenn ich nach dieser Datei Suche, dann kann sie der Explorer aber nicht finden?

Soll ich einfach den Eintrag mit Hijackthis "fixen" oder besser das System neu installieren??
Diese Datei ist erst seit 2 Tagen da und das interne Spyware Programme wollte das ich die Datei zu ihnen schicke, so wie ich es verstanden habe. Leider hat sich dann dieses Fenster wieder von selbst geschlossen bevor ich was machen konnte.


Zitat:
Running processes:
C:\Users\Da*1\AppData\Local\rfhseju.exe
?



Logfile of Trend Micro H*iJackThis v2.0.2
Scan saved at 04:59:43, on 31.10.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSLoader.exe
C:\Program Files\Acer\Empowering Technology\eAudio\eAudio.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Users\Daniel\AppData\Local\Temp\RtkBtMnt.exe
C:\Program Files\Launch Manager\QtZgAcer.EXE
C:\Windows\PLFSetI.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Acer\Acer Bio Protection\PdtWzd.exe
C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe
C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\CLML\CLMLSvc.exe
C:\Program Files\Acer Arcade Deluxe\PlayMovie\PMVService.exe
C:\Program Files\AVG\AVG8\avgtray.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Users\D*\AppData\Local\Google\Update\Google Update.exe
C:\Users\Da*1\AppData\Local\rfhseju.exe
C:\Program Files\Acer\Acer Bio Protection\PwdBank.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Windows\system32\Taskmgr.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [u**rl]h**ttp://de.intl.acer.yahoo.com[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**ttp://de.intl.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**ttp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**ttp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**ttp://de.intl.acer.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\4.1.805.4472\sw g.dll
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ePower_DMC] C:\Program Files\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe
O4 - HKLM\..\Run: [eAudio] "C:\Program Files\Acer\Empowering Technology\eAudio\eAudio.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [PLFSetI] C:\Windows\PLFSetI.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ZPdtWzdVitaKey MC3000] "C:\Program Files\Acer\Acer Bio Protection\PdtWzd.exe" show
O4 - HKLM\..\Run: [ArcadeDeluxeAgent] "C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe"
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Program Files\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [CLMLServer] "C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\CLML\CLMLSvc.exe"
O4 - HKLM\..\Run: [PlayMovie] "C:\Program Files\Acer Arcade Deluxe\PlayMovie\PMVService.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-982901010-1053011827-107350226-1001\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun (User 'D*')
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**ttp://www.kaspersky.com/kos/german/...an_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: avgrsstx.dll
O20 - Winlogon Notify: AWinNotifyVitaKey MC3000 - C:\Program Files\Acer\Acer Bio Protection\WinNotify.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: CLHNService - Unknown owner - C:\Program Files\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\CLHNService.exe
O23 - Service: eDataSecurity Service - Egis Incorporated - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe
O23 - Service: Empowering Technology Service (ETService) - Unknown owner - C:\Program Files\Acer\Empowering Technology\Service\ETService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: iGroupTec Service (IGBASVC) - Unknown owner - C:\Program Files\Acer\Acer Bio Protection\BASVC.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\Cyberlink\Shared files\RichVideo.exe

--
End of file - 8682 bytes




Edit: Ich Esel hab das Programm wohl selbst zugelassen, habe eben nochmal im Verlauf der Microsoft Spybot Software geschaut und da steht es drinn.

Beschreibung:
Das Verhalten dieses Programms ist potenziell unerwünscht.

Empfehlung:
Lassen Sie dieses entdeckte Element nur zu, wenn Sie dem Programm oder dem Softwareherausgeber vertrauen.

Ressourcen:
regkey:
HKCU@S-1-5-21-982901010-1053011827-107350226-1001\Software\Microsoft\Windows\CurrentVersion\Run \\rfhseju

runkey:
HKCU@S-1-5-21-982901010-1053011827-107350226-1001\Software\Microsoft\Windows\CurrentVersion\Run \\rfhseju

file:
c:\users\da*\appdata\local\rfhseju.exe

Kategorie:
Noch nicht klassifiziert


Ich finde aber in dem Verzeichnis diese Datei nicht!!, sie wird aber immer wieder geladen beim Neustart. Wie bekomme ich das weg?

undoreal 31.10.2008 10:34
Halli hallo.

Ist es Absicht, dass bei dir kein Anti Viren Program läuft? Das solltest du ändern!

Der Windows Defender taugt nichts; den solltest du deaktivieren!

Fixe danach mit Hijackthis folgende Einträge:
Zitat:
C:\Windows\PLFSetI.exe
C:\Users\D*\AppData\Local\Google\Update\Google Update.exe
C:\Users\Da*1\AppData\Local\rfhseju.exe
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O4 - HKLM\..\Run: [PLFSetI] C:\Windows\PLFSetI.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\
Dann:
Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
Files to delete:
C:\Windows\PLFSetI.exe
C:\Users\D*\AppData\Local\Google\Update\Google Update.exe
C:\Users\Da*1\AppData\Local\rfhseju.exe
http://saved.im/mzi3ndg3nta0/aven.jpg
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Scanne deinen Rechner danach mit SuperAntiSpyware und Anti-Malware und poste die logs.

Räume danach mit cCleaner auf (Punkte 1&2) und poste ein frisches HJT log.

danielsan79 31.10.2008 18:35
Ich habe das durchgeführt, leider konnte ich danach nicht mehr ins Internet einloggen, habe dann die gelöschten Registry Einträge und Dateien wieder zurück geholt. Danach ging mein Interent wieder.

Ich habe dann die Datei rfhseju.exe manuell gelöscht, erst den Prozess beendet und 2 Dateien gelöscht, rfhseju.exe und rfhseju.dll. Die hatte ich vorher nicht gesehen weil es versteckte Dateien waren.

Danach habe ich in der Registry mit regedit die Einträge gelöscht die mir die Windows Antispy Software genannt hat.

Ich habe herausgefunden dass die Datei "O4 - HKLM\..\Run: [PLFSetI] C:\Windows\PLFSetI.exe" zu einem Acer Programm gehört welches für die Webcam steuerung auf dem Laptop zuständig ist.

Ich könnte mir vorstellen dass ich nicht mehr ins Internet kam weil ich den Eintrag " O17 - HKLM\System\CCS\Services\Tcpip\..\ .." löschen sollte. Ist TCP IP nicht das berühmte Protokoll für diese Verbindung?


Microsoft hat mir jetzt das Ergebnis der Untersuchung der Datei rfhseju.exe gesendet.

rfhseju.exe [Trojan:Win32/Skintrim.gen!D]

Summary
Trojan:Win32/Skintrim.gen!D is the detection for a trojan that may download other malware.
Symptoms
There are no common symptoms associated with this threat. Alert notifications from installed antivirus software may be the only symptom(s).
Technical Information
Trojan:Win32/Skintrim.gen!D is the detection for a trojan that may download other malware.

Upon execution, Trojan:Win32/Skintrim.gen!D copies itself in the Application Data folder using a random file name. It also injects its code into explorer.exe.

It may download and run arbitrary files from a certain website. It may also download updates for itself from updates.advert-network.com.

Some samples of Trojan:Win32/Skintrim.gen!D check the Windows version of the system and only run if the operating system is a certain version, for example, Windows Vista.

Analysis by Chun Feng


Das hört dich ja schrecklich an, sollte ich jetzt doch lieber das System neu installieren, es wäre natürlich sehr ärgerlich und Zeitaufwendig. Der Satz mit kopiert sich in die Explorer.exe hört sich nicht guit an, ich habe zwar die Dateien und die Registry Einträge gelöscht aber natürlich nicht die Explorer.EXE. Sollte ich die Explorer.exe mal hochladen und prfen ob sie verändert ist?

Die anderen 2 Anti malware Programme haben etwa 30 Tracking cookies gefunden, die jedoch irgendwie nicht gelöscht werden konnten.

:confused::eek:

Silent sharK 31.10.2008 18:37
Hallo,

da ist noch was von Navipromo...

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.
  • Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
  • Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
    Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
  • Wähle E für Englisch im Sprachenmenü
  • Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
  • Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
  • Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
  • Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.
Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

danielsan79 31.10.2008 18:48
bist du sicher dass es keine verwechslung ist, was ist navipro? Ich dachte es geht um die Datei rfhseju.exe :confused:

Silent sharK 31.10.2008 18:50
Navipromo ist Adware.
Die rfhseju.exe ist davon Bestandteil, davon gehe ich mal aus. :)

danielsan79 31.10.2008 18:57
Microsoft Windows

GetPaths.exe funktioniert nicht mehr
Das Programm wird aufgrund eines Problems nicht richtig ausgeführt.......

kommt wenn ich den Scan starte

Edit: beim 2ten mal mit Admin Rechten klappt es scheinbar

Silent sharK 31.10.2008 18:59
Na dann, Combofix dürfte die Sache auch regeln.

Das macht dann bestimmt undoreal weiter.

mfg

danielsan79 31.10.2008 19:11
Hier ist das Ergebniss, übrigens kurz nachdem das Ergebniss fest stand ist wieder diese Warnmeldung von AVG Virus wegen Tracking cookies gekommen, die lassen sich aber nicht löschen :headbang:



Search Navipromo version 3.6.7 began on 31.10.2008 at 18:59:22,89

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Program Files\navilog1
Actual User Account : "Dan01"

Updated on 22.10.2008 at 20h00 by IL-MAFIOSO

Microsoft Windows Vista 6.0.6001
Version Internet Explorer : 7.0.6001.18000
Filesystem type : NTFS

Search done in normal mode

*** Searching for installed Software ***


*** Search folders in "C:\Windows" ***


*** Search folders in "C:\Program Files" ***


*** Search folders in "c:\progra~2\micros~1\windows\startm~1\programs" ***


*** Search folders in "c:\progra~2\micros~1\windows\startm~1" ***


*** Search folders in "C:\ProgramData" ***


*** Search folders in "c:\users\dan01\appdata\roaming\micros~1\windows\startm~1\programs" ***


*** Search folders in "C:\Users\Dan01\AppData\Local\virtualstore\Program Files" ***


*** Search folders in "C:\Users\Daniel\AppData\Local\virtualstore\Program Files" ***


*** Search folders in "C:\Users\Dan01\AppData\Roaming" ***


*** Search folders in "C:\Users\Daniel\appdata\roaming" ***


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\Windows\system32" *

* Scan in "C:\Users\Dan01\AppData\Local\Microsoft" *

* Scan in "C:\Users\Dan01\AppData\Local" *

* Scan in "C:\Users\Daniel\AppData\Local" *



*** Search files ***



*** Search specific Registry keys ***

HKEY_CURRENT_USER\Software\mc found !

*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\Windows\system32" :


* In "C:\Users\Dan01\AppData\Local\Microsoft" :


* In "C:\Users\Dan01\AppData\Local" :


* In "C:\Users\Daniel\AppData\Local" :


3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
Montorgueil certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search known files :



*** Search completed on 31.10.2008 at 19:08:44,28 ***

Silent sharK 31.10.2008 19:14
Da ist noch ein Registrierungsschlüssel übrig.
Den kriegst du so weg:

Versichere dich, dass der User Account Control deaktiviert ist.

Rufe die Verknüpfung zu Navilog per Rechtsklick auf und wähle "Ausführen als Admininstrator" aus
  • Wähle die Option 3
  • Das Programm wird nun deinen Rechner neustarten. Schließe also alle Fenster und bestätige den Neustart.
    Sollte der Rechner nicht neustarten, tue dies bitte manuell.
  • Nach dem Neustart läuft der Fix zuende. Bitte einfach abwarten, bis NaviFix beendet ist und keine Fenster öffnen.
  • Es öffnet sich erneut ein Fenster mit dem Scanergebnis. Speichere das Ergebnis ab und schließe den Editor. Nun sollten deine Desktopsymbole wieder erscheinen
  • Das Scanergebnis bitte hier posten.
Reaktiviere nun die User Agent Control wieder.

Sollten die Desktopsymbole nicht von selbst wieder erscheinen, rufe mit Strg+Alt+Entf den Taskmanager auf und wähle unter Prozesse->Neuen Task ausführen aus. Gib dort explorer ein.

danielsan79 31.10.2008 19:18
:eek:Moment, das hört sich kompliziert an, bin auch eher ein Anfänger. Was genau meinst du mit regschlüssel übrig und wieso ist der übrig und hat der Scan jetzt den besagten Navipromo Adware Virus ergeben? Wieso soll man den Regschlüssel weg machen? Fragen über Fragen ich hoffe ich mach da ncihts kaputt

Edit: Ok die Benutzerkontensteuerung abschalten, dann muß ich erstmal wieder einen Neustart machen.

Silent sharK 31.10.2008 19:24
Das ist ein Schlüssel in der Registrierung, der der Navipromo Adware diente.
Navilog1 hat ihn erkannt und jetzt soll er entfernt werden. ;)

danielsan79 31.10.2008 19:41
Ich kann jetzt das Program nicht mehr öffnen, es kommt immer wieder Getpath.exe funktioniert nicht mehr.

Wie soll ich mich eigentlich in Windows anmelden, als Admin oder als normaler Nutzer. ?

Edit: Aha als Admin Benutzer geht das Programm ohne Fehler, vorhin war ich als normaler benutzer aber ich habe trotzdem das Programm mit rechts Klick und Admin Rechten ausgeführt?

Silent sharK 31.10.2008 19:44
Du musst Navilog1 immer als Administrator ausführen, sonst funktioniert es nicht.

danielsan79 31.10.2008 19:47
Ja, ich hab das Program als normaler benutzer ausgeführt aber mit rechtsklick auf 2als admin ausführen" oder so. jetzt habe ich mich gleich beim neustart als Admin angemeldet. Soll ich jetzt den ganzen test nochmal machen als Admin, vielleicht findet er jetzt andere Werte?


Also ich meine jetzt die Benutzerkonten am Anfang von Windows. Ich habe da 2 konten aber ich benutze den rechten, der linke ist doch das Admin Konto oder etwa doch nicht. Wenn ich mich mit dem ersteren Anmelde funktioniert das Programm

Silent sharK 31.10.2008 19:53
Das Problem bei Vista ist, das man als Admin kein richtiger Admin ist. :D

danielsan79 31.10.2008 19:58
Ich hab auf dem Ciomputer 2 Konten, das erstere benutze ich nie aber es ist glaube ich das Admin Konto? Auf diesem Konto funktioniert das Programm aber auf dem 2ten benutzerkonto kommt nur dieser Getpath.exe wird geschlossen Fehler, auch wenn ich die Datei als "Admin" ausführe.

Ich bin jetzt auf dem ersteren angemeldet und werde nochmal den Test wiederholen von vorhin.

Silent sharK 31.10.2008 20:00
Man muss als Admin angemeldet sein und es so starten => Run as admin

danielsan79 31.10.2008 20:09
Ok, blöde Frage ich habe ja jetzt alle Viren und Spyware test Programme auf dem normalen Benutzerkonto ausgeführt, muß ich das jetzt alles nochmal machen auf dem Admin Konto?

Hier ist nochmal das Ergegnis von eben, diesmal hat alles funktioniert

Search Navipromo version 3.6.7 began on 31.10.2008 at 19:59:24,18

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Program Files\navilog1
Actual User Account : "Dan01"

Updated on 22.10.2008 at 20h00 by IL-MAFIOSO

Microsoft Windows Vista 6.0.6001
Version Internet Explorer : 7.0.6001.18000
Filesystem type : NTFS

Search done in normal mode

*** Searching for installed Software ***


*** Search folders in "C:\Windows" ***


*** Search folders in "C:\Program Files" ***


*** Search folders in "c:\progra~2\micros~1\windows\startm~1\programs" ***


*** Search folders in "c:\progra~2\micros~1\windows\startm~1" ***


*** Search folders in "C:\ProgramData" ***


*** Search folders in "c:\users\dan01\appdata\roaming\micros~1\windows\startm~1\programs" ***


*** Search folders in "C:\Users\Dan01\AppData\Local\virtualstore\Program Files" ***


*** Search folders in "C:\Users\Daniel\AppData\Local\virtualstore\Program Files" ***


*** Search folders in "C:\Users\Dan01\AppData\Roaming" ***


*** Search folders in "C:\Users\Daniel\appdata\roaming" ***


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\Windows\system32" *

* Scan in "C:\Users\Dan01\AppData\Local\Microsoft" *

* Scan in "C:\Users\Dan01\AppData\Local" *

* Scan in "C:\Users\Daniel\AppData\Local" *



*** Search files ***



*** Search specific Registry keys ***

HKEY_CURRENT_USER\Software\mc found !

*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\Windows\system32" :


* In "C:\Users\Dan01\AppData\Local\Microsoft" :


* In "C:\Users\Dan01\AppData\Local" :


* In "C:\Users\Daniel\AppData\Local" :


3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
Montorgueil certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search known files :



*** Search completed on 31.10.2008 at 20:06:03,09 ***


und jetzt mache ich das nochmal mit der option 3 im menü

Silent sharK 31.10.2008 20:12
Option 2, bitte.

Dann wars das für mich, den Rest macht undoreal.

mfg

danielsan79 31.10.2008 20:13
also doch nicht die Option3 mit dem Neustart? OK dann mach ich jetzt 2

Silent sharK 31.10.2008 20:15
Steht doch in der Anleitung. ;)

danielsan79 31.10.2008 20:24
Hier ist das Ergebnis mit Option 2


Navipromo Removal version 3.6.7 started on 31.10.2008 at 20:17:36,14

Fix running from C:\Program Files\navilog1
Actual User Account : "Dan01"

Updated on 22.10.2008 at 20h00 by IL-MAFIOSO

Microsoft Windows Vista 6.0.6001
Internet Explorer : 7.0.6001.18000
Filesystem type : NTFS

Automatic removal
with Catchme and GNS results


Cleanning stage done on Reboot


*** fsbl1.txt not found ***
(Check that Catchme found nothing in Search Mode)


*** Deleting with Backups GenericNaviSearch results ***

* Deletion in "C:\Windows\System32" *


* Deletion in "C:\Users\Dan01\AppData\Local\Microsoft" *


* Deletion in "C:\Users\Dan01\AppData\Local" *


* Deletion in "C:\Users\Daniel\AppData\Local" *



*** Deleting folders in "C:\Windows" ***


*** Deleting folders in "C:\Program Files" ***


*** Deleting folders in "c:\progra~2\micros~1\windows\startm~1\programs" ***


*** Deleting folders in "c:\progra~2\micros~1\windows\startm~1" ***


*** Deleting folders in "C:\ProgramData" ***


*** Deleting folders in c:\users\dan01\appdata\roaming\micros~1\windows\startm~1\programs ***


*** Deleting folders in "C:\Users\Daniel\appdata\roaming\micros~1\windows\startm~1\programs" ***


*** Deleting folders in "C:\Users\Dan01\AppData\Local\virtualstore\Program Files" ***


*** Deleting folders in "C:\Users\Daniel\AppData\Local\virtualstore\Program Files" ***


*** Deleting folders in "C:\Users\Dan01\AppData\Roaming" ***


*** Deleting folders in "C:\Users\Daniel\appdata\roaming" ***



*** Deleting files ***


*** Deleting temporary files ***

Cleaning of C:\Windows\Temp done !
Cleaning of C:\Users\Dan01\AppData\Local\Temp done !

*** Complementary Search ***
(Search specific files)

1)Deletion with backups new Instant Access files:

2)Heuristic search and deletion with backups :


* In "C:\Windows\system32" *


* In "C:\Users\Dan01\AppData\Local\Microsoft" *


* In "C:\Users\Dan01\AppData\Local" *


* In "C:\Users\Daniel\AppData\Local" *


*** Copy Registry to Safebackup folder ***

Backing up Registry done !

*** Cleaning Registry ***

Registry cleaned


*** Certificates ***

Egroup Certificate not found !
Electronic-Group Certificate not found !
Montorgueil Certificate not found !
OOO-Favorit Certificate not found !
Sunny-Day-Design-Ltd Certificate not found !


*** Cleaning stage complete on 31.10.2008 at 20:21:15,28 ***

Silent sharK 31.10.2008 20:25
Gut, dann war's das von meiner Seite aus. ;)

danielsan79 31.10.2008 20:30
dann muß ich mich natürlich zuerst bedanken :daumenhoc Zu welchem Ergebnis ist den der test jetzt gekommen, konnte alles entfernt werden?

Silent sharK 31.10.2008 20:37
Zum Thema Navipromo ist nichts mehr auf dem Rechner. ;)

Nächste Schritte wird undoreal einleiten. :)

danielsan79 31.10.2008 20:42
Was? undoreal? Was ist das für ein Programm und was muß ich da machen?

Silent sharK 31.10.2008 20:44
:lach:

Les dir mal das gründlich durch.

danielsan79 31.10.2008 20:50
Achso, jetzt verstehe ich, undoreal ist der Mann :kloppen:

undoreal 31.10.2008 22:12
:) Poste mal bitte ein frisches Hijackthis log...

danielsan79 31.10.2008 22:19
Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1343
Windows 6.0.6001 Service Pack 1

31.10.2008 22:08:05
mbam-log-2008-10-31 (22-08-05).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 139806
Laufzeit: 1 hour(s), 12 minute(s), 34 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

------------------------------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:12:50, on 31.10.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSLoader.exe
C:\Program Files\Acer\Empowering Technology\eAudio\eAudio.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Users\Dan01\AppData\Local\Temp\RtkBtMnt.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Launch Manager\QtZgAcer.EXE
C:\Program Files\Acer\Acer Bio Protection\PdtWzd.exe
C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe
C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\CLML\CLMLSvc.exe
C:\Program Files\Acer Arcade Deluxe\PlayMovie\PMVService.exe
C:\Program Files\AVG\AVG8\avgtray.exe
C:\Windows\System32\rundll32.exe
C:\Windows\PLFSetI.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ht**tp://de.intl.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**ttp://de.intl.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ht**tp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**ttp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**ttp://de.intl.acer.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ePower_DMC] C:\Program Files\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe
O4 - HKLM\..\Run: [eAudio] "C:\Program Files\Acer\Empowering Technology\eAudio\eAudio.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [ZPdtWzdVitaKey MC3000] "C:\Program Files\Acer\Acer Bio Protection\PdtWzd.exe" show
O4 - HKLM\..\Run: [ArcadeDeluxeAgent] "C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe"
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Program Files\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [CLMLServer] "C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\CLML\CLMLSvc.exe"
O4 - HKLM\..\Run: [PlayMovie] "C:\Program Files\Acer Arcade Deluxe\PlayMovie\PMVService.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PLFSetI] C:\Windows\PLFSetI.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - ht**tp://*ww.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6A250EB2-C942-40C9-8010-CEC49AE5F15E}: NameServer =
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: avgrsstx.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: AWinNotifyVitaKey MC3000 - C:\Program Files\Acer\Acer Bio Protection\WinNotify.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: CLHNService - Unknown owner - C:\Program Files\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\CLHNService.exe
O23 - Service: eDataSecurity Service - Egis Incorporated - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe
O23 - Service: Empowering Technology Service (ETService) - Unknown owner - C:\Program Files\Acer\Empowering Technology\Service\ETService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: iGroupTec Service (IGBASVC) - Unknown owner - C:\Program Files\Acer\Acer Bio Protection\BASVC.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\Cyberlink\Shared files\RichVideo.exe

--
End of file - 8774 bytes

undoreal 01.11.2008 09:48
Warum hast du das MBA log nochmal gepostet?


Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:
C:\Windows\PLFSetI.exe
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.


CureIT Dr.Web
  • Downloade Dr.Web CureIt!
  • Speichere es auf deinem Desktop.
  • Entpacke es in einen eigenen Ordner.
  • Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.
  • Lass alle Malware in den Quarantaene Ordner verschieben.
  • Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr.Web CureIt! abstellen.
  • Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.
  • Speichere das Logfile - siehe Anleitung - und poste es.

PS: Hast du den Avenger eigentlich schon laufen lassen? Poste bitte das log..

danielsan79 01.11.2008 10:49
Ja, du sagtest doch ich solle am Ende nochmal einen durchlauf mit Hijackthis machen und das Ergebnis posten und auch mit diesem malware Scanner.

Der Avenger hatte doch mein Internet lahmgelegt, es wurde anscheinend irgendeine Datei oder Eintrag gelöscht den ich für meine Internetverbindung brauche. Ich habe dann wieder ein restore der Einträge und Dateien gemacht. Die Datei PLFSetI.exe ist die Webcamsteuerung von Acer Laptops, ich hatte die schonmal früher überprüft

undoreal 01.11.2008 11:20
=) Ich weiss, dass es die WebCam Steuerung sein kann. Poste das Ergebniss bitte trotzdem.


Der Avenger hat dein Internet nicht lahm gelegt...

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
Files to delete:
C:\Users\D*\AppData\Local\Google\Update\Google Update.exe
C:\Users\Da*1\AppData\Local\rfhseju.exe
http://saved.im/mzi3ndg3nta0/aven.jpg
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.



ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

danielsan79 01.11.2008 13:53
So, endlich fertig gescannt. Es wurden keine Viren gefunden mit dem Dr.Web Programm, er hat allerdings das Naviprog als Virus erkannt.

Process.exe;C:\Program Files\Navilog1;Tool.Prockill;Löschen nicht möglich.;

Das Ergebnis von der anderen Datei hat auch nichts ergeben

Datei PLFSetI.exe empfangen 2008.11.01 12:10:36 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt



Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.11.1.0 2008.10.31 -
AntiVir 7.9.0.10 2008.10.31 -
Authentium 5.1.0.4 2008.11.01 -
Avast 4.8.1248.0 2008.11.01 -
AVG 8.0.0.161 2008.10.31 -
BitDefender 7.2 2008.11.01 -
CAT-QuickHeal 9.50 2008.11.01 -
ClamAV 0.94.1 2008.11.01 -
DrWeb 4.44.0.09170 2008.11.01 -
eSafe 7.0.17.0 2008.10.30 -
eTrust-Vet 31.6.6184 2008.10.31 -
Ewido 4.0 2008.11.01 -
F-Prot 4.4.4.56 2008.10.31 -
F-Secure 8.0.14332.0 2008.11.01 -
Fortinet 3.117.0.0 2008.10.31 -
GData 19 2008.11.01 -
Ikarus T3.1.1.44.0 2008.11.01 -
K7AntiVirus 7.10.513 2008.10.31 -
Kaspersky 7.0.0.125 2008.11.01 -
McAfee 5420 2008.11.01 -
Microsoft 1.4005 2008.11.01 -
NOD32 3575 2008.10.31 -
Norman 5.80.02 2008.10.31 -
Panda 9.0.0.4 2008.10.31 -
PCTools 4.4.2.0 2008.10.31 -
Prevx1 V2 2008.11.01 -
Rising 21.01.52.00 2008.11.01 -
SecureWeb-Gateway 6.7.6 2008.11.01 -
Sophos 4.35.0 2008.11.01 -
Sunbelt 3.1.1767.2 2008.10.31 -
Symantec 10 2008.11.01 -
TheHacker 6.3.1.1.135 2008.10.31 -
TrendMicro 8.700.0.1004 2008.10.31 -
VBA32 3.12.8.9 2008.11.01 -
ViRobot 2008.10.31.1446 2008.10.31 -
VirusBuster 4.5.11.0 2008.10.31 -
weitere Informationen
File size: 200704 bytes



Jetzt werd ich das andere noch machen, ich hatte ja geschrieben dass ich die Datei C:\Users\Da*1\AppData\Local\rfhseju.exe schon manuell gelöscht hatte und die Einträge in der Registry ausgetragen habe gestern, deswegen wird das Avenger Programm wahrscheinlich einen Fehler anzeigen.

Noch mal zu den Benutzerkonten, die Hijack Logs Files unterscheiden sich ja wenn ich mich mit einem anderen Benutzerkonto anmelde hab ich gemerkt. Soll ich die Scans jetzt mit dem Benutzerkonto durchführen welches ich eigentlich immer benutze oder mit den Admin Benutzerkonto, dass ich ja nie benutze? Oder kommen da die gleichen Ergebnisse raus weil bei dem Admin Benutzerkonto sind manche Programme nicht installiert die es aber in dem anderen gibt :confused:


Edit:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "C:\Users\Daniel\AppData\Local\Google\Update\Google Update.exe" not found!
Deletion of file "C:\Users\Daniel\AppData\Local\Google\Update\Google Update.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\Users\Dan01\AppData\Local\rfhseju.exe" not found!
Deletion of file "C:\Users\Dan01\AppData\Local\rfhseju.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

Edit: Unter einem anderem Benutzer gibt es die Datei C:\Users\Daniel\AppData\Local\Google\Update\GoogleUpdate.exe unter Hijackthis
Also muß ich jeden Test und scan dann 2x mal machen für jeden Benutzer?? Welche Hijackthis Log soll ich immer posten, die von benutzer1-Admin oder Benutzer2-standard?? Thx!

danielsan79 03.11.2008 23:03
Hab jetzt glaub ich ein Problem, wärend des Scans mit Kaspersky kam die Meldung "Local fordert die nutzung von webcan und mikrofon" und "wenn sie auf zulassen klicken werden sie gefilmt" :eek: Ich würde am liebsten alles gleich formatieren aber das ist ein Laptop und ich hab keine Windows DVD :koch:

Hatte ich also doch recht dass jemand in meni System gelangt ist.
Soll ich nochmal diesen combofix scan machen oder lohnt das nicht mehr?

Habe heute eine merkwürdige Email bekommen die laut Datum schon gestern hätte kommen müssen mit dem Namen einer Bekannten. Soll ich den Combofix scan als benutzer1 oder benutzer2 durchführen? Ich erbitte um hilfe!


-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Montag, 3. November 2008 22:27:18
Betriebssystem: Microsoft Windows Vista Home Edition, Service Pack 1 (Build 6001)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 3/11/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 1369018
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
C:\
D:\
E:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 103657
Viren gefunden: 0
Infizierte Objekte gefunden: 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 01:11:10

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Boot\BCD Das Objekt ist gesperrt übersprungen
C:\Boot\BCD.LOG Das Objekt ist gesperrt übersprungen
C:\EGIS_Drive\eDS_PSD_drive.vmdf Das Objekt ist gesperrt übersprungen
C:\Program Files\Acer\Empowering Technology\eDataSecurity\log\ADMIN_CLASS_LIB-20081103.log Das Objekt ist gesperrt übersprungen
C:\Program Files\Acer\Empowering Technology\eDataSecurity\log\LOADER-20081103.log Das Objekt ist gesperrt übersprungen
C:\Program Files\InstallShield Installation Information\{57265292-228A-41FA-9AEC-4620CBCC2739}\setup.ilg Das Objekt ist gesperrt übersprungen
C:\Program Files\InstallShield Installation Information\{AA4BF92B-2AAF-11DA-9D78-000129760D75}\setup.ilg Das Objekt ist gesperrt übersprungen
C:\Program Files\InstallShield Installation Information\{D36DD326-7280-11D8-97C8-000129760CBE}\setup.ilg Das Objekt ist gesperrt übersprungen
C:\ProgramData\avg8\emc\Log\emc.log Das Objekt ist gesperrt übersprungen
C:\ProgramData\avg8\Log\avgcore.log Das Objekt ist gesperrt übersprungen
C:\ProgramData\avg8\Log\avglng.log Das Objekt ist gesperrt übersprungen
C:\ProgramData\avg8\Log\avgrs.log Das Objekt ist gesperrt übersprungen
C:\ProgramData\avg8\Log\avgsched.log Das Objekt ist gesperrt übersprungen
C:\ProgramData\avg8\Log\avgui.log Das Objekt ist gesperrt übersprungen
C:\ProgramData\avg8\Log\avgwd.log Das Objekt ist gesperrt übersprungen
C:\ProgramData\avg8\Log\commonpriv.log Das Objekt ist gesperrt übersprungen
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\443a7e3ed3d7e11013a2a4ef64cf98eb_6f28e100-5d3f-4184-a7a6-efcf70f059e7 Das Objekt ist gesperrt übersprungen
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\4533a38ef63ddff70ce0b3073599a0de_6f28e100-5d3f-4184-a7a6-efcf70f059e7 Das Objekt ist gesperrt übersprungen
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\5cfb1489d6fda085eebfbd5a13210c9b_6f28e100-5d3f-4184-a7a6-efcf70f059e7 Das Objekt ist gesperrt übersprungen
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\613eee37f5b07022264f2f9c900c4caf_6f28e100-5d3f-4184-a7a6-efcf70f059e7 Das Objekt ist gesperrt übersprungen
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\ba9ec42714a242af20c8302eed648832_6f28e100-5d3f-4184-a7a6-efcf70f059e7 Das Objekt ist gesperrt übersprungen
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\bff3e547360e96c073bbb9be30d6898f_6f28e100-5d3f-4184-a7a6-efcf70f059e7 Das Objekt ist gesperrt übersprungen
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\e051df7bd3d3694c0963e3ff99a0233f_6f28e100-5d3f-4184-a7a6-efcf70f059e7 Das Objekt ist gesperrt übersprungen
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\fc1e3851f429ea606d6ff1e01a5229f1_6f28e100-5d3f-4184-a7a6-efcf70f059e7 Das Objekt ist gesperrt übersprungen
C:\ProgramData\Microsoft\eHome\logs\eHomeLog01.sqm Das Objekt ist gesperrt übersprungen
C:\ProgramData\Microsoft\eHome\logs\eHomeLog02.sqm Das Objekt ist gesperrt übersprungen
C:\ProgramData\Microsoft\User Account Pictures\Daniel.dat Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\Microsoft\Feeds Cache\index.dat Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\Microsoft\Internet Explorer\MSIMGSIZ.DAT Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\Microsoft\Windows\Explorer\thumbcache_1024.db Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\Microsoft\Windows\Explorer\thumbcache_256.db Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\Microsoft\Windows\Explorer\thumbcache_32.db Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\Microsoft\Windows\Explorer\thumbcache_96.db Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\Microsoft\Windows\Explorer\thumbcache_idx.db Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\Microsoft\Windows\Explorer\thumbcache_sr.db Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\Microsoft\Windows\History\Low\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\Microsoft\Windows\History\Low\History.IE5\MSHist012008110320081104\index.dat Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG1 Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG2 Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\Microsoft\Windows\UsrClass.dat{10a667ad-59cc-11dd-a6f0-001e6881845a}.TM.blf Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\Microsoft\Windows\UsrClass.dat{10a667ad-59cc-11dd-a6f0-001e6881845a}.TMContainer00000000000000000001.regtrans-ms Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\Microsoft\Windows\UsrClass.dat{10a667ad-59cc-11dd-a6f0-001e6881845a}.TMContainer00000000000000000002.regtrans-ms Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\Microsoft\Windows Defender\FileTracker\{174931C8-F234-48D0-82D3-BB9E86A92800} Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\Microsoft\Windows Sidebar\Settings.ini Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\PowerCinema\CLML\CLDB_SUB_ALBUMART.db Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\PowerCinema\CLML\CLDB_SUB_INFO.db Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\PowerCinema\CLML\CLDB_SUB_LARGE.db Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\PowerCinema\CLML\CLDB_SUB_MEDIUM.db Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\PowerCinema\CLML\CLDB_SUB_MINI.db Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\PowerCinema\CLML\CLDB_SUB_SMALL.db Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\PowerCinema\CLML\CLDB_SUB_VSCENE.db Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Roaming\Microsoft\Windows\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Roaming\Microsoft\Windows\Cookies\Low\dan01@doubleclick[2].txt Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Roaming\Microsoft\Windows\Cookies\Low\dan01@ivwbox[1].txt Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Roaming\Microsoft\Windows\Cookies\Low\dan01@statse.webtrendslive[1].txt Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Roaming\Microsoft\Windows\Cookies\Low\index.dat Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\ntuser.dat.LOG1 Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\ntuser.dat.LOG2 Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TM.blf Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TMContainer00000000000000000001.regtrans-ms Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TMContainer00000000000000000002.regtrans-ms Das Objekt ist gesperrt übersprungen
C:\Users\Daniel\AppData\Local\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Users\Daniel\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG1 Das Objekt ist gesperrt übersprungen
C:\Users\Daniel\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG2 Das Objekt ist gesperrt übersprungen
C:\Users\Daniel\AppData\Local\Microsoft\Windows\UsrClass.dat{10a66884-59cc-11dd-a6f0-001e6881845a}.TM.blf Das Objekt ist gesperrt übersprungen
C:\Users\Daniel\AppData\Local\Microsoft\Windows\UsrClass.dat{10a66884-59cc-11dd-a6f0-001e6881845a}.TMContainer00000000000000000001.regtrans-ms Das Objekt ist gesperrt übersprungen
C:\Users\Daniel\AppData\Local\Microsoft\Windows\UsrClass.dat{10a66884-59cc-11dd-a6f0-001e6881845a}.TMContainer00000000000000000002.regtrans-ms Das Objekt ist gesperrt übersprungen
C:\Users\Daniel\AppData\Roaming\Microsoft\Windows\Cookies\Low\daniel@ad.yieldmanager[2].txt Das Objekt ist gesperrt übersprungen
C:\Users\Daniel\AppData\Roaming\Microsoft\Windows\Cookies\Low\daniel@bs.serving-sys[2].txt Das Objekt ist gesperrt übersprungen
C:\Users\Daniel\AppData\Roaming\Microsoft\Windows\Cookies\Low\daniel@casalemedia[1].txt Das Objekt ist gesperrt übersprungen
C:\Users\Daniel\AppData\Roaming\Microsoft\Windows\Cookies\Low\daniel@serving-sys[2].txt Das Objekt ist gesperrt übersprungen
C:\Users\Daniel\AppData\Roaming\Microsoft\Windows\Cookies\Low\daniel@tradedoubler[2].txt Das Objekt ist gesperrt übersprungen
C:\Users\Daniel\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Users\Daniel\ntuser.dat.LOG1 Das Objekt ist gesperrt übersprungen
C:\Users\Daniel\ntuser.dat.LOG2 Das Objekt ist gesperrt übersprungen
C:\Users\Daniel\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TM.blf Das Objekt ist gesperrt übersprungen
C:\Users\Daniel\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TMContainer00000000000000000001.regtrans-ms Das Objekt ist gesperrt übersprungen
C:\Users\Daniel\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TMContainer00000000000000000002.regtrans-ms Das Objekt ist gesperrt übersprungen
C:\Windows\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\Windows\Debug\WIA\wiatrace.log Das Objekt ist gesperrt übersprungen
C:\Windows\Logs\CBS\CBS.log Das Objekt ist gesperrt übersprungen
C:\Windows\Logs\DPX\setupact.log Das Objekt ist gesperrt übersprungen
C:\Windows\Logs\DPX\setuperr.log Das Objekt ist gesperrt übersprungen
C:\Windows\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe.config Das Objekt ist gesperrt übersprungen
C:\Windows\Panther\UnattendGC\diagerr.xml Das Objekt ist gesperrt übersprungen
C:\Windows\Panther\UnattendGC\diagwrn.xml Das Objekt ist gesperrt übersprungen
C:\Windows\Panther\UnattendGC\setupact.log Das Objekt ist gesperrt übersprungen
C:\Windows\Panther\UnattendGC\setuperr.log Das Objekt ist gesperrt übersprungen
C:\Windows\security\database\secedit.sdb Das Objekt ist gesperrt übersprungen
C:\Windows\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0 Das Objekt ist gesperrt übersprungen
C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0 Das Objekt ist gesperrt übersprungen
C:\Windows\System32\catroot2\edb.log Das Objekt ist gesperrt übersprungen
C:\Windows\System32\catroot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb Das Objekt ist gesperrt übersprungen
C:\Windows\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb Das Objekt ist gesperrt übersprungen
C:\Windows\System32\LogConfigTemp.xml Das Objekt ist gesperrt übersprungen
C:\Windows\System32\LogFiles\Firewall\pfirewall.log Das Objekt ist gesperrt übersprungen
C:\Windows\System32\LogFiles\Firewall\pfirewall.log.old Das Objekt ist gesperrt übersprungen
C:\Windows\System32\LogFiles\Scm\SCM.EVM Das Objekt ist gesperrt übersprungen
C:\Windows\System32\LogFiles\WUDF\WUDFTrace.etl Das Objekt ist gesperrt übersprungen
C:\Windows\System32\restore\MachineGuid.txt Das Objekt ist gesperrt übersprungen
C:\Windows\System32\spool\SpoolerETW.etl Das Objekt ist gesperrt übersprungen
C:\Windows\System32\sysprep\Panther\diagerr.xml Das Objekt ist gesperrt übersprungen
C:\Windows\System32\sysprep\Panther\diagwrn.xml Das Objekt ist gesperrt übersprungen
C:\Windows\System32\sysprep\Panther\setupact.log Das Objekt ist gesperrt übersprungen
C:\Windows\System32\sysprep\Panther\setuperr.log Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\0332A97878022BD4B34ECC098E57783A.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\0FF162C67AD719BB7258CA5874D0E6EC.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\1328355F476A6C04BC174C8FEFED6030.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\191095FB4864B1AE365957B3B2D28C4F.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\1A4E55E3BE96FF394FB5020C4D537AB1.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\1F260613E85F3D0BACEC07DCEF35396B.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\22A0F05220E6420CA3AA86E34805F752.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\241F1954DCD7B0310958D9540754CEC3.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\394EF2A769C648E61B41BFAD23BACF0E.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\3CF854648793305D1D2A7AC41F80E9D6.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\3DFD050CBBC8EA38EA5F1066285F0F4E.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\3FC136B9AA8D71056333AF0137119E93.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\4461018BFFC22A809EBE8FA05567B686.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\45D86E53E6ADF70035B0034F9D8C42FE.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\47DDFF7276CF8C08F181DD23AF67B868.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\4B2660072B052959CB2A0C8B6A1E9B6A.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\4FFAA3E7CB3131376614E98F756EE7AD.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\542DC56D520FDDEDA279A0D2F398203D.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\58F6DC94AE063187572E906AE0B9DC24.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\5F8AAE81E6AA25DDECD426311EDC3CEA.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\6389D91E49CCAF02640B61214A97211F.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\66231762529A003735024004DCDE643C.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\6DD1779321E1C86B32D09A35DA5E4ED2.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\734834D588DA61453DEA4E0AF499ADCE.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\7424188A11F3D829BB76C98170DB45E5.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\7A7E1B1832596F5C49CD70E9755EED39.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\7C45C8B7490D3AD44A961494C7FBFAFD.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\7DFE880F785D5AB82870BFC0C3F814A2.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\8608CDBF407B09DF27C3406379384843.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\86824C24FDE0A58E4EB1A7918FBEF0C5.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\89B278BD994A4232365F0E916C19916C.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\9B2AE30BDA2ED3E7E1378B8770C99C54.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\9FB731EA48C7701EB7978CEB7E0314AD.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\A02DB69DBBC4F298AD0CE59F677EBF22.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\B7890DE53F3A6B3C277523E82A081C04.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\B88E8B639804BA063AC1D11AC4C196C1.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\BF2ADAFC80AB82D412CD9F0B99A0AD2C.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\C3613D92FBA5F820823577D6FC2CE8A9.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\C5B3C3C921790F19FCDE9367A797A2EF.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\CF881EBD6F50B8BAA9BD57DC3DAC5CB2.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\CFD53C8456D58010BA580B1D5CFF68D3.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\D4CB64722F050ABEB5F8B6B143A19A6C.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\D6149C45B68480CA184F2D9C7CB312A5.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\DED51090917AEE019629CE420A50F3C2.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\E478A5DB75C9721E744C05D78DBACFD3.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\EC4E4D2526C1F24E4D610677CF1EA0E7.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\EEDD6F5F4BEDFEA1C780FFC78DCDE051.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\F001D607C389EDBCFB1D1F3C9AE0FFC5.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\F1E5535EC8A153BF2EB4F202C2704228.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\FA01281653BC6D33CB10F9E5C36E4047.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\Logs\WMITracing.log Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\Repository\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\Repository\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\Repository\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\Repository\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Application.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\DFS Replication.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\HardwareEvents.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Internet Explorer.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Key Management Service.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Media Center.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Bits-Client%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-CodeIntegrity%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Diagnosis-DPS%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Diagnostics-Networking%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Diagnostics-Performance%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-DiskDiagnosticDataCollector%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-DriverFrameworks-UserMode%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-GroupPolicy%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Help%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-International%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Kernel-WHEA.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-LanguagePackSetup%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-MUI%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-NetworkAccessProtection%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-ParentalControls%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-ReadyBoost%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-ReliabilityAnalysisComponent%4Metrics.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-ReliabilityAnalysisComponent%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Resource-Exhaustion-Detector%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Resource-Exhaustion-Resolver%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Resource-Leak-Diagnostic%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-RestartManager%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-TaskScheduler%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-UAC%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-UAC-FileVirtualization%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-WindowsUpdateClient%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-WLAN-AutoConfig%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\ODiag.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\OSession.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Security.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Setup.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\System.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\Tasks\SCHEDLGU.TXT Das Objekt ist gesperrt übersprungen
C:\Windows\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
C:\Windows\winsxs\x86_microsoft-windows-n..n_service_datastore_31bf3856ad364e35_6.0.6001.18000_none_d12e90ac35ffb753\dnary.xsd Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

undoreal 04.11.2008 06:32
Welcher Benutzer ist denn infiziert? Combofix solltest du als Admin ausführen. Wenn beide Benutzer Admin Rechte haben dann mache den Scan auf beiden Profilen und poste beide logs.

danielsan79 04.11.2008 13:44
Also ich habe jetzt doch das System neu gemacht aber das Problem ist, dass ich keine Windows vista cd habe weil bei dem laptop nichts dabei war. Das Recovery Image liegt auf einer versteckten Partition auf dem Rechner. Meine Frage ist kann diese Partition, die ja hoffentlich schreibgeschützt ist, auch befallen worden sein? Und reicht ein recovery der alten Partition überhaupt aus, weil die Platte ja nicht formatiert wird sondern nur überschrieben? Habe mal alle Passwörter getauscht und ein besseres Antiviren Programm installiert.

Ich will in Zukunft jetzt besser auf das System aufpassen und auch nur das nötigste installieren. Bin mir nicht sicher ob ich mir eine Firewall kaufen soll oder die windows Firewall ausreicht, ich bin ja hinter einem Router und diese online Portscan tests zeigten alle gute Werte an. Vielleicht war der Trojaner schon länger auf dem Rechner, den kaum war ich als Admin Benutzer angemeldet und hab das System mal für 2 Stunden mit Kaspersky online scannen lassen da öffnet mir irgendjemand die Webcam und Mikrovonsteuerung und verlangte zugriff, hab dann auf verweigern geklickt, sehr merkwürdig. Gibt es eigentlich kleinere Tools die automatisch das System auf Sicherheit optimieren und einige Einstellungen vornhemen wie z.b Datei und Druckerfreigabe abschalten oder sowas?

undoreal 04.11.2008 16:29
Also: Hast du mit der Recovery CD neuaufgestzt? Dann ist dein Rechner jetzt auf dem Auslieferungszustand und somit sauber.

Zur Systemsicherheit: Die Windows Firewall ist gut! Lies dir das hier mal durch: Windows Vista Firewall punktgenau konfiguriert - Winhelpline Forum

Und hier noch ein paar Sachen damit der Rechner danach auch sauber bleibt..
  • Installiere keine Anti-Spyware/Anti-Malware oder sonstige "Sicherheits"-Programme sondern nur ein normales AntiViren Programm wie zum Beispiel: Avira AntiVir free, Kaspersky oder avast free.
    Mit einem Anti-Malware-Scanner ohne Wächter wie SuperAntiSpyware oder Anti-Malware kann der PC bei Verdacht überprüft werden.
    .
  • Halte immer alle Anwendungen aktuell (Secunia PSI kann hier wertvolle Hilfe leisten).
    .
  • Update die Viren-Signaturen deines Anti-Viren Programmes reglemäßig.
    .
  • Update auch regelmäßig die Hardwaretreiber (Grafikkarte, Soundkarte).
    .
  • Das Windows Update sollte automatisch erfolgen -> Der Frischmacher.
    .
  • Das aktuelle ServicePack sollte installiert sein:.
  • Eine vernünftige Ordneransicht erschwert es Malware sich vor dir zu verstecken -> Einstellungen.
    .
  • Bei Windows Vista können einige Dienste deaktiviert werden: TechNET
    .
  • Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!).
  • Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen
    • Sicherheit: -> höchste Stufe
    • Datenschutz: -> alle Cookies blockieren
    Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
    .
  • Räume den Rechner regelmäßig mit dem cCleaner auf; Punkte 1&2.
    .

Häufig gestellte Fragen: XP | Vista

Zusätzlich kannst du natürlich immer gerne hier posten wenn du absolut nicht weiterkommst.. ;)

danielsan79 04.11.2008 17:12
Leider nicht, eine Recovery CD war bei dem Acer billig Ding nicht dabei. Es gibt ein "Recovery Image" auf einer versteckten kleinen Partition von dem aus dann das Image genommen wird. Dazu drückt man im Bios Bildschirm Alt+F10 und ein kleines Dos Programm öffnet sich dass dann alles automatisch erledigt. Ich habe nur bedenken dass genau diese kleine versteckte Partition eventuell auch befallen sein könnte, ich hoffe aber das Acer die wenigstens schreibgeschützt hat oder so ähnlich.

dachte mir eigentlich dass die Windows Firewall schon ganz gut ist, dann werd ich keine neue kaufen. Das sind ein paar Hilfreiche Tips gerade um die Firewall und Interneteinstelungen zu konfigurieren. :party:

undoreal 04.11.2008 18:07
Zitat:
ich hoffe aber das Acer die wenigstens schreibgeschützt hat oder so ähnlich.
Davon ist auszugehen... Sollte also eigentlich kein Problem sein..


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:53 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131