|
Trojan.BHO lässt sich nicht entfernen Hallo, bin neu hier (als aktiver User, lese schon länger) und natürlich gleich mit einem Problem. Mein Anti-Malware zeigt mir einen Trojaner in der Registrierung an: Tronjan.BHO Der dazugehörige infiziert Registrierungswert: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ssodl (Trojan.BHO) Habe HiJackthis durchlaufen lassen und unter 021 den verdächtigen Eintrag gefunden, s.u.. Dieser lässt sich leider nicht löschen, auch im abgesicherten Modus nicht. Er wird immer wieder neu geschrieben, auch wenn ich mit Anti-Malware lösche. Hat jemand einen Rat? _____________________________________ Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:31:11, on 13/02/2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0013) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe E:\Programme\Sygate\smc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\nvraidservice.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe E:\Programme\Quick Time Player\qttask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Canon\MyPrinter\BJMyPrt.exe E:\PROGRA~1\AVGVIR~1\avgtray.exe E:\Programme\Spyware Doctor\SDTrayApp.exe E:\Programme\Spybot\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe E:\PROGRA~1\AVGVIR~1\avgwdsvc.exe C:\WINDOWS\system32\bgsvcgen.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Digidesign\Drivers\MMERefresh.exe E:\PROGRA~1\AVGVIR~1\avgrsx.exe C:\Programme\Canon\IJPLM\IJPLMSVC.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe C:\WINDOWS\system32\nvsvc32.exe E:\Programme\Spyware Doctor\svcntaux.exe E:\Programme\Spyware Doctor\swdsvc.exe C:\WINDOWS\system32\svchost.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\WINDOWS\system32\wbem\unsecapp.exe E:\Programme\AVG Virenscanner\avgui.exe E:\Programme\AVG Virenscanner\avgscanx.exe E:\Programme\AVG Virenscanner\avgcsrvx.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe E:\Programme\Spybot\Spybot - Search & Destroy\SpybotSD.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE E:\Programme\AVG Virenscanner\avgcsrvx.exe C:\Programme\Microsoft Office\Office12\WINWORD.EXE E:\Programme\AVG Virenscanner\avgcsrvx.exe E:\Programme\Malware Bytes\Malwarebytes' Anti-Malware\mbam.exe E:\Programme\Netscape\Netscp.exe E:\Programme\HiJack\HijackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - E:\Programme\AVG Virenscanner\avgssie.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\Spybot\SPYBOT~1\SDHelper.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~1\Office12\GRA8E1~1.DLL O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - E:\PROGRA~1\AVGVIR~1\AVGTOO~1.DLL O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - E:\PROGRA~1\AVGVIR~1\AVGTOO~1.DLL O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SmcService] E:\PROGRA~1\Sygate\smc.exe -startgui O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe O4 - HKLM\..\Run: [nTrayFw] C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [DigidesignMMERefresh] C:\Programme\Digidesign\Drivers\MMERefresh.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\Quick Time Player\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon O4 - HKLM\..\Run: [AVG8_TRAY] E:\PROGRA~1\AVGVIR~1\avgtray.exe O4 - HKLM\..\Run: [SDTray] E:\Programme\Spyware Doctor\SDTrayApp.exe O4 - HKLM\..\RunOnce: [wextract_cleanup0] rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\IXP000.TMP\" O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Programme\Spybot\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [MCW Startup] "E:\Programme\Monitor kalibrieren\Monitor Calibration Wizard\MCW.exe" /s O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: An vorhandenes PDF anfügen - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\Spybot\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\Spybot\SPYBOT~1\SDHelper.dll O16 - DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{301EA6CC-5E82-4485-92C1-08A6F959759C}: NameServer = 195.50.140.252 195.50.140.114 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~1\Office12\GR99D3~1.DLL O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - E:\Programme\AVG Virenscanner\avgpp.dll O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - (no file) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: app_filter - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - E:\PROGRA~1\AVGVIR~1\avgwdsvc.exe O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Digidesign MME Refresh Service (DigiRefresh) - Digidesign, A Division of Avid Technology, Inc. - C:\Programme\Digidesign\Drivers\MMERefresh.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Inkjet Printer/Scanner Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - E:\Programme\Spyware Doctor\svcntaux.exe O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - E:\Programme\Spyware Doctor\swdsvc.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - E:\Programme\Sygate\smc.exe -- End of file - 11503 bytes |
Ich würde sagen du versuchst den Eintrag im Abgesicherten Modus zu entfernen. Hier ein weiterer Eintrag: O4 - HKLM\..\RunOnce: [wextract_cleanup0] rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\IXP000.TMP \" Russenaisko |
Werde Deine Ratschläge befolgen und mich sobald wie möglich mit dem Ergebnis melden. Vielen Dank!!! |
Sonst sieht alles sauber aus ausser der O21 Eintrag Aber da würde ich etwas Vorsichtig sein Achtung:Fixen entfernt keine Datein!!! |
Liste der Anhänge anzeigen (Anzahl: 1) @ Gentleman: Danke für´s Rüberschauen, das macht mich schon einmal ein wenig ruhiger. Nun zu meinen Scan-Ergebnissen: Das Fixen der Einträge: O4 - HKLM\..\RunOnce: [wextract_cleanup0] rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\IXP000.TMP \" O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - (no file) in HiJack This hat auch im abgesicherten Modus nix gebracht, sie tauchen immer wieder auf. Zweitens habe ich mit Ad-Aware gescannt und einiges gefunden und wie empfohlen gelöscht, u.a. diese Files: Description: C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE Family Name: Suspicious Object Clean status: Success Item ID: 0 Family ID: 0 Description: C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE Family Name: Suspicious Object Clean status: Success Item ID: 0 Family ID: 0 Description: C:\WINDOWS\system32\avisynth.dll Family Name: Suspicious Object Clean status: Success Item ID: 0 Family ID: 0 Description: C:\WINDOWS\system32\ControlSubX.ocx Family Name: Suspicious Object Clean status: Success Item ID: 0 Family ID: 0 Description: C:\WINDOWS\system32\DivX.dll Family Name: Suspicious Object Clean status: Success Item ID: 0 Family ID: 0 Description: C:\WINDOWS\system32\divx_xx07.dll Family Name: Suspicious Object Clean status: Success Item ID: 0 Family ID: 0 Description: C:\WINDOWS\system32\divx_xx0c.dll Family Name: Suspicious Object Clean status: Success Item ID: 0 Family ID: 0 Description: C:\WINDOWS\system32\DVDVideo.ax Family Name: Suspicious Object Clean status: Success Item ID: 0 Family ID: 0 Description: C:\WINDOWS\system32\IEDFix.exe Family Name: Suspicious Object Clean status: Success Item ID: 0 Family ID: 0 Description: C:\WINDOWS\system32\sevDataGrid2.ocx Family Name: Suspicious Object Clean status: Success Item ID: 0 Family ID: 0 Description: C:\WINDOWS\system32\sevMail32.ocx Family Name: Suspicious Object Clean status: Success Item ID: 0 Family ID: 0 Description: C:\WINDOWS\system32\sevZip30.dll Family Name: Suspicious Object Clean status: Success Item ID: 0 Family ID: 0 Description: C:\WINDOWS\system32\SrchSTS.exe Family Name: Suspicious Object Clean status: Success Item ID: 0 Family ID: 0 Description: C:\WINDOWS\system32\swreg.exe Family Name: Suspicious Object Clean status: Success Item ID: 0 Family ID: 0 Description: C:\WINDOWS\system32\swsc.exe Family Name: Suspicious Object Clean status: Success Item ID: 0 Family ID: 0 Description: C:\WINDOWS\system32\swxcacls.exe Family Name: Suspicious Object Clean status: Success Item ID: 0 Family ID: 0 Description: C:\WINDOWS\system32\VACFix.exe Family Name: Suspicious Object Clean status: Success Item ID: 0 Family ID: 0 Description: C:\WINDOWS\system32\VCCLSID.exe Family Name: Suspicious Object Clean status: Success Item ID: 0 Family ID: 0 Description: C:\WINDOWS\system32\WS2Fix.exe Family Name: Suspicious Object Clean status: Success Item ID: 0 Family ID: 0 Desweiteren hat er einen Wurm entdeckt C:\SDFix\apps\cliptext.exe Family Name: Win32.Worm.KdCrypt Clean status: Success Item ID: 408049 Family ID: 5462 Anhang 3133 Nach neuem Scannen mit Adaware tauchen diese Einträge auch nicht mehr auf, scheinen also erfolgreich beseitigt zu sein. Der Scanner Threat Fire findet nix. Der Spy Doctor ebenfalls nicht. Dann habe ich über SDFix den Normal Malware Cleaner scannen lassen, der fand Folgendes: Scanning: C:\*.* C:\System Volume Information\_restore{BBAE5C89-094B-4309-B8AC-E25FA98BE066}\RP21\A0010295.ini (Infected with Vundo.FBW) Deleted file C:\System Volume Information\_restore{BBAE5C89-094B-4309-B8AC-E25FA98BE066}\RP21\A0010296.ini (Infected with Vundo.FBW) Deleted file C:\System Volume Information\_restore{BBAE5C89-094B-4309-B8AC-E25FA98BE066}\RP21\A0010297.ini (Infected with Vundo.FBW) Deleted file C:\System Volume Information\_restore{BBAE5C89-094B-4309-B8AC-E25FA98BE066}\RP21\A0010298.ini (Infected with Vundo.FBW) Deleted file C:\System Volume Information\_restore{BBAE5C89-094B-4309-B8AC-E25FA98BE066}\RP21\A0010299.ini (Infected with Vundo.FBW) Deleted file C:\System Volume Information\_restore{BBAE5C89-094B-4309-B8AC-E25FA98BE066}\RP21\A0010300.ini (Infected with Vundo.FBW) Deleted file C:\System Volume Information\_restore{BBAE5C89-094B-4309-B8AC-E25FA98BE066}\RP21\A0010301.ini (Infected with Vundo.FBW) Deleted file Das Löschen dieser Files brachte allerdings nix. Beim nächsten Scan waren sie wieder da. Soviel zum Stand der Dinge. Ungelöst ist immer noch mein Ursprungsproblem, nämlich der Trojan.BHO in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\ShellServiceObjectDelayLoad\ssodl (Trojan.BHO) Dieser wird mir immer noch angezeigt, wenn ich mit Anti-Malware scanne. *Verzweifel* |
Hallo Saturnine und :hallo: Du hast da ziemlichen Müll auf deinem Rechner installiert, hoffen wir mal, dass wir das wieder hinbekommen. 1.) Deinstalliere (Start=>Systemsteuerung=>Software) folgende Programme:
Schaue doch mal nach meinen Highlights wie z.B. http://www.trojaner-board.de/69506-c...tml#post411147 http://www.trojaner-board.de/67120-a...tml#post400606 http://www.trojaner-board.de/68759-i...tml#post407154 :) 2.) Entfernen von Windows Bonjour (mdnsresponder.EXE) mit Bonjour Au revoir 3.) Starte HJT => Do a system scan only => Markiere: Code: O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE4.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde. 5.) Malwarebytes Antimalware ausführen und Logfile posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!) 6.) Superantispyware laden, starten und Log posten, so wie hier beschrieben: http://www.trojaner-board.de/51871-a...tispyware.html 7.) Installiere (Toolbars immer abwählen, Haken weg):
ciao, andreas |
Hallo, erstmal danke für die Anweisungen! Vorab: ich habe alles abgearbeitet, außer die Deinstallation vom Acrobat Reader (steht nicht unter Software und finde nirgends die Möglichkeit zur Deinstallation) und Sygate. Nach Schritt 5.) Wow, der Scan mit Anti-Malware war fehlerfrei, die Trohan.BHO taucht nicht mehr auf: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:00:40, on 14/02/2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0013) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe E:\Programme\Sygate\smc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\AAWService.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\nvraidservice.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Canon\MyPrinter\BJMyPrt.exe C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe E:\Programme\Threat Fire\TFTray.exe C:\WINDOWS\system32\rundll32.exe E:\Programme\Spyware Doctor\SDTrayApp.exe E:\PROGRA~1\AVGVIR~1\avgtray.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe E:\Programme\Super Antispyware\SUPERAntiSpyware.exe C:\WINDOWS\system32\ctfmon.exe E:\PROGRA~1\AVGVIR~1\aAvgApi.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe E:\PROGRA~1\AVGVIR~1\avgwdsvc.exe C:\WINDOWS\system32\AvidSDMService.exe E:\PROGRA~1\AVGVIR~1\avgrsx.exe C:\WINDOWS\system32\bgsvcgen.exe C:\Programme\Digidesign\Drivers\MMERefresh.exe C:\Programme\Canon\IJPLM\IJPLMSVC.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe C:\WINDOWS\system32\nvsvc32.exe E:\Programme\Spyware Doctor\svcntaux.exe E:\Programme\Spyware Doctor\swdsvc.exe C:\WINDOWS\system32\svchost.exe E:\Programme\Threat Fire\TFService.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\wbem\unsecapp.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wbem\unsecapp.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Microsoft Office\Office12\WINWORD.EXE E:\Programme\AVG Virenscanner\avgcsrvx.exe E:\Programme\HiJack\HijackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - E:\Programme\AVG Virenscanner\avgssie.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~1\Office12\GRA8E1~1.DLL O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - E:\PROGRA~1\AVGVIR~1\AVGTOO~1.DLL O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - E:\PROGRA~1\AVGVIR~1\AVGTOO~1.DLL O4 - HKLM\..\Run: [SmcService] E:\PROGRA~1\Sygate\smc.exe -startgui O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe O4 - HKLM\..\Run: [nTrayFw] C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [DigidesignMMERefresh] C:\Programme\Digidesign\Drivers\MMERefresh.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe O4 - HKLM\..\Run: [ThreatFire] E:\Programme\Threat Fire\TFTray.exe O4 - HKLM\..\Run: [SDTray] E:\Programme\Spyware Doctor\SDTrayApp.exe O4 - HKLM\..\Run: [AVG8_TRAY] E:\PROGRA~1\AVGVIR~1\avgtray.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [MCW Startup] "E:\Programme\Monitor kalibrieren\Monitor Calibration Wizard\MCW.exe" /s O4 - HKCU\..\Run: [SUPERAntiSpyware] E:\Programme\Super Antispyware\SUPERAntiSpyware.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: An vorhandenes PDF anfügen - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL O10 - Broken Internet access because of LSP provider 'c:\programme\bonjour\mdnsnsp.dll' missing O16 - DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{301EA6CC-5E82-4485-92C1-08A6F959759C}: NameServer = 195.50.140.252 195.50.140.114 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~1\Office12\GR99D3~1.DLL O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - E:\Programme\AVG Virenscanner\avgpp.dll O20 - Winlogon Notify: !SASWinLogon - E:\Programme\Super Antispyware\SASWINLO.dll O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: app_filter - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - E:\PROGRA~1\AVGVIR~1\avgwdsvc.exe O23 - Service: Avid SDM Service (AvidSDMService) - Avid Technology, Inc. - C:\WINDOWS\system32\AvidSDMService.exe O23 - Service: Avid Startup (AvidStartup) - Unknown owner - C:\WINDOWS\system32\AvidStartup.exe O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe O23 - Service: Digidesign MME Refresh Service (DigiRefresh) - Digidesign, A Division of Avid Technology, Inc. - C:\Programme\Digidesign\Drivers\MMERefresh.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Inkjet Printer/Scanner Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - E:\Programme\Spyware Doctor\svcntaux.exe O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - E:\Programme\Spyware Doctor\swdsvc.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - E:\Programme\Sygate\smc.exe O23 - Service: ThreatFire - PC Tools - E:\Programme\Threat Fire\TFService.exe Nach Schritt 6.) Mit SuperAntiSpyware gescannt und es wurden verfolgende Cookies gefunden. Hier die Logdatei (Auszug) von diesem Scan mit anschließendem Löschen der Cookies: Adware.Tracking Cookie C:\Dokumente und Einstellungen\...\Cookies\...h@ad.zanox[1].txt C:\Dokumente und Einstellungen\...\Cookies\...@www.zanox-affiliate[1].txt C:\Dokumente und Einstellungen\...\Cookies\...@zanox-affiliate[1].txt C:\Dokumente und Einstellungen\...\Cookies\...h@ad.ambiweb[2].txt C:\Dokumente und Einstellungen\...\Cookies\...@zanox[1].txt C:\Dokumente und Einstellungen\...\Cookies\...@ads.heias[2].txt C:\Dokumente und Einstellungen\...\Cookies\...@ad.ad-srv[2].txt C:\Dokumente und Einstellungen\...\Cookies\ ...@komtrack[2].txt C:\Dokumente und Einstellungen\...\Cookies\...@tto2.traffictrack[1].txt C:\Dokumente und Einstellungen\...\Cookies\...@www.etracker[2].txt C:\Dokumente und Einstellungen\...\Cookies\...@traffictrack[2].txt Erneuter Scan im abgesichterten Modus mit SUPERAntiSpyware (hab nur C: gescannt, da auf den anderen Laufwerken nix gefunden wurde). Alles ok. Habe nun Rechner neu gestartet, WindowsUpdate XP SP3 installiert und noch einmal mit Anti-Malware nach dem Trojan.BHO gesucht. UND ER WAR WEG! Der Scan war fehlerfrei ;-) Abschließender Test mit HiJackThis war ebenfalls positiv, soweit ich das als Laie beurteilen kann: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:01:47, on 14/02/2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0013) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe E:\Programme\Sygate\smc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\AAWService.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe E:\PROGRA~1\AVGVIR~1\avgwdsvc.exe C:\WINDOWS\system32\AvidSDMService.exe C:\WINDOWS\system32\bgsvcgen.exe C:\Programme\Digidesign\Drivers\MMERefresh.exe C:\Programme\Canon\IJPLM\IJPLMSVC.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe E:\PROGRA~1\AVGVIR~1\avgrsx.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe C:\WINDOWS\system32\nvsvc32.exe E:\Programme\Spyware Doctor\svcntaux.exe E:\Programme\Spyware Doctor\swdsvc.exe C:\WINDOWS\system32\svchost.exe E:\Programme\Threat Fire\TFService.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe C:\WINDOWS\system32\wbem\unsecapp.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\WINDOWS\system32\wscntfy.exe E:\Programme\Spyware Doctor\SDTrayApp.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\nvraidservice.exe C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Canon\MyPrinter\BJMyPrt.exe E:\Programme\Threat Fire\TFTray.exe E:\PROGRA~1\AVGVIR~1\avgtray.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe E:\Programme\Super Antispyware\SUPERAntiSpyware.exe C:\WINDOWS\system32\wbem\unsecapp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe E:\Programme\Malware Bytes\Malwarebytes' Anti-Malware\mbam.exe E:\Programme\HiJack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - E:\Programme\AVG Virenscanner\avgssie.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~1\Office12\GRA8E1~1.DLL O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - E:\PROGRA~1\AVGVIR~1\AVGTOO~1.DLL O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - E:\PROGRA~1\AVGVIR~1\AVGTOO~1.DLL O4 - HKLM\..\Run: [SmcService] E:\PROGRA~1\Sygate\smc.exe -startgui O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe O4 - HKLM\..\Run: [nTrayFw] C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [DigidesignMMERefresh] C:\Programme\Digidesign\Drivers\MMERefresh.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe O4 - HKLM\..\Run: [ThreatFire] E:\Programme\Threat Fire\TFTray.exe O4 - HKLM\..\Run: [SDTray] E:\Programme\Spyware Doctor\SDTrayApp.exe O4 - HKLM\..\Run: [AVG8_TRAY] E:\PROGRA~1\AVGVIR~1\avgtray.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [MCW Startup] "E:\Programme\Monitor kalibrieren\Monitor Calibration Wizard\MCW.exe" /s O4 - HKCU\..\Run: [SUPERAntiSpyware] E:\Programme\Super Antispyware\SUPERAntiSpyware.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: An vorhandenes PDF anfügen - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~1\Office12\GR99D3~1.DLL O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - E:\Programme\AVG Virenscanner\avgpp.dll O20 - Winlogon Notify: !SASWinLogon - E:\Programme\Super Antispyware\SASWINLO.dll O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: app_filter - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - E:\PROGRA~1\AVGVIR~1\avgwdsvc.exe O23 - Service: Avid SDM Service (AvidSDMService) - Avid Technology, Inc. - C:\WINDOWS\system32\AvidSDMService.exe O23 - Service: Avid Startup (AvidStartup) - Unknown owner - C:\WINDOWS\system32\AvidStartup.exe O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe O23 - Service: Digidesign MME Refresh Service (DigiRefresh) - Digidesign, A Division of Avid Technology, Inc. - C:\Programme\Digidesign\Drivers\MMERefresh.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Inkjet Printer/Scanner Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - E:\Programme\Spyware Doctor\svcntaux.exe O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - E:\Programme\Spyware Doctor\swdsvc.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - E:\Programme\Sygate\smc.exe O23 - Service: ThreatFire - PC Tools - E:\Programme\Threat Fire\TFService.exe Scheint also alles ok zu sein. Vielen Dank!!! Zwei abschließende Fragen habe ich allerdings noch: 1.) Welche Firewall und welches Antivirenprogramm ist denn am Sichersten? 2.) Soll ich die Systemwiederherstellung jetzt wieder aktivieren? Bin mir übrigens ziemlich sicher, dass ich die Malware von www. netphoria. org (Forumbereich) habe. Desöfteren wenn ich auf der Seite war meldete sich mein AntiVir, dass sich was im Temp-Ordner ablegen will (habe ich stets verboten). Verstehe bloß nicht, warum die Admins dieser Seite, auf der täglich zehntausende surfen, nix dagegen unternehmen… |
Es gibt nur ein Programm, das du benötigst: Brain.exe Leider ist es nicht zu jedem User kompatibel. Falls es dich wirklich interessiert, dann schau mal hier vorbei: http://www.trojaner-board.de/69792-r...tml#post412655 http://www.trojaner-board.de/69792-r...tml#post412719 Warum hast du den ganzen Schrott, den ich dich deinstallieren habe lassen, wieder drauf, dazu noch AdAware. Dir ist wohl nicht zu helfen. Alle Programme, die wir eingesetzt haben, kannst du deinstallieren oder draufbehalten, weiter dein System zumüllen und in einem falschen Gefühl der Sicherheit leben. ciao, andreas |
Zitat:
|
Hier wird üblicherweise die Empfehlung Avira/MalwareBytes gegeben. Ich persönlich bevorzuge ausschliesslich Brain.exe. Denn Befall zu vermeiden ist immer besser, als Befall zu beseitigen. Wie man Befall vermeidet, steht in einem der Links. ciao, andreas |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 15:02 Uhr. |
Copyright ©2000-2025, Trojaner-Board