|
TR/Dropper.Gen gefunden - Wie löschen ?!?!? Hallo, Antivir hat bei mir den Trojaner TR/Dropper.Gen gefunden und kann diesen nicht löschen. Hier mal mein Hijackthis-Log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:41:36, on 25.04.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16827) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\CTHELPER.EXE C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\WINDOWS\system32\gearsec.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\RocketDock\RocketDock.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\StkASv2K.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file) O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Programme\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [TrayServer] D:\MAGIX\Filme_auf_DVD_8\TrayServer.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [prnet] "C:\WINDOWS\system32\prnet.tmp" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1 O4 - HKCU\..\Run: [RocketDock] "C:\Programme\RocketDock\RocketDock.exe" O4 - HKCU\..\Run: [prnet] "C:\WINDOWS\system32\prnet.tmp" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{58AD885B-011B-45C2-93A2-CC9C2FB66DD3}: NameServer = 192.168.2.1 O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - D:\-=]GAMEZ[=-\Common\Database\bin\fbserver.exe O23 - Service: gearsec - GEAR Software - C:\WINDOWS\system32\gearsec.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Syntek STK1160 Service (StkASSrv) - Syntek America Inc. - C:\WINDOWS\System32\StkASv2K.exe -- End of file - 6690 bytes Welche Schäden kann dieser Trojaner anrichten, denn plötzlich werden meine USB-Sticks nicht mehr am PC erkannt und meine Festplatten werden komischerweise nicht mehr in der Datenträgervewaltung angezeigt, obwohl diese im Explorer alle da sind! Wäre super wenn mir jemand helfen könnte. |
Hallo & guten Abend, lade mal bitte diese Datei Zitat:
Diese wird dann ausgewertet. |
Hi, danke für die schnelle Antwort. Habe die prnet.tmp Datei gemäß Deiner Anleitung hochgeladen. Hoffe das man mir helfen kann. Kann der Trojaner meine USB-Sticks blockieren bzw. dazu führen da im Gerätemanager keine Festplatten mehr angzeigt werden? Sehe dort nur noch meine 2 DVD-Laufwerke :dummguck: |
Fixe mal folgendes weg per "Do a System scan only": Zitat:
Einen Neustart und ein neues HJT-Log hier rein stellen bitte. |
So sieht das ganze jetzt aus: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:42:49, on 25.04.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16827) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\WINDOWS\system32\gearsec.exe C:\WINDOWS\system32\CTHELPER.EXE C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\System32\StkASv2K.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Programme\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1 O4 - HKCU\..\Run: [RocketDock] "C:\Programme\RocketDock\RocketDock.exe" O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{58AD885B-011B-45C2-93A2-CC9C2FB66DD3}: NameServer = 192.168.2.1 O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - D:\-=]GAMEZ[=-\Common\Database\bin\fbserver.exe O23 - Service: gearsec - GEAR Software - C:\WINDOWS\system32\gearsec.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Syntek STK1160 Service (StkASSrv) - Syntek America Inc. - C:\WINDOWS\System32\StkASv2K.exe -- End of file - 5426 bytes |
1.) Systemdetails mit RSIT prüfen
2.) ZHPDiag von Nicolas Coolman http://pic.leech.it/i/5e532/9b50601zhpdiag.jpg
|
Code: --\\ Contenu des dossiers Fichiers Communs (O43) |
Code: Rapport de ZHPDiag v1.19 par Nicolas Coolman |
Code: ---\\ Opérations et fonctions au démarrage de Windows Explorer (O46) |
Lade mal beide Logs von Rsit und von ZHPdiag bitte hoch. Das wird sonst zu lange. Separat hochladen bitte :) |
Code: Logfile of random's system information tool 1.06 (written by random/random) |
Zitat:
logs.rar ... at uploaded.to - Free File Hosting, Free Image Hosting, Free Music Hosting, Free Video Hosting, ... |
Bitte Deinstalliere: eMule Azureus Ad-Aware Spybot S&D eScan Acrobat Reader bitte beide und alle Javas BIS auf Java 13 Bootskin ICQ ist veraltet, aktuell ist ICQ 6,5 Advertisement Service runter. Poste anschließend nochmal ein neues HJT LOG. |
Zitat:
|
Zitat:
|
Installiere (Toolbars immer abwählen, Haken weg):
eScan Acrobat Reader bitte beide und alle Javas BIS auf Java 13 Bootskin ICQ ist veraltet, aktuell ist ICQ 6,5 Advertisement Service runter. Diese hier auch noch deinstallieren. Neues HJT-log rein :) |
Habe nun sämtliche Programme deinstalliert, nur eScan habe ich nicht gefunden. Hier der neue Log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:21:44, on 26.04.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16827) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\WINDOWS\system32\gearsec.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\StkASv2K.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\CTHELPER.EXE C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\FreeCommander\FreeCommander.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\npjpi160_13.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\npjpi160_13.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{58AD885B-011B-45C2-93A2-CC9C2FB66DD3}: NameServer = 192.168.2.1 O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - D:\-=]GAMEZ[=-\Common\Database\bin\fbserver.exe O23 - Service: gearsec - GEAR Software - C:\WINDOWS\system32\gearsec.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Syntek STK1160 Service (StkASSrv) - Syntek America Inc. - C:\WINDOWS\System32\StkASv2K.exe -- End of file - 5227 bytes |
Hallo und einen guten Morgen wünsche ich dir. Dies kannst du noch fixen im Hijack-log: Zitat:
|
Guten Morgen ;) Der Tr/Dropper.Gen wird immer noch gefunden :dummguck: Kannst Du mir sagen warum meine Festplatten in der Datenträgerverwaltung sowie bei Partition Magic nicht mehr angezeigt werden bzw. meine USB-Sticks nicht mehr angenommen werden??? Oder ist das ein anderes Problem? Habe ich vielleicht mit dem CCleaner was aus der Registry gelöscht? Hier mal 2 Bilder: http://img19.imageshack.us/img19/382...t001woi.th.jpg http://img19.imageshack.us/img19/586...t002ayr.th.jpg |
Wir brauchen Screenshots vom Gerätemanager, die Kategorie IDE Controller bzw. Sata Controller aufklappen, Speichervolumes und Laufwerke. WO wird der Dropper gefunden? Bitte dateiname und Pfad dazu. Stelle mal ein Log hinein von dem AV Programm. |
Hier der Pfad: Code: Beginn des Suchlaufs: Sonntag, 26. April 2009 10:46http://img7.imageshack.us/img7/4484/...t003cmv.th.jpg |
Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an. ComboFix Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert. Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. |
So, Combofix hat wohl etwas gefunden und entfernt (hoffe ich), es waren mehrere Datein in c:/windows/system32/ sowie eine Datei in c:/windows/system32/drivers. Die hiessen "ovsth....". Hier die Log-Datei: Code: ComboFix 09-04-25.A3 - CoolTom 26.04.2009 12:00.1 - NTFSx86 |
Angel21, Du bist der BESTE :Boogie: Die Festplatten sowie USB-Sticks werden wieder in der Datenträgervewaltung angezeigt :) !!! Soll ich Antivir nochmal suchen lassen? |
Ich bin eine sie xD |
Zitat:
|
Spybot deinstallieren. Alle Torrentprogramme bitte auch. Lade dir Lop S&D herunter. Führe Lop S&D.exe per Doppelklick aus. Wähle die Sprache deiner Wahl und anschließend die Option 1 (Suche) Warte bis der Scanbericht erstellt wird (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen) (Sollte dein Desktop verschwinden, drücke bitte Ctrl + Alt + Entf um den Taskmanager zu starten. Wähle unter Datei, neuen Task aus und gib dort explorer.exe ein) Lass bitte alle Laufwerke dran. |
So, hier die LOg-Datei von Lop S&D: Code: --------------------\\ Lop S&D 4.2.5-0 XP/Vista |
Zitat:
|
Zitat:
Ist eine URL gewesen, habe ich gerade gelöscht. Muss ich nun sonst noch etwas beachten bzw. machen? Ist mein Problem nun gelöst? Wäre ja super :Boogie: |
Sauber bist du lange noch nicht. LOPSD deinstallieren.
NEW CureIt!
Kaspersky - Onlinescanner Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware. ---> hier herunterladen => Online-Viren-Scanner => Hinweise zu älteren Versionen beachten! => Voraussetzung: Internet Explorer 6.0 oder höher => die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter => Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken => Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als => Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten => Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen |
Scripten mit Combofix
Code: KILLALL::
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. ciao, andreas |
Hi Andreas, hier die neue Log-Datei von ComboFix: Bin ich jetzt durch, oder ist da noch etwas??? Code: ComboFix 09-04-25.A3 - CoolTom 26.04.2009 17:43.2 - NTFSx86 |
Gleich nocheinmal. Scripten mit Combofix
Code: KILLALL::
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. ciao, andreas |
Hier der nächste log: Code: ComboFix 09-04-25.A3 - CoolTom 26.04.2009 18:55.3 - NTFSx86 |
Start => Ausführen => combofix /u => OK *wieder raushüpfe* Cobra, übernehmen sie. ciao, andreas |
Es fehlen noch die Logs von Cureit und Kaspersky, bitte poste die hier rein. Falls Du die Scans noch nicht gemacht haben solltest, dann hole Diese nun nach. |
Zitat:
Hi Andreas, habe Combofix eben nach Deiner Anleitung deinstallieren lassen ;) Heisst das nun mein Rechner ist clean? Wenn ja, vielen Dank für Deine Hilfe :dankeschoen: (Und natürlich auch an Angel21 :party: ) Kannst Du den Thread dann auch "Erledigt" stellen, oder kann ich das irgendwie machen? Wirklich eine tolle Community hier! Schönen Abend noch :alc: |
Nein, nein,. bitte noch DR Web Cureit ausführen und den Kaspersky Online Scanner. |
Zitat:
Okay, das kann ich dann aber erst morgen machen, da DR Web Cureit alleine über 2 Stunden scannt. Melde mich dann morgen wieder. |
Okay, mache das :) |
So, wieder da :) DR Web Cureit funzt bei mir nicht so richtig kurz vorm Ende des Scan's hat sich das Programm mit einer Fehlermeldung selber geschlossen. Hier die Log - Datei von dem Kaspersky - Onlinescan: Code: ------------------------------------------------------------------------------- |
Brauchst du mIRC noch? Wenn nein, dann würde ich es deinstallieren. diese Zitat:
Und wozu brauchst du das? Zitat:
Zitat:
Zitat:
|
Ergebnis von Virustotal.com (cmdow.exe): Code: Datei cmdow.exe empfangen 2009.04.27 20:04:59 (CET) |
Gut die anderen beiden ebenso :) |
PantsOffHk.dll (Pants Off ist ein Programm um Passwortfelder mit ****** wieder sichtbar zu machen, benutze es wenn ich mein PW vergessen habe ;) ) Code: Datei PantsOffHk.dll empfangen 2009.04.27 20:11:16 (CET) |
Lade das andere auch noch hoch bitte und Ergebnis hier rein. :) |
So, hier die mirc.exe: Bin ich dann endlich clean? ;) Wäre nett wenn Du mir sagen könntest :) Code: Datei mirc.exe empfangen 2009.04.27 20:17:38 (CET) |
Naja, laut dem was VT so sagt würde ich das alles deinstallieren. |
Okay, habe jetzt Mirc sowie Pants off deinstalliert :) Was ist mit cmdow.exe? Dann bin ich aber fertig, oder? ;) |
Wenn dir das alles zu langsam geht, dann kannst du ja Neuaufsetzen, wenn dir das lieber ist ;) |
Zitat:
Wollte nicht unhöflich wirken ;) Also was gibt es noch zu tun :) |
Das Programm zu diesem cmdow.exe auch deinstallieren, Und überprüfen danach ob dein Antivir Programm noch den Dropper anzeigt. |
Zitat:
|
Das Programm müsste Commandline Window Utility oder so ähnlich heißen. |
Finde ich nicht, bzw. sehe kein Programm unter Software. Kann ich die exe einfach löschen? Habe mal gegoogelt: Commandline utility that allows manipulation of open windows. This is a standalone executable for which no installation is required. |
Kurz andere Frage, findet dein Antivir Programm den Dropper.gen noch? Lösche den Prozess aus dem Taskmanager raus. |
Zitat:
Nein, schon seit gestern nicht mehr :) |
Lasse Malwarebytes durchscannen, Fullscan und poste das Ergebnis hier. |
Okay, werde ich machen. Lasse es aber eher morgen laufen, denke das es wieder über 2 Stunden laufen wird, oder? |
Abhängig von dem wie viel du auf dem System hast was MBAM durchsucht :) |
Zitat:
|
Büdde, keine Ursache. Ja poste das Log vom Vollständigen Scan hier rein. |
Hallo liebe Leute, habe genau den gleichen Dropper bei mir gefunden (bereits 2x in Quarantäne gestellt, mal gucken, ob er morgen noch da ist...). Schöner Mist, leider ist das nicht das einzige. Da wären noch Trojan.win32.Agent!IK sowie Trojan.Patched!IK und Virus.win32.Messoum!IK. Hatte so etwas noch nie und bin total überfragt, wie ich jetzt vorgehen soll:heulen: Außerdem funktioniert mein Drucker plötzlich nicht mehr. Meldet irgend etwas von einem "Spooler". Habe versucht, die Software neu zu installieren, ging aber nicht:headbang: Wer kann mir helfen? Bin nicht ganz doof, was Computer betrifft, will aber auch nicht meine Festplatte zerstören, bevor ich meine Masterarbeit beginne... Wäre wirklich glücklich, wenn Ihr mir helfen könntet!!!! Liebe Grüße, heavensonear |
@heavensonear Erstelle bitte ein eigenes Posting nach dieser Anleitung für Hilfesuchenden: http://www.trojaner-board.de/69886-a...-beachten.html Punkt 2 bitte abarbeiten :) Nur so kann man dir richtig helfen und dir unter die Arme greifen :) |
Hallo, hier das Scan-Ergebnis von Malwarebytes: Scheint nun alles "clean" zu sein :) Code: Malwarebytes' Anti-Malware 1.36 |
Lass nochmal Superantispyware durchlaufen. |
Bin momentan wieder im Büro, lasse @ home nochmal Antivir alles scannen und werde später das Log-File posten. EDIT: Soll ich Malwarebytes auf meinem Rechner lassen oder soll ich es wieder deinstallieren? Vebraucht das Proggie viele Resourcen? Wenn nicht kann ich es ja installiert lassen :) |
Bitte lass Superantispyware laufen. Avira kannst du wenn du willst danach laufen lassen. |
So, habe ja Antivir laufen lassen und es hat nichts gefunden. Anschließend der Log-File von SuperAntiSpyware: Code: SUPERAntiSpyware Scan Log |
Habe zum Abschluss nochmals Antivir laufen lassen, hat nichts gefunden :) Bin also sauber :) Wäre nett wenn jemand den Thread closen könnte :) Dnake nochmal an die Helfer :party: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:29 Uhr. |
Copyright ©2000-2025, Trojaner-Board