|
Verdacht auch Virus/Spyware Hallo, Ich habe eben meinen PC mit dem Programm: Malwarebytes' Anti-Malware gescannt. 4 Malware wurden gefunden. Malwarebytes' Anti-Malware 1.42 Datenbank Version: 3322 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 Infizierte Dateien: 4 Infizierte Dateien: C:\Dokumente und Einstellungen\***\Anwendungsdaten\AD ON Multimedia\eBay Shortcuts\eBayShortcuts.exe (Adware.ADON) -> No action taken. C:\Programme\Image-Line\Shared\DSP_IPP\Uninstall.exe (Rootkit.Agent) -> No action taken. E:\WINDOWS\system32\bszip.dll (Worm.P2P) -> No action taken. M:\Games\Mario\Emulator\gmaker.exe (Adware.EShoper) -> No action taken. Ich habe die Dateien mit virustotal untersucht und vermute jetzt, dass es sich bei eBayShortcuts.exe und bszip.dll um einen Virus handeln könnte. Hier der Log von HighjackThis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:54:14, on 08.12.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\ping1w.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Eraser\Eraser.exe C:\Programme\UltraMon\UltraMon.exe C:\Programme\UltraMon\UltraMonTaskbar.exe C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Apps\2.0\55WMGXH9.RRL\7330BVJW.LGP\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf169ed5c0c1\fritzbox-usb-fernanschluss.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Malwarebytes' Anti-Malware\mbam.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Microsoft Office\Office12\WINWORD.EXE C:\Programme\iTunes\iTunes.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\Eraser.exe -hide O4 - HKCU\..\Run: [UltraMon] "C:\Programme\UltraMon\UltraMon.exe" /auto O4 - HKCU\..\Run: [AVMUSBFernanschluss] C:\Dokumente und Einstellungen\JW\Lokale Einstellungen\Apps\2.0\55WMGXH9.RRL\7330BVJW.LGP\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf169ed5c0c1\AVMAutoStart.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000 O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - http://upload.facebook.com/controls/FacebookPhotoUploader5.cab O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.schuelervz.net/photouploader/ImageUploader5.cab?nocache=1210508752 O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe (file missing) O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing) O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe -- End of file - 7036 bytes Könntet ihr bitte mal meinen log checken? Falls es sich um ein Virus handeln sollte; wie lösche ich am Besten die Dateien, so das der Virus vollständig beseitigt ist? Vielen Dank im Voraus! Gruß Hannsy |
Hallo, Lade dir mal Lop S&D herunter. Führe Lop S&D.exe per Doppelklick aus. VISTA-User: Rechtsklick => Ausführen als Admin!! Wähle die Sprache deiner Wahl und anschließend die Option 1. Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen). |
hallo hannsy ne frage wie checkt man so eine log |
Hallo Cosinus, Danke für die schnelle Antwort! :) Die Downloadseite für Lop S&D.exe scheint überlastet zu sein. Ich werde es später noch einmal versuchen oder gibt es noch eine weitere Möglichkeit diese Datei zu downloaden? (Hab schon gegooglet :P) @ Tayhan; Du sorry, ich kenn mich da nicht so aus, sonst würde ich nicht um Hilfe fragen in diesem Forum. Am Besten fragst du einen vom Trojaner-Board Team. Gruß, Hannsy |
Jetzt hat es funktioniert. Hier der Scanbericht: --------------------\\ Lop S&D 4.2.5-0 XP/Vista Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 3 X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 3.00GHz ) BIOS : Phoenix - AwardBIOS v6.00PG USER : JW ( Administrator ) BOOT : Normal boot C:\ (Local Disk) - NTFS - Total:93 Go (Free:50 Go) D:\ (Local Disk) - NTFS - Total:83 Go (Free:50 Go) E:\ (Local Disk) - FAT32 - Total:9 Go (Free:1 Go) F:\ (CD or DVD) G:\ (CD or DVD) I:\ (USB) J:\ (USB) K:\ (USB) L:\ (USB) M:\ (Local Disk) - NTFS - Total:298 Go (Free:24 Go) "C:\Lop SD" ( MAJ : 19-12-2008|23:40 ) Option : [1] ( 09.12.2009|23:23 ) --------------------\\ Ordner Verzeichnis unter ANWEND~1 [04.02.2004|02:52] C:\DOKUME~1\ADMINI~1\ANWEND~1\Adobe [04.02.2004|02:52] C:\DOKUME~1\ADMINI~1\ANWEND~1\AdobeUM [25.02.2008|13:02] C:\DOKUME~1\ADMINI~1\ANWEND~1\Apple Computer [04.02.2004|01:13] C:\DOKUME~1\ADMINI~1\ANWEND~1\Help [03.02.2004|19:34] C:\DOKUME~1\ADMINI~1\ANWEND~1\Identities [04.02.2004|08:48] C:\DOKUME~1\ADMINI~1\ANWEND~1\Macromedia [04.02.2004|08:46] C:\DOKUME~1\ADMINI~1\ANWEND~1\Microsoft [04.02.2004|08:46] C:\DOKUME~1\ADMINI~1\ANWEND~1\Real [24.11.2009|20:17] C:\DOKUME~1\ADMINI~1\ANWEND~1\WinRAR [0|Datei(en)] C:\DOKUME~1\ADMINI~1\ANWEND~1\Bytes [11|Verzeichnis(se),] C:\DOKUME~1\ADMINI~1\ANWEND~1\Bytes frei [30.03.2009|18:23] C:\DOKUME~1\ALLUSE~1\ANWEND~1\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3} [07.10.2008|14:53] C:\DOKUME~1\ALLUSE~1\ANWEND~1\{3276BE95_AF08_429F_A64F_CA64CB79BCF6} [05.05.2009|14:14] C:\DOKUME~1\ALLUSE~1\ANWEND~1\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906} [12.01.2008|10:09] C:\DOKUME~1\ALLUSE~1\ANWEND~1\{A25FEDC1-F6D7-440C-BCE2-B71F595F6646} [25.10.2009|14:57] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe [13.01.2008|13:24] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple [13.01.2008|13:25] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple Computer [13.01.2008|20:09] C:\DOKUME~1\ALLUSE~1\ANWEND~1\CanonBJ [20.04.2008|20:05] C:\DOKUME~1\ALLUSE~1\ANWEND~1\CyberLink [15.01.2008|14:29] C:\DOKUME~1\ALLUSE~1\ANWEND~1\InstallShield [03.10.2008|17:23] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Kaspersky Lab Setup Files [02.10.2008|18:20] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Malwarebytes [04.04.2009|11:11] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft [09.12.2009|18:19] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft Help [13.01.2008|13:14] C:\DOKUME~1\ALLUSE~1\ANWEND~1\MSN6 [11.10.2009|15:48] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Norton [21.08.2009|17:00] C:\DOKUME~1\ALLUSE~1\ANWEND~1\NortonInstaller [25.02.2009|15:25] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Realtime Soft [03.02.2004|19:37] C:\DOKUME~1\ALLUSE~1\ANWEND~1\SBSI [10.03.2009|22:29] C:\DOKUME~1\ALLUSE~1\ANWEND~1\SecTaskMan [09.08.2009|20:36] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Skype [11.10.2009|16:14] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Symantec [10.05.2009|12:21] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TEMP [01.08.2009|13:43] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Ubisoft [21.02.2008|14:38] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Windows Genuine Advantage [12.01.2008|22:17] C:\DOKUME~1\ALLUSE~1\ANWEND~1\WLInstaller [0|Datei(en)] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes [28|Verzeichnis(se),] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes frei [03.02.2008|10:20] C:\DOKUME~1\Besitzer\ANWEND~1\Real [0|Datei(en)] C:\DOKUME~1\Besitzer\ANWEND~1\Bytes [3|Verzeichnis(se),] C:\DOKUME~1\Besitzer\ANWEND~1\Bytes frei [04.02.2004|02:52] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Adobe [04.02.2004|02:52] C:\DOKUME~1\DEFAUL~1\ANWEND~1\AdobeUM [25.02.2008|13:02] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Apple Computer [04.02.2004|01:13] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Help [03.02.2004|19:34] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Identities [04.02.2004|08:48] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Macromedia [04.02.2004|08:46] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Microsoft [04.02.2004|08:46] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Real [0|Datei(en)] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes [10|Verzeichnis(se),] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes frei [06.12.2009|17:02] C:\DOKUME~1\JW\ANWEND~1\.purple [14.03.2008|13:22] C:\DOKUME~1\JW\ANWEND~1\AD ON Multimedia [04.04.2008|16:24] C:\DOKUME~1\JW\ANWEND~1\Adobe [27.02.2008|22:12] C:\DOKUME~1\JW\ANWEND~1\AdobeUM [07.07.2008|20:24] C:\DOKUME~1\JW\ANWEND~1\Ahead [18.08.2009|21:04] C:\DOKUME~1\JW\ANWEND~1\Apple Computer [19.10.2009|21:59] C:\DOKUME~1\JW\ANWEND~1\ATI [10.01.2009|19:47] C:\DOKUME~1\JW\ANWEND~1\Cuttermaran [04.03.2008|09:04] C:\DOKUME~1\JW\ANWEND~1\CyberLink [20.10.2009|17:05] C:\DOKUME~1\JW\ANWEND~1\Deckadance [03.02.2008|09:08] C:\DOKUME~1\JW\ANWEND~1\Google [25.10.2009|15:01] C:\DOKUME~1\JW\ANWEND~1\gtk-2.0 [05.09.2009|13:19] C:\DOKUME~1\JW\ANWEND~1\Hamachi [04.02.2004|01:13] C:\DOKUME~1\JW\ANWEND~1\Help [01.07.2008|20:50] C:\DOKUME~1\JW\ANWEND~1\ICQ [13.01.2008|13:14] C:\DOKUME~1\JW\ANWEND~1\ICQLite [03.02.2004|19:34] C:\DOKUME~1\JW\ANWEND~1\Identities [13.04.2009|14:55] C:\DOKUME~1\JW\ANWEND~1\Juce VST Host [24.05.2009|23:02] C:\DOKUME~1\JW\ANWEND~1\Lasersoft Imaging [04.02.2004|08:48] C:\DOKUME~1\JW\ANWEND~1\Macromedia [02.10.2008|18:20] C:\DOKUME~1\JW\ANWEND~1\Malwarebytes [11.04.2009|08:07] C:\DOKUME~1\JW\ANWEND~1\Microsoft [28.04.2009|20:32] C:\DOKUME~1\JW\ANWEND~1\Miranda [08.05.2009|21:37] C:\DOKUME~1\JW\ANWEND~1\Mozilla [24.11.2009|19:15] C:\DOKUME~1\JW\ANWEND~1\Mp3tag [04.04.2009|11:57] C:\DOKUME~1\JW\ANWEND~1\MSN6 [03.02.2008|10:20] C:\DOKUME~1\JW\ANWEND~1\Real [25.02.2009|15:26] C:\DOKUME~1\JW\ANWEND~1\Realtime Soft [22.02.2009|12:44] C:\DOKUME~1\JW\ANWEND~1\Search Settings [30.11.2009|19:24] C:\DOKUME~1\JW\ANWEND~1\Skype [26.02.2008|16:38] C:\DOKUME~1\JW\ANWEND~1\Symantec [12.09.2009|14:09] C:\DOKUME~1\JW\ANWEND~1\teamspeak2 [01.08.2009|13:43] C:\DOKUME~1\JW\ANWEND~1\Ubisoft [18.09.2008|21:11] C:\DOKUME~1\JW\ANWEND~1\Uniblue [03.08.2009|01:12] C:\DOKUME~1\JW\ANWEND~1\vlc [12.01.2008|23:49] C:\DOKUME~1\JW\ANWEND~1\WinRAR [0|Datei(en)] C:\DOKUME~1\JW\ANWEND~1\Bytes [38|Verzeichnis(se),] C:\DOKUME~1\JW\ANWEND~1\Bytes frei [13.03.2008|18:28] C:\DOKUME~1\LOCALS~1\ANWEND~1\Microsoft [0|Datei(en)] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes [3|Verzeichnis(se),] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes frei [03.02.2004|19:36] C:\DOKUME~1\NETWOR~1\ANWEND~1\Microsoft [0|Datei(en)] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes [3|Verzeichnis(se),] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes frei --------------------\\ Geplante Aufgaben unter C:\WINDOWS\Tasks [18.08.2009 10:37][--a------] C:\WINDOWS\tasks\AppleSoftwareUpdate.job [29.08.2002 13:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini [09.12.2009 22:52][--ah-----] C:\WINDOWS\tasks\SA.DAT --------------------\\ Ordner Verzeichnis unter C:\Programme [07.01.2009|22:41] C:\Programme\Adobe [23.01.2008|19:20] C:\Programme\Ahead [11.10.2009|15:47] C:\Programme\AntiTwin [01.10.2008|13:10] C:\Programme\Apple Software Update [10.10.2008|11:20] C:\Programme\ArKaosVJlite2.2.2 [02.06.2008|21:25] C:\Programme\ASIO4ALL v2 [28.04.2009|20:43] C:\Programme\Aspell [19.10.2009|22:17] C:\Programme\ATI Technologies [30.03.2009|18:21] C:\Programme\Bonjour [30.11.2009|16:49] C:\Programme\Bridge Builder [04.02.2004|01:34] C:\Programme\CA [13.01.2008|20:10] C:\Programme\Canon [13.01.2008|20:08] C:\Programme\CanonBJ [12.02.2009|15:59] C:\Programme\CCleaner [10.05.2009|10:36] C:\Programme\Classic Menu for Office [04.02.2004|01:14] C:\Programme\C-Media 3D Audio [04.02.2004|01:48] C:\Programme\Common Files [03.02.2004|19:32] C:\Programme\ComPlus Applications [20.04.2008|20:05] C:\Programme\CyberLink [05.01.2009|14:52] C:\Programme\DComSoft [08.07.2008|16:31] C:\Programme\directx [19.10.2009|21:46] C:\Programme\Driver Sweeper [01.03.2008|23:07] C:\Programme\EA Games [12.01.2008|10:09] C:\Programme\Eraser [10.06.2008|10:34] C:\Programme\Flash Rip Or Play V3.2.0 [20.08.2008|12:56] C:\Programme\FLV Player [15.01.2008|14:28] C:\Programme\FolderSize [22.02.2009|12:59] C:\Programme\Free FLV Converter [13.01.2008|21:42] C:\Programme\FRITZ!Box [20.08.2008|08:24] C:\Programme\FRITZ!BoxPrint [11.10.2009|15:45] C:\Programme\Gemeinsame Dateien [13.12.2008|22:27] C:\Programme\GIMP-2.0 [25.07.2008|20:54] C:\Programme\Google [27.11.2008|17:47] C:\Programme\GTASA-Ultimate Editor [04.02.2004|02:17] C:\Programme\HighMAT CD Writing Wizard [20.04.2008|20:05] C:\Programme\Home Cinema [20.06.2009|21:48] C:\Programme\ICQ6 [20.06.2009|21:49] C:\Programme\ICQ6.5 [13.03.2008|22:53] C:\Programme\iDump [02.06.2008|21:57] C:\Programme\Image-Line [19.10.2009|21:56] C:\Programme\InstallShield Installation Information [03.02.2004|20:08] C:\Programme\Intel [09.12.2009|18:20] C:\Programme\Internet Explorer [02.08.2009|16:21] C:\Programme\iPod [02.08.2009|16:22] C:\Programme\iTunes [26.01.2009|17:51] C:\Programme\LangerSoft [21.07.2008|21:43] C:\Programme\LaserSoft [05.01.2009|14:50] C:\Programme\Liatro [08.12.2009|18:33] C:\Programme\Malwarebytes' Anti-Malware [17.02.2008|18:42] C:\Programme\MathProf [15.05.2009|09:54] C:\Programme\M-Audio USB Keyboard Device [11.05.2008|16:57] C:\Programme\MediaMonkey [04.02.2004|02:59] C:\Programme\Medion Tools [06.03.2009|13:24] C:\Programme\Messenger [04.04.2009|11:11] C:\Programme\Microsoft [30.01.2009|22:04] C:\Programme\microsoft frontpage [04.04.2009|08:12] C:\Programme\Microsoft Office [04.04.2009|08:12] C:\Programme\Microsoft Works [13.01.2008|09:12] C:\Programme\Microsoft Works Suite 2004 [04.04.2009|08:11] C:\Programme\Microsoft.NET [21.07.2008|22:07] C:\Programme\Microtek [26.08.2008|12:25] C:\Programme\Movie Maker [09.12.2009|23:21] C:\Programme\Mozilla Firefox [24.11.2009|19:15] C:\Programme\Mp3tag [21.02.2008|15:25] C:\Programme\MSBuild [04.04.2009|11:57] C:\Programme\MSN [03.02.2004|19:32] C:\Programme\MSN Gaming Zone [23.02.2008|01:41] C:\Programme\MSXML 6.0 [26.08.2008|12:20] C:\Programme\NetMeeting [11.10.2009|15:45] C:\Programme\Norton 360 Online [11.10.2009|15:48] C:\Programme\Norton Security Scan [04.02.2004|08:22] C:\Programme\Nullsoft [03.02.2004|19:32] C:\Programme\Online Services [03.02.2004|19:33] C:\Programme\Online-Dienste [08.12.2009|18:35] C:\Programme\OSA Kit Pro Player v4.0 [13.08.2009|23:37] C:\Programme\Outlook Express [26.05.2008|17:34] C:\Programme\Outsim [17.04.2008|17:44] C:\Programme\PhysProf [28.04.2009|20:42] C:\Programme\Pidgin [09.12.2009|17:58] C:\Programme\PokerStars [29.04.2008|18:20] C:\Programme\Porrasturvat - Stair Dismount [18.03.2009|14:14] C:\Programme\QIP [02.08.2009|16:20] C:\Programme\QuickTime [04.02.2004|08:21] C:\Programme\Real [21.02.2008|15:23] C:\Programme\Reference Assemblies [22.02.2009|12:42] C:\Programme\Search Settings [10.03.2009|22:29] C:\Programme\Security Task Manager [09.08.2009|20:36] C:\Programme\Skype [17.10.2009|13:35] C:\Programme\Swf2Avi [21.01.2008|17:02] C:\Programme\Teamspeak2_RC2 [23.09.2008|19:58] C:\Programme\Trend Micro [25.02.2009|15:25] C:\Programme\UltraMon [04.02.2004|02:12] C:\Programme\Uninstall Information [02.08.2009|23:08] C:\Programme\VideoLAN [04.02.2004|08:22] C:\Programme\Viewpoint [10.10.2008|18:05] C:\Programme\VstPlugins [04.02.2004|01:32] C:\Programme\Winbond Electronics Corp [03.02.2004|19:47] C:\Programme\Windows Journal Viewer [04.04.2009|15:34] C:\Programme\Windows Live [04.04.2009|11:11] C:\Programme\Windows Live SkyDrive [12.03.2008|22:57] C:\Programme\Windows Media Connect 2 [26.08.2008|12:20] C:\Programme\Windows Media Player [26.08.2008|12:20] C:\Programme\Windows NT [12.01.2008|10:12] C:\Programme\WindowsUpdate [12.01.2008|23:49] C:\Programme\WinRAR [03.02.2004|19:34] C:\Programme\xerox [22.02.2009|13:06] C:\Programme\XMedia Recode [0|Datei(en)] C:\Programme\Bytes [109|Verzeichnis(se),] C:\Programme\Bytes frei --------------------\\ Ordner Verzeichnis unter C:\Programme\Gemeinsame Dateien [25.10.2009|14:56] C:\Programme\Gemeinsame Dateien\Adobe [23.01.2008|19:20] C:\Programme\Gemeinsame Dateien\Ahead [04.02.2004|08:21] C:\Programme\Gemeinsame Dateien\aol [02.08.2009|16:21] C:\Programme\Gemeinsame Dateien\Apple [04.02.2004|01:32] C:\Programme\Gemeinsame Dateien\Borland Shared [13.01.2008|09:26] C:\Programme\Gemeinsame Dateien\Designer [03.02.2004|19:32] C:\Programme\Gemeinsame Dateien\Dienste [28.04.2009|20:42] C:\Programme\Gemeinsame Dateien\GTK [15.01.2008|14:23] C:\Programme\Gemeinsame Dateien\InstallShield [05.04.2009|00:12] C:\Programme\Gemeinsame Dateien\Microsoft Shared [03.02.2004|19:32] C:\Programme\Gemeinsame Dateien\MSSoap [03.02.2004|19:30] C:\Programme\Gemeinsame Dateien\ODBC [03.02.2008|10:20] C:\Programme\Gemeinsame Dateien\Real [25.02.2009|15:25] C:\Programme\Gemeinsame Dateien\Realtime Soft [03.02.2004|19:30] C:\Programme\Gemeinsame Dateien\SpeechEngines [17.03.2009|17:48] C:\Programme\Gemeinsame Dateien\SWF Studio [11.10.2009|16:14] C:\Programme\Gemeinsame Dateien\Symantec Shared [26.08.2008|12:20] C:\Programme\Gemeinsame Dateien\System [04.04.2009|11:08] C:\Programme\Gemeinsame Dateien\Windows Live [12.01.2008|22:20] C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller [0|Datei(en)] C:\Programme\Gemeinsame Dateien\Bytes [22|Verzeichnis(se),] C:\Programme\Gemeinsame Dateien\Bytes frei --------------------\\ Process ( 37 Processes ) iexplore.exe ~ [PID:128] iexplore.exe ~ [PID:600] --------------------\\ Ueberpruefung mit S_Lop Kein Lop Ordner gefunden ! --------------------\\ Suche nach Lop Dateien - Ordnern Kein Lop Ordner gefunden ! --------------------\\ Suche innerhalb der Registry ..... OK ! --------------------\\ Ueberpruefung der Hosts Datei Hosts Datei SAUBER --------------------\\ Suche nach verborgenen Dateien mit Catchme catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-12-09 23:24:49 Windows 5.1.2600 Service Pack 3 NTFS scanning hidden processes ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden files: 1 --------------------\\ Suche nach anderen Infektionen Kein anderen Infektionen gefunden ! [F:2][D:0]-> C:\DOKUME~1\JW\LOKALE~1\Temp [F:1][D:0]-> C:\DOKUME~1\JW\Cookies [F:2][D:1]-> C:\DOKUME~1\JW\LOKALE~1\TEMPOR~1\content.IE5 1 - "C:\Lop SD\LopR_1.txt" - 09.12.2009|23:22 - Option : [1] 2 - "C:\Lop SD\LopR_2.txt" - 09.12.2009|23:25 - Option : [1] --------------------\\ Scan beendet um 23:25:40 Gruß Hannsy |
Und weiter gehts: Bitte diese Liste beachten und abarbeiten. (MalwareBytes bitte nochmal mit aktuellen Signaturen ausführen und beim Scan auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )) Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen! Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen. |
Jetzt sind es plötzlich 6 infizierte Dateien, seltsam. Hier der mban-log: http://www.file-upload.net/download-2071011/mbam-log-2009-12-11--00-29-35-.txt.html Nochmal vielen Dank für seine Hilfe! :) Gruß Hannsy |
Sorry, ich hatte vergessen die Logfiles zu zippen. Ich habe dir jetzt noch zusätzlich die Logs von RSIT* hinzugefügt. (war mir nicht sicher ob ich das auch machen sollte :P ) (CCleaner habe ich auch ausgeführt) http://www.file-upload.net/download-2079346/Logfiles.zip.html Hoffe das Problem hat sich jetzt behoben. Nochmals vielen Dank für *Deine* Hilfe! :) Gruß Hannsy |
Bitte mal den Avenger anwenden Vorbereitungen: a) Deaktiviere den Hintergrundwächter vom Virenscanner. b) Stöpsele alle externen Datenträger vom Rechner ab. Danach: 1.) Lade Dir von hier Avenger als gehweg.exe => File-Upload.net - gehweg.exe auf den Desktop 2.) Doppelklick die Datei "gehweg.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen: http://mitglied.lycos.de/efunction/tb123/avenger.png 3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code: registry keys to delete:5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. |
Hier der LogFile von Avenger: Logfile of The Avenger Version 2.0, (c) by Swandog46 h***p://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File "C:\WINDOWS\—_‚³‚Ü.INI" deleted successfully. Error: file "C:\DOKUME~1\***\LOKALE~1\Temp\gel90xne.sys" not found! Deletion of file "C:\DOKUME~1\***\LOKALE~1\Temp\gel90xne.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist File "C:\WINDOWS\ping1w.exe" deleted successfully. Error: file "C:\WINDOWS\system32\drivers\EagleNT.sys" not found! Deletion of file "C:\WINDOWS\system32\drivers\EagleNT.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Driver "gel90xne" deleted successfully. Driver "EagleNT" deleted successfully. Registry key "HKLM\software\microsoft\shared tools\msconfig\startupreg\Ping1w" deleted successfully. Completed script processing. ******************* Finished! Terminate. Gruß Hannsy |
Ok. Mach mal bitte einen Kontrollscan mit MalwareBytes (aktuelle Signaturen!) |
Hier der Log von MalwareBytes: Malwarebytes' Anti-Malware 1.42 Datenbank Version: 3322 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 16.12.2009 22:48:43 mbam-log-2009-12-16 (22-48-43).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|M:\|) Durchsuchte Objekte: 367384 Laufzeit: 2 hour(s), 11 minute(s), 13 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Sieht gut aus oder? :) Vielen Dank nochmals! Ich bin froh, dass es das Trojaner-Board Form gibt! Keep it up! :dankeschoen: Gruß Hannsy |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 19:12 Uhr. |
Copyright ©2000-2025, Trojaner-Board