Trojaner-Board
Seite 4 von 4 « Erste 23 4
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Ständig Virenmeldungen über Trojaner, die nicht gelöscht/repariert werden können (https://www.trojaner-board.de/40979-staendig-virenmeldungen-trojaner-geloescht-repariert.html)

mmk 17.07.2007 21:54
Zitat:
Zitat von tatja (Beitrag 280598)
ich habe SmitFraudFix auf infizierte Dateien suchen lassen. Was mache ich weiter? Reinigen mit SmitFraudFix?
Poste ruhig erst den Report aus Punkt 1 (siehe Smitfraudfix-Anleitung).

terayaki 17.07.2007 21:56
Teile deine Meinung völlig ;)

Wollte ja nur darauf nochmals hinweisen:)








LG, Terayaki

tatja 17.07.2007 21:59
Das ist der Rapport
SmitFraudFix v2.204

Scan done at 22:45:13,65, 17.07.2007
Run from C:\Dokumente und Einstellungen\***\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Norton SystemWorks\Norton GoBack\GBPoll.exe
C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
C:\PROGRA~1\NORTON~1\NORTON~3\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\NORTON~3\SPEEDD~1\NOPDB.EXE
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\FlashGet\flashget.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Nero\Nero 7\InCD\InCD.exe
C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe
C:\Programme\Norton SystemWorks\Norton GoBack\GBTray.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\***


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\***\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\***\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 217.237.149.205
DNS Server Search Order: 217.237.151.51

HKLM\SYSTEM\CCS\Services\Tcpip\..\{889C8186-AEF9-417C-9BBC-6B9FD667FD89}: NameServer=217.237.149.205 217.237.151.51
HKLM\SYSTEM\CS1\Services\Tcpip\..\{889C8186-AEF9-417C-9BBC-6B9FD667FD89}: NameServer=217.237.149.205 217.237.151.51


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

tatja 17.07.2007 22:13
und was jetzt?

mmk 17.07.2007 22:24
Einen Versuch noch auf diesem Wege:

Starte HijackThis. Wähle jedoch "Open the Misc Tools section". Dort findest Du ca. mittig den Button "Delete a file on reboot". Klick nachher, wenn ich es schreibe, darauf, und wähle dann nacheinander die genannten Dateien aus. Nach jeder einzelnen Auswahl kommt die Frage nach dem Neustart - wähle dabei zunächst "Nein", bis Du die letzte Datei ausgewählt hattest. Klick erst dann auf "Ja", damit das System neu startet.

Ich schreibe das ankündigend, weil Du das offline umsetzen sollst.

Poste jetzt bitte noch einmal ein aktuelles datfind-LogFile. Ich lese das dann sofort und nenne Dir die Dateien, die Du mit HijackThis auswählen sollst. Sobald ich das Posting geschrieben habe und Du es liest, gehst Du offline und setzt die Geschichte mit HijackThis um. Soweit verständlich?

tatja 17.07.2007 22:28
soweit klar, hier ist neu logfile

Verzeichnis von C:\WINDOWS\system32

17.07.2007 23:27 17.757 wybeg.ini
17.07.2007 22:45 3.650 tmp.reg
17.07.2007 22:45 0 tmp.txt
17.07.2007 22:43 380.350 perfh009.dat
17.07.2007 22:43 52.764 perfc009.dat
17.07.2007 22:43 390.960 perfh007.dat
17.07.2007 22:43 63.576 perfc007.dat
17.07.2007 22:43 897.954 PerfStringBackup.INI
17.07.2007 22:39 295 rhieaook.ini
17.07.2007 22:39 88.566 nvapps.xml
17.07.2007 22:39 13.646 wpa.dbl
17.07.2007 21:29 128.576 kooaeihr.dll
17.07.2007 21:29 66.112 ihrbtwgq.exe
17.07.2007 07:50 266.336 gebyw.dll

mmk 17.07.2007 22:35
Bitte diese fünf Dateien zum Löschen auswählen:

C:\WINDOWS\system32\kooaeihr.dll
C:\WINDOWS\system32\ihrbtwgq.exe
C:\WINDOWS\system32\wybeg.ini
C:\WINDOWS\system32\gebyw.dll
C:\WINDOWS\system32\rhieaook.ini

Nach dem Neustart des Systems kannst Du, ohne online zu gehen, selbst nochmal ein neues datfind-LogFile erstellen und Dir selbst anschauen. Findest Du darin auch nur eine der fünf Dateien erneut, versuche, ob Killbox weiterhin von einer Malware an der Ausführung gehindert wird. Falls nein, falls also Killbox funktioniert, lass die restlichen der genannten fünf Dateien über killbox löschen, starte neu und melde Dich dann wieder hier.

Solltest Du bereits mit HijackThis Erfolg gehabt haben oder falls es mit Killbox nicht funktioniert, melde Dich dennoch wieder hier. ;)

tatja 17.07.2007 22:37
ok, ich versuche :;):

tatja 17.07.2007 23:27
Also..
Geschichte mit HijackThis funktioniert nicht . Nachdem ich "Delete a file on reboot" klicke verschwindet HijackThis ganz.
Dann habe ich mit KillBox. Einige Dateien konnte ich entfernen. gebyw.dll und wybeg.ini aber nicht. Dieser wybeg.ini wird glaube ich nach der entfernung wiederherstellt, denn einmahl hat ihn killbox gelscht und promt war er wieder da. die Datei wybeg.bak1 habe ich aber schon entfernt

tatja 17.07.2007 23:28
neus logfile
Verzeichnis von C:\WINDOWS\system32

18.07.2007 00:22 538 wybeg.ini
18.07.2007 00:19 595 wgpkqnio.ini
18.07.2007 00:19 88.566 nvapps.xml
18.07.2007 00:19 13.646 wpa.dbl
18.07.2007 00:11 380.350 perfh009.dat
18.07.2007 00:11 52.764 perfc009.dat
18.07.2007 00:11 390.960 perfh007.dat
18.07.2007 00:11 63.576 perfc007.dat
18.07.2007 00:11 897.954 PerfStringBackup.INI
18.07.2007 00:04 128.576 oinqkpgw.dll
18.07.2007 00:02 66.112 ayxyrbhb.exe
18.07.2007 00:02 355 mklhgoun.ini
17.07.2007 23:42 66.112 kpsroxbo.exe
17.07.2007 22:45 0 tmp.txt
17.07.2007 22:45 3.650 tmp.reg
17.07.2007 07:50 266.336 gebyw.dll

mmk 17.07.2007 23:34
Was Du bräuchtest - das ohnehin sinnvoll wäre - ist eine CD, von der aus Du starten und dann entsprechende Dateien löschen kannst. Das Malheur ist im wahrsten Sinne des Wortes, dass man auf dem infizierten System Software laufen lässt, die ihrerseits von aktiver Malware manipuliert werden kann - genau das ist auch hier der Fall.

Hast Du Deine Daten, die Du behalten möchtest, beisammen? Zum Beispiel auf DVDs gebrannt?

tatja 17.07.2007 23:39
noch nicht alle, ich werde die morgen sichern
was ist aber "eine CD, von der aus Du starten und dann entsprechende Dateien löschen kannst." ? Das ist aber nicht die WindowsXP-CD? oder?

mmk 17.07.2007 23:41
Nein, das wäre so eine:
Bart PE - Wikipedia

Vorschlag: Widme Dich nun prioritär der Datensicherung!

tatja 17.07.2007 23:45
ok, mache ich unbedingt
gehe erstmal schlafen

ich danke dir für alles

tatja 18.07.2007 09:35
ich habe mich jetzt entschlossen neuaufzusetzen. Muss ich da was bestimmtes beachten? Vielleicht etwas was ich davor noch unbedingt durchführen soll?
mfg
Tanja


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:00 Uhr.
Seite 4 von 4 « Erste 23 4
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19