|
Bitte mach zum Schluss einen Komplett Scan mit Kaspersky. Bitte auch neues HiJackThis logfile posten, danke. |
Kaspersky am anfang akzeptieren geht nicht... Habe das mit killbox versucht und anschließend noch mal versucht die beiden dateien zu finden - waren aber weg |
Hey Virus! Kaspersky funkt irgendwie nicht... Hab avg komplett laufen lassen und hatte nichts mehr gefunden. Wegen: C:\Windows\System32\netiougc.exe hat sich leider keiner mehr gemeldet hier :( und dann der benötigte log Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:03:44, on 15.04.2008 Platform: Windows Vista (WinNT 6.00.1904) MSIE: Internet Explorer v7.00 (7.00.6000.16609) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\Windows Defender\MSASCui.exe C:\Windows\RtHDVCpl.exe C:\Acer\Empowering Technology\eDataSecurity\eDSLoader.exe C:\Acer\Empowering Technology\eAudio\eAudio.exe C:\Windows\System32\rundll32.exe C:\Windows\System32\rundll32.exe C:\Program Files\Acer Arcade Deluxe\Play Movie\PMVService.exe C:\Program Files\Apoint2K\Apoint.exe C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe C:\Program Files\Grisoft\AVG7\avgcc.exe C:\Windows\ehome\ehtray.exe C:\Program Files\ICQ6\ICQ.exe C:\Users\***\AppData\Local\Temp\RtkBtMnt.exe C:\Windows\ehome\ehmsas.exe C:\Program Files\Apoint2K\Apntex.exe C:\Acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE C:\Users\***\Desktop\klm.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h***://***.unitymedia.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h***://***.unitymedia.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h***://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h***://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h***://***.unitymedia.de R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h***://de.rd.yahoo.com/customize/ycomp/defaults/su/*h***://de.yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Windows\system32\ActiveToolBand.dll O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [ALaunch] C:\Acer\ALaunch\AlaunchClient.exe O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe O4 - HKLM\..\Run: [eAudio] "C:\Acer\Empowering Technology\eAudio\eAudio.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe O4 - HKLM\..\Run: [PlayMovie] "C:\Program Files\Acer Arcade Deluxe\Play Movie\PMVService.exe" O4 - HKLM\..\Run: [PLFSetL] C:\Windows\PLFSetL.exe O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe O4 - HKLM\..\Run: [SetPanel] C:\Acer\APanel\APanel.cmd O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [PLFSet] rundll32.exe C:\Windows\PLFSet.dll,PLFDefSetting O4 - HKCU\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6\ICQ.exe" silent O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user') O4 - Global Startup: Empowering Technology Launcher.lnk = C:\Acer\Empowering Technology\eAPLauncher.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe O13 - Gopher Prefix: O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h***://***.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - h***://javadl-esd.sun.com/update/1.6.0/jinstall-6u3-windows-i586-jc.cab O20 - Winlogon Notify: avgwlntf - C:\Windows\SYSTEM32\avgwlntf.dll O23 - Service: ALaunch Service (ALaunchService) - Unknown owner - C:\Acer\ALaunch\ALaunchSvc.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe O23 - Service: AVG7 Resident Shield Service (AvgCoreSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing) O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe -- End of file - 7754 bytes Und was nun? lg |
Hab gerade die besagte datei C:\Windows\System32\netiougc.exe noch bei virscan.org laufen lassen und das kam... Dateiname : netiougc.exe Größe : 22016 byte Typ : MS-DOS executable (EXE), OS/2 or MS Windows MD5 : 1a8df1e7da3316e119c50e1261aaa6da SHA1 : 79cdb072cd3954a69fc47ffb43407a5ef8130fb1 Scan Ergebnis Scan Ergebnis : 3% der Scanner (1/36) haben Malware gefunden! Zeit : 2008/04/15 18:54:32 (CEST) Scanner ↓ Engine Ver Sig Ver Sig Datum Scan Ergebnis Zeit A-Squared 3.0.0.126 2008.04.10 2008-04-10 - 4.596 AhnLab V3 2008.04.11.01 2008.04.11 2008-04-11 - 2.057 AntiVir 7.8.0.6 7.0.3.170 2008-04-15 - 5.336 Arcavir 1.0.4 200804150031 2008-04-15 - 3.996 Avast 1.0.8 080415-1 2008-04-15 - 9.176 AVG 7.5.51.442 269.22.13/1378 2008-04-15 - 8.584 BitDefender 7.60825.1143785 7.18472 2008-04-15 - 12.389 CA (VET) 9.0.0.143 31.3.5700 2008-04-15 - 10.633 ClamAV 0.92 6781 2008-04-15 - 0.011 Comodo 2.11 2.0.0.492 2008-04-11 - 1.803 CP Secure 1.1.0.715 2008.04.15 2008-04-15 - 12.039 Dr.Web 4.44.0.9170 2008.04.15 2008-04-15 - 12.342 Ewido 4.0.0.2 2008.04.11 2008-04-11 - 2.851 F-Prot 4.4.1.52 20080414 2008-04-14 - 4.321 F-Secure 5.51.6100 2008.04.15.07 2008-04-15 - 4.305 Fortinet 2.81-3.11 8.951 2008-04-11 - 12.368 Ikarus T3.1.01.26 2008.04.13.70597 2008-04-13 - 4.802 JiangMin 10.00.650 2008.04.15 2008-04-15 - 5.160 Kaspersky 5.5.10 2008.04.15 2008-04-15 - 9.166 KingSoft 2007.6.20.249 2008.4.15 2008-04-15 - 7.967 McAfee 5.2.00 5273 2008-04-14 - 5.090 Microsoft 1.3408 2008.04.11 2008-04-11 - 40.418 mks_vir 2.01 2008.04.15 2008-04-15 - 4.541 Norman 5.91.10 5.90 2008-04-11 - 14.703 nProtect 2008-04-11.00 1374568 2008-04-11 - 33.194 Panda 9.04.03.0001 2008.04.14 2008-04-14 - 14.399 Prevx V2 20080412 2008-04-12 TROJAN.NET.BASINTH.A 10.462 Quick Heal 9.00 2008.04.14 2008-04-14 - 7.203 Rising 20.0 20.39.32.00 2008-04-10 - 3.248 Sophos 2.72.0 4.28 2008-04-14 - 11.847 Symantec 1.3.0.24 20080414.016 2008-04-14 - 0.396 The Hacker 6.2.92 v00273 2008-04-10 - 14.379 Trend Micro 8.500-1001 5.218.07 2008-04-15 - 0.050 VBA32 3.12.6.4 20080415.0817 2008-04-15 - 4.298 ViRobot 20080415 2008.04.15 2008-04-15 - 8.370 VirusBuster 4.3.19:9 9.123.43/11.0 2008-04-15 - 4.110 |
Hallo Bitte schicke diese Dateien hier hin: C:\Windows\PLFSetL.exe C:\Windows\PLFSet.dll Ich habe ewig lange danach gegoogelt mich durch englische Foren geschlagen usw. aber meistens wusste niemand wirklich um was es sich handelt:confused: Was ich gelesen habe, kann es sein das sie zur Grafikkarte gehören könnte, auch habe ich gelesen das sich "Win32Root" dahinter versteckt und auch das es ein Backdoor sein könnte... achja genau von Sonix ist sie vlt. auch noch:D Diese Datei: C:\Windows\System32\netiougc.exe ist wohl von Microsoft. Bitte wende noch SuperAntiSpyware an. Meldet dein AntiVir immer noch wie anfangs beschrieben? |
Hi! Ich bin dir wirklich sehr dankbar!! Habe versucht die beiden Dateien an die von dir genannte adresse zu senden. Könnte sie aber nicht hochladen bzw C:\Windows\PLFSetL.exe hat er nicht gefunden. Bei der anderen soll es sich um "Programmbibliothek" handeln mit letztem änderungsdatum mai 2007. den laptop habe ich erst seit 3 Monaten... Die netiougc.exe hatte ich auch gefunden im netzt. Das heißt das kann ich so belassen?! SuperAntiSpyware mache ich nachher direkt nach der Arbeit. AVG, wenn du das meinst, meldet immer noch nichts gefunden. Das einzige was zusätzlich angezeigt wird ist C:\Windows\System32\drivers\etc\hosts Result: change Status: Changed. Aber das habe ich bei zwei weiteren wie C:\Windows\System32\shell32.dll und noch einem auch Und was ist mit diesem TROJAN.NET.BASINTH.A |
Zitat:
Zitat:
Da die Datei (wie ich erst später herausgefunden habe) von Microsoft ist, habe ich da keine Bedenken;) Zitat:
Hast du die Anfänglich Beschriebenen Probleme noch? Bei diesen zwei Datein muss ich mir noch was überlegen:Boogie: C:\Windows\PLFSetL.exe C:\Windows\PLFSet.dll ich möchte eigentlich keine Dateien löschen lassen die mir unbekannt sind... werde mich morgen wieder melden |
Hallo hier der log aus dem superantispyware SUPERAntiSpyware Scan Log Generated 04/16/2008 at 12:43 PM Application Version : 4.0.1154 Core Rules Database Version : 3439 Trace Rules Database Version: 1431 Scan type : Complete Scan Total Scan Time : 00:37:49 Memory items scanned : 719 Memory threats detected : 0 Registry items scanned : 6163 Registry threats detected : 0 File items scanned : 71993 File threats detected : 2 Adware.Tracking Cookie C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@doubleclick[1].txt C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@atwola[2].txt Zitat: Zitat von Bärlin Beitrag anzeigen AVG, wenn du das meinst, meldet immer noch nichts gefunden. Das einzige was zusätzlich angezeigt wird ist C:\Windows\System32\drivers\etc\hosts Result: change Status: Changed. Aber das habe ich bei zwei weiteren wie C:\Windows\System32\shell32.dll und noch einem auch Zitat: Zitat von VirusBeitrag anzeigen Kannst du das etwas erläutern bitte Also, wenn ich AVG viruscheck laufen habe wird immer während des scans unter dem Feld Object : C:\Windows\System32\shell32.dll bzw als zweites C:\Windows\System32\ntoskml.exe angezeigt und bei beiden unter den Feldern Result : Status: Change Changed. Ein Bekannter meinte damals, das das normal wäre. Seit dem wir das hier gemeinsam gemacht haben steht jetzt zusätzlich dort aufgeführt noch Object: C:\Windows\System32\drivers\etc\hosts und unter Result und Status wie bei beiden anderen. Hat das was zu bedeuten? Gruß |
Bitte lass mal CCleaner laufen. Bezüglich diesen beiden Dateien: C:\Windows\PLFSetL.exe C:\Windows\PLFSet.dllL Lösche sie bitte mit KillBox (in meiner Signatur) Der Entschluss ist für mich aufgrund diesem Hinweis gefallen. Ansonsten haben wir's glaub geschafft:daumenhoc Bitte mach zum Schluss noch einen Onlin Scan mit Kaspersky. Bestehen die anfänglich beschriebenen Probleme noch, oder vlt. andere neue? |
Hallo! Ok, ich habe den ccleaner noch mal benutzt. Die beiden Dateien habe ich mit der killbox gelöscht. Danke für den link warum du das für richtig hältst. Leider knn ich, wie letztens schon mal geschrieben, Kaspersky noch immer nicht laufen lassen... Keine Ahnung warum. Probleme oder so gibbet nicht. Braucht nur geringfügig länger zum runterfahren aber das heißt ja nüscht. Was ist mit den beiden dinger die bei der analyse mit superantispyware rausgekommen ist und unter quarantäne liegen sowie mit dem erwähnten :\Windows\System32\drivers\etc\hosts?? Kann alles so bleiben? Meinst also wäre alles überstanden? Das wäre schön. Dafür danke ich dir rechtherzlich schon mal. Hat mich wirklich sehr gefreut, dass es so schnell ubd gut ging, wirklich :aplaus: :knuddel: |
Ich würde sagen es ist alles wieder ok:daumenhoc |
Alles wieder ok?! :Boogie: Wie gesagt viiielen Dank für die super schnelle und ausführliche/geduldige Hilfe!!! :huepp: |
Kein Problem;) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:28 Uhr. |
Copyright ©2000-2025, Trojaner-Board