|
Versuch, mit Escan Trojaner tr dropper gen zu entfernen! Hallo Trojaner-Board! Als ich letztens mein Virusprogramm meine Festplatte scannen ließ, fand es mehrer Viren, darunter auch den Trojaner tr dropper.gen, den ich gegoogelt habe und schließlich hierhergelangt bin! Ich bin nach der Anleitung mit Escan vorgegangen und bin jetzt bei schritt 14, dass ich hier das reinposten soll. Ich tue das jetzt und wenn jemand Zeit hat könnte er mir sagen was ich jetzt tun soll. Danke im Voraus! Grüße! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2008.03.07 Microsoft Windows XP [Version 5.1.2600] Bootmodus: Normal eScan Version: 9.8.9 Sprache: German C:\DOKUME~1\Kristina\LOKALE~1\Temp\MWAV.LOG ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\DOKUME~1\Kristina\LOKALE~1\Temp\.tt10.tmp infiziert durch den Virus "Trojan-Dropper.Win32.NSIS.f"! Maßnahme ergriffen: Keine Maßnahme ergriffen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ Datei C:\Programme\ICQToolbar\tbu3\toolbaru.dll markiert als "not-a-virus:AdWare.Win32.Mostofate.cx". Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\WINDOWS\DOWNLO~1\POPCAP~1.DLL markiert als "not-a-virus:Downloader.Win32.PopCap.a". Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\Programme\ICQToolbar\tbu3\toolbaru.dll markiert als "not-a-virus:AdWare.Win32.Mostofate.cx". Maßnahme ergriffen: Keine Maßnahme ergriffen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Spyware (Vorsicht: Oft Fehlalarm!) ~~~~~~~~~~~ Scannen Spyware: Deaktiviert ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ laufende Prozesse - commandline ~~~~~~~~~~~~~~~~~~~~~~ System Idle Process - System - smss.exe - \SystemRoot\System32\smss.exe csrss.exe - winlogon.exe - winlogon.exe services.exe - C:\WINDOWS\system32\services.exe lsass.exe - C:\WINDOWS\system32\lsass.exe svchost.exe - C:\WINDOWS\system32\svchost -k DcomLaunch svchost.exe - svchost.exe - C:\WINDOWS\System32\svchost.exe -k netsvcs svchost.exe - svchost.exe - spoolsv.exe - C:\WINDOWS\system32\spoolsv.exe MediaServerService.exe - "C:\Programme\acer\Acer eConsole\MediaServerService.exe" Explorer.EXE - C:\WINDOWS\Explorer.EXE sched.exe - "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" avguard.exe - "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" svchost.exe - svchost.exe - C:\WINDOWS\system32\svchost.exe -k imgsvc SOUNDMAN.EXE - "C:\WINDOWS\SOUNDMAN.EXE" PDVDServ.exe - "C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" Monitor.exe - "C:\Programme\Acer\eRecovery\Monitor.exe" AspireService.exe - "C:\Programme\Acer\Acer eMode Management\AspireService.exe" MediaSync.exe - "C:\Programme\Acer\Acer eConsole\MediaSync.exe" iTunesHelper.exe - "C:\Programme\iTunes\iTunesHelper.exe" avgnt.exe - "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min EverioService.exe - "C:\Programme\CyberLink\PCM4Everio\EverioService.exe" msmsgs.exe - "C:\Programme\Messenger\msmsgs.exe" /background reader_sl.exe - "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" WG111v3.exe - "C:\Programme\NETGEAR\WG111v3\WG111v3.exe" iPodService.exe - C:\Programme\iPod\bin\iPodService.exe alg.exe - wuauclt.exe - "C:\WINDOWS\system32\wuauclt.exe" /RunStoreAsComServer Local\[334]SUSDS4da102131761f549becd88fb49428b41 wuauclt.exe - "C:\WINDOWS\system32\wuauclt.exe" WMIPRVSE.EXE - cmd.exe - cmd /c ""C:\Dokumente und Einstellungen\Kristina\Desktop\find.bat" " CSCRIPT.EXE - cscript C:\escan\prclst.vbs //nologo ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ ERROR!!! Invalid Entry Debugger = C:\Programme\Borland\Delphi6\Bin\bordbg60.exe -aeargs %ld %ld (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\AEDEBUG). ERROR!!! Invalid Entry AVAUTODELETE = "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\UPGRADE\upgrade.exe" /restart (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken. ERROR!!! ScanFile fails for C:\DOKUME~1\Kristina\Desktop\EIGENE~1\atlantis.exe ERROR!!! ScanFile fails for C:\DOKUME~1\Kristina\Desktop\NEUERO~1\mwav.exe ERROR!!! ScanFile fails for C:\DOKUME~1\Kristina\Desktop\ANTIVI~1\mwav.exe ERROR!!! Invalid Entry system32\DRIVERS\ser2pl.sys in SYSTEM\CurrentControlSet\Services\Ser2pl... ERROR!!! Invalid Entry \??\C:\WINDOWS\System32\drivers\Winbf25.sys in SYSTEM\CurrentControlSet\Services\Winbf25... ERROR!!! Invalid Entry \??\C:\WINDOWS\System32\drivers\Winbf36.sys in SYSTEM\CurrentControlSet\Services\Winbf36... ERROR!!! Invalid Entry \??\C:\WINDOWS\System32\drivers\Winbg58.sys in SYSTEM\CurrentControlSet\Services\Winbg58... ERROR!!! Invalid Entry \??\C:\WINDOWS\System32\drivers\Windg58.sys in SYSTEM\CurrentControlSet\Services\Windg58... ERROR!!! Invalid Entry \??\C:\WINDOWS\System32\drivers\Wineh61.sys in SYSTEM\CurrentControlSet\Services\Wineh61... ERROR!!! Invalid Entry \??\C:\WINDOWS\System32\drivers\Winej58.sys in SYSTEM\CurrentControlSet\Services\Winej58... ERROR!!! Invalid Entry \??\C:\WINDOWS\System32\drivers\Winfi71.sys in SYSTEM\CurrentControlSet\Services\Winfi71... ERROR!!! Invalid Entry \??\C:\WINDOWS\System32\drivers\Winhk82.sys in SYSTEM\CurrentControlSet\Services\Winhk82... ERROR!!! Invalid Entry \??\C:\WINDOWS\System32\drivers\Winhl70.sys in SYSTEM\CurrentControlSet\Services\Winhl70... ERROR!!! Invalid Entry \??\C:\WINDOWS\System32\drivers\Winil81.sys in SYSTEM\CurrentControlSet\Services\Winil81... ERROR!!! Invalid Entry \??\C:\WINDOWS\System32\drivers\Winjn36.sys in SYSTEM\CurrentControlSet\Services\Winjn36... ERROR!!! Invalid Entry \??\C:\WINDOWS\System32\drivers\Winko36.sys in SYSTEM\CurrentControlSet\Services\Winko36... ERROR!!! Invalid Entry \??\C:\WINDOWS\System32\drivers\Winkp03.sys in SYSTEM\CurrentControlSet\Services\Winkp03... ERROR!!! Invalid Entry \??\C:\WINDOWS\System32\drivers\Winkp50.sys in SYSTEM\CurrentControlSet\Services\Winkp50... ERROR!!! Invalid Entry \??\C:\WINDOWS\System32\drivers\Winos15.sys in SYSTEM\CurrentControlSet\Services\Winos15... ERROR!!! Invalid Entry \??\C:\WINDOWS\System32\drivers\Winqu25.sys in SYSTEM\CurrentControlSet\Services\Winqu25... ERROR!!! Invalid Entry \??\C:\WINDOWS\System32\drivers\Winqu58.sys in SYSTEM\CurrentControlSet\Services\Winqu58... ERROR!!! Invalid Entry \??\C:\WINDOWS\System32\drivers\Winqu82.sys in SYSTEM\CurrentControlSet\Services\Winqu82... ERROR!!! Invalid Entry \??\C:\WINDOWS\System32\drivers\Winua36.sys in SYSTEM\CurrentControlSet\Services\Winua36... ERROR!!! Invalid Entry \??\C:\WINDOWS\System32\drivers\Winva36.sys in SYSTEM\CurrentControlSet\Services\Winva36... ERROR!!! Invalid Entry \??\C:\WINDOWS\System32\drivers\Winva60.sys in SYSTEM\CurrentControlSet\Services\Winva60... ERROR!!! Invalid Entry \??\C:\WINDOWS\System32\drivers\Winwb14.sys in SYSTEM\CurrentControlSet\Services\Winwb14... ERROR!!! Invalid Entry \??\C:\WINDOWS\System32\drivers\Winxc71.sys in SYSTEM\CurrentControlSet\Services\Winxc71... ERROR!!! Invalid Entry \??\C:\WINDOWS\System32\drivers\Winyd82.sys in SYSTEM\CurrentControlSet\Services\Winyd82... ERROR!!! ScanFile fails for C:\DOKUME~1\Kristina\LOKALE~1\TEMPOR~1\Content.IE5\8MU38AQ3\mwav[2].exe ERROR!!! ScanFile fails for C:\DOKUME~1\Kristina\LOKALE~1\TEMPOR~1\Content.IE5\8MU38AQ3\mwav[3].exe ERROR!!! ScanFile fails for C:\DOKUME~1\Kristina\LOKALE~1\TEMPOR~1\Content.IE5\U3KRGZC1\mwav[1].exe ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts: C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 localhost ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Zahl der gescannten Objekte: 15144 Zahl der kritischen Objekte: 4 Zahl der desinfizierten Objekte: 0 Zahl der umbenannten Dateien: 0 Zahl der gelöschten Objekte: 0 Zahl der Fehler: 28 Zeit verstrichen: 00:20:19 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Speicherüberprüfung: Aktiviert Registrierungsdatenbank-Überprüfung: Aktiviert Überprüfung des Startordners: Aktiviert Überprüfung des Systemordners: Aktiviert Überprüfung der Dienste: Aktiviert Option Überprüfung der Laufwerke deaktiviert Überprüfung der Ordner: Deaktiviert Batchstart: 21:45:10,62 Batchende: 21:45:13,04 |
Hi und :hallo: Bitte erstelle als erstes ein Hijackthis logfile:daumenhoc Lass bitte Malwarebytes laufen, alles löschen was er findet und Log posten:daumenhoc Benütze bitte auch mal Ccleaner (KEIN log benötigt) |
Ok, danke für die schnelle Hilfe, ich lass den Malware jetzt grad drüberjagen und werd alles löschen lassen was er mir anzeigt. Soll ich dieses Hijack zeugs auch posten? oder nur das was den malware report? |
Zitat:
|
Hier der Malwarereport:Malwarebytes' Anti-Malware 1.18 Datenbank Version: 875 00:01:50 22.06.2008 mbam-log-6-22-2008 (00-01-50).txt Scan Art: Komplett Scan (C:\|D:\|) Objekte gescannt: 156525 Scan Dauer: 1 hour(s), 46 minute(s), 0 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 1 Infizierte Registrierungsschlüssel: 11 Infizierte Registrierungswerte: 1 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 9 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: C:\WINDOWS\system32\WinCtrl32.dll (Trojan.Agent) -> Unloaded module successfully. Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\Interface\{e4e3e0f8-cd30-4380-8ce9-b96904bdefca} (Adware.PopCap) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{fe8a736f-4124-4d9c-b4b1-3b12381efabe} (Adware.PopCap) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Typelib\{c9c5deaf-0a1f-4660-8279-9edfad6fefe1} (Adware.PopCap) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2 (Adware.PopCap) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\c:/windows/downloaded program files/popcaploader.dll (Adware.PopCap) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2.1 (Adware.PopCap) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winctrl32 (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenUSave) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\Downloaded Program Files\popcaploader.dll (Adware.PopCap) -> Quarantined and deleted successfully. Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: C:\WINDOWS\Downloaded Program Files\popcaploader.dll (Adware.PopCap) -> Quarantined and deleted successfully. C:\WINDOWS\system32\blackster.scr (Trojan.Agent) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Kristina\Lokale Einstellungen\Temp\.tt10.tmp (Trojan.Fakealert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{9DF46C33-6EFC-4C04-8812-88746C783574}\RP565\A0118464.scr (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\WinCtrl32.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\ctfmona.exe (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\system32\ctfmonb.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Kristina\Lokale Einstellungen\Temp\.tt2.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Kristina\Lokale Einstellungen\Temp\.ttD.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. Logfile of Trend Micro HijackThis v2.0.2 [edit] bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 danke GUA http://www.smilies.4-user.de/include...lie_be_027.gif [/edit] |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:56 Uhr. |
Copyright ©2000-2025, Trojaner-Board