|
PC infiziert und fast lahmgelegt,Schutzprogramme schlagen nicht an... hallo alle miteinander, habe mih zum ersten mal auf einer seite wie dieser angemeldet.ich hab versucht mir vorher die regeeln und informationen durchzulesen die nöig sind um logfiles usw reinzustellen,wiss nicht ob es geklappt hat...mal sehen. zu meinem problem, seit einigen tagen ist mein pc infiziert,es wird von tag zu tag schlimmer,heute habe ich schließlich de ganzen tag bis i die nacht zeit gebraucht(und meine gesamte geduld) um schließlich doch noch in dieses forum mit dem üblangsamen internetexplorer zu gelangen,nachdem sich firefox gestern einfach verabschiedet hat und opera sch nicht installieren lässt(es wird vom installer angezeigt: error drive F:/ oder so),der IE oder der virus lässt wohl auch gerade jeden dritten tastendruck verschwinden,wodurch es nochmal länger dauert(also nicht wg meinem text wundern,hab schon so leserlich wie es geht versucht),zusätzlich zu den schrecklich langen ladezeiten,abstürzen und sonstigen aussetzern.hab woanders ws von combofix gehört,aber googeln warzuletz unmöglich...weiss jemand rat? logfiles stell ich gleich rein,,da bei mir alles wieder bspinnt und mbam einen nneustart verlangt und bei mir die taskleiste unten wieder augefallen ist,wünsht mir glück,hehe.danke im vorraus,alex. |
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:16:31, on 02.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Winamp\winampa.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\OpenOffice.org 2.0\program\soffice.exe C:\Programme\OpenOffice.org 2.0\program\soffice.BIN C:\WINDOWS\system32\taskmgr.exe C:\WINDOWS\system32\msiexec.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: (no name) - - (no file) O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll (file missing) O3 - Toolbar: Burn4Free Toolbar - {4F11ACBB-393F-4C86-A214-FF3D0D155CC3} - C:\Programme\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll (file missing) O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [BM8be03c8b] Rundll32.exe "C:\WINDOWS\system32\snmlfxpe.dll",s O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - HKCU\..\Run: [Noun Hide] C:\DOKUME~1\ADMINI~1\ANWEND~1\SHOWTH~1\AudioLongPlay.exe O4 - HKCU\..\Run: [License Manager] "C:\Programme\License_Manager\license_manager.exe " /silent O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab O20 - AppInit_DLLs: vdjevq.dll O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe -- End of file - 6150 bytes |
Malwarebytes' Anti-Malware 1.24 Datenbank Version: 1017 Windows 5.1.2600 Service Pack 2 02:16:18 03.08.2008 mbam-log-8-3-2008 (02-16-18).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 78430 Laufzeit: 4 hour(s), 2 minute(s), 19 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 4 Infizierte Registrierungsschlüssel: 16 Infizierte Registrierungswerte: 5 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 0 Infizierte Dateien: 36 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: C:\WINDOWS\system32\khfGxUKe.dll (Trojan.Vundo) -> Delete on reboot. C:\WINDOWS\system32\vcxrrdwi.dll (Trojan.Vundo) -> Delete on reboot. C:\WINDOWS\system32\mrovnj.dll (Trojan.Vundo) -> Delete on reboot. C:\WINDOWS\system32\geBqQGaX.dll (Trojan.Vundo) -> Delete on reboot. Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0439f3e4-dafa-44ea-b29c-11cb763b239d} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{0439f3e4-dafa-44ea-b29c-11cb763b239d} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f3b4d49e-f263-4e0c-8387-7de7b11eab30} (Trojan.Vundo) -> Delete on reboot. HKEY_CLASSES_ROOT\CLSID\{f3b4d49e-f263-4e0c-8387-7de7b11eab30} (Trojan.Vundo) -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{833ae189-f38c-46b6-b02a-18dbebb50349} (Trojan.BHO) -> Delete on reboot. HKEY_CLASSES_ROOT\CLSID\{833ae189-f38c-46b6-b02a-18dbebb50349} (Trojan.BHO) -> Delete on reboot. HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\gebqqgax (Trojan.Vundo) -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\88d30f17 (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bm8be03c8b (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\host-domain-lookup.com (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\www.host-domain-lookup.com (Malware.Trace) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{833ae189-f38c-46b6-b02a-18dbebb50349} (Trojan.Vundo) -> Delete on reboot. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\khfgxuke -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\khfgxuke -> Delete on reboot. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\mrovnj.dll (Trojan.Vundo) -> Delete on reboot. C:\WINDOWS\system32\khfGxUKe.dll (Trojan.Vundo) -> Delete on reboot. C:\WINDOWS\system32\eKUxGfhk.ini (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\eKUxGfhk.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\cmcrxoob.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\booxrcmc.ini (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\eoyvbejd.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\djebvyoe.ini (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\fkiioitu.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\utioiikf.ini (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\hlkjsmud.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\dumsjklh.ini (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\jopuirws.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\swriupoj.ini (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\usecsvqf.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\fqvscesu.ini (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\vcxrrdwi.dll (Trojan.Vundo) -> Delete on reboot. C:\WINDOWS\system32\iwdrrxcv.ini (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\vdqqejyw.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\wyjeqqdv.ini (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\ygixvyns.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\snyvxigy.ini (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\snyvxigy.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\geBqQGaX.dll (Trojan.BHO) -> Delete on reboot. C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\P89ATU4N\kb456456[1] (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\P89ATU4N\kb767887[1] (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{4111560F-C45B-4F5B-BDC9-9A9D5E65B6B2}\RP619\A0532874.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{4111560F-C45B-4F5B-BDC9-9A9D5E65B6B2}\RP619\A0532875.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{4111560F-C45B-4F5B-BDC9-9A9D5E65B6B2}\RP619\A0532876.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{4111560F-C45B-4F5B-BDC9-9A9D5E65B6B2}\RP619\A0532877.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\ujbpqrkp.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\system32\lyxyayya.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\pskt.ini (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\BM8be03c8b.xml (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\BM8be03c8b.txt (Trojan.Vundo) -> Quarantined and deleted successfully. |
trotz aller schwierigkeiten hat es erstmal geklappt mit dem schreiben in diesem forum...zum glück. für den (not)fall aber das es sich morgen wieder verschlechtert und ich nicht mehr die gelgenheit habe von meinem pc ins inet zu gehen bzw hier zu schreiben weil wieder was spinnt: kan mir jemand kurz erklären wie ich den format C durchführe? |
hmm,scheint wohl ein ziemlich schwerwiegendes problem zu sein... hab hute paar stunden hier verbracht und was von combo fix gelesen,dort hatte der beratende user aber angemerkt das man es nur auf anraten eines fachkundige laufen lassen sollte...ich weiss einfach nicht ob ich es in meinem fall machen kan oder nicht... weiss jemand nen link mit einem ähnlichen problem,auch wenns vielleicht von einer anderen seite ist? google will bei mir einfach nicht,andere suchmaschinen auch nicht und internet ist zum erbrechen langsam... PS:zumindest das mit dem eintippen der tasten hat sich heute gebessert. |
also hab mich mal auf einen ähnlichen thread gestützt und combofix und ccleaner laufen lassen,auserdem unsichtbare und versteckte daten sichtbar gemacht.weiss aber nun beim nächsten schritt nicht welche daten ich davon im virustotal durchsuchen lassen muss... PHP-Code: |
Hallo captn future, Laut deinem ersten Hijackthis-Logfile läuft der Teatimer bei dir. Dieser behindert die Bereinigung, weil er Änderungen an der Registry (hier: das löschen schädlicher Einträge) verhindert. Schalte ihn also aus. Poste dann bitte nochmal ein aktuelles Hijackthis-Log und lass den Deckard System Scanner laufen. dss.exe 1. Sämtliche offenen Fenster und Programme schließen 2. Doppelklick auf das Icon 3. Wenn der Scan beendet ist erscheinen zwei Logfiles, main.txt und extra.txt. (letzeres minimiert in der Taskleiste) Kopiere die beiden Logfiles und stelle sie hier rein LG Taranis |
hallo teranis,danke für den post. teatimer istdoch das vm spybot oder?den habe ich vor paar tagen wieder deinstalliert weil ich andere schutzprogramme ausprobiert habe und es zu viele wurden.sollte also schon weg sein... dss mache ich jetzt.hier habe ich über nacht noch kaspersky runtergeladen und laufen lassen.kann man die dateien die kaspersky als infiziert ausgibt nicht manuell löschen?ich habe sie ja nun sichtbar gemacht... HTML-Code: ------------------------------------------------------------------------------- |
HTML-Code: Logfile of Trend Micro HijackThis v2.0.2 |
HTML-Code: Deckard's System Scanner v20071014.68 |
teil 1 extra.txt HTML-Code: Deckard's System Scanner v20071014.68 |
Es wäre ein Riskanter Versuch! Ich glaube er wird dir den Zugriff verweigern und es wird villeicht noch schlimmer! (ich spreche aus erfahrung) |
teil 2 extra.txt HTML-Code: Event Record #/Type31 / Error |
Zitat:
|
allerdings fand ich es merkwürdig das kaspesky in diesem "show that" ordner eine datei gelassen hat.diese sah ser verdächtig aus,hab sie mal bei virustotal hochgeladen,kann mit den daten aber nicht so richtig was anfangen... HTML-Code: Datei uprckcqq.exe empfangen 2008.08.06 10:08:08 (CET) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 22:18 Uhr. |
Copyright ©2000-2025, Trojaner-Board