Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   probleme beim entfernen von antivirus xp 2008 (https://www.trojaner-board.de/57707-probleme-beim-entfernen-antivirus-xp-2008-a.html)

SimoneMm 11.08.2008 17:16
probleme beim entfernen von antivirus xp 2008
 
hallo zusammen .
hoffe dieses thread landet nicht wieder in der mülltonne .....

ich arbeite mit xp und seamonkey. desweiteren habe ich avira und spyware doctor auf meinem pc.
ich habe - wie schon in anderen threads beschrieben - im abgesicherten modus
smitfraudfix.exe gestartet und mit "2" die infizierten dateien gelöscht.

nach dem neustart war der virus immer noch da .

da ich laie bin, denke ich, dass ich irgendein fehler gemacht habe .

Hier der bericht von Malwarebytes' Anti-Malware

Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1040
Windows 5.1.2600 Service Pack 2

17:59:41 11.08.2008
mbam-log-8-11-2008 (17-59-41).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 137271
Laufzeit: 58 minute(s), 11 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 3
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 12
Infizierte Dateien: 10

Infizierte Speicherprozesse:
C:\WINDOWS\SYSTEM32\pphclvbj0elkl.exe (Trojan.FakeAlert) -> Unloaded process successfully.

Infizierte Speichermodule:
C:\Programme\rhcgvbj0elkl\msvcp71.dll (Rogue.Multiple) -> Delete on reboot.
C:\Programme\rhcgvbj0elkl\MFC71.dll (Rogue.Multiple) -> Delete on reboot.
C:\Programme\rhcgvbj0elkl\msvcr71.dll (Rogue.Multiple) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rhcgvbj0elkl (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\rhcgvbj0elkl (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\smrhcgvbj0elkl (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\rhcgvbj0elkl (Rogue.Multiple) -> Delete on reboot.
C:\Dokumente und Einstellungen\Simone\Anwendungsdaten\rhcgvbj0elkl (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Simone\Anwendungsdaten\rhcgvbj0elkl\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Simone\Anwendungsdaten\rhcgvbj0elkl\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Simone\Anwendungsdaten\rhcgvbj0elkl\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Simone\Anwendungsdaten\rhcgvbj0elkl\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Simone\Anwendungsdaten\rhcgvbj0elkl\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Simone\Anwendungsdaten\rhcgvbj0elkl\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Simone\Anwendungsdaten\rhcgvbj0elkl\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Simone\Anwendungsdaten\rhcgvbj0elkl\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Simone\Anwendungsdaten\rhcgvbj0elkl\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Simone\Anwendungsdaten\rhcgvbj0elkl\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Programme\rhcgvbj0elkl\rhcgvbj0elkl.exe (Rogue.Multiple) -> Delete on reboot.
C:\Programme\rhcgvbj0elkl\database.dat (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Programme\rhcgvbj0elkl\msvcp71.dll (Rogue.Multiple) -> Delete on reboot.
C:\Programme\rhcgvbj0elkl\MFC71.dll (Rogue.Multiple) -> Delete on reboot.
C:\Programme\rhcgvbj0elkl\MFC71ENU.DLL (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Programme\rhcgvbj0elkl\msvcr71.dll (Rogue.Multiple) -> Delete on reboot.
C:\Programme\rhcgvbj0elkl\license.txt (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Programme\rhcgvbj0elkl\rhcgvbj0elkl.exe.local (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Programme\rhcgvbj0elkl\Uninstall.exe (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\WINDOWS\SYSTEM32\pphclvbj0elkl.exe (Trojan.FakeAlert) -> Delete on reboot.

vielleicht gibt es jemanden hier, der mir schritt für schritt erklären kann, was ich genau tun soll um den virus zu entfernen .

bestan dank

gruss
simone

cosinus 12.08.2008 20:37
Hallo und :hallo:

1.) Poste ein Hijackthis Logfile

2.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste die Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]
3.) Mach auch ein Filelisting mit diesem script:
  • Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
  • Doppelklick auf listing8.cmd auf dem Desktop
  • nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:06 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131