|
So, ich habe nun Hojackthis so alnge gescannt und gelöscht, bis keine der Zeilen die du mir genannt hast mehr auftaucht. Momentan bearbeitet es grad combofix und dann bring ich dir beide Logs (Hijackthis u. Combofix) Grüße |
Anbei Combofix Log Grüße ________________ ComboFix 08-09-05.14 - sprenker2 2008-09-11 7:40:16.2 - NTFSx86 MINIMAL Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.807 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\sprenker2\Desktop\ComboFix.exe Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\sprenker2\Favoriten\Error Cleaner.url C:\Dokumente und Einstellungen\sprenker2\Favoriten\Privacy Protector.url C:\Dokumente und Einstellungen\sprenker2\Favoriten\Spyware&Malware Protection.url C:\Programme\PCHealthCenter . ((((((((((((((((((((((( Dateien erstellt von 2008-08-11 bis 2008-09-11 )))))))))))))))))))))))))))))) . 2008-09-11 06:55 . 2008-09-11 06:55 197 --a------ C:\WINDOWS\system32\MRT.INI 2008-09-10 14:46 . 2008-09-10 15:14 <DIR> d-------- C:\Programme\MSA 2008-09-10 13:57 . 2008-09-10 13:57 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-09-10 13:57 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-09-10 13:57 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-09-10 11:42 . 2008-09-10 11:42 <DIR> d-------- C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\Malwarebytes 2008-09-10 11:41 . 2008-09-10 11:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-09-10 09:24 . 2008-09-10 09:24 <DIR> d-------- C:\Programme\AVG 2008-09-10 09:24 . 2008-09-10 12:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg8 2008-08-17 08:37 . 2008-05-01 16:30 331,776 --------- C:\WINDOWS\system32\dllcache\msadce.dll 2008-08-14 15:40 . 2008-08-14 15:40 <DIR> d-------- C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\FileOpen 2008-08-14 15:40 . 2008-08-14 15:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FileOpen . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-09-10 11:55 --------- d-----w C:\Programme\Avira 2008-09-10 10:42 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-09-10 10:10 --------- d-----w C:\Programme\BOINC 2008-09-10 07:39 --------- d-----w C:\Programme\Opera 2008-09-09 08:47 --------- d-----w C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\FileZilla 2008-08-20 06:47 --------- d-----w C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\gtk-2.0 2008-08-19 13:30 --------- d-----w C:\Programme\LBBW_LIMOSV 2008-07-30 08:41 --------- d-----w C:\Programme\VideoLAN 2008-07-28 08:54 85,440 ----a-w C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2008-07-24 11:30 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe Systems 2008-07-24 11:26 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe 2008-07-24 11:25 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe Systems Shared 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe 2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\dllcache\wups.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll 2008-07-17 08:38 --------- d-----w C:\Programme\Azureus 2008-07-17 08:37 --------- d-----w C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\Azureus 2008-07-14 12:55 --------- d-----w C:\Programme\Hewlett-Packard 2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es.dll 2008-07-07 20:30 253,952 ------w C:\WINDOWS\system32\dllcache\es.dll 2008-06-24 16:22 74,240 ----a-w C:\WINDOWS\system32\mscms.dll 2008-06-24 16:22 74,240 ------w C:\WINDOWS\system32\dllcache\mscms.dll 2008-06-24 08:14 3,592,192 ------w C:\WINDOWS\system32\dllcache\mshtml.dll 2008-06-23 09:20 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe 2008-06-23 09:20 625,664 ------w C:\WINDOWS\system32\dllcache\iexplore.exe 2008-06-23 09:20 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe 2008-06-21 05:23 161,792 ------w C:\WINDOWS\system32\dllcache\ieakui.dll 2008-06-20 17:36 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll 2008-06-20 17:36 247,296 ------w C:\WINDOWS\system32\dllcache\mswsock.dll 2008-06-20 17:36 147,968 ----a-w C:\WINDOWS\system32\dllcache\dnsapi.dll 2008-06-20 10:44 360,960 ----a-w C:\WINDOWS\system32\dllcache\tcpip.sys 2008-06-20 10:44 138,368 ------w C:\WINDOWS\system32\dllcache\afd.sys 2008-06-20 09:32 225,920 ----a-w C:\WINDOWS\system32\dllcache\tcpip6.sys 2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\dllcache\bthport.sys . ((((((((((((((((((((((((((((( snapshot@2008-09-10_16.01.59.90 ))))))))))))))))))))))))))))))))))))))))) . - 2008-08-05 18:11:01 15,888,504 ----a-w C:\WINDOWS\system32\MRT.exe + 2008-08-26 20:28:12 16,208,504 ----a-w C:\WINDOWS\system32\MRT.exe + 2008-04-15 17:54:16 1,724,416 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600.3352_x-ww_81af8e88\GdiPlus.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2006-09-25 98304] "HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2006-09-25 114688] "Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2006-09-25 94208] "PDF Complete"="C:\Programme\PDF Complete\pdfsty.exe" [2007-08-07 331288] "SetRefresh"="C:\Programme\Compaq\SetRefresh\SetRefresh.exe" [2003-11-20 525824] "Recguard"="C:\WINDOWS\Sminst\Recguard.exe" [2006-05-12 1138688] "Scheduler"="C:\WINDOWS\SMINST\Scheduler.exe" [2006-04-24 888832] "StatusClient 2.6"="C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe" [2004-02-27 61440] "TomcatStartup 2.5"="C:\Programme\Hewlett-Packard\Toolbox\hpbpsttp.exe" [2004-05-20 188416] "HP Software Update"="C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2004-01-07 49152] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-04-25 311296] "OLXAddinMonitor"="C:\Programme\Gemeinsame Dateien\OLXShared\OLXAddInMonitor.exe" [2007-06-26 258048] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360] C:\Dokumente und Einstellungen\sprenker2\Startmen\Programme\Autostart\ Adobe Gamma.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\WINDOWS\\SMINST\\Scheduler.exe"= "C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "C:\\Programme\\Microsoft Office\\Office10\\OUTLOOK.EXE"= "C:\\Programme\\Hewlett-Packard\\Toolbox\\jre\\bin\\javaw.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\Mozilla Firefox\\firefox.exe"= S2 MSSQL$MSSMLBIZ;SQL Server (MSSMLBIZ);c:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [2006-04-14 28933976] S2 OLXConvert Agent;OLXConvert Agent;C:\Programme\OLXAgents\OLXConvert Agent\OLXConvertAgent.exe [2007-06-29 372736] S2 pdfcDispatcher;PDF Document Manager;C:\Programme\PDF Complete\pdfsvc.exe [2007-08-07 540184] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\##Linux-server#Ablage] \Shell\AutoRun\command - autorun.exe . - - - - Entfernte verwaiste Registrierungseinträge - - - - Toolbar-{9F342F63-3E27-4BB6-8A01-D7C2C6FEB055} - C:\WINDOWS\fqbewlna.dll HKLM-Run-pdfFactory Dispatcher v3 - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe HKLM-Run-eTrustPPAP - C:\Programme\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe . ------- Zusätzlicher Scan ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\sprenker2\Anwendungsdaten\Mozilla\Firefox\Profiles\62k43a39.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.de . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-11 07:42:15 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\pdfcDispatcher] "ImagePath"="C:\Programme\PDF Complete\pdfsvc.exe /startedbyscm:66B66708-40E2BE4D-pdfcService" . Zeit der Fertigstellung: 2008-09-11 7:43:45 ComboFix-quarantined-files.txt 2008-09-11 05:43:34 ComboFix2.txt 2008-09-10 14:02:37 Pre-Run: 18 Verzeichnis(se), 50,266,001,408 Bytes frei Post-Run: 22 Verzeichnis(se), 50,262,609,920 Bytes frei 152 --- E O F --- 2008-09-11 04:55:25 |
Anbei die HJ log _____________ Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 07:39: VIRUS ALERT!, on 11.09.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Safe mode Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\userinit.exe C:\WINDOWS\Explorer.EXE C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O3 - Toolbar: fqbewlna - {9F342F63-3E27-4BB6-8A01-D7C2C6FEB055} - C:\WINDOWS\fqbewlna.dll (file missing) O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [PDF Complete] "C:\Programme\PDF Complete\pdfsty.exe" O4 - HKLM\..\Run: [SetRefresh] C:\Programme\Compaq\SetRefresh\SetRefresh.exe O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe O4 - HKLM\..\Run: [StatusClient 2.6] "C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe" /auto O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Programme\Hewlett-Packard\Toolbox\hpbpsttp.exe O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" O4 - HKLM\..\Run: [pdfFactory Dispatcher v3] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe" /source=HKLM O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [OLXAddinMonitor] "C:\Programme\Gemeinsame Dateien\OLXShared\OLXAddInMonitor.exe" O4 - HKLM\..\Run: [eTrustPPAP] "C:\Programme\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {CE8267C2-D41A-4A50-A69D-F32B5C289F14} (FileOpenInstaller) - http://plugin.fileopen.com/current/FileOpen.CAB O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{2933FEC1-1F06-45E3-966B-945969C8550F}: NameServer = 192.168.0.2 O17 - HKLM\System\CS1\Services\Tcpip\..\{2933FEC1-1F06-45E3-966B-945969C8550F}: NameServer = 192.168.0.2 O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: OLXConvert Agent - GANGL Dienstleistungen - C:\Programme\OLXAgents\OLXConvert Agent\OLXConvertAgent.exe O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Programme\PDF Complete\pdfsvc.exe -- End of file - 5358 bytes |
Hallo chris, also soweit habe ich alles gemacht wie du gesagt hast. Als ich meinen PC vorhin einmal hochgefahren habe, war der Hintergrund nicht mehr dieses "WARNING-Picture" und auch der Virenscanner hat nicht dauernd geblinkt. Ich habe ja auch bei HJ die Zeieln die ich löschen sollte nicht mehr gefunden. Allerdings beunruhigt mich, dass ich z.B. wenn ich unten links auf "Start" klicke, versch. Sachen nicht mehr sehe, wie z.b. Systemsteuerung, Hilfe und Support, Ausführen etc.! Aber ich glaube dass ich das wieder einrichten kan, richtig? Ausserdem sagte mir mein Windows gestern, dass der Task Manager deaktiviert wurde! Internet sowie alle programme laufen einwandfrei und wie gesagt, es kommen keine Fehlermeldungen auf, wobei ich ihn ja auch nur ganz kurz an hatte. Wie mache ich nun weiter? Viele Grüße und Lieben Dank Mathias |
Hi, bitte noch folgende Zeilen mit HJ fixen; O3 - Toolbar: fqbewlna - {9F342F63-3E27-4BB6-8A01-D7C2C6FEB055} - C:\WINDOWS\fqbewlna.dll (file missing) Danach neu booten. Registerywerte zurücksetzten: Über "Drittanbieter", die nicht den regedit benutzen, z. B.: http://www.chip.de/downloads/c1_downloads_12991462.html (RegCleaner) Folgende Schlüssel suchen und die nachfolgenden Aktionen durchführen: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegedit <-löschen Suche den Schlüssel: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr = "dword:00000001" --> auf 0 (oder den ganzen Schluessel "DisableTaskMgr" löschen) DisableRegistryTools = "dword:00000001" --> auf 0 (oder den ganzen Schluessel loeschen) HKEY_CURRENT_USER\Software\Microsoft\Windows\System\DisableCMD (Ohne den Schlüssel Policies) Lasse bitte noch mal MAM laufen (vorher updaten) und poste das Log; Systemsteuerung wieder einrichten etc. dann später (bin jetzt leider anderstweitig beschäftigt). Das gröbste ist nun überstanden, allerdings haben sich die Sachen (wie Du siehst) sehr tief in das System eingegraben, so das Neuaufsetzen besser wäre.... chris |
Hallo Chris, danke sehr. Die Zeiel habe ich gefixed. Das Programm Regcleaner habe ich installiert, komme aber nicht klar. Ich habe ihn überall nach den Zeielen suche lassen, aber er fand nichts. Ich mach sicher was falsch. Kannst du mir sagen wo ich suchen muss bzw wo es zu finden ist? anbei ein Screen! http://www.bilder-hochladen.net/files/604k-y-jpg.html Grüße P.s. Lasse gerade mam laufen (Habe geuploadet)! Das Log kommt! |
RegCleaner Hy, kann mir jemand sagen wie der RegCleaner funktioniert? Ich soll versch. Zeilen suchen und löschen: "HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System\DisableRegedit <-löschen Suche den Schlüssel: HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System\DisableTaskMgr = "dword:00000001" --> auf 0 (oder den ganzen Schluessel "DisableTaskMgr" löschen) DisableRegistryTools = "dword:00000001" --> auf 0 (oder den ganzen Schluessel loeschen) HKEY_CURRENT_USER\Software\Microsoft\Windows\Syste m\DisableCMD (Ohne den Schlüssel Policies)" Anbei ein Screen! http://www.bilder-hochladen.net/files/604k-y-jpg.html Wo muss ich das suchen oder hat jmd. ein anderes Programm? Grüße |
Hallo Chris, also wie gesagt MAM läuft grad und hat auch wieder was gefunden, das Log kommt. Als Info: Es fehlt der Button "Alle Programme" sowie "Systemsteuerung" ! Weiterhin kann ich nicht auf den "Task Manager" und "Eigenschaften von Anzeige" (zum hintergrund ändern etc. zugreifen! Das geht sicher über die Registry!? Richtig? Danke und Grüße |
Habe noch mal MAM, Avenger und HJ laufen lassen! Anbei die Logs. Die Sachen mit dem Reg ist immer noch nicht erledigt, weiss nciht wie! Grüße _____ MAM Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1137 Windows 5.1.2600 Service Pack 2 11.09.2008 09:47:48 mbam-log-2008-09-11 (09-47-48).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 95353 Laufzeit: 32 minute(s), 53 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 3 Infizierte Registrierungswerte: 5 Infizierte Dateiobjekte der Registrierung: 15 Infizierte Verzeichnisse: 0 Infizierte Dateien: 42 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\fqbewlna.bebg (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\fqbewlna.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\General\backupwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\General\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductId (Trojan.FakeAlert) -> Bad: (VIRUS ALERT!) Good: (76497-OEM-0011903-00101) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\International\sTimeFormat (Trojan.FakeAlert) -> Bad: (HH:mm: VIRUS ALERT!) Good: (HH:mm:ss) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowControlPanel (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowRun (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoStartMenuMorePrograms (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives (Hijack.Drives) -> Bad: (12) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoToolbarCustomize (Hijack.Explorer) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetFolders (Hijack.Explorer) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispCPL (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\sprenker2\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q2X11FH1\nd82m0[1] (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\sprenker2\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q2X11FH1\upd105320[1] (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\sprenker2\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QODQIV2N\cntr[1] (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\Programme\PCHealthCenter\0.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\Programme\PCHealthCenter\4.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\Programme\PCHealthCenter\5.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\Programme\PCHealthCenter\7.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINDOWS\system32\dbddlamv.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINDOWS\system32\fccbCtSI.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINDOWS\system32\ggumljoc.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINDOWS\system32\pmnmnOHb.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINDOWS\system32\wvUliiHa.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINDOWS\system32\ylxziz.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINDOWS\system32\YUR11.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINDOWS\system32\YUR12.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINDOWS\system32\YUR13.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINDOWS\system32\YUR2.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINDOWS\system32\YUR3.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINDOWS\system32\YURF.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{57A6823A-1951-404C-9B13-3C57FE463739}\RP89\A0047387.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{57A6823A-1951-404C-9B13-3C57FE463739}\RP89\A0048397.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{57A6823A-1951-404C-9B13-3C57FE463739}\RP89\A0048398.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{57A6823A-1951-404C-9B13-3C57FE463739}\RP89\A0048399.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{57A6823A-1951-404C-9B13-3C57FE463739}\RP90\A0048412.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{57A6823A-1951-404C-9B13-3C57FE463739}\RP90\A0048415.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{57A6823A-1951-404C-9B13-3C57FE463739}\RP90\A0048416.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{57A6823A-1951-404C-9B13-3C57FE463739}\RP90\A0048417.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{57A6823A-1951-404C-9B13-3C57FE463739}\RP90\A0048431.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{57A6823A-1951-404C-9B13-3C57FE463739}\RP90\A0048432.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{57A6823A-1951-404C-9B13-3C57FE463739}\RP90\A0048433.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{57A6823A-1951-404C-9B13-3C57FE463739}\RP90\A0048434.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{57A6823A-1951-404C-9B13-3C57FE463739}\RP90\A0048435.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{57A6823A-1951-404C-9B13-3C57FE463739}\RP90\A0048436.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{57A6823A-1951-404C-9B13-3C57FE463739}\RP90\A0048438.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{57A6823A-1951-404C-9B13-3C57FE463739}\RP90\A0048439.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{57A6823A-1951-404C-9B13-3C57FE463739}\RP90\A0048440.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{57A6823A-1951-404C-9B13-3C57FE463739}\RP90\A0048441.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{57A6823A-1951-404C-9B13-3C57FE463739}\RP90\A0048443.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{57A6823A-1951-404C-9B13-3C57FE463739}\RP90\A0048442.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Programme\MSA\msa0.dat (Rogue.MSAntivirus) -> Quarantined and deleted successfully. C:\Programme\MSA\msa1.dat (Rogue.MSAntivirus) -> Quarantined and deleted successfully. C:\Programme\MSA\MSA.ooo (Rogue.MSAntivirus) -> Quarantined and deleted successfully. |
Avenger Log: _______________ Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: file "C:\WINDOWS\system32\2.ico" not found! Deletion of file "C:\WINDOWS\system32\2.ico" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\system32\MSa.cpl" not found! Deletion of file "C:\WINDOWS\system32\MSa.cpl" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\system32\YUR10.VIR" not found! Deletion of file "C:\WINDOWS\system32\YUR10.VIR" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\system32\1.ico" not found! Deletion of file "C:\WINDOWS\system32\1.ico" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\vmgspntbter.dll" not found! Deletion of file "C:\WINDOWS\vmgspntbter.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\dtseqrxk.dll" not found! Deletion of file "C:\WINDOWS\dtseqrxk.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\mgxfebsq.dll" not found! Deletion of file "C:\WINDOWS\mgxfebsq.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\fqbewlna.dll" not found! Deletion of file "C:\WINDOWS\fqbewlna.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\mqgldfvo.exe" not found! Deletion of file "C:\WINDOWS\mqgldfvo.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\system32\2.tmp" not found! Deletion of file "C:\WINDOWS\system32\2.tmp" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\system32\casino3.ico" not found! Deletion of file "C:\WINDOWS\system32\casino3.ico" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\system32\casino2.ico" not found! Deletion of file "C:\WINDOWS\system32\casino2.ico" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\system32\casino1.ico" not found! Deletion of file "C:\WINDOWS\system32\casino1.ico" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\system32\tdsspopup.dll" not found! Deletion of file "C:\WINDOWS\system32\tdsspopup.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\system32\tdsspopup3.url" not found! Deletion of file "C:\WINDOWS\system32\tdsspopup3.url" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\system32\tdsspopup2.url" not found! Deletion of file "C:\WINDOWS\system32\tdsspopup2.url" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\system32\tdsspopup1.url" not found! Deletion of file "C:\WINDOWS\system32\tdsspopup1.url" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\system32\wvUliiHa.dll" not found! Deletion of file "C:\WINDOWS\system32\wvUliiHa.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\system32\pmnmnOHb.dll" not found! Deletion of file "C:\WINDOWS\system32\pmnmnOHb.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\system32\ylxziz.dll" not found! Deletion of file "C:\WINDOWS\system32\ylxziz.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: could not open file "C:\WINDOWS\privacy_danger\index.htm" Deletion of file "C:\WINDOWS\privacy_danger\index.htm" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Error: file "C:\Windows\system32\YUR2.exe" not found! Deletion of file "C:\Windows\system32\YUR2.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\Windows\system32\YUR1.exe" not found! Deletion of file "C:\Windows\system32\YUR1.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\Windows\system32\YUR3.exe" not found! Deletion of file "C:\Windows\system32\YUR3.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\Windows\system32\YUR5.exe" not found! Deletion of file "C:\Windows\system32\YUR5.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\Windows\system32\YUR6.exe" not found! Deletion of file "C:\Windows\system32\YUR6.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\Windows\system32\YURF.exe" not found! Deletion of file "C:\Windows\system32\YURF.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\Windows\system32\YUR10.exe" not found! Deletion of file "C:\Windows\system32\YUR10.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\Windows\system32\YUR11.exe" not found! Deletion of file "C:\Windows\system32\YUR11.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\Windows\system32\YUR12.exe" not found! Deletion of file "C:\Windows\system32\YUR12.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\Windows\system32\YUR13.exe" not found! Deletion of file "C:\Windows\system32\YUR13.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\Windows\system32\YUR2.exe" not found! Deletion of file "C:\Windows\system32\YUR2.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\Windows\system32\YUR1.exe" not found! Deletion of file "C:\Windows\system32\YUR1.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\Windows\system32\YUR3.exe" not found! Deletion of file "C:\Windows\system32\YUR3.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\Windows\system32\YUR5.exe" not found! Deletion of file "C:\Windows\system32\YUR5.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\Windows\system32\YUR6.exe" not found! Deletion of file "C:\Windows\system32\YUR6.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: folder "C:\Programme\rhcjgcj0e529" not found! Deletion of folder "C:\Programme\rhcjgcj0e529" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: folder "C:\WINDOWS\privacy_danger" not found! Deletion of folder "C:\WINDOWS\privacy_danger" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Registry value "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs" replaced with dummy successfully. Completed script processing. ******************* Finished! Terminate. |
HJ Log ... gerade eben gemacht, bin wieder off! Freu mich auf zeitige Nachricht. VG ___________ Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 09:52:57, on 11.09.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\OLXAgents\OLXConvert Agent\OLXConvertAgent.exe C:\Programme\PDF Complete\pdfsvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\Programme\PDF Complete\pdfsty.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\SMINST\Scheduler.exe C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\Gemeinsame Dateien\OLXShared\OLXAddInMonitor.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Hewlett-Packard\Toolbox\jre\bin\javaw.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [PDF Complete] "C:\Programme\PDF Complete\pdfsty.exe" O4 - HKLM\..\Run: [SetRefresh] C:\Programme\Compaq\SetRefresh\SetRefresh.exe O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe O4 - HKLM\..\Run: [StatusClient 2.6] "C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe" /auto O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Programme\Hewlett-Packard\Toolbox\hpbpsttp.exe O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [OLXAddinMonitor] "C:\Programme\Gemeinsame Dateien\OLXShared\OLXAddInMonitor.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {CE8267C2-D41A-4A50-A69D-F32B5C289F14} (FileOpenInstaller) - http://plugin.fileopen.com/current/FileOpen.CAB O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{2933FEC1-1F06-45E3-966B-945969C8550F}: NameServer = 192.168.0.2 O17 - HKLM\System\CS1\Services\Tcpip\..\{2933FEC1-1F06-45E3-966B-945969C8550F}: NameServer = 192.168.0.2 O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: OLXConvert Agent - GANGL Dienstleistungen - C:\Programme\OLXAgents\OLXConvert Agent\OLXConvertAgent.exe O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Programme\PDF Complete\pdfsvc.exe O23 - Service: PsExec (PSEXESVC) - Unknown owner - C:\WINDOWS\PSEXESVC.EXE (file missing) -- End of file - 6231 bytes |
Hallo Chris, seit 2 Tagen habe ich gerade das erste mal wieder gelächelt :) Ich habe wie oben geschrieben nochmal MAM, Avenger, HJ durchgeführt und die Logs gepostet. Des weiteren habe ich einen Registry Cleaner durchlaufen lassen und der hat einiges gelöscht. (Bitte erklär mir nochmal das was du wolltest, damit ich das mache "sicherheitshalber")! Momentan piepst kein Anti Vir, ich habe wieder alle Funktionen und Rechte und ich kann alles machen wie vorher. So sollte es bleiben :) Ich bleibe weiterhin offline bis du dich wieder meldest. Evtl. kannst du dir die Logs die ich grad reinstellte nochmal anschauen und sagen wie das nun so bleibt. Sind die jetzt wirklich weg? Soll ich in Zukunft etwas beachten? Soll ich noch etwas installieren, damit das so jetzt bleibt?! Wenn ich mein internet wieder anschliesse, bleibt das sauber oder kommen sofort wieder 1000 Meldungen von Viren etc.!? Machen wir noch ein paar Tests oder ähnliches? Vielen Lieben Dank und Grüße |
Hi, das HJ-Log sieht soweit ok aus, es existiert(e) aber noch ein Remotezugang (PSEXESVC.EXE) als Dienst, der gelöscht sein soll (suche die Datei ob sie tatsächlich weg ist). MAM hat gute Arbeit geleistet, alle Reg-Keys die wir sonst "von Hand" zurückbiegen hätten müssen, sind wieder korrekt eingestellt. Bitte prüfe ob der Taskmanager wieder läuft. Die Systemwiederherstellung muss noch gesäubert werden: Systemwiederherstellung löschen http://www.systemwiederherstellung-deaktivieren.de/windows-xp.html Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt: Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten; Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder). Einen ersten Restorepunkt setzten: Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen So, jetzt bleibt nur noch eine MBR-Untersuchung: MBR-Rootkit Lade den MBR-Rootkitscanner von Gmer auf Deine Bootplatte: http://www2.gmer.net/mbr/mbr.exe Merke Dir das Verzeichnis wo Du ihn runtergeladen hast; Start->Ausführen->cmd Wechsle in das Verzeichnis des Downloads und starte durch Eingabe von mbr das Programm... Das Ergebnis sollte so aussehen: Zitat:
poste es im Thread; Java ist veraltet: Deine Javasoftware ist veraltet, Download jre-6u7-windows-i586-p.exe Scrolle runter nach ---->Java Runtime Environment (JRE) 6u7 The Java SE Runtime Environment (JRE) allows end-users to run Java applications. Klicke auf "Download" Setze ein Haeckchen bei --->"Accept License Agreement". Klicke “Windows Offline Installation, Multi-language” um “jre-6-windows-i586.exe”zum Desktop zu installieren Schliesse alle Programme auch Deinen Webbrowser Über "Start -> Einstellungen -> Systemsteuerung -> Software entferne alle aelteren Versionen von Java Runtime Environment (JRE of J2SE) Auch auf C:\Programme\Java entfernen! Nachdem alles entfernt wurde --->Rechner neu starten Installiere jetzt vom Desktop aus ---> “jre-6u7-windows-i586-p.exe” Du solltest Avira agressiver einstellen, d.h. Du bekommst dann zwar mehr "Fehlalarme", dafür findet es aber auch mehr: http://www.trojaner-board.de/54192-anleitung-avira-antivir-agressive-einstellungen.html Aktiviere die Windowsfirewall oder installiere Dir eine frei erhältliche (z. B. Zonealarm -> http://www.pcwelt.de/downloads/virenschutz/firewalls/7153/zonealarm/ Firefox mit den Plugins NoScript und "WOT" aufrüsten... chris |
Hallo Chris, ich werde alles gleich machen wie du geschrieben hast. Der Taskmanager funktioniert wieder. Ich melde mich noch mal hier, wenn ich alles gemacht habe. Doch hier sei shon gesagt, dass ich dir zu tiefst dankbar für deine Hilfe bin. Es ist toll, dass es noch Menschen wie dich gibt!!! Vielen vielen Lieben Dank und ich wünsche dir einen schönen Tag. VG Mathias |
Hallo Chris, wieder mal hat alles funktioniert was du mir geschrieben hast :dankeschoen: 1. Remotezugang entfernen Habe ich gemacht! Er sagt mir folgendes: "O23 - Service: PsExec (PSEXESVC) - Unknown owner - C:\WINDOWS\PSEXESVC.EXE (file missing)" 2. Taskmanager läuft und funktioniert einwandfrei! 3. Restorepunkt gesetzt 4. Mbr Untersuchung: Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK 5. Java erneuert 6. Avira agressiv eingestellt 7. Plugins für Firefox gedownloadet Gibt es noch etwas was du mir sagen kannst? Passt alles? LG Mathias |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:32 Uhr. |
Copyright ©2000-2024, Trojaner-Board