|
Chinesische Werbung über iexplore.exe Hallo, hab ein Problem mit der iexplore.exe Und zwar öffnet sich eine zweite iexplore.exe bei mir im Taskmanager und zeitgleich ertönt über meine Boxen immer so eine komische chinesische Werbung. Diese läuft quasi als Dauerschleife und startet sich selber alle 20sek neu.´ Habe schon einige Programme (Spybot, Stinger, Antivir usw.) durchlaufen lassen aber ohne Erfolg..... Hab auch nen Logfile mit HijackThis erstellt und angehängt: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:42:58, on 04.12.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe C:\WINDOWS\system32\CTsvcCDA.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe C:\WINDOWS\system32\Rundll32.exe C:\Programme\Windows Defender\MSASCui.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\WINDOWS\system32\taskmagr.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://t-online.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programme\Winamp Toolbar\winamptb.dll O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - e:\Programme\FlashGet\jccatch.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - e:\Programme\FlashGet\getflash.dll O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [CTAPR2] "C:\Programme\Creative\Sound Blaster X-Fi\Console Launcher\CTAPR2.exe" /r O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" /r O4 - HKLM\..\Run: [SPIRun] Rundll32 SPIRun.dll,RunDLLEntry O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe O8 - Extra context menu item: &Alles mit FlashGet laden - E:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: &Mit FlashGet laden - E:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: &Winamp Search - C:\Dokumente und Einstellungen\***\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - e:\Programme\FlashGet\FlashGet.exe O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - e:\Programme\FlashGet\FlashGet.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1219495645140 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1228374096968 O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - h**p://www.creative.com/softwareupdate/su2/ocx/15105/CTPID.cab O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe -- End of file - 6741 bytes Ich hoffe des Logfile ist soweit richtig erstellt und Ihr könnt mir bei mienem Problem helfen MfG Basti |
Hi, zwei mögliche Ansatzpunkte: O4 - HKLM\..\Run: [SPIRun] Rundll32 SPIRun.dll,RunDLLEntry (ev. Creative-Soundkarte) C:\WINDOWS\system32\taskmagr.exe -> http://www.prevx.com/filenames/X5944...MAGR2EEXE.html Beide Files bitte prüfen lassen: Dateien Online überprüfen lassen:
Code: C:\WINDOWS\system32\taskmagr.exe
Wenn nicht erkannt wird dann RSIT: Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/) speichere es auf Deinem Desktop. Starte mit Doppelklick die RSIT.exe. Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. Chris |
Hallo Chris, danke für die schnelle Antwort:daumenhoc Hier nun die Ergebnisse: Datei taskmagr.exe empfangen 2008.12.04 13:58:19 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 4/37 (10.82%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 1. Geschätzte Startzeit is zwischen 38 und 55 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.12.4.1 2008.12.04 - AntiVir 7.9.0.36 2008.12.04 - Authentium 5.1.0.4 2008.12.04 - Avast 4.8.1281.0 2008.12.03 - AVG 8.0.0.199 2008.12.04 - BitDefender 7.2 2008.12.04 - CAT-QuickHeal 10.00 2008.12.04 - ClamAV 0.94.1 2008.12.04 - DrWeb 4.44.0.09170 2008.12.04 - eSafe 7.0.17.0 2008.12.04 - eTrust-Vet 31.6.6243 2008.12.04 - Ewido 4.0 2008.12.04 - F-Prot 4.4.4.56 2008.12.03 - F-Secure 8.0.14332.0 2008.12.04 - Fortinet 3.117.0.0 2008.12.04 - GData 19 2008.12.04 - Ikarus T3.1.1.45.0 2008.12.04 - K7AntiVirus 7.10.541 2008.12.03 - Kaspersky 7.0.0.125 2008.12.04 - McAfee 5453 2008.12.03 - McAfee+Artemis 5453 2008.12.03 Generic!Artemis Microsoft 1.4205 2008.12.04 - NOD32 3663 2008.12.04 probably a variant of Win32/Agent.OKM Norman 5.80.02 2008.12.03 - Panda 9.0.0.4 2008.12.04 Suspicious file PCTools 4.4.2.0 2008.12.04 - Prevx1 V2 2008.12.04 - Rising 21.06.32.00 2008.12.04 - SecureWeb-Gateway 6.7.6 2008.12.04 - Sophos 4.36.0 2008.12.04 Mal/Behav-204 Sunbelt 3.1.1832.2 2008.12.01 - Symantec 10 2008.12.04 - TheHacker 6.3.1.2.174 2008.12.04 - TrendMicro 8.700.0.1004 2008.12.04 - VBA32 3.12.8.10 2008.12.03 - ViRobot 2008.12.4.1500 2008.12.04 - VirusBuster 4.5.11.0 2008.12.03 - weitere Informationen File size: 98304 bytes MD5...: c0a90ee29f1cc4689d94db628e87a0c8 SHA1..: c390412e1be4ae8d111a70dc038e32c35aba7967 SHA256: 4bff537e3246ca93c82dd22f9f4526cecddbb5f97afd62128cbe15af40554744 SHA512: 500c8ae24f7939a422eacb8981d5787544c323d2955ca51a6607076521498bad f873277625a6b0ccfcec51f3a481e8672a4449e797cafde6ce7235df439d8288 ssdeep: 1536:nhc7zscICJOaVFlt2vHw2DhqN93xMxq0xEGz0NKwBg:nhA4cIFaVFl2wbxM xlEGeKwB PEiD..: Armadillo v1.71 TrID..: File type identification Win32 Executable Generic (42.3%) Win32 Dynamic Link Library (generic) (37.6%) Generic Win/DOS Executable (9.9%) DOS Executable Generic (9.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x41515f timedatestamp.....: 0x49303993 (Fri Nov 28 18:33:55 2008) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x1468e 0x15000 6.63 fc5752b817c6a8328869b6b9740854e5 .rdata 0x16000 0xde0 0x1000 4.54 58a8a7e4a0e925f966b94dc703b96e76 .data 0x17000 0x14f0 0x1000 7.71 6728931e89f2ad0d9915a9ae0a4e9256 ( 7 imports ) > KERNEL32.dll: lstrlenW, LeaveCriticalSection, EnterCriticalSection, WriteFile, CloseHandle, ReadFile, GetFileSize, CreateFileA, GetVolumeInformationA, GetProcAddress, FreeLibrary, LoadLibraryA, DeleteFileA, ReleaseMutex, WideCharToMultiByte, WaitNamedPipeA, GetLastError, CreateMutexA, GetSystemDirectoryA, GetTempPathA, InitializeCriticalSection, DeleteCriticalSection, SuspendThread, WinExec, ResumeThread, MoveFileExA, CreateThread, GetStartupInfoA, GetModuleHandleA, lstrlenA, Sleep, MultiByteToWideChar, WaitForSingleObject, GetPrivateProfileStringA > USER32.dll: CharLowerA, SystemParametersInfoA, CharUpperA, ShowWindow, SendMessageA, SetCursorPos, ClientToScreen, FindWindowExA, RegisterWindowMessageA, SendMessageTimeoutA, FindWindowA, GetWindowThreadProcessId, mouse_event, SetForegroundWindow > ADVAPI32.dll: RegCloseKey, RegOpenKeyExA, RegQueryValueExA, RegSetValueExA > ole32.dll: CoInitialize, CoCreateInstance, CoUninitialize > OLEAUT32.dll: -, -, -, - > MSVCRT.dll: strncpy, _stricmp, _controlfp, _except_handler3, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _XcptFilter, _exit, localtime, strncmp, strstr, free, sprintf, atoi, malloc, __CxxFrameHandler, rand, wcscmp, _strlwr, srand, time > NETAPI32.dll: Netbios ( 0 exports ) ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=c0a90ee29f1cc4689d94db628e87a0c8' target='_blank'>http://www.threatexpert.com/report.aspx?md5=c0a90ee29f1cc4689d94db628e87a0c8</a> CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=c0a90ee29f1cc4689d94db628e87a0c8' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=c0a90ee29f1cc4689d94db628e87a0c8</a> -------------------------------------------------------------------------- Datei SPIRun.dll empfangen 2008.12.04 13:52:53 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/37 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 3. Geschätzte Startzeit is zwischen 54 und 77 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.12.4.1 2008.12.04 - AntiVir 7.9.0.36 2008.12.04 - Authentium 5.1.0.4 2008.12.04 - Avast 4.8.1281.0 2008.12.03 - AVG 8.0.0.199 2008.12.04 - BitDefender 7.2 2008.12.04 - CAT-QuickHeal 10.00 2008.12.04 - ClamAV 0.94.1 2008.12.04 - DrWeb 4.44.0.09170 2008.12.04 - eSafe 7.0.17.0 2008.12.04 - eTrust-Vet 31.6.6243 2008.12.04 - Ewido 4.0 2008.12.04 - F-Prot 4.4.4.56 2008.12.03 - F-Secure 8.0.14332.0 2008.12.04 - Fortinet 3.117.0.0 2008.12.04 - GData 19 2008.12.04 - Ikarus T3.1.1.45.0 2008.12.04 - K7AntiVirus 7.10.541 2008.12.03 - Kaspersky 7.0.0.125 2008.12.04 - McAfee 5453 2008.12.03 - McAfee+Artemis 5453 2008.12.03 - Microsoft 1.4205 2008.12.04 - NOD32 3663 2008.12.04 - Norman 5.80.02 2008.12.03 - Panda 9.0.0.4 2008.12.04 - PCTools 4.4.2.0 2008.12.04 - Prevx1 V2 2008.12.04 - Rising 21.06.32.00 2008.12.04 - SecureWeb-Gateway 6.7.6 2008.12.04 - Sophos 4.36.0 2008.12.04 - Sunbelt 3.1.1832.2 2008.12.01 - Symantec 10 2008.12.04 - TheHacker 6.3.1.2.174 2008.12.04 - TrendMicro 8.700.0.1004 2008.12.04 - VBA32 3.12.8.10 2008.12.03 - ViRobot 2008.12.4.1500 2008.12.04 - VirusBuster 4.5.11.0 2008.12.03 - weitere Informationen File size: 8704 bytes MD5...: e314e91958e817ecc458e72c3cb01f87 SHA1..: f3a1817f289635a7b6ecd13cb8fd931331f5b478 SHA256: 2d8ef0c4a4d7d29c15673ccf1a5b9c8c6e01df8f4b3845748c0472b6b9d34805 SHA512: 8dd0e1ab63ad9b8a682557d8d767b0758f7b3e58ab5f6ae599a575dcb43859b9 347ff6084e865392d9b03a5736b524c288326a0e41c8e29c2191024d36669c89 ssdeep: 192:44HP7zlFeiw3CBCqhXOJbFNQ/7OBGYVvpl71qtta7CUObIeg:l7zlFeN3CcJ FNQyjkttWCtUF PEiD..: - TrID..: File type identification Win32 Executable Generic (42.3%) Win32 Dynamic Link Library (generic) (37.6%) Generic Win/DOS Executable (9.9%) DOS Executable Generic (9.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x401f04 timedatestamp.....: 0x456d628d (Wed Nov 29 10:35:57 2006) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x1449 0x1600 6.69 a10aaffeff6c8a168ad8f75fa6ccb89b .data 0x3000 0x30 0x200 0.22 b91b5c131db74c00bfd205dfc2d0d805 .rsrc 0x4000 0x380 0x400 2.92 408358c6a85d0847f9732543b76b3117 .reloc 0x5000 0x11c 0x200 2.71 7b8e102230a2a772f940178b37df5159 ( 4 imports ) > KERNEL32.dll: LocalFree, LocalAlloc, FreeLibrary, GetProcAddress, LoadLibraryA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, Sleep, DisableThreadLibraryCalls > msvcrt.dll: free, malloc, __3@YAXPAX@Z, _adjust_fdiv, _initterm, __2@YAPAXI@Z > USER32.dll: DestroyWindow, RegisterClassExA, CreateWindowExA, DefWindowProcA, GetWindowLongA, UnregisterDeviceNotification, RegisterDeviceNotificationA, UnregisterClassA, GetMessageA, DispatchMessageA, TranslateMessage > ole32.dll: CoCreateInstance, CoInitialize ( 1 exports ) RunDLLEntry |
Hi, siehts Du die "taskmagr.exe" im Taskmanager von windows? Wenn ja, beenden und prüfen ob es dann weg ist (beim prüfen unter "Prozesse" im Taskmanager schauen); Wenn Du sie nicht findest, suche sie auf der Platte und versuche sie umzubennen auf taskmag.exe.vir. Geht das nicht, dann läuft sie unsichtbar, was wieder ein Zeichen ist, dass sie nicht koscher ist ... Dann legen wir sie über Avenger "trocken"... Was macht RSIT (ich sehe keinen Startpunkt für die genannte EXE)... chris |
Hi, sorry hab das wohl was falsch verstanden mit dem RSIT. Die Info werd ich Dir rein setzen, aber was meinst du bei der Log mit minimieren....einafach nur die Schriftgröße änder??? Wollte sie schon als Datei anhängen, nur dafür ist die zu groß. Im Moment hab ich mit dieser Werbung ruhe, ist seit gestern nicht mehr zu hören. info.txt logfile of random's system information tool 1.04 2008-12-05 13:21:55 ======Uninstall list====== -->"C:\Programme\Creative Installation Information\CREATIVE_MEDIASOURCE_U\Setup.exe" /remove /l0x0007 -->"C:\Programme\Creative Installation Information\CTCMSGO\Setup.exe" /remove /l0x0007 -->"C:\Programme\Creative Installation Information\E-CENTER_NET_CONTENT_U\Setup.exe" /remove /l0x0007 -->"C:\Programme\Creative Installation Information\E-CENTER_PLUGIN_CDBURNER_U\Setup.exe" /remove /l0x0007 -->"C:\Programme\Creative Installation Information\E-CENTER_PLUGIN_MINIDISC_U\Setup.exe" /remove /l0x0007 -->"C:\Programme\Creative Installation Information\E-CENTER_PLUGIN_ONLINESTORE_U\Setup.exe" /remove /l0x0007 -->"C:\Programme\Creative Installation Information\MEDIASOURCE_PLAYER_SKINPACK_U\Setup.exe" /remove /l0x0007 -->"C:\Programme\Creative\Sound Blaster X-Fi\Program\SETUP.EXE" /S /U /W /L:GER -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{17E96A7F-AFE3-4171-87B1-583E376319E8}\setup.exe" -l0x7 -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{17E96A7F-AFE3-4171-87B1-583E376319E8}\setup.exe" -l0x7 /remove -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{700932B3-A964-4878-82A2-96054622A1F7}\setup.exe" -l0x7 -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{700932B3-A964-4878-82A2-96054622A1F7}\setup.exe" -l0x7 /remove -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{73919E2B-725C-4FAA-8473-45E063A3575F}\setup.exe" -l0x7 -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{73919E2B-725C-4FAA-8473-45E063A3575F}\setup.exe" -l0x7 /remove -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{84F573D3-0F71-4768-978A-D35310E3FBA6}\setup.exe" -l0x7 -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{84F573D3-0F71-4768-978A-D35310E3FBA6}\setup.exe" -l0x7 /remove -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{888347B3-AEC5-4BB5-8BAB-781D72A57C73}\setup.exe" -l0x7 -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{888347B3-AEC5-4BB5-8BAB-781D72A57C73}\setup.exe" -l0x7 /remove -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{88B1984E-36F0-47B8-B8DC-728966807A9C}\SETUP.EXE" -l0x7 -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FBFF2411-D066-4D24-BCE0-893086009E1B}\setup.exe" -l0x7 -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FBFF2411-D066-4D24-BCE0-893086009E1B}\setup.exe" -l0x7 /remove -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FCCDA302-32D9-4AE7-A094-4BE677554F26}\setup.exe" -l0x7 -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FCCDA302-32D9-4AE7-A094-4BE677554F26}\setup.exe" -l0x7 /remove -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe Adobe Reader 9 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A90000000001} Ahead Nero - Burning Rom-->C:\WINDOWS\UNNERO.exe /UNINSTALL ATI - Software Uninstall Utility-->C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe ATI Catalyst Control Center-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{055EE59D-217B-43A7-ABFF-507B966405D8}\setup.exe" -l0x0 ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean AVM FRITZ!DSL-->C:\WINDOWS\IsUn0407.exe -fC:\Programme\FRITZ!DSL\WebUnins.isu -cC:\Programme\FRITZ!DSL\Webunins.dll Call of Duty(R) - World at War(TM) 1.1 Patch-->C:\Programme\InstallShield Installation Information\{AFAE2B15-89A0-4215-A030-F7B5B478886B}\setup.exe -runfromtemp -l0x0409 Call of Duty(R) - World at War(TM)-->C:\Programme\InstallShield Installation Information\{D80A6A73-E58A-4673-AFF5-F12D7110661F}\setup.exe -runfromtemp -l0x0407 Call of Duty(R) 4 - Modern Warfare(TM) 1.4 Patch-->C:\Programme\InstallShield Installation Information\{3BD633E0-4BF8-4499-9149-88F0767D449C}\setup.exe -runfromtemp -l0x0409 Call of Duty(R) 4 - Modern Warfare(TM) 1.5 Multiplayer Patch-->C:\Programme\InstallShield Installation Information\{8503C901-85D7-4262-88D2-8D8B2A7B08B8}\setup.exe -runfromtemp -l0x0409 Call of Duty(R) 4 - Modern Warfare(TM) 1.6 Patch-->C:\Programme\InstallShield Installation Information\{8A15B7D9-908A-4EF9-BA84-5AEDE61743EE}\setup.exe -runfromtemp -l0x0409 Call of Duty(R) 4 - Modern Warfare(TM) 1.7 Patch-->C:\Programme\InstallShield Installation Information\{931C37FC-594D-43A9-B10F-A2F2B1F03498}\setup.exe -runfromtemp -l0x0409 Call of Duty(R) 4 - Modern Warfare(TM)-->C:\Programme\InstallShield Installation Information\{E48469CC-635E-4FD5-A122-1497C286D217}\setup.exe -runfromtemp -l0x0407 Catalyst Control Center - Branding-->MsiExec.exe /I{FA3A247D-437A-455E-A88F-7EB6E5F9E799} Creative MediaSource 5-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{BEEFC4F8-2909-48B3-AFAA-55D3533FDEDD}\SETUP.EXE" -l0x7 /remove Creative Software AutoUpdate-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{88B1984E-36F0-47B8-B8DC-728966807A9C}\SETUP.EXE" -l0x7 /remove DER HERR DER RINGE ONLINE: Die Minen Von Moria v02.01.03.4020-->"G:\Codemasters\Der Herr der Ringe Online\unins000.exe" EVEREST Home Edition v2.20-->"e:\Programme\Lavalys\EVEREST Home Edition\unins000.exe" FlashGet 1.9.6.1073-->e:\Programme\FlashGet\uninst.exe FRITZ!Box-->C:\Programme\FRITZ!Box\install.exe -d Hamachi 1.0.3.0-->E:\Programme\Hamachi\uninstall.exe HijackThis 2.0.2-->"C:\Dokumente und Einstellungen\Basti\Desktop\HijackThis.exe" /uninstall Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe" ICQ6-->"C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly Microsoft .NET Framework 1.1 Hotfix (KB928366)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M928366\M928366Uninstall.msp" Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} Microsoft .NET Framework 2.0 Service Pack 1-->MsiExec.exe /I{B508B3F1-A24A-32C0-B310-85786919EF28} Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe" Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe" Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d} Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7} NVIDIA Drivers-->C:\WINDOWS\system32\nvunrm.exe UninstallGUI PunkBuster Services-->C:\WINDOWS\system32\pbsvc.exe -u Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2)-->"C:\WINDOWS\ie7updates\KB938127-v2-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)-->"C:\WINDOWS\ie7updates\KB953838-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player 10 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP10$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB923689)-->"C:\WINDOWS\$NtUninstallKB923689$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB953839)-->"C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe" Sound Blaster X-Fi-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0C9D0200-FA32-44B7-BBB3-7C03F700C4A0}\SETUP.EXE" -l0x7 /remove Spybot - Search & Destroy-->"C:\Programme\Spybot - Search & Destroy\unins000.exe" TeamSpeak 2 RC2-->E:\Programme\Teamspeak2_RC2\unins000.exe Update für Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe" Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe" Winamp Remote-->"C:\Programme\Winamp Remote\uninstall.exe" Winamp Toolbar for Firefox-->"\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\uninstall.exe" Winamp Toolbar for Internet Explorer-->"C:\Programme\Winamp Toolbar\uninstall.exe" Winamp-->"e:\Programme\Winamp\UninstWA.exe" Windows Defender-->MsiExec.exe /I{A06275F4-324B-4E85-95E6-87B2CD729401} Windows Internet Explorer 7-->"C:\WINDOWS\ie7\spuninst\spuninst.exe" Windows Media Format Runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll Windows Media Player 10-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe" WinRAR-->e:\Programme\WinRAR\uninstall.exe Xfire (remove only)-->"e:\Programme\Xfire\uninst.exe" ======Hosts File====== 127.0.0.1 ***.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 ***.008k.com 127.0.0.1 008k.com 127.0.0.1 ***.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 ***.032439.com 127.0.0.1 032439.com ======Environment variables====== "ComSpec"=%SystemRoot%\system32\cmd.exe "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\ATI Technologies\ATI.ACE\Core-Static "windir"=%SystemRoot% "FP_NO_HOST_CHECK"=NO "OS"=Windows_NT "PROCESSOR_ARCHITECTURE"=x86 "PROCESSOR_LEVEL"=15 "PROCESSOR_IDENTIFIER"=x86 Family 15 Model 35 Stepping 2, AuthenticAMD "PROCESSOR_REVISION"=2302 "NUMBER_OF_PROCESSORS"=2 "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH "TEMP"=%SystemRoot%\TEMP "TMP"=%SystemRoot%\TEMP -----------------EOF----------------- MfG Basti |
Code: Logfile of random's system information tool 1.04 (written by random/random) |
Hi, bin jetzt über RSIT drübergegangen, folgende Files noch prüfen. Beim fixen unbedingt Spybot und den Teatimer deaktivieren, sonst funktioniert das nicht! Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code: C:\WINDOWS\system32\taskmagr.exe
Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://saved.im/mzi3ndg3nta0/aven.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: Files to delete:4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code: O8 - Extra context menu item: &Winamp Search - C:\Dokumente und Einstellungen\***\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.htmlScann mit Prevx: http://www.prevx.com/freescan.asp Avira-Antirootkit Downloade Avira Antirootkit und Scanne dein system, poste das logfile. http://dl.antivir.de/down/windows/antivir_rootkit.zip Poste von beiden eventuelle Funde! Chris |
Hallo Chris, heut morgen kam wieder diese Werbung. Habe dann mal die "taskmagr.exe" im Prozess beendet und es war nix mehr zu höhren. Habe danach mal nen PC Neustart gemacht und sofort kam die Werbung wieder. Also wird es wphl an dieser Datei liegen:) Hier noch mal die Ergebnisse von Virtustotal. Leider konnte ich die g:\c3ff8e930bdf46a4528d2163\mpsigstub.exe nicht finden bei mir. taskmagr.exe Code: AhnLab-V3 2008.12.8.1 2008.12.09 Win-Trojan/Agent.98304.FX Code: AhnLab-V3 2008.12.8.1 2008.12.09 - Code: AhnLab-V3 2008.12.8.1 2008.12.09 - |
Liste der Anhänge anzeigen (Anzahl: 1) Bei Avira wurde nix gefunden und das Ergebnis von PrevxCSI habe ich angehangen Avenger: Code: le of The Avenger Version 2.0, (c) by Swandog46Code: Logfile of Trend Micro HijackThis v2.0.2 |
Hi, das ist sehr Interessant, die haben einen neuen Aufhängepunkt für den Start gefunden, den wir mit unseren Tools nicht sehen... Bitte folgende Files prüfen lasen, mal sehen welcher Scanner sie erkennt: Dateien Online überprüfen lassen:
Code: C:\windows\system32\winshl.dll
Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://saved.im/mzi3ndg3nta0/aven.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: Files to delete:4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. So, dann schauen wir mal ob Combofix was findet... Combofix Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird Hinweis: unter : C:\WINDOWS\erdnt wird ein Backup angelegt. Chris |
Und auf ein neues:daumenhoc winshl.dll Code: AhnLab-V3 2008.12.8.1 2008.12.09 Win-Trojan/Xema.variant Code: AhnLab-V3 2008.12.8.1 2008.12.09 - Code: AhnLab-V3 2008.12.8.1 2008.12.09 Win-Trojan/Agent.64512.BL Code: AhnLab-V3 2008.12.8.1 2008.12.09 Win-Trojan/Agent.15360.IE Code: AhnLab-V3 2008.12.8.1 2008.12.09 - |
msfontskr.dll Code: AhnLab-V3 2008.12.8.1 2008.12.09 - Avenger Code: Logfile of The Avenger Version 2.0, (c) by Swandog46Code: ComboFix 08-12-07.04 - Basti 2008-12-09 12:46:28.1 - NTFSx86 |
Hi, da war ein Backdoor auf dem Rechner, du solltest Neuaufsetzen! Bitte jetzt noch mal Prevx laufen lassen, sonst sieht es eigentlich ganz gut aus. Die spoolsv war verseucht, d.h. Du wirst jetzt wahrscheinlich Druckprobleme bekommen (ausserdem müssen wir dann noch die Systemwiederherstellung bereinigen). Falls Prevx nichts erkennt, Daten sichern und dann neu installieren... Chris |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:42 Uhr. |
Copyright ©2000-2025, Trojaner-Board