Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Antimalware Doctor geht nicht zu beseitigen (https://www.trojaner-board.de/86811-antimalware-doctor-geht-beseitigen.html)

jayar91 07.06.2010 08:50
Antimalware Doctor geht nicht zu beseitigen
 
Hi,
ich hab mir gestern den Antimalware Doctor eingefangen.
CC Cleaner und Mbam hab ich schon ausgeführt.
Doch trotzdem startet Antimalware Doctor nach jedem Computerneustart erneut.



Malwarebytes` Anti-malware log:
mbam-log-2010-06-07 (09-41-41).txt

prevx 17 bad files (und es werden immer mehr :()

OTL:siehe unten

hijack is eingefroren....aber bericht ist trotzdem da(unten)..

system: Windows Xp
Antirvirensoftware: Microsoft Security Essentials


Email:JonasRasch@gmx.de

cosinus 07.06.2010 09:12
Hallo und :hallo:

mach bitte einen Vollscan mit Malwarebytes.

jayar91 07.06.2010 09:15
ok wird aber um die 3h dauern.....
währenddessen hab ich den ersten post geupdated...

jayar91 07.06.2010 13:57
Ich hoffe ihr könnt mir helfen!
Hier der Vollscan mit Mbam:

cosinus 07.06.2010 14:25
Funde auch entfernt??

jayar91 07.06.2010 14:32
ja!!
Problem bleibt bestehen...

cosinus 07.06.2010 14:39
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
O4 - HKLM..\Run: [MChk] C:\WINDOWS\system32\xfoikhpe.exe ()
O4 - HKLM..\Run: [skb]  File not found
O4 - HKCU..\Run: [gotnewupdate000.exe] C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\0EDAE0504EB27D78EFF54E6689DDAD7A\gotnewupdate000.exe ()
O9 - Extra Button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe File not found
O9 - Extra 'Tools' menuitem : ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe File not found
O10 - NameSpace_Catalog5\Catalog_Entries\000000000005 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 -  File not found
O20 - AppInit_DLLs: (karna.datS\SYSTEM3) -  File not found
@Alternate Data Stream - 118 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:5BB923A2
@Alternate Data Stream - 100 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:436DEE1E
:Files
C:\WINDOWS\System32\drivers\oexyw.sys
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\0EDAE0504EB27D78EFF54E6689DDAD7A
C:\Dokumente und Einstellungen\Besitzer\Desktop\ftzdwbwt.exe
C:\WINDOWS\system32\xfoikhpe.exe
C:\WINDOWS\System32\zahpcrkhrauaqqt.exe
C:\WINDOWS\Xwugia.exe
C:\WINDOWS\System32\gdfzqbxr.dll
C:\WINDOWS\System32\lpkmewap.dll
C:\WINDOWS\System32\zahpcrkhrauaqqt.exe
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann auf den Button Run Fixes!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

jayar91 07.06.2010 15:49
also jetzt startet der doctor nich mehr, ist wohl ein gutes zeichen....


hier ist die log:
geht leider iwie nicht als Anhang.

All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\MChk deleted successfully.
C:\WINDOWS\system32\xfoikhpe.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\skb deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\gotnewupdate000.exe deleted successfully.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\0EDAE0504EB27D78EFF54E6689DDAD7A\gotnewupdate000.exe moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{B863453A-26C3-4e1f-A54D-A2CD196348E9}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B863453A-26C3-4e1f-A54D-A2CD196348E9}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{B863453A-26C3-4e1f-A54D-A2CD196348E9}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B863453A-26C3-4e1f-A54D-A2CD196348E9}\ not found.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000005\ deleted successfully.
C:\Programme\Bonjour\mdnsNSP.dll moved successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000003\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000004\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000005\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000011\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_Dlls:karna.datS\SYSTEM3 deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:5BB923A2 deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:436DEE1E deleted successfully.
========== FILES ==========
File\Folder C:\WINDOWS\System32\drivers\oexyw.sys not found.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\0EDAE0504EB27D78EFF54E6689DDAD7A folder moved successfully.
C:\Dokumente und Einstellungen\Besitzer\Desktop\ftzdwbwt.exe moved successfully.
File\Folder C:\WINDOWS\system32\xfoikhpe.exe not found.
C:\WINDOWS\System32\zahpcrkhrauaqqt.exe moved successfully.
C:\WINDOWS\Xwugia.exe moved successfully.
C:\WINDOWS\System32\gdfzqbxr.dll moved successfully.
C:\WINDOWS\System32\lpkmewap.dll moved successfully.
File\Folder C:\WINDOWS\System32\zahpcrkhrauaqqt.exe not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Administrator.JONAS
->Temp folder emptied: 676 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: All Users

User: Besitzer
->Temp folder emptied: 1547495726 bytes
->Temporary Internet Files folder emptied: 1737684 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 72500163 bytes
->Apple Safari cache emptied: 2412140 bytes
->Flash cache emptied: 15098 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Gast
->Temp folder emptied: 14312376 bytes
->Temporary Internet Files folder emptied: 4682777 bytes
->Java cache emptied: 4404413 bytes
->FireFox cache emptied: 88296509 bytes
->Flash cache emptied: 9003 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 9294014 bytes

User: NetworkService
->Temp folder emptied: 335328 bytes
->Temporary Internet Files folder emptied: 32183140 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 4587015 bytes
%systemroot%\System32 .tmp files removed: 8115079 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1909342906 bytes
RecycleBin emptied: 4007134 bytes

Total Files Cleaned = 3.532,00 mb

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\: LSP stack updated.

OTL by OldTimer - Version 3.2.5.3 log created on 06072010_154622

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

cosinus 07.06.2010 15:51
Weiter gehts:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:10 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131