|
Titel: Win XP: Schäden nach Trojanerbefall! Beitrag von: Devil-su am 13.08.08, 01:39:03 Vor einigen Tagen hatten ich massive Probleme mit Trojanerbefall. Diese konnte ich mit Hilfe eines sehr lieben Mitglieds hier auch erfolgreich entfernen. Aber es bleiben noch einige Probleme die ich einfach nicht in den Griff bekommen.
Mein Bild, der Desktop (http://www.computerhilfen.de/fachbegriffe-d-Desktop.html) bleibt nach wie vor mit einem blauen Hintergrund und in der Mitte bleibt eine Warnung. " Warning! Spyware detected on yuor Computer! Install an antvirus or spyware (http://www.computerhilfen.de/fachbegriffe-s-Spyware.html) remover to clean your Computer! Außerdem dauert es beim Hochfahren des PC`s immer einige Sekunden bis das Windowszeichen richtig scharf zu sehen ist. Der PC arbeite eigentlich jetzt wieder einwandfrei, nur wenn ich mal einige Zeit nichts daran arbeite, erscheint plötzlich ein blauer Bildschirm mit weißer Schrift. Dieses Meldung steht dann dort: A problem has been detected and windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) has been shut down to prevent damage youre computer. (http://www.computerhilfen.de/fachbegriffe-c-Computer.html) PAGE_FAULT_IN_MONPAGED_AREA (<- Dieser Name ändert sich jedes mal, wenn der Pc wieder hochfährt und die Fehlermeldung zeigt.) If this is the first time you´ve seen this stop error screen (http://www.computerhilfen.de/fachbegriffe-s-Screen.html) restart your computer. (http://www.computerhilfen.de/fachbegriffe-c-Computer.html) If this screens appears again, follow this steps: Check to make s..... that any hardware (http://www.computerhilfen.de/fachbegriffe-h-Hardware.html) or Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) is properly installed. If this is a new installation, ask your hardware (http://www.computerhilfen.de/fachbegriffe-h-Hardware.html) or software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) manufacturer, for any windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) updates you might need. If problems continue, disable or remove any newly installed hardware (http://www.computerhilfen.de/fachbegriffe-h-Hardware.html) or software. (http://www.computerhilfen.de/fachbegriffe-s-Software.html) Disable BIOS (http://www.computerhilfen.de/fachbegriffe-b-BIOS.html) memory optio such as catching or shadowing. If you need use safe mode to remove or disable components, restart your computer, (http://www.computerhilfen.de/fachbegriffe-c-Computer.html) press F8 to select Advanced startup options, and then select safe mode. Technical Informatio: ***STOP: 0x00000050 (0x00000000, 0xBAf ( <- mehr konnte ich nicht abeschrieben… auch die technischen Informationen ändern sich bei jedem mal, wenn der PC hochfährt!) Zu allem Übel kann ich auch kein Englisch ??? Diese Meldung bleibt ca 1 Minute, dann fährt der PC von allein runter und sofort wieder hoch bis wieder diese Meldung kommt. Das geht dann solange bis ich auf Reset drücke, dann fährt er wieder normal hoch. Kann mir jemand helfen? Ich weiß nicht mehr weiter. Bin ein Laie am Pc. Titel: Re: Win XP: Schäden nach Trojanerbefall! Beitrag von: Holger Hellmuth am 13.08.08, 09:46:41 Die Antwort haste schon in deinem letzten Thread von specialagent:
Formartieren und das System neu aufsetzen. Ein infizierter Rechner ist niemaqls wieder als sicher anzusehen. Gruß Holger Titel: Re: Win XP: Schäden nach Trojanerbefall! Beitrag von: kiralove am 13.08.08, 10:37:45 Siehts so aus??
dann lade dir mal denn cccleaner und wichtig ist datfind.bad und poste des log davon http://virus-protect.org/datfindbat.html Titel: Re: Win XP: Schäden nach Trojanerbefall! Beitrag von: Devilsu am 13.08.08, 12:40:27 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B811-F27D Verzeichnis (http://www.computerhilfen.de/fachbegriffe-v-Verzeichnis.html) von c:\ 13.08.2008 12:34 0 dirdat.txt 13.08.2008 11:31 1.610.612.736 pagefile.sys Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: B811-F27D Verzeichnis (http://www.computerhilfen.de/fachbegriffe-v-Verzeichnis.html) von C:\WINDOWS\system32 11.08.2008 20:57 60.928 blphcp8qj0e32t.scr 11.08.2008 20:56 90.838 phcp8qj0e32t.bmp 11.08.2008 15:48 314.644 perfh009.dat 11.08.2008 15:48 40.972 perfc009.dat 11.08.2008 15:48 345.246 perfh007.dat 11.08.2008 15:48 59.170 perfc007.dat 11.08.2008 15:48 768.086 PerfStringBackup.INI 10.08.2008 11:45 163.353 nvapps.xml 09.08.2008 12:14 13.646 wpa.dbl 06.08.2008 08:01 27 MPFServiceFailureCount.txt 29.07.2008 10:49 8.192 uiwbnp.dll 28.07.2008 13:35 355.584 TuneUpDefragService.exe 11.07.2008 23:12 0 42pv3UYd.exe.a_a 11.07.2008 21:11 0 OTn1GqBV.exe.a_a 25.06.2008 18:15 17.972.344 MRT.exe 20.06.2008 19:39 247.296 mswsock.dll 20.06.2008 19:39 148.992 dnsapi.dll Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: B811-F27D Verzeichnis (http://www.computerhilfen.de/fachbegriffe-v-Verzeichnis.html) von C:\WINDOWS 13.08.2008 11:33 2.035.941 WindowsUpdate.log 13.08.2008 11:32 785 win.ini 13.08.2008 11:32 159 wiadebug.log 13.08.2008 11:32 50 wiaservc.log 13.08.2008 11:31 2.048 bootstat.dat 13.08.2008 11:30 32.548 SchedLgU.Txt 11.08.2008 21:01 0 [INI] 15.06.2008 19:00 181 EnvironmentsDlg.ini 15.06.2008 19:00 181 LuminancesDlg.ini 15.06.2008 19:00 171 MaterialsDlg.ini 15.06.2008 18:45 1.032 _profsect_0001.tmp Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: B811-F27D Verzeichnis (http://www.computerhilfen.de/fachbegriffe-v-Verzeichnis.html) von C:\DOKUME~1\home\LOKALE~1\Temp 13.08.2008 12:30 0 etilqs_d1HUhJlFcJHnGz8YeslU 13.08.2008 11:37 30.271 jusched.log 13.08.2008 02:15 17 stadistic.log 13.08.2008 02:06 28.169 PSSysChk.log 13.08.2008 00:02 21.840 java_install_reg.log 12.08.2008 20:18 16.384 Perflib_Perfdata_498.dat 12.08.2008 19:58 16.384 Perflib_Perfdata_98c.dat 12.08.2008 18:33 12.304 etilqs_cYT5noD6AgZAc0S2Bm3B 12.08.2008 13:10 16.384 Perflib_Perfdata_f04.dat 12.08.2008 11:53 12.304 etilqs_uW9bzFGGXKHsEyyUXXzE 12.08.2008 10:28 16.384 Perflib_Perfdata_99c.dat 12.08.2008 09:07 32.800 etilqs_oPhgJZAbn8bvcfEa8fuX 11.08.2008 21:37 0 .tt4B.tmp 11.08.2008 21:18 31.181 ppsrindex.dat.972.2.ppu 11.08.2008 21:18 525.066 ppclean.exe.972.2.ppu 11.08.2008 21:17 0 .tt47.tmp 11.08.2008 21:03 12.304 etilqs_j1W4EmUgW6bSKj9U2R0Q 11.08.2008 21:01 0 uis39.tmp 11.08.2008 21:01 0 uis38.tmp 11.08.2008 21:01 0 uis37.tmp 11.08.2008 21:01 0 uis36.tmp 11.08.2008 21:00 0 uis35.tmp 11.08.2008 20:57 0 .tt29.tmp 11.08.2008 20:56 0 .tt25.tmp 11.08.2008 20:53 33.049 Uninstall Log 2008-08-11 #001.txt 11.08.2008 20:48 49.152 ~DF4F8E.tmp 11.08.2008 20:48 0 .tt26.tmp 11.08.2008 20:38 0 .tt22.tmp 11.08.2008 20:14 65.536 ~DF5611.tmp 11.08.2008 20:05 0 .tt23.tmp 11.08.2008 20:05 0 .tt20.tmp 11.08.2008 19:54 0 .tt2D.tmp 11.08.2008 19:46 32.768 ~DF1B4.tmp 11.08.2008 19:45 28.700 etilqs_Tp2xXjv205NfeMvVefUB 11.08.2008 19:33 0 .tt21.tmp 11.08.2008 19:33 0 .tt1E.tmp 11.08.2008 19:22 0 .tt1F.tmp 11.08.2008 19:20 0 .tt2.tmp 11.08.2008 16:18 0 .ttA4.tmp 11.08.2008 15:58 0 .tt9E.tmp 11.08.2008 15:54 82.427 Setup Log 2008-08-11 #001.txt 11.08.2008 15:38 0 .tt99.tmp 11.08.2008 15:12 0 .tt96.tmp 11.08.2008 14:52 0 .tt86.tmp 11.08.2008 14:32 0 .tt83.tmp 11.08.2008 14:06 0 .tt6A.tmp 11.08.2008 13:24 0 .tt67.tmp 11.08.2008 12:38 129.181 devmgmt.chw 10.08.2008 14:49 12.304 etilqs_bOCE1W0JlmX04FOt21Kb 09.08.2008 18:02 16.384 ~DFF20A.tmp 09.08.2008 17:38 2.048.000 Acr26B.tmp 09.08.2008 17:36 185 250.bat 09.08.2008 17:36 2.048.000 Acr247.tmp 09.08.2008 15:16 41.218 IUJ31540Swap.tmp 09.08.2008 15:16 29.839 IUJ31537Swap.tmp 09.08.2008 15:16 26.845 IUJ31534Swap.tmp 09.08.2008 15:12 167.926 IUJ_31284.tmp 09.08.2008 15:12 126.366 IUJ_31283.tmp 08.08.2008 12:34 39.461 jar_cache28349.tmp 08.08.2008 12:33 39.461 jar_cache28336.tmp 07.08.2008 19:08 3.100 redirect.html 07.08.2008 18:37 2.048.000 Acr193.tmp 07.08.2008 17:55 12.818 control.xml 07.08.2008 17:17 2.048.000 Acr171.tmp 07.08.2008 16:55 16.384 ~DFF1F0.tmp 05.06.2008 09:09 25.753 German.bin Das sind die Daten aus dem DatFind.bad ich sollte die lezten 3 Monate in diesen Threat kopieren. Bin mir aber nich sicher, ob das jetzt das richtige war. Mein Bildschirm sieht genauso aus wie du ihn oben dargestellt hast. LG Devil-Su Titel: Re: Win XP: Schäden nach Trojanerbefall! Beitrag von: kiralove am 13.08.08, 12:59:57 C:\WINDOWS\system32
blphcp8qj0e32t.scr phcp8qj0e32t.bmp löschen ich such mal weiter Titel: Re: Win XP: Schäden nach Trojanerbefall! Beitrag von: Devil-su am 13.08.08, 13:09:06 Gut die hab ich schon gelöscht. Der Bildschirm ist nun noch blau aber die Fehlermeldung in der Mitte ist weg.
LG Devil-su Titel: Re: Win XP: Schäden nach Trojanerbefall! Beitrag von: ersguterjunge am 13.08.08, 13:38:13 Lass Malwarebytes drüber laufen und lasse alle Funde löschen, poste den Report dann hier.
Außerdem erstelle ein Logfile mit Hijackthis (http://www.computerhilfen.de/fachbegriffe-h-HiJackThis.html) und poste dieses hier. Titel: Re: Win XP: Schäden nach Trojanerbefall! Beitrag von: Devil-su am 14.08.08, 10:02:47 Hallo,
vielen Dank für deinen Tipp, ich habe es drüber laufen lassen, hier das Ergebnis. Malwarebytes' Anti-Malware 1.24 Datenbank Version: 1049 Windows 5.1.2600 Service Pack 2 09:48:59 14.08.2008 mbam-log-8-14-2008 (09-48-59).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 144212 Laufzeit: 53 minute(s), 25 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 5 Infizierte Registrierungswerte: 4 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 24 Infizierte Dateien: 7 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\altcompare (Dialer) (http://www.computerhilfen.de/fachbegriffe-d-Dialer.html) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\rhct8qj0e32t (Rogue.Multiple) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\msvcl1.bhoapp (Adware.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\msvcl1.bhoapp.1 (Adware.BHO) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: C:\google.com (Trojan.Agent) -> Quarantined and deleted successfully. C:\Programme\altcmd (Trojan.Agent) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhct8qj0e32t (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhct8qj0e32t\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhct8qj0e32t\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhct8qj0e32t\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhct8qj0e32t\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhct8qj0e32t\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhct8qj0e32t\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhct8qj0e32t\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhct8qj0e32t\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhct8qj0e32t\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhct8qj0e32t\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\home\Anwendungsdaten\rhct8qj0e32t (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\home\Anwendungsdaten\rhct8qj0e32t\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\home\Anwendungsdaten\rhct8qj0e32t\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\home\Anwendungsdaten\rhct8qj0e32t\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\home\Anwendungsdaten\rhct8qj0e32t\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\home\Anwendungsdaten\rhct8qj0e32t\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\home\Anwendungsdaten\rhct8qj0e32t\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\home\Anwendungsdaten\rhct8qj0e32t\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\home\Anwendungsdaten\rhct8qj0e32t\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\home\Anwendungsdaten\rhct8qj0e32t\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\home\Anwendungsdaten\rhct8qj0e32t\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully. Infizierte Dateien: C:\Programme\altcmd\altcmd.inf (Trojan.Agent) -> Quarantined and deleted successfully. C:\Programme\altcmd\uninstall.bat (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\42pv3UYd.exe.a_a (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\OTn1GqBV.exe.a_a (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\nvs2.inf (Adware.EGDAccess) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\home\Anwendungsdaten\temp.dll (Trojan.Agent) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\home\Lokale Einstellungen\Temp\.tt2.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. Hijackthis muss ich allerdings noch machen. Titel: Re: Win XP: Schäden nach Trojanerbefall! Beitrag von: Devil-su am 14.08.08, 10:51:18 So ich habe jetzt mal die Ergebnisse des Spyware (http://www.computerhilfen.de/fachbegriffe-s-Spyware.html) Doctor (Hijackthis) (http://www.computerhilfen.de/fachbegriffe-h-HiJackThis.html) aufgeschrieben:
Niedrig (**°°°) Adware.Advertising (1 Infizierungen) Browser Cookie ad.yieldmanager.com Niedrig (**°°°) Application.Tracking Coockies (2Infizierungen) Browser Cookie doubleklick.net LG Devil-su Hoch (*****) Adware.Peppi (2 Infizierungen) Datei C:DOKUMENTE UND EINSTELLUNGEN/HOME/ANWENDUNGSDATEN/syslog2.dll C:DOKUMENTE UND EINSTELLUNGEN/HOME/ANWENDUNGSDATEN/proxy.pac Niedrig (**°°°) Rouque_AntiSpyware, AntivirusXP2008 (1 Infizierungen) Registri Wert HKEY_LOCAL_MACHINE_SOFTWARE/Microsoft/Windows/CurrentVersion/INternet Setting/User Agent/Post Plattform, Antivir XP08 Mittel (***°°) Adware.WinFixer (7 Infizierungen) Registri Wert HKEY_USERS/S-1-5-21-602162358-1644491937-725345543-1004/Software/Microsoft/Windows/CurrentVersion/Ext/Stats/{B64F4A7C-97C9-11DA-88DE-F66BAD1E3F3A}iexplore, Type HKEY_USERS/S-1-5-21-602162358-1644491937-725345543-1004/Software/Microsoft/Windows/CurrentVersion/Ext/Stats/{B64F4A7C-97C9-11DA-88DE-F66BAD1E3F3A}iexplore, FLags HKEY_USERS/S-1-5-21-602162358-1644491937-725345543-1004/Software/Microsoft/Windows/CurrentVersion/Ext/Stats/{B64F4A7C-97C9-11DA-88DE-F66BAD1E3F3A}iexplore, Count HKEY_USERS/S-1-5-21-602162358-1644491937-725345543-1004/Software/Microsoft/Windows/CurrentVersion/Ext/Stats/{B64F4A7C-97C9-11DA-88DE-F66BAD1E3F3A}iexplore, Time HKEY_USERS/S-1-5-21-602162358-1644491937-725345543-1004/Software/Microsoft/Windows/CurrentVersion/Ext/Stats/{B64F4A7C-97C9-11DA-88DE-F66BAD1E3F3A}iexplore, Blocked Registri Schlüssel HKEY_USERS/S-1-5-21-602162358-1644491937-725345543-1004/Software/Microsoft/Windows/CurrentVersion/Ext/Stats/{B64F4A7C-97C9-11DA-88DE-F66BAD1E3F3A}iexplore HKEY_USERS/S-1-5-21-602162358-1644491937-725345543-1004/Software/Microsoft/Windows/CurrentVersion/Ext/Stats/{B64F4A7C-97C9-11DA-88DE-F66BAD1E3F3A} LG Devil-su Titel: Re: Win XP: Schäden nach Trojanerbefall! Beitrag von: kiralove am 14.08.08, 12:14:59 wo ist hijackthis?? (http://www.computerhilfen.de/fachbegriffe-h-HiJackThis.html)
pack mal das komplette log hier rein! Titel: Re: Win XP: Schäden nach Trojanerbefall! Beitrag von: Devil-su am 14.08.08, 13:04:41 Es war kein Log zu finden, das Ergebnis war alles, was ich sehen konnte.
Titel: Re: Win XP: Schäden nach Trojanerbefall! Beitrag von: ersguterjunge am 14.08.08, 14:28:57 Lass malwarebytes nochmal scannen und gucke ob noch Schädlinge gefunden werden!!
Würde auch dass Tool Combofix mal benützen!! http://virus-protect.org/artikel/tools/combofix.html Dieses lässt du laufen, kann ne weile dauern, am Ende postest du bitte das Logfile davon. Titel: Re: Win XP: Schäden nach Trojanerbefall! Beitrag von: Devil-su am 14.08.08, 18:44:55 Hallo ersguterjunge,
so nun habe ich es so gemacht wie du geschrieben hast. Hier Logfile: ComboFix 08-08-13.05 - home 2008-08-14 18:22:17.1 - NTFSx86 Microsoft Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) XP Home Edition 5.1.2600.2.1252.1.1031.18.601 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\home\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\InternetGameBox C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\InternetGameBox\Datenschutzrichtlinien.url C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\InternetGameBox\Geschäftsbedingungen.url C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\InternetGameBox\Website.url C:\Dokumente und Einstellungen\home\Lokale Einstellungen\Anwendungsdaten\tehxiu_navtmp.dat C:\WINDOWS\system32\actskn43.ocx C:\WINDOWS\system32\mdm.exe D:\Autorun.inf . ((((((((((((((((((((((( Dateien erstellt von 2008-07-14 bis 2008-08-14 )))))))))))))))))))))))))))))) . 2008-08-14 13:15 . 2008-08-14 13:15 <DIR> d-------- C:\WINDOWS\LastGood 2008-08-13 21:45 . 2008-08-14 10:30 <DIR> d-------- C:\Programme\Spyware Doctor 2008-08-13 21:45 . 2008-08-13 21:45 <DIR> d-------- C:\Dokumente und Einstellungen\home\Anwendungsdaten\PC Tools 2008-08-13 21:45 . 2008-06-10 21:22 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys 2008-08-13 21:45 . 2008-06-02 15:19 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys 2008-08-13 21:45 . 2008-06-02 15:19 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys 2008-08-13 21:45 . 2008-06-02 15:19 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys 2008-08-13 19:00 . 2008-08-13 19:00 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-08-13 19:00 . 2008-08-13 19:00 <DIR> d-------- C:\Dokumente und Einstellungen\home\Anwendungsdaten\Malwarebytes 2008-08-13 19:00 . 2008-08-13 19:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-08-13 19:00 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-08-13 19:00 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-08-13 12:14 . 2008-08-13 12:14 <DIR> d-------- C:\Programme\CCleaner 2008-08-13 02:30 . 2008-08-13 02:30 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TuneUp Software 2008-08-13 02:02 . 2008-06-19 17:24 28,544 --a------ C:\WINDOWS\system32\drivers\pavboot.sys 2008-08-13 01:56 . 2008-08-13 01:56 <DIR> d-------- C:\Programme\Panda Security 2008-08-11 21:18 . 2008-08-11 21:18 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Scanner 2008-08-11 21:17 . 2008-08-11 21:20 <DIR> d-------- C:\Programme\CA Yahoo! Anti-Spy 2008-08-11 21:01 . 2008-08-11 21:01 0 --a------ C:\WINDOWS\[INI] 2008-08-11 20:59 . 2008-08-11 20:59 <DIR> d-------- C:\Dokumente und Einstellungen\home\Anwendungsdaten\InstallShield 2008-08-11 19:45 . 2008-05-05 14:08 208,896 --a------ C:\WINDOWS\system32\ConTest.dll 2008-08-11 19:45 . 2007-10-17 10:19 20,480 --a------ C:\WINDOWS\system32\SysRestore.dll 2008-08-11 19:24 . 2004-08-04 14:00 1,035,264 --a--c--- C:\WINDOWS\system32\dllcache\explorer.exe 2008-08-11 19:24 . 2004-08-04 14:00 1,035,264 --a------ C:\WINDOWS\explorer.exe 2008-08-11 16:01 . 2008-08-12 09:41 <DIR> d-------- C:\Programme\Enigma Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) Group 2008-08-11 15:46 . 2008-08-14 12:34 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-08-11 15:13 . 2008-08-11 15:13 <DIR> d-------- C:\Programme\Trend Micro 2008-08-10 11:58 . 2008-08-10 11:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles 2008-08-10 10:27 . 2008-03-20 13:13 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2008-08-10 10:27 . 2008-03-20 13:03 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü 2008-08-10 10:27 . 2008-03-20 13:03 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2008-08-10 10:27 . 2008-08-14 18:25 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2008-08-10 10:27 . 2008-03-20 13:03 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten 2008-08-10 10:27 . 2008-03-20 13:03 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung 2008-08-10 10:27 . 2008-08-14 09:48 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2008-08-10 10:27 . 2008-08-10 10:27 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator 2008-08-09 20:48 . 2008-08-09 20:48 <DIR> d-------- C:\Programme\Avira 2008-08-09 20:48 . 2008-08-09 20:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-08-09 19:47 . 2008-08-09 19:47 <DIR> d-------- C:\Programme\Avira GmbH 2008-07-28 13:35 . 2008-07-28 13:35 355,584 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe 2008-07-28 13:35 . 2008-05-29 09:28 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-14 16:14 --------- d-----w C:\Programme\Mozilla Firefox (http://www.computerhilfen.de/download-8451109180319399.html) 3 Beta 4 2008-08-14 10:39 --------- d-----w C:\Dokumente und Einstellungen\home\Anwendungsdaten\OpenOffice.org2 2008-08-13 19:58 --------- d-----w C:\Dokumente und Einstellungen\home\Anwendungsdaten\gtk-2.0 2008-08-11 19:00 --------- d-----w C:\Programme\Yahoo! 2008-08-11 18:59 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-08-11 18:51 --------- d-----w C:\Programme\FreePDF_XP 2008-08-11 18:50 --------- d-----w C:\Programme\WebMarket Ltd 2008-08-11 15:26 --------- d-----w C:\Programme\DAEMON Tools Pro 2008-08-09 20:04 --------- d-----w C:\Programme\peppi_clipart 2008-08-09 18:44 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee 2008-07-29 08:49 8,192 ----a-w C:\WINDOWS\system32\uiwbnp.dll 2008-07-29 08:49 149,120 ----a-w C:\WINDOWS\system32\drivers\uiwbrdr.SYS 2008-07-28 11:35 --------- d-----w C:\Programme\TuneUp Utilities 2008 2008-07-17 20:37 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help 2008-07-14 20:13 --------- d-----w C:\Dokumente und Einstellungen\home\Anwendungsdaten\Skype 2008-07-14 17:13 --------- d-----w C:\Dokumente und Einstellungen\home\Anwendungsdaten\skypePM 2008-07-11 17:29 --------- d-----w C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\AdobeUM 2008-07-11 16:00 --------- d-----w C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Yahoo! 2008-07-01 21:34 --------- d-----w C:\Dokumente und Einstellungen\home\Anwendungsdaten\Zylom 2008-06-30 19:51 --------- d-----w C:\Programme\Zylom Games 2008-06-30 18:48 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GameHouse 2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll 2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys 2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys 2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys 2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys 2008-06-03 21:24 7 ----a-w C:\Dokumente und Einstellungen\home\Anwendungsdaten\syslog2.dll 2008-03-31 21:33 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat . ------- Sigcheck ------- 2004-08-04 14:00 17408 6d75bd5e29ad4433a00ff14631202c72 C:\WINDOWS\system32\svchost.exe 2004-08-04 14:00 510464 d17c3a98c752e581454f5bb27734a7cb C:\WINDOWS\system32\winlogon.exe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360] "Yahoo! Pager"="C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" [2007-08-30 17:43 4670704] "DTP Werbe-Killer"="C:\Programme\Werbe-Killer\werbekiller.exe" [2002-06-24 14:47 673280] "WEB.DE_WEB.DE SmartDrive Manager"="C:\Programme\WEB.DE\WEB.DE SmartDrive Manager\DAVSRV.EXE" [2008-07-29 10:50 1204224] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 02:41 81920] "WireLessMouse"="C:\Programme\Office Mouse Driver\StartAutorun.exe" [2005-11-30 13:48 94208] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784] "NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648] "InCD"="C:\Programme\Ahead\InCD\InCD.exe" [2003-09-05 17:55 1200178] "GrooveMonitor"="C:\Programme\Microsoft Office 07\Office12\GrooveMonitor.exe" [2006-10-27 00:47 31016] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 14:28 266497] "SpyHunter Security Suite"="C:\Programme\Enigma Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) Group\SpyHunter\SpyHunter3.exe" [2008-01-23 14:47 847872] "RTHDCPL"="RTHDCPL.EXE" [2007-05-10 19:08 16342528 C:\WINDOWS\RTHDCPL.exe] "SkyTel"="SkyTel.EXE" [2007-05-07 19:51 1826816 C:\WINDOWS\SkyTel.exe] "nwiz"="nwiz.exe" [2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe] "MacrokeyManager"="WTMKM.exe" [2007-05-29 08:55 1969824 C:\WINDOWS\system32\WTMKM.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360] C:\Dokumente und Einstellungen\home\Startmen\Programme\Autostart\ OpenOffice.org 2.4.lnk - C:\Programme\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 15:41:28 393216] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Reader Speed Launch.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 04:44:06 29696] Windows-Desktopsuche.lnk - C:\Programme\Windows Desktop (http://www.computerhilfen.de/fachbegriffe-d-Desktop.html) Search\WindowsSearch.exe [2007-02-05 15:40:46 118784] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "C:\Programme\Windows Desktop (http://www.computerhilfen.de/fachbegriffe-d-Desktop.html) Search\MSNLNamespaceMgr.dll" [2007-02-05 15:39 294400] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "Skype"="C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized "WEB.DE_WEB.DE SmartDrive Manager"="C:\Programme\WEB.DE\WEB.DE SmartDrive Manager\DAVSRV.EXE" /hide "Yahoo! Pager"="C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "Ulead AutoDetector v2"=C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\Bonjour\\mDNSResponder.exe"= "C:\\Programme\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"= "C:\\Programme\\IncrediMail\\bin\\IncMail.exe"= "C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"= "C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"= "C:\\Programme\\Microsoft Office 07\\Office12\\OUTLOOK.EXE"= "C:\\Programme\\Microsoft Office 07\\Office12\\GROOVE.EXE"= "C:\\Programme\\Microsoft Office 07\\Office12\\ONENOTE.EXE"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= R0 pavboot;pavboot;C:\WINDOWS\system32\drivers\pavboot.sys [2008-06-19 17:24] R0 ViBus;ViBus;C:\WINDOWS\system32\DRIVERS\ViBus.sys [2007-03-26 09:26] R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2007-03-29 05:36] R0 ViPrt;VIA SATA IDE (http://www.computerhilfen.de/fachbegriffe-i-IDE.html) Device Driver;C:\WINDOWS\system32\DRIVERS\ViPrt.sys [2007-03-26 09:26] R1 BIOS;BIOS;C:\WINDOWS\system32\drivers\BIOS.sys [2005-03-16 08:23] R1 uiwbrdr;uiwbrdr;C:\WINDOWS\system32\DRIVERS\uiwbrdr.sys [2008-07-29 10:49] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14:00] R2 WTService;WTService;C:\WINDOWS\system32\atwtusb.exe [2007-05-29 16:40] R3 FET5X86V;VIA Rhine-Family Fast-Ethernet Adapter (http://www.computerhilfen.de/fachbegriffe-a-Adapter.html) Driver (http://www.computerhilfen.de/fachbegriffe-d-Driver.html) Service;C:\WINDOWS\system32\DRIVERS\fetnd5bv.sys [2007-02-27 10:14] S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-07-28 13:35] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp *Newly Created Service* - CATCHME *Newly Created Service* - PROCEXP90 . Inhalt des "geplante Tasks" Ordners 2008-08-14 C:\WINDOWS\Tasks\1-Klick-Wartung.job - C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe [2008-06-11 11:54] 2008-08-09 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Programme\Apple Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) Update\SoftwareUpdate.exe [2007-08-29 15:57] 2008-08-13 C:\WINDOWS\Tasks\SpyHunter Scanner.job - C:\Programme\Enigma Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) Group\SpyHunter\SpyHunter3.exe [2008-01-23 14:47] . - - - - Entfernte verwaiste Registrierungseinträge - - - - SSODL-Uahpzdm-{B811F27E-12BB-58D4-2671-E75CA59EFC11} - (no file) . ------- Zusätzlicher Scan Firefox (http://www.computerhilfen.de/download-8451109180319399.html) -: Profile - C:\Dokumente und Einstellungen\home\Anwendungsdaten\Mozilla\Firefox\Profiles\zuhx68zy.default\ FF -: plugin - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll FF -: plugin - C:\Programme\Mozilla Firefox (http://www.computerhilfen.de/download-8451109180319399.html) 3 Beta 4\plugins\npnul32.dll FF -: plugin - C:\Programme\Mozilla Firefox (http://www.computerhilfen.de/download-8451109180319399.html) 3 Beta 4\plugins\NPOFF12.DLL FF -: plugin - C:\Programme\Mozilla Firefox (http://www.computerhilfen.de/download-8451109180319399.html) 3 Beta 4\plugins\nppdf32.dll FF -: plugin - C:\Programme\Mozilla Firefox (http://www.computerhilfen.de/download-8451109180319399.html) 3 Beta 4\plugins\npzylomgamesplayer.dll FF -: plugin - C:\Programme\Yahoo!\Shared\npYState.dll ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-14 18:26:37 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-08-14 18:28:42 ComboFix-quarantined-files.txt 2008-08-14 16:28:30 Pre-Run: 12 Verzeichnis(se), 34,110,930,944 Bytes frei Post-Run: 16 Verzeichnis(se), 34,229,809,152 Bytes frei 198 --- E O F --- 2008-07-17 20:38:07 Titel: Re: Win XP: Schäden nach Trojanerbefall! Beitrag von: Devil-su am 14.08.08, 18:46:14 Was bedeutet die rote Warnung für mich, kann ich das ändern?
Danke u. Liebe Grüsse Devil-su Titel: Re: Win XP: Schäden nach Trojanerbefall! Beitrag von: ersguterjunge am 14.08.08, 19:53:05 So klicke nun auf Start -> Ausführen -> Combofix /U
Dadurch wird alles von Combofix wieder gelöscht. Mache nun nochmal einen Scan mit Malwarebytes!! Titel: Re: Win XP: Schäden nach Trojanerbefall! Beitrag von: Devil-su am 16.08.08, 15:51:08 Danke an alle die sich bemüht haben mir so toll zu helfen. Nun läuft mein PC wieder problemlos. Ich kann es immer noch nicht glauben.
Danke,danke, danke.................. Liebe Grüsse Devil-su Titel: Re: Win XP: Schäden nach Trojanerbefall! Beitrag von: Carlios am 14.10.08, 13:03:37 voll genial...auch bei mir hat es hingehaun..
Voll gut, ;-) Machst deinen Namen alle Ehre *g* AntiVir konnte meine Fehler nicht beheben..eine anderes Virenprogramm hat dies gemeldet: BAD C:\WINDOWS\system32blphc7kkj0erce.scr Malicious Software BAD C:\WINDOWS\system32\lphc7kkj0erce.exe Malicious Software BAD C:\TEMP\57329.EXE Malicious Software Mit ccCleaner die Tmp Dateien löschen und dannach comp laufen lassen und mein System ist wie "neu" ;-) Vielen Dank fuer Eure Vorarbeit *froi
Computerhilfen.de | Powered by SMF 2.5.1.
© 2001-2012, Lewis Media. Alle Rechte vorbehalten. |