Malware lässt sich im abgesicherten Modus nicht entfernen

Diskutiere und helfe bei Malware lässt sich im abgesicherten Modus nicht entfernen im Bereich Software & Treiber im SysProfile Forum bei einer Lösung; Hallo Leute, aufgrund der Sicherheitslücken des Explorers(mittlerweile via Microsoft Update "behoben") hab ich mir Malware und die ganzen bösen Buben... Discussion in 'Software & Treiber' started by ZeeMan, Dec 19, 2008.

Page 1 of 2
  1. ZeeMan
    ZeeMan Möchtegern-Schrauber
    Joined:
    Sep 22, 2007
    Messages:
    65
    Likes Received:
    0
    1. SysProfile:
    36103

    Hallo Leute,

    aufgrund der Sicherheitslücken des Explorers(mittlerweile via Microsoft Update "behoben") hab ich mir Malware und die ganzen bösen Buben zugezogen, nun erhalte ich Popups vom ominösen "Antivir 2009" und im system32 Ordner geht vieles nicht mit rechten Dingen zu, sprich seltsam benannte .dll Dateien (bopufeto.dll als ein Beispiel). Soweit so gut dacht ich mir und erstellte ein Hijackthis Logfile um alle Unstimmigkeiten zu analysieren. Anschließend ging in den abgesicherten Modus um die verdächtigen Daten zu entfernen, jedoch lassen sie sich nicht entfernen(entweder "schreibgeschützt" oder grade "durch andere Software in Verwendung"). alcmtr.exe Nun brauche ich eure Hilfe, wie schaffe ich es nun die Schädlinge zu entfernen?

    Wäre für sämtlichen Support dankbar
     
    #1 ZeeMan, Dec 19, 2008
  2. hot_play
    hot_play Vorsicht bissig
    Joined:
    May 17, 2007
    Messages:
    2,744
    Likes Received:
    61
    Name:
    Bernd
    1. SysProfile:
    46907

    Stell dein Antivirenprogramm auf die höchste Sicherheitsstufe und scanne deine komplette Platte.
    --------
    Wie kommst du darauf das es gerade durch diese Sicherheitslücke passiert ist?
     
    #2 hot_play, Dec 19, 2008
    1 person likes this.
  3. ZeeMan
    ZeeMan Möchtegern-Schrauber
    Threadstarter
    Joined:
    Sep 22, 2007
    Messages:
    65
    Likes Received:
    0
    1. SysProfile:
    36103
    Nunja ich nutze das Internet nicht grade um auf zwielichtigen Seiten zu spazieren und hatte außerdem davor nie Probleme mit Viren.

    Systemwiederherstellung hab ich schon deaktiviert. Nun muss ich nur noch irgendwie die Viren löschen.
     
    #3 ZeeMan, Dec 20, 2008
  4. EuerUntergang
    EuerUntergang Hardware-Wissenschaftler
    Joined:
    Mar 7, 2008
    Messages:
    421
    Likes Received:
    13
    1. SysProfile:
    57898
    #4 EuerUntergang, Dec 20, 2008
    1 person likes this.
  5. hot_play
    hot_play Vorsicht bissig
    Joined:
    May 17, 2007
    Messages:
    2,744
    Likes Received:
    61
    Name:
    Bernd
    1. SysProfile:
    46907
    Durch diese Sicherheitslücke konnte man auch "nichtzwielichtige" Internetseiten mit Schadsoftware ausstatten.
    ------
    Was sagt denn dein Antivirenprogramm?
    Wenn dies auf dem aktuellen Stand ist, dann sollte sich doch damit das Problem lösen.
     
    #5 hot_play, Dec 20, 2008
  6. automatic
    automatic Möchtegern-Schrauber
    Joined:
    Aug 2, 2008
    Messages:
    73
    Likes Received:
    3
    1. SysProfile:
    116189
    #6 automatic, Dec 20, 2008
  7. EuerUntergang
    EuerUntergang Hardware-Wissenschaftler
    Joined:
    Mar 7, 2008
    Messages:
    421
    Likes Received:
    13
    1. SysProfile:
    57898
    Das ist wahrscheinlich ein Trojaner der ganz üblen Sorte,der sich höchstwahrscheinlich automatisch mit winlogon.exe startet.
    Ein AntiVir kann nur verhindern,dass er sich ausbreitet solange es aktiv ist.
    Da hilft nur combofix oder vudofix oder die Reparaturkonsole,eventuell eine Systemwiederherstellung oder format c^^
     
    #7 EuerUntergang, Dec 20, 2008
  8. ZeeMan
    ZeeMan Möchtegern-Schrauber
    Threadstarter
    Joined:
    Sep 22, 2007
    Messages:
    65
    Likes Received:
    0
    1. SysProfile:
    36103

    Ich benutze Avira Antivir (der Regenschirm^^)

    Hier das Logfile:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 01:54:13, on 21.12.2008
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16762)
    Boot mode: Normal
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Programme\Bonjour\mDNSResponder.exe
    C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
    C:\Programme\Java\jre6\bin\jqs.exe
    C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\PnkBstrA.exe
    C:\WINDOWS\system32\PnkBstrB.exe
    C:\Programme\CyberLink\Shared Files\RichVideo.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\wbem\wmiapsrv.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\Programme\Logitech\G-series Software\LGDCore.exe
    C:\Programme\Logitech\G-series Software\LCDMon.exe
    C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
    C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Programme\Java\jre6\bin\jusched.exe
    C:\Programme\HP\HP Software Update\HPWuSchd2.exe
    C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe
    C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    C:\Programme\iTunes\iTunesHelper.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Programme\iPod\bin\iPodService.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Programme\Logitech\SetPoint\SetPoint.exe
    C:\Programme\OpenOffice.org 2.4\program\soffice.exe
    C:\Programme\OpenOffice.org 2.4\program\soffice.BIN
    C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
    C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
    C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
    c:\programme\gemeinsame dateien\installshield\updateservice\isuspm.exe
    C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\agent.exe
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\Programme\Windows Media Player\wmplayer.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
    O2 - BHO: (no name) - {5f758987-c02a-4606-9c82-0a53bf609297} - C:\WINDOWS\system32\bopufeto.dll
    O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
    O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
    O2 - BHO: (no name) - {d6debf9d-57c7-42c1-9ee7-0e136763d3f9} - C:\WINDOWS\system32\bopufeto.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O2 - BHO: (no name) - {e8cdea62-bdb3-41f9-ab87-47a6276598bb} - (no file)
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [ISUSPM Startup] "c:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
    O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
    O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
    O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
    O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe"
    O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
    O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
    O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
    O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [nujenokayu] Rundll32.exe "C:\WINDOWS\system32\bopufeto.dll",s
    O4 - HKLM\..\Run: [70e4795f] rundll32.exe "C:\WINDOWS\system32\refurepo.dll",b
    O4 - HKLM\..\Run: [CPM73d74ac3] Rundll32.exe "c:\windows\system32\fetepevo.dll",a
    O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
    O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME 2\HOMERunner.exe"
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\WINDOWS\system32\Adobe\SHOCKW~1\SWHELP~2.EXE -Update -1100465 -"Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)" -"http://www.jetztspielen.de/spiel/kicking.html"
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-19\..\Run: [nujenokayu] Rundll32.exe "C:\WINDOWS\system32\bopufeto.dll",s (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
    O4 - Global Startup: HP Photosmart Premier – Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
    O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
    O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
    O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Futuremark Measurement Services Client) - http://www.yougamers.com/systeminfo/MSC3.cab
    O16 - DPF: {E5F5D008-DD2C-4D32-977D-1A0ADF03058B} (JuniperSetupControlXP Class) - https://vpn.lspb.de/dana-cached/setup/JuniperSetupSP1.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{6A606F4E-3433-4C35-853F-9AD18FC25FBC}: NameServer = 195.50.140.114 195.50.140.252
    O20 - AppInit_DLLs: C:\WINDOWS\system32\bopufeto.dll c:\windows\system32\fetepevo.dll
    O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\fetepevo.dll
    O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\fetepevo.dll
    O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
    O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
    O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe
    O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
    O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
    --
    End of file - 12590 bytes

    Vorallem die fett markierten sind sehr verdächtig, in denen vermute ich auch das Übel.
     
    #8 ZeeMan, Dec 21, 2008
  9. EuerUntergang
    EuerUntergang Hardware-Wissenschaftler
    Joined:
    Mar 7, 2008
    Messages:
    421
    Likes Received:
    13
    1. SysProfile:
    57898
    Sieht ja übel aus,anscheinend hast du einen Trojaner der sich immer weiter Ausbreitet.
    Und zu deinem Virenschutz, die kostenlose Version hilft glaube ich zumindest nicht gegen Trojaner.
     
    #9 EuerUntergang, Dec 21, 2008
  10. Just_a_Script
    Just_a_Script reporting for duty
    Joined:
    Feb 12, 2007
    Messages:
    6,527
    Likes Received:
    279
    Name:
    Sascha
    1. SysProfile:
    25020
    2. SysProfile:
    70843
    Steam-ID:
    SysPKiller
    Wie bereits gesagt einfach mal Antivir durchlaufen lassen auf höchster stufe. aber nen richtigen
    sowas wie Avast oder in der Art nicht so nen kinda scanner :p

    wenn dann immer noch ist reden wa weiter ;-)

    /EDIT sollte sich das sautier schon zu tief eingenistet haben ... hilft nur Daten sichern -> und HDD formatieren
    und windoof neu aufsetzen ....
     
    #10 Just_a_Script, Dec 21, 2008
    1 person likes this.
  11. automatic
    automatic Möchtegern-Schrauber
    Joined:
    Aug 2, 2008
    Messages:
    73
    Likes Received:
    3
    1. SysProfile:
    116189
    Fixe mal diesen Eintrag mithilfe von Hijackthis.

    O4 - HKLM\..\Run: [70e4795f] rundll32.exe "C:\WINDOWS\system32\refurepo.dll",b

    Danach PC neustarten und nochmal mit HT scannen und Logfile her. ;)
     
    #11 automatic, Dec 22, 2008
    1 person likes this.
  12. ZeeMan
    ZeeMan Möchtegern-Schrauber
    Threadstarter
    Joined:
    Sep 22, 2007
    Messages:
    65
    Likes Received:
    0
    1. SysProfile:
    36103
    @automaticGesagt getan, hier ist das Logfile:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 15:56:38, on 22.12.2008
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16762)
    Boot mode: Normal
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\Programme\Logitech\G-series Software\LGDCore.exe
    C:\Programme\Logitech\G-series Software\LCDMon.exe
    C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Programme\Java\jre6\bin\jusched.exe
    C:\Programme\HP\HP Software Update\HPWuSchd2.exe
    C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    C:\Programme\iTunes\iTunesHelper.exe
    C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe
    C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Programme\Bonjour\mDNSResponder.exe
    C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Java\jre6\bin\jqs.exe
    C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
    C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Programme\Logitech\SetPoint\SetPoint.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\PnkBstrA.exe
    C:\Programme\OpenOffice.org 2.4\program\soffice.exe
    C:\WINDOWS\system32\PnkBstrB.exe
    C:\Programme\CyberLink\Shared Files\RichVideo.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\OpenOffice.org 2.4\program\soffice.BIN
    C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
    C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
    C:\Programme\iPod\bin\iPodService.exe
    C:\WINDOWS\system32\wbem\wmiapsrv.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
    O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
    O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
    O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
    O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
    O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
    O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe"
    O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
    O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
    O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
    O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
    O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME 2\HOMERunner.exe"
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
    O4 - Global Startup: HP Photosmart Premier – Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
    O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
    O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
    O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Futuremark Measurement Services Client) - http://www.yougamers.com/systeminfo/MSC3.cab
    O16 - DPF: {E5F5D008-DD2C-4D32-977D-1A0ADF03058B} (JuniperSetupControlXP Class) - https://vpn.lspb.de/dana-cached/setup/JuniperSetupSP1.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{6A606F4E-3433-4C35-853F-9AD18FC25FBC}: NameServer = 195.50.140.114 195.50.140.252
    O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
    O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
    O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe
    O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
    O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
    --
    End of file - 10915 bytes
     
    #12 ZeeMan, Dec 22, 2008
    Last edited: Dec 22, 2008
  13. EuerUntergang
    EuerUntergang Hardware-Wissenschaftler
    Joined:
    Mar 7, 2008
    Messages:
    421
    Likes Received:
    13
    1. SysProfile:
    57898
    Scheint tatsächlich weg zu sein^^
    Hast du denn Computer auch neugestartet bevor du den Logfile gepostet hast ?
     
    #13 EuerUntergang, Dec 22, 2008
    1 person likes this.
  14. ZeeMan
    ZeeMan Möchtegern-Schrauber
    Threadstarter
    Joined:
    Sep 22, 2007
    Messages:
    65
    Likes Received:
    0
    1. SysProfile:
    36103
    Ja hab ich und das Logfile habe ich heute auch nochmal erstellt und verglichen. Ich glaub auch das es damit erledigt ist. Rechner nochmal gerettet^^

    Danke nochmal für eure Hilfe. Das gibt für jeden erstmal grün :)
     
    #14 ZeeMan, Dec 22, 2008
  15. automatic
    automatic Möchtegern-Schrauber
    Joined:
    Aug 2, 2008
    Messages:
    73
    Likes Received:
    3
    1. SysProfile:
    116189
    Sieht besser* aus. Aber 100% sicher kann man sich eben nie sein.

    Deswegen mal mit Kaspersky Online Scan scannen.
    http://www.kaspersky.com/de/virusscanner


    *Open Office gibt es in v3 mittlerweile, genauso gibt es Adobe Reader in v9. ;)
     
    #15 automatic, Dec 22, 2008
(You must log in or sign up to post here.)
Page 1 of 2
Thema:

Malware lässt sich im abgesicherten Modus nicht entfernen

  1. This site uses cookies to help personalise content, tailor your experience and to keep you logged in if you register.
    By continuing to use this site, you are consenting to our use of cookies.
    Accept Learn More...
    Dismiss Notice