Malware lässt sich im abgesicherten Modus nicht entfernen

Diskutiere und helfe bei Malware lässt sich im abgesicherten Modus nicht entfernen im Bereich Software & Treiber im SysProfile Forum bei einer Lösung; Hallo Leute, aufgrund der Sicherheitslücken des Explorers(mittlerweile via Microsoft Update "behoben") hab ich mir Malware und die ganzen bösen Buben... Dieses Thema im Forum "Software & Treiber" wurde erstellt von ZeeMan, 19. Dezember 2008.

  1. ZeeMan
    ZeeMan Möchtegern-Schrauber
    Registriert seit:
    22. September 2007
    Beiträge:
    65
    Zustimmungen:
    0
    1. SysProfile:
    36103

    Hallo Leute,

    aufgrund der Sicherheitslücken des Explorers(mittlerweile via Microsoft Update "behoben") hab ich mir Malware und die ganzen bösen Buben zugezogen, nun erhalte ich Popups vom ominösen "Antivir 2009" und im system32 Ordner geht vieles nicht mit rechten Dingen zu, sprich seltsam benannte .dll Dateien (bopufeto.dll als ein Beispiel). Soweit so gut dacht ich mir und erstellte ein Hijackthis Logfile um alle Unstimmigkeiten zu analysieren. Anschließend ging in den abgesicherten Modus um die verdächtigen Daten zu entfernen, jedoch lassen sie sich nicht entfernen(entweder "schreibgeschützt" oder grade "durch andere Software in Verwendung"). alcmtr.exe Nun brauche ich eure Hilfe, wie schaffe ich es nun die Schädlinge zu entfernen?

    Wäre für sämtlichen Support dankbar
     
  2. User Advert

  3. hot_play
    hot_play Vorsicht bissig
    Registriert seit:
    17. Mai 2007
    Beiträge:
    2.748
    Zustimmungen:
    61
    Name:
    Bernd
    1. SysProfile:
    46907

    Stell dein Antivirenprogramm auf die höchste Sicherheitsstufe und scanne deine komplette Platte.
    --------
    Wie kommst du darauf das es gerade durch diese Sicherheitslücke passiert ist?
     
    1 Person gefällt das.
  4. ZeeMan
    ZeeMan Möchtegern-Schrauber
    Themenstarter
    Registriert seit:
    22. September 2007
    Beiträge:
    65
    Zustimmungen:
    0
    1. SysProfile:
    36103
    Nunja ich nutze das Internet nicht grade um auf zwielichtigen Seiten zu spazieren und hatte außerdem davor nie Probleme mit Viren.

    Systemwiederherstellung hab ich schon deaktiviert. Nun muss ich nur noch irgendwie die Viren löschen.
     
  5. EuerUntergang
    EuerUntergang Hardware-Wissenschaftler
    Registriert seit:
    7. März 2008
    Beiträge:
    421
    Zustimmungen:
    13
    1. SysProfile:
    57898
    #4 EuerUntergang, 20. Dezember 2008
    1 Person gefällt das.
  6. hot_play
    hot_play Vorsicht bissig
    Registriert seit:
    17. Mai 2007
    Beiträge:
    2.748
    Zustimmungen:
    61
    Name:
    Bernd
    1. SysProfile:
    46907
    Durch diese Sicherheitslücke konnte man auch "nichtzwielichtige" Internetseiten mit Schadsoftware ausstatten.
    ------
    Was sagt denn dein Antivirenprogramm?
    Wenn dies auf dem aktuellen Stand ist, dann sollte sich doch damit das Problem lösen.
     
  7. automatic
    automatic Aufsteiger
    Registriert seit:
    2. August 2008
    Beiträge:
    76
    Zustimmungen:
    3
    1. SysProfile:
    116189
  8. EuerUntergang
    EuerUntergang Hardware-Wissenschaftler
    Registriert seit:
    7. März 2008
    Beiträge:
    421
    Zustimmungen:
    13
    1. SysProfile:
    57898
    Das ist wahrscheinlich ein Trojaner der ganz üblen Sorte,der sich höchstwahrscheinlich automatisch mit winlogon.exe startet.
    Ein AntiVir kann nur verhindern,dass er sich ausbreitet solange es aktiv ist.
    Da hilft nur combofix oder vudofix oder die Reparaturkonsole,eventuell eine Systemwiederherstellung oder format c^^
     
    #7 EuerUntergang, 20. Dezember 2008
  9. ZeeMan
    ZeeMan Möchtegern-Schrauber
    Themenstarter
    Registriert seit:
    22. September 2007
    Beiträge:
    65
    Zustimmungen:
    0
    1. SysProfile:
    36103

    Ich benutze Avira Antivir (der Regenschirm^^)

    Hier das Logfile:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 01:54:13, on 21.12.2008
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16762)
    Boot mode: Normal
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Programme\Bonjour\mDNSResponder.exe
    C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
    C:\Programme\Java\jre6\bin\jqs.exe
    C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\PnkBstrA.exe
    C:\WINDOWS\system32\PnkBstrB.exe
    C:\Programme\CyberLink\Shared Files\RichVideo.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\wbem\wmiapsrv.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\Programme\Logitech\G-series Software\LGDCore.exe
    C:\Programme\Logitech\G-series Software\LCDMon.exe
    C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
    C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Programme\Java\jre6\bin\jusched.exe
    C:\Programme\HP\HP Software Update\HPWuSchd2.exe
    C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe
    C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    C:\Programme\iTunes\iTunesHelper.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Programme\iPod\bin\iPodService.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Programme\Logitech\SetPoint\SetPoint.exe
    C:\Programme\OpenOffice.org 2.4\program\soffice.exe
    C:\Programme\OpenOffice.org 2.4\program\soffice.BIN
    C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
    C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
    C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
    c:\programme\gemeinsame dateien\installshield\updateservice\isuspm.exe
    C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\agent.exe
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\Programme\Windows Media Player\wmplayer.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
    O2 - BHO: (no name) - {5f758987-c02a-4606-9c82-0a53bf609297} - C:\WINDOWS\system32\bopufeto.dll
    O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
    O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
    O2 - BHO: (no name) - {d6debf9d-57c7-42c1-9ee7-0e136763d3f9} - C:\WINDOWS\system32\bopufeto.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O2 - BHO: (no name) - {e8cdea62-bdb3-41f9-ab87-47a6276598bb} - (no file)
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [ISUSPM Startup] "c:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
    O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
    O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
    O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
    O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe"
    O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
    O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
    O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
    O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [nujenokayu] Rundll32.exe "C:\WINDOWS\system32\bopufeto.dll",s
    O4 - HKLM\..\Run: [70e4795f] rundll32.exe "C:\WINDOWS\system32\refurepo.dll",b
    O4 - HKLM\..\Run: [CPM73d74ac3] Rundll32.exe "c:\windows\system32\fetepevo.dll",a
    O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
    O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME 2\HOMERunner.exe"
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\WINDOWS\system32\Adobe\SHOCKW~1\SWHELP~2.EXE -Update -1100465 -"Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)" -"http://www.jetztspielen.de/spiel/kicking.html"
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-19\..\Run: [nujenokayu] Rundll32.exe "C:\WINDOWS\system32\bopufeto.dll",s (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
    O4 - Global Startup: HP Photosmart Premier – Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
    O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
    O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
    O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Futuremark Measurement Services Client) - http://www.yougamers.com/systeminfo/MSC3.cab
    O16 - DPF: {E5F5D008-DD2C-4D32-977D-1A0ADF03058B} (JuniperSetupControlXP Class) - https://vpn.lspb.de/dana-cached/setup/JuniperSetupSP1.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{6A606F4E-3433-4C35-853F-9AD18FC25FBC}: NameServer = 195.50.140.114 195.50.140.252
    O20 - AppInit_DLLs: C:\WINDOWS\system32\bopufeto.dll c:\windows\system32\fetepevo.dll
    O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\fetepevo.dll
    O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\fetepevo.dll
    O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
    O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
    O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe
    O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
    O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
    --
    End of file - 12590 bytes

    Vorallem die fett markierten sind sehr verdächtig, in denen vermute ich auch das Übel.
     
  10. EuerUntergang
    EuerUntergang Hardware-Wissenschaftler
    Registriert seit:
    7. März 2008
    Beiträge:
    421
    Zustimmungen:
    13
    1. SysProfile:
    57898
    Sieht ja übel aus,anscheinend hast du einen Trojaner der sich immer weiter Ausbreitet.
    Und zu deinem Virenschutz, die kostenlose Version hilft glaube ich zumindest nicht gegen Trojaner.
     
    #9 EuerUntergang, 21. Dezember 2008
  11. Just_a_Script
    Just_a_Script reporting for duty
    Registriert seit:
    12. Februar 2007
    Beiträge:
    6.540
    Zustimmungen:
    279
    Name:
    Sascha
    1. SysProfile:
    25020
    2. SysProfile:
    70843
    Steam-ID:
    SysPKiller
    Wie bereits gesagt einfach mal Antivir durchlaufen lassen auf höchster stufe. aber nen richtigen
    sowas wie Avast oder in der Art nicht so nen kinda scanner :p

    wenn dann immer noch ist reden wa weiter ;-)

    /EDIT sollte sich das sautier schon zu tief eingenistet haben ... hilft nur Daten sichern -> und HDD formatieren
    und windoof neu aufsetzen ....
     
    #10 Just_a_Script, 21. Dezember 2008
    1 Person gefällt das.
  12. automatic
    automatic Aufsteiger
    Registriert seit:
    2. August 2008
    Beiträge:
    76
    Zustimmungen:
    3
    1. SysProfile:
    116189
    Fixe mal diesen Eintrag mithilfe von Hijackthis.

    O4 - HKLM\..\Run: [70e4795f] rundll32.exe "C:\WINDOWS\system32\refurepo.dll",b

    Danach PC neustarten und nochmal mit HT scannen und Logfile her. ;)
     
    1 Person gefällt das.
  13. ZeeMan
    ZeeMan Möchtegern-Schrauber
    Themenstarter
    Registriert seit:
    22. September 2007
    Beiträge:
    65
    Zustimmungen:
    0
    1. SysProfile:
    36103
    @automaticGesagt getan, hier ist das Logfile:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 15:56:38, on 22.12.2008
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16762)
    Boot mode: Normal
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\Programme\Logitech\G-series Software\LGDCore.exe
    C:\Programme\Logitech\G-series Software\LCDMon.exe
    C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Programme\Java\jre6\bin\jusched.exe
    C:\Programme\HP\HP Software Update\HPWuSchd2.exe
    C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    C:\Programme\iTunes\iTunesHelper.exe
    C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe
    C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Programme\Bonjour\mDNSResponder.exe
    C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Java\jre6\bin\jqs.exe
    C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
    C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Programme\Logitech\SetPoint\SetPoint.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\PnkBstrA.exe
    C:\Programme\OpenOffice.org 2.4\program\soffice.exe
    C:\WINDOWS\system32\PnkBstrB.exe
    C:\Programme\CyberLink\Shared Files\RichVideo.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\OpenOffice.org 2.4\program\soffice.BIN
    C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
    C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
    C:\Programme\iPod\bin\iPodService.exe
    C:\WINDOWS\system32\wbem\wmiapsrv.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
    O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
    O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
    O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
    O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
    O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
    O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe"
    O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
    O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
    O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
    O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
    O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME 2\HOMERunner.exe"
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
    O4 - Global Startup: HP Photosmart Premier – Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
    O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
    O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
    O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Futuremark Measurement Services Client) - http://www.yougamers.com/systeminfo/MSC3.cab
    O16 - DPF: {E5F5D008-DD2C-4D32-977D-1A0ADF03058B} (JuniperSetupControlXP Class) - https://vpn.lspb.de/dana-cached/setup/JuniperSetupSP1.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{6A606F4E-3433-4C35-853F-9AD18FC25FBC}: NameServer = 195.50.140.114 195.50.140.252
    O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
    O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
    O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe
    O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
    O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
    --
    End of file - 10915 bytes
     
    #12 ZeeMan, 22. Dezember 2008
    Zuletzt bearbeitet: 22. Dezember 2008
  14. EuerUntergang
    EuerUntergang Hardware-Wissenschaftler
    Registriert seit:
    7. März 2008
    Beiträge:
    421
    Zustimmungen:
    13
    1. SysProfile:
    57898
    Scheint tatsächlich weg zu sein^^
    Hast du denn Computer auch neugestartet bevor du den Logfile gepostet hast ?
     
    #13 EuerUntergang, 22. Dezember 2008
    1 Person gefällt das.
  15. ZeeMan
    ZeeMan Möchtegern-Schrauber
    Themenstarter
    Registriert seit:
    22. September 2007
    Beiträge:
    65
    Zustimmungen:
    0
    1. SysProfile:
    36103
    Ja hab ich und das Logfile habe ich heute auch nochmal erstellt und verglichen. Ich glaub auch das es damit erledigt ist. Rechner nochmal gerettet^^

    Danke nochmal für eure Hilfe. Das gibt für jeden erstmal grün :)
     
  16. automatic
    automatic Aufsteiger
    Registriert seit:
    2. August 2008
    Beiträge:
    76
    Zustimmungen:
    3
    1. SysProfile:
    116189
    Sieht besser* aus. Aber 100% sicher kann man sich eben nie sein.

    Deswegen mal mit Kaspersky Online Scan scannen.
    http://www.kaspersky.com/de/virusscanner


    *Open Office gibt es in v3 mittlerweile, genauso gibt es Adobe Reader in v9. ;)
     
Thema:

Malware lässt sich im abgesicherten Modus nicht entfernen

Die Seite wird geladen...

Malware lässt sich im abgesicherten Modus nicht entfernen - Similar Threads - Malware lässt abgesicherten

Forum Datum

Agent Smith: Neue Malware befällt Android-Smartphones

Agent Smith: Neue Malware befällt Android-Smartphones: Agent Smith: Neue Malware befällt Android-Smartphones Agent Smith wurde die Version getauft, sie ähnelt dabei anderer Malware wie Gooligan, HummingBad oder CopyCat. Die neue Malware wird aktuell...
User-Neuigkeiten 11. Juli 2019

Kaspersky behauptet: ASUS Live Update Utility wurde genutzt, um Malware auszuliefern

Kaspersky behauptet: ASUS Live Update Utility wurde genutzt, um Malware auszuliefern: Kaspersky behauptet: ASUS Live Update Utility wurde genutzt, um Malware auszuliefern Man nennt die ganze Geschichte „ShadowHammer“. Ein Angreifer habe es wohl geschafft, die Software „ASUS Live...
User-Neuigkeiten 25. März 2019

Qnap veröffentlicht Sicherheitshinweis zu Malware auf NAS-Systemen mit QTS

Qnap veröffentlicht Sicherheitshinweis zu Malware auf NAS-Systemen mit QTS: Qnap veröffentlicht Sicherheitshinweis zu Malware auf NAS-Systemen mit QTS Für Nutzer keine schöne Sache, aber immerhin eine, der sich Qnap nun annimmt. Veröffentlicht wurde ein neues „Security...
User-Neuigkeiten 13. Februar 2019

Windows 10: Defender Malware-Schutz / Aktivierung noch erforderlich?

Windows 10: Defender Malware-Schutz / Aktivierung noch erforderlich?: Hallo Vor dem Creators Update von Windows 10 war ja noch eine Aktivierung per regedit nötig. Ist das eigentlich seit dem Creators Update auch noch erforderlich? Anders gefragt: Wenn man...
Windows 10 15. Mai 2017

Android Malware befällt Fire TV und stellt sich ziemlich auffällig an

Android Malware befällt Fire TV und stellt sich ziemlich auffällig an: Android Malware befällt Fire TV und stellt sich ziemlich auffällig an Allerdings durchaus selbstverschuldet, die Malware kommt nämlich per Sideload auf die Geräte. Unklar ist, über welche App...
User-Neuigkeiten 12. Juni 2018

QNAP: Sicherheitswarnung vor Malware, die bestimmte QTS-Versionen angreift

QNAP: Sicherheitswarnung vor Malware, die bestimmte QTS-Versionen angreift: QNAP: Sicherheitswarnung vor Malware, die bestimmte QTS-Versionen angreift Da schaut man sicher halt mal öfter rein, ob es denn was Neues gibt, alternativ gibt es ja Tech-Seiten, die über Updates...
User-Neuigkeiten 27. Mai 2018

Microsoft informiert über schwere Sicherheitslücke in der Microsoft Malware Protection

Microsoft informiert über schwere Sicherheitslücke in der Microsoft Malware Protection: Microsoft informiert über schwere Sicherheitslücke in der Microsoft Malware Protection Mithilfe einer speziell erstellten Datei konnte, stark vereinfacht beschrieben, ein Angreifer die Microsoft...
User-Neuigkeiten 7. Dezember 2017

Malware

Malware: Ich hatte mir die automatische Homepage-Verstellung von Mindsparc eingefangen (hp.myway.com). Die Bereinigung mit MBAM.exe funktionierte super: erst 2 Ordner und 46 Dateien mit dem Suchlauf...
freie Fragen 25. November 2017

Trend Micro meldet: Malware-verbreitende Apps mit Zugriff auf Eingabehilfen trieben im Play...

Trend Micro meldet: Malware-verbreitende Apps mit Zugriff auf Eingabehilfen trieben im Play...: Trend Micro meldet: Malware-verbreitende Apps mit Zugriff auf Eingabehilfen trieben im Play Store ihr Unwesen Die Entwickler sollten prüfen, ob ihre Apps tatsächlich die Berechtigung für Androids...
User-Neuigkeiten 13. November 2017

Google Play Store: Erneut mit Malware verseuchte Apps entdeckt

Google Play Store: Erneut mit Malware verseuchte Apps entdeckt: Google Play Store: Erneut mit Malware verseuchte Apps entdeckt Google wurde hierüber am 6. Oktober informiert und bestätigt, sämtliche genannten Apps umgehend aus dem Store entfernt zu haben....
User-Neuigkeiten 19. Oktober 2017

Achtung! CCleaner-Update verteilte Malware

Achtung! CCleaner-Update verteilte Malware: Achtung! CCleaner-Update verteilte Malware In vielen Jahren zu einem nützlichen Aufräum-Tool für Windows geworden. Die wurden mittlerweile vom Sicherheitsanbieter Avast gekauft. Achtung!...
User-Neuigkeiten 18. September 2017

WannaCry-Malware verschlüsselt Daten und fordert Lösegeld

WannaCry-Malware verschlüsselt Daten und fordert Lösegeld: WannaCry-Malware verschlüsselt Daten und fordert Lösegeld WannaCry (eine Variante von WanaCrypt0r, tritt aber auch als Wcrypt auf) heißt der neuste Schädling, der sich rasend schnell verbreitet,...
User-Neuigkeiten 13. Mai 2017

Frisch geleakte NSA-Malware bedroht Windows-Systeme weltweit

Frisch geleakte NSA-Malware bedroht Windows-Systeme weltweit: Frisch geleakte NSA-Malware bedroht Windows-Systeme weltweit In dieser Folge kamen auch einige Tools zum Angreifen dieser Systeme ins Netz. Nun wurden neue Werkzeuge zum Ausnutzen von...
User-Neuigkeiten 15. April 2017
Malware lässt sich im abgesicherten Modus nicht entfernen solved
  1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden