Forum
Tipps
News
Menu-Icon

also, hab alles gelöscht, der pc bootet noch - der neue logfile:

Logfile of HijackThis v1.99.1
Scan saved at 22:17:47, on 02.05.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\ehome\ehSched.exe
C:\WINDOWS\ehome\ehmsas.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hattrick.org/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alice-dsl.de
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {9DED2B32-743B-47EB-874C-28AECF2A268D} - C:\WINDOWS\system32\cbxuvus.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SoundService] rundll32.exe "C:\WINDOWS\System32\fminqngi.dll",setvm
O4 - HKLM\..\Run: [Windows Update Firewall System] ctfmom.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\RunServices: [SYSTEM] winmgrd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab
O20 - Winlogon Notify: cbxuvus - C:\WINDOWS\SYSTEM32\cbxuvus.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Windows Server Management Services (Server Management Services) - Unknown owner - C:\WINDOWS\sysrss32.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

mein Windows ist ne orginal-cd, war bei nem gekauften rechner bei - nur nich bei meinem...;-)

Klaus,
hast du auch diese Einträge aus meinen Post gefixt?
Bitte auf jeden Fall wiederholen!

O2 - BHO: (no name) - {9DED2B32-743B-47EB-874C-28AECF2A268D} - C:\WINDOWS\system32\cbxuvus.dll

O4 - HKLM\..\Run: [SoundService] rundll32.exe "C:\WINDOWS\System32\fminqngi.dll",setvm

O4 - HKLM\..\Run: [Windows Update Firewall System] ctfmom.exe

O4 - HKLM\..\RunServices: [SYSTEM] winmgrd.exe

O20 - Winlogon Notify: cbxuvus - C:\WINDOWS\SYSTEM32\cbxuvus.dll

O23 - Service: Windows Server Management Services (Server Management Services) - Unknown owner - C:\WINDOWS\sysrss32.exe (file missing)

Boote den PC und erstelle wieder ein neues Logfile of HijackThis und poste es.

Wo ist der Scanbericht von F-Secure?
Bitte posten!

Also eine Original Windows XP.
Gut entspricht gegebenenfalls nicht ganz der Lizenz, aber MS wird nicht meckern. Eine persönliche Registrierung ist keine Plicht.
Besorge dir nach Abschluss der Reinigungsaktion das SP2 für XP und spiele es ein, ein Link folgt.
Ebenso sind alle weiteren Sicherheitsupdates von Windows wichtig, nur dann ist Windows ausreichend vor schädlichen  Programmen geschützt. Ohne die Updates hilft selbst der beste Virenscanner wenig !
 

jetzt hab ich auch diese sechs einträge noch gefixt, hatte ich wohl übersehen...;-)

neuer f-secure-scan läuft, bericht folgt...

danke erstmal für die schnelle hilfe, bisher hab ich keine neuen virus- oder trojaner-meldungen bekommen...

So weit Gut.
Trotzdem hier noch ein aktueller Skript für Avenger.
Lösche zuvor noch diesen Ordner:
C:\Avenger

***Diese Zeile nicht mitkopieren!***
Files to delete:
C:\WINDOWS\system32\nnnom.dll
C:\WINDOWS\system32\cbxuvus.dll
C:\WINDOWS\System32\fminqngi.dll
C:\WINDOWS\sysrss32.exe
C:\WINDOWS\System32\winmgrd.exe
***Diese Zeile nicht mitkopieren!***

Bitte poste auch noch den neuen Logfile of HijackThis !

der aktuelle hijack-log:

Logfile of HijackThis v1.99.1
Scan saved at 23:03:14, on 02.05.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\ehome\ehSched.exe
C:\WINDOWS\ehome\ehmsas.exe
C:\WINDOWS\System32\wpabaln.exe
C:\WINDOWS\ISW\alice\signup\alicecnn.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\OnlineScanner\Anti-Virus\fsgk32.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\OnlineScanner\Anti-Virus\fssm32.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hattrick.org/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alice-dsl.de
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {9DED2B32-743B-47EB-874C-28AECF2A268D} - C:\WINDOWS\system32\cbxuvus.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{80E6ADE5-70ED-4C41-B9C0-6531FA9B57B0}: NameServer = 213.191.92.86 213.191.74.18
O20 - Winlogon Notify: cbxuvus - C:\WINDOWS\SYSTEM32\cbxuvus.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Windows Server Management Services (Server Management Services) - Unknown owner - C:\WINDOWS\sysrss32.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

der f-secure-scan läuft noch, ist aber schon wieder bei über 10 viren...:(

der neue avenger skript klappt nich...

Ja,
das habe ich mir gedacht, aber wir schauen uns erst den Bericht an, um zuprüfen wie ernst die Sache ist.
Die Datei "cbxuvus.dll" ist auch noch aktiv.

Wiederhole Avenger mit diesem Skript,
aber erst nachdem F-Secure fertig ist und du den Bericht hier gepostet hast !
Grundsätzlich erledige die Aufgaben hintereinander und zeitgleich, dies funktioniert nicht !!!

***Diese Zeile nicht mitkopieren!***
Files to delete:
C:\WINDOWS\system32\nnnom.dll
C:\WINDOWS\system32\cbxuvus.dll
C:\WINDOWS\System32\fminqngi.dll
C:\WINDOWS\sysrss32.exe
C:\WINDOWS\System32\winmgrd.exe
***Diese Zeile nicht mitkopieren!***

 

Da hast du dann irgendwo ne downloader.exe die sich permanent neue viren und trojaner holt.

das ist sehr fies und lässt sich so wie es jetzt aussieht auch nicht mit hijack fixen.

versuch dein glück mal und suche nach der downloader.exe, meist sind diese sogar so betitelt.
Solltest du glück haben und sie finden, weg damit.

aber ich würd mal empfehlen die systemwiederherstellung zu deaktivieren und im abgesicherten modus ohne internet einen fullscan durchzuführen, und dort alles killen, was er findet.

Ansonsten auch mal mit diesem hier testen

http://www.sophos.de/products/es/endpoint/sav.html

ist ein antivirenprogramm, das angeblich download.exe finden kann.


Ansonsten auch hier speziell für vundoviren dieses:



download und erklärung im link.

mfg bernd
 

 vundofix!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

« Letzte Änderung: 02.05.07, 23:32:53 von Luke001 »

hier der f-secure-bericht:

Scanning Report
Wednesday, May 02, 2007 22:50:40 - 23:25:13

Computer name: YOUR-KMY8MDJ56U
Scanning type: Scan system for viruses, rootkits, spyware
Target: C:\
Result: 14 malware found
Alexa (spyware)

    * System (Disinfected)

Text/BotFTP.gen (virus)

    * C:\WINDOWS\SYSTEM32\I

Vundo.gen17 (virus)

    * C:\WINDOWS\SYSTEM32\AWTUUVU.DLL
    * C:\WINDOWS\SYSTEM32\CBXUVUS.DLL
    * C:\WINDOWS\SYSTEM32\FCCBYYX.DLL
    * C:\WINDOWS\SYSTEM32\JKKKKJK.DLL
    * C:\WINDOWS\SYSTEM32\LJJJHII.DLL
    * C:\WINDOWS\SYSTEM32\PMNLLML.DLL
    * C:\WINDOWS\SYSTEM32\PMNOMNO.DLL
    * C:\WINDOWS\SYSTEM32\TUVWVSQ.DLL
    * C:\WINDOWS\SYSTEM32\URQPQOP.DLL
    * C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\DESKTOP\HIJACKTHIS_199\BACKUPS\BACKUP-20070502-215019-609.DLL
    * C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\DESKTOP\HIJACKTHIS_199\BACKUPS\BACKUP-20070502-224844-486.DLL

W32/Poebot.ARD (virus)

    * C:\WINDOWS\SYSTEM32\TFTP3916

Statistics
Scanned:

    * Files: 18282
    * System: 3379
    * Not scanned: 3

Actions:

    * Disinfected: 1
    * Renamed: 0
    * Deleted: 0
    * None: 13
    * Submitted: 0

Files not scanned:

    * C:\HIBERFIL.SYS
    * C:\PAGEFILE.SYS
    * C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT

Options
Scanning engines:

    * F-Secure Libra: 2.4.2, 2007-05-01
    * F-Secure AVP: 7.0.171, 2007-05-02
    * F-Secure Orion: 1.2.37, 2007-05-02
    * F-Secure Blacklight: 1.0.53, 0000-00-00
    * F-Secure Draco: 1.0.35, 2007-04-23
    * F-Secure Pegasus: 1.19.0, 2007-03-25

Scanning options:

    * Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX
    * Use Advanced heuristics

versteh ich das richtig? da is bei 13 von 14 funden nichts gemacht worden?

Hi!

kann er hijack und avenger auch im abgesicherten modus benutzen  ??? nur so ein gedanke   :)

oder macht er das schon ?

Gruß langschlaefer

nachtrag: wenn du dir den letzten link von mir durchliest wirst du erkennen, das die genau dein problem ist, selbst die daten die HELP gerade augeschlüsselt hat stimmen überein, aöso versuch dein glück mit dem vundofix 

@bernd

suche nach downloader.exe läuft, danke...

den offline-scan mit antivir?

und systemwiederherstellung deaktivieren? abgesichterter modus? kenn ich, aber wie komm ich da rein?

sorry, hab echt wenig ahnung von pc's...^^

edit: ok, vundofix wird auch probiert... aber erstmal die suche abwarten...

« Letzte Änderung: 02.05.07, 23:39:09 von 75klaus »
http://forum.hijackthis.de/showthread.php?t=18415



probier erst mal das, wie gesagt trifft es genau auf dich zu. also dein problem.

lies es dir durch und mach es wie dort beschrieben.

ich drücke dir die daumen.



ps: abgesichter modus kommst du rein wenn du kurz vor dem windowsstart (ladebalken unter symbol) F8 drückst. ruhig mehrmals. aber nicht gleich beim einschalten erst wenn das erste biosbild (wo die hardware aufgelistet wird) weg ist.
« Letzte Änderung: 02.05.07, 23:39:26 von Luke001 »

Richtig!
13 mal nichts, da die Dateien aktiv sind.

Lösche den Ordner
C:\Avenger
Kopiere den Skript, führe Avenger aus und poste den Bericht!

***Diese Zeile nicht mitkopieren!***
Files to delete:
C:\WINDOWS\system32\nnnom.dll
C:\WINDOWS\system32\cbxuvus.dll
C:\WINDOWS\System32\fminqngi.dll
C:\WINDOWS\sysrss32.exe
C:\WINDOWS\System32\winmgrd.exe
C:\WINDOWS\SYSTEM32\AWTUUVU.DLL
C:\WINDOWS\SYSTEM32\CBXUVUS.DLL
C:\WINDOWS\SYSTEM32\FCCBYYX.DLL
C:\WINDOWS\SYSTEM32\JKKKKJK.DLL
C:\WINDOWS\SYSTEM32\LJJJHII.DLL
C:\WINDOWS\SYSTEM32\PMNLLML.DLL
C:\WINDOWS\SYSTEM32\PMNOMNO.DLL
C:\WINDOWS\SYSTEM32\TUVWVSQ.DLL
C:\WINDOWS\SYSTEM32\URQPQOP.DLL
C:\WINDOWS\SYSTEM32\TFTP3916
C:\WINDOWS\SYSTEM32\I
***Diese Zeile nicht mitkopieren!***

Auch der Tipp von Luke001 mit Vundofix ist sehr empfehlenswert!

der vundofix-scan läuft, die spannung steigt... ;)

der vundofix-scan läuft, die spannung steigt... ;)

Trotzdem lass anschließend Avenger laufen,
da neben der Malware Vundo noch 2 oder 3 andere auf dem PC sind! Zudem gehe ich davon aus, das Vundofix nicht alle Dateien der Malware beseitigt.   

« PC spielt Akte X musik abSMS-Spam von v762.net »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Logfile
Eine Log-Datei ist eine Datei mit einer Art Protokoll, dass Aufschluss gibt über jegliche Aktivität auf einem Rechner. Das automatrisch geführte Protokoll ...

HiJackThis
Unter dem Begriff HiJackThis verbirgt sich ein  Sicherheitsprogramm, dass den Computer nach Schad-Programmen und Viren durchsucht. Dazu werden spezielle Bereiche in ...

Scanner
Der Scanner, abgeleitet vom englischen Wort "to scan" für "abtasten", ist ein Gerät zur Digitalisierung von Bildern, Fotos und Dokumenten. M...