Also nach Neustart hat er Stick erkannt. Ergebnis Hijack:kThis v2.0.2
Scan saved at 12:45:59, on 17.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Programme\Dell\QuickSet\quickset.exe
C:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\logon.scr
C:\DOKUME~1\Admin\LOKALE~1\Temp\Temporäres Verzeichnis 2 für HiJackThis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.vodafone.de/
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [SigmatelSysTrayApp] %ProgramFiles%\SigmaTel\C-Major Audio\WDM\stsystra.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NordBull] C:\WINDOWS\msa.exe
O4 - HKCU\..\Run: [Mobile Partner] "C:\Programme\Surf & E-Mail-Stick\Surf & E-Mail-Stick.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1246641332460
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE
--
End of file - 4854 bytes
ersguterjunge (7.378) 44x Beste Antwort 60x "Danke"
| Re: Trojaner! Rechner wird immer langsamer. Friert ein |
Hier ist noch der Trojaner Trojan-Downloader.Renos onboard.
Bitte Malwarebytes Updaten -> Komplett Scan -> Funde löschen und Report posten.
Danach F-secure + Kaspersky online Scan!
F-secure:
http://www.f-secure.com/de_DE/security/security-lab/tools-and-services/online-scanner/
^^ Internet Explorer dafür benutzen! Funde löschen und Report posten.
Kaspersky:
http://www.kaspersky.com/kos/german/partner/de/kavwebscan.html
^^ Auch Internet Explorer benutzen, Report posten!
Oh Oh.Da hab ich im Moment ein Problem.
Bin Über N24 Stick online.Da hab ich nur ein Gig Up-und Download.Hab hier auch nur EDGE.Malware ist grad fertig geworden.Kein Fund.Mußte ihn zweimal drüber lassen weil sich der Screensafer eingeschalten hat und sich nicht beenden ließ.Komme mit Laptop auch nicht mehr ins Netz. Erkennt den Stick nicht mehr.Sagt kein Zugriff.Für Usb stick muß ich immer wieder neu starten.Meißt fährt er gar nicht freiwillig runter. Muß dann ausschalten das was Passiert.
ersguterjunge (7.378) 44x Beste Antwort 60x "Danke"
| Re: Trojaner! Rechner wird immer langsamer. Friert ein |
Normal hätte Malwarebytes den Schädling finden und löschen müssen!
Ohne I-explorer = Problem!
Lass mal Gmer drüber laufen.
http://gmer.net -- Logfile posten.
Kann es sein das aich irgendwas auf dem Stick eingeschlichen hat? Der andere Rechner fängt auch an zu mucken.Wenn ich im Netz bin und Seiten aufrufe kommt über der Startleiste zwischendurch was von dubblclick oder 4 euros click.Mach mir langsam ernsthaft Sorgen.
Gmer läuft grad auf Laptop.
Scan Gmer:d.exe] - http://www.gmer.net
Rootkit scan 2009-08-17 15:02:37
Windows 5.1.2600 Service Pack 3
---- System - GMER 1.0.15 ----
SSDT BAF8B236 ZwCreateKey
SSDT BAF8B22C ZwCreateThread
SSDT BAF8B23B ZwDeleteKey
SSDT BAF8B245 ZwDeleteValueKey
SSDT BAF8B24A ZwLoadKey
SSDT BAF8B218 ZwOpenProcess
SSDT BAF8B21D ZwOpenThread
SSDT BAF8B254 ZwReplaceKey
SSDT BAF8B24F ZwRestoreKey
SSDT BAF8B240 ZwSetValueKey
SSDT BAF8B227 ZwTerminateProcess
Code \??\C:\WINDOWS\system32\drivers\wineurhl.sys (Windows interface driver/Microsoft Corporation) ZwResumeThread [0xB1AB9590]
---- Kernel code sections - GMER 1.0.15 ----
PAGE ntkrnlpa.exe!ZwResumeThread 805CACAE 7 Bytes JMP B1AB9594 \??\C:\WINDOWS\system32\drivers\wineurhl.sys (Windows interface driver/Microsoft Corporation)
---- User code sections - GMER 1.0.15 ----
.text C:\Programme\a-squared Free\a2service.exe[1020] kernel32.dll!CreateThread + 1A 7C8106F1 4 Bytes CALL 0045493D C:\Programme\a-squared Free\a2service.exe (a-squared Service/Emsi Software GmbH)
---- EOF - GMER 1.0.15 ----
ersguterjunge (7.378) 44x Beste Antwort 60x "Danke"
| Re: Trojaner! Rechner wird immer langsamer. Friert ein |
1.) Öffne das HijackThis:
2.) Auf den Config Button klicken --> MiscTools --> Delete a file on reboot
3.) In dem Fenster bei Dateiname folgendes Einfügen.
C:\WINDOWS\msa.exe
Bitte Superantispyware installieren.
Anleitung:
http://www.trojaner-board.de/51871-anleitung-superantispyware.html
Funde löschen und Report posten!
Hat 10 Adware Tracking cookies gefunden. Jetzt ist der Monitor schwarz und die Festplatte rödelt wie verrückt. Komme nicht mehr in den normalen Modus.
Harte Variante und ausschalten und nochmal von vorn?
Ergebnis:n Log
http://www.superantispyware.com
Generated 08/17/2009 at 05:13 PM
Application Version : 4.27.1002
Core Rules Database Version : 4040
Trace Rules Database Version: 1980
Scan type : Complete Scan
Total Scan Time : 00:14:54
Memory items scanned : 594
Memory threats detected : 0
Registry items scanned : 4637
Registry threats detected : 0
File items scanned : 13844
File threats detected : 10
Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Admin\Cookies\[email protected][1].txt
C:\Dokumente und Einstellungen\Admin\Cookies\admin@webmasterplan[1].txt
C:\Dokumente und Einstellungen\Admin\Cookies\admin@zanox[1].txt
C:\Dokumente und Einstellungen\Admin\Cookies\[email protected][1].txt
C:\Dokumente und Einstellungen\Admin\Cookies\[email protected][2].txt
C:\Dokumente und Einstellungen\Admin\Cookies\[email protected][1].txt
C:\Dokumente und Einstellungen\Admin\Cookies\[email protected][1].txt
C:\Dokumente und Einstellungen\Admin\Cookies\admin@2o7[2].txt
C:\Dokumente und Einstellungen\Admin\Cookies\[email protected][2].txt
C:\Dokumente und Einstellungen\Admin\Cookies\admin@apmebf[2].txt
Oh großer VooDoo proster,erlöse mich von den geistern,die ich rief.Ich will Ihnen nicht weiter opfern müssen,aber mein wille ist schwach.Ich will auch nicht meien compoter mit sauberen daten versorgen,sonst kann ich im tempel nicht mehr beten.Meine gebetsbücher wären dann ja nutzlos,das darf nicht sein.Die Prister sind Doch so kompetent,da muß der nächste zauberspruch funktionieren.Warum sonst bekommt man kostenlos ein verzeichnis mit magischen sprüchen und verwünschungen?
« TR/Dldr.WMA.Wim... | Effizientes Backupprogramm für Heimnetzwerk-/Serverdaten » | ||