Danke LeuteEs ist endlich Weg!
Dieses Forum ist echt der Hammer
Bin echt froh das ich es gefunden hab!
Thx!
Jarhead
Danke Leute
Dieses Forum ist echt der Hammer
Bin echt froh das ich es gefunden hab!
Thx!
Jarhead
Meinen Glückwunsch!
Das sichtbare nervige Problem ist weg, aber ich sehe in deinem Log mindestens einen weiteren Eintrag, der sehr schlecht aussieht.
Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:
- Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
- Geschützte Systemdateien ausblenden -> Haken weg
- Inhalte von Systemordnern anzeigen -> Haken setzen
- Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen
Hier sind zwei Seiten, wo Du gefundene Dateien hochladen kannst, damit sie mit mehreren Scannern untersucht werden.Mach das mit folgender/n Datei/en:Die erhaltenen Ergebnisse mit kopieren und einfügen hier posten. Solltest Du Dateien nicht finden oder hochladen können, dann teile uns das ebenfalls mit.
- C:\WINDOWS\SYSTEM32\winzzd32.dll
Dann sind da folgende Einträge:
Das "(file missing)" deutet an, daß deine Javainstallation nicht in Ordnung ist. Oder Du hast es deinstalliert, dann sind die Einträge überflüssig.Code:O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
Schließlich: Was ist Kwyshell?
"The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file"
Das kam dabei raus als ich sie überprüfen wollt!
Im selben Moment kam von AntiVir eine Meldung es sei ein Trojanisches Pferd(TR/Agent.QT.5)!
Und eine andere Datei C:\WINDOWS]\system32\regperf.exe wär ein DR/ZLOB.MM.4!AntiVir hat die in Quarantäne gesteckt!Was soll ich denn machen?sind diese Sachen schlimm?*verzweifel*
Jarhead
Dann brauchen wir den Onlinescan wohl nicht mehr so dringend. Der Vorteil wäre gewesen, daß man dadurch die Namen verschiedener Scanner für die Malware erhält und damit mehr Informationen zugänglich sind. Hier haben wir es aber bereits.
Sehr wichtig ist aber die Datei C:\WINDOWS\system32\regperf.exe da sie derzeit von dem Smitfraudfix noch nicht mit erfasst wird. Geh bitte zu http://siri.urz.free.fr/upload/ und lade diese Datei dort hoch. Dann kann ihre Entfernung mit eingebaut werden. Teile uns bitte die Antwort von der Seite mit, einfach hier rein kopieren. Sollte das irgendwie nicht klappen, dann mach vorher von ihr eine Kopie in einen anderen Ordner und versuche die hochzuladen.
Starte Hijackthis, wähle "Open the misc toos section". Für jede der Dateien aus der folgenden Liste klicke auf "Delete a file on reboot", kopiere den kompletten Namen inklusive Pfad in das Auswahlfenster und bestätige das mit "Öffnen". Auf die Frage ob neu gestartet werden soll immer "nein" wählen. Nur nach der letzten Datei "ja" wählen und den Computer neu starten lassen.
- C:\WINDOWS\system32\regperf.exe
- C:\WINDOWS\SYSTEM32\winzzd32.dll
Nach dem Neustart bitte ein neues Hijackthis machen und posten.
Die Datei regperf.exe ist nicht mehr im System32 Ordner!Ich glaub AntVir hat sie gelöscht!Sie ist aber noch im Prefetch Ordner vorhanden!Was soll ich tun?
AntiVir hat aber noch andere Dateien dort gefunden:
-C:\WINDOWS\Temp\winCQA.tmp.exe (trojanisches Pferd laut AntiVir)
-C:\WINDOWS\Temp\win74D.tmp.exe(")
-C:\WINDOWS\system32\winzzd32.dll(")
-C:\WINDOWS\winres.dll
Sind jetz alle laut AntiVir in Quarantäne aber beim Suchlauf von AntiVir findet er diese Sachen immer als neue Warnung!
Was soll ich nun tun?
Im Prefetchordner ist eine andere Datei, die nur einen ähnlichen Namen hat. Dort speichert Windows zu allen Programmen Informationen über den Start (z.B. welche Bibliotheken benutzt werden) um in Zukunft den Start optimieren zu können.
Ob wir an die regperf.exe noch rankommen hängt von deiner Antivirkonfiguration ab. Wenn dort löschen eingestellt ist, dann ist sie weg. Falls dort aber Quarantäne eingestellt ist, dann ist sie noch da. Antivir hat sie dann in ein spezielles Verzeichnis verschoben wo sie nicht mehr schaden kann. So am Rande bemerkt sollte man nie löschen einstellen, denn bei einem möglichen Fehlalarm kann auch mal eine wichtige Systemdatei weg sein, unter Umständen heißt das dann neu installieren.
Doppelklick auf das Antivir Symbol rechts in deiner Taskleiste, Tab Quarantäne wählen. In der Liste kannst Du nun sehen ob sie da ist. Wenn ja, dann lege einen Ordner C:\boese an. Danach den Eintrag in der Quarantäne markieren und das vierte Icon über der Liste anklicken "ausgewähltes Objekt wiederherstellen nach ...". Dort nun den Ordner C:\boese auswählen. Danach kannst Du die Datei von dort aus dann hochladen. Im Anschluß den gesamten Ordner C:\boese mitsamt Inhalt wieder löschen.
Außerdem bitte den relevanten Teil des Antivir Logs posten, dort wird uns dann auch verraten, was die entfernten Dateien im einzelnen sind. Dazu ein neues Hijackthis und dann planen wir weiter.
Nee die Datei ist nich mehr daIst das schlimm?Hab AntiVir jetz auf "in Quarantäne stecken" gemacht!Warum steht in der Log Datei das es kein Virus gefunden wurde wenn AntiVir mir es doch anzeigt?!
AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Sonntag, 7. Mai 2006 18:02
Job Name: 'Manuelle Auswahl'
Es wird nach 375831 Virenstämmen gesucht.
Lizenznehmer: AntiVir PersonalEdition Classic
Seriennummer: 0000149996-WURGE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: Sebastian
Computername: PREDATOR
Versionsinformationen:
AVSCAN.EXE : 7.0.0.35 540712 07.05.2006 13:37:44
AVSCAN.DLL : 7.0.0.34 53288 07.05.2006 13:37:44
LUKE.DLL : 7.0.0.34 114728 07.05.2006 13:37:47
LUKERES.DLL : 7.0.0.34 32808 07.05.2006 13:37:47
ANTIVIR0.VDF : 6.32.0.60 4323840 27.03.2006 09:11:45
ANTIVIR1.VDF : 6.34.0.209 1930240 07.05.2006 13:37:47
ANTIVIR2.VDF : 6.34.1.42 197632 07.05.2006 13:37:47
ANTIVIR3.VDF : 6.34.1.45 6144 07.05.2006 13:37:47
AVEWIN32.DLL : 7.0.0.8 1171968 07.05.2006 13:37:47
AVPREF.DLL : 6.34.0.0 38440 18.01.2006 12:05:53
AVREP.DLL : 6.34.1.40 2400296 07.05.2006 13:37:47
AVPACK32.DLL : 6.33.0.6 331816 09.01.2006 09:03:37
AVREG.DLL : 6.31.0.90 27688 28.07.2005 10:06:24
NETNT.DLL : 6.32.0.0 6696 27.09.2005 07:56:47
NETNW.DLL : 6.32.0.0 9768 27.09.2005 07:56:47
Beginn des Suchlaufs: Sonntag, 7. Mai 2006 18:02
Es wird begonnen die Bootsektoren zu durchsuchen:
Bootsektor 'C:'
[HINWEIS] Es wurde kein Virus gefunden!
Scan der Registry auf Verweise zu ausführbaren Dateien.
Die Registry wurde durchsucht ( 34 Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat .LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat .LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Sebastian\ntuser.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Sebastian\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Sebastian\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Sebastian\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat .LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\winzzd32.dll
[FUND] Ist das Trojanische Pferd TR/Agent.QT.5
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
C:\WINDOWS\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\Temp\win74D.tmp.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.IstBar.FF.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '44cc1eaa.qua' verschoben!
C:\WINDOWS\Temp\winC0A.tmp.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.IstBar.FF.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '44cc1eab.qua' verschoben!
Ende des Suchlaufs: Sonntag, 7. Mai 2006 18:20
Benötigte Zeit: 17:42 min
Der Suchlauf wurde vollständig durchgeführt.
3511 Verzeichnisse wurden überprüft
137017 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1210 Archive wurden durchsucht
24 Warnungen
0 Hinweise
Und sorry falls das jetz nich der relevante Teil war ^^ Aber ich kenn mich mit sowas gar net aus
Na dann ist die Datei eben weg. Wir werden schon früher oder später ein Exemplar erwischen. In der Zwischenzeit ist schon so viel passiert, daß ich mal ein neues Hijackthis gebrauchen kann. Das letzte dürfte unterdessen veraltet sein.
Lade Ramans datfind.bat herunter und lass es laufen. Es öffnet sich Notepad mit der neu erzeugten Datei c:\dirdat.txt. Entferne alle Zeilen, deren Datum älter als einen Monat ist und poste den Rest. Füge vorher diese Zeile ein:
und dahinter diese:[CODE]
PS: Ich gehe jetzt ne Runde essen. Heißt nicht einmal PN werde ich bemerken. Bis später.[/CODE]
Code:Datentr„ger in Laufwerk C: ist System Volumeseriennummer: 9019-D66D Verzeichnis von c:\ 07.05.2006 20:04 0 dirdat.txt 07.05.2006 19:29 993 rapport.txt 07.05.2006 18:26 805.306.368 pagefile.sys 29.04.2006 17:35 192 BcBtRmv.log 19.02.2006 14:24 389 boot.ini 27.01.2006 16:07 1.855 baseclasses.log 07.01.2006 14:22 0 ZipCodec.txt 23.12.2005 18:51 4.651 hpfr5600.log 11.12.2005 18:08 2.209 INSTALL.LOG 27.11.2005 14:42 47.564 NTDETECT.COM 27.11.2005 14:42 251.184 ntldr 23.11.2005 22:10 13.030 PDOXUSRS.NET 17.11.2005 14:50 0 CONFIG.SYS 17.11.2005 14:50 0 MSDOS.SYS 17.11.2005 14:50 0 IO.SYS 17.11.2005 14:50 0 AUTOEXEC.BAT 18.08.2001 21:00 4.952 bootfont.bin 10.01.2001 13:23 162.304 UNWISE.EXE 18 Datei(en) 805.795.691 Bytes 0 Verzeichnis(se), 2.294.951.936 Bytes frei Datentr„ger in Laufwerk C: ist System Volumeseriennummer: 9019-D66D Verzeichnis von C:\WINDOWS\system32 07.05.2006 19:09 8.192 Thumbs.db 06.05.2006 14:56 100 LuResult.txt 06.05.2006 13:12 4.212 zllictbl.dat 28.04.2006 20:17 98.304 CmdLineExt.dll 23.04.2006 10:32 380.350 perfh009.dat 23.04.2006 10:32 63.580 perfc007.dat 23.04.2006 10:32 391.000 perfh007.dat 23.04.2006 10:32 52.764 perfc009.dat 23.04.2006 10:32 897.954 PerfStringBackup.INI 23.04.2006 09:39 2.206 wpa.dbl 21.04.2006 15:27 186.608 FNTCACHE.DAT 19.04.2006 10:27 3.221 ikhcore.log 13.04.2006 08:56 778.240 divx_xx07.dll 13.04.2006 08:56 778.240 divx_xx0c.dll 13.04.2006 08:56 761.856 divx_xx11.dll 13.04.2006 08:56 619.156 DivX.dll 09.04.2006 23:59 700.416 divxdec.ax 08.04.2006 05:21 118.784 DivXCodecUpdateChecker.exe 08.04.2006 03:13 53.248 dpuGUI10.dll 08.04.2006 03:13 593.920 dpuGUI11.dll 08.04.2006 03:13 90.112 dpl100.dll 08.04.2006 03:13 200.704 dtu100.dll 08.04.2006 03:13 344.064 dpus11.dll 08.04.2006 03:13 57.344 dpv11.dll 08.04.2006 03:13 294.912 dpu10.dll 08.04.2006 03:13 294.912 dpu11.dll 182 Datei(en) 19.583.166 Bytes 0 Verzeichnis(se), 2.294.833.152 Bytes frei Datentr„ger in Laufwerk C: ist System Volumeseriennummer: 9019-D66D Verzeichnis von C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp 07.05.2006 20:03 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}26807.html 07.05.2006 20:03 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}23017.html 07.05.2006 19:57 512 ~DF9885.tmp 07.05.2006 19:57 512 ~DF98AC.tmp 07.05.2006 19:57 16.384 ~DF989A.tmp 07.05.2006 19:57 16.384 ~DF9873.tmp 07.05.2006 19:57 512 ~DF9837.tmp 07.05.2006 19:57 16.384 ~DF984C.tmp 07.05.2006 19:57 512 ~DF985E.tmp 07.05.2006 19:57 16.384 ~DF9825.tmp 07.05.2006 19:45 409.600 ~DFC19B.tmp 07.05.2006 19:40 49.152 ~DFC174.tmp 07.05.2006 19:30 16.384 ~DFC189.tmp 07.05.2006 19:30 16.384 ~DFC162.tmp 07.05.2006 19:30 512 ~DFC14D.tmp 07.05.2006 19:30 512 ~DFC126.tmp 07.05.2006 19:30 16.384 ~DFC114.tmp 07.05.2006 19:30 16.384 ~DFC13B.tmp 07.05.2006 19:29 16.384 ~DF5788.tmp 07.05.2006 19:29 512 ~DF4F9B.tmp 07.05.2006 19:29 16.384 ~DF4F89.tmp 07.05.2006 18:37 609 jusched.log 22 Datei(en) 628.746 Bytes 0 Verzeichnis(se), 2.294.837.248 Bytes frei
Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
Berechtigungen
