Habe hier noch mal den Screen meiner Schwägerin, die hat neulich "Antivir2009" oder so geladen, in dem Glauben, eine aktuelle Programmversion ihres Virenprogramms zu ziehen. Konnte die Datei so zwar aus den Programmen entfernen aber der Rechner geht total am Stock. Denke, dass u.a. die folgenden Datein FEhler verursachen und gefixt werden können aber ich möchte nicht einfach irgendwas löschen, wenn ich nicht 100% sicher bin, daher wäre es schön, wenn noch mal jemand drauf schauen könnte.
O4 - HKLM\..\Run: [masezadogu] Rundll32.exe "C:\WINDOWS\system32\doguzeri.dll",s
O4 - HKUS\S-1-5-19\..\Run: [masezadogu] Rundll32.exe "C:\WINDOWS\system32\doguzeri.dll",s (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [masezadogu] Rundll32.exe "C:\WINDOWS\system32\doguzeri.dll",s (User 'NETZWERKDIENST')
Lieben Gruß
Nadine
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:14:10, on 29.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18241)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\Programme\VIAudioi\SBADeck\ADeck.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\explorer.exe
C:\Programme\Java\jre1.6.0_02\bin\jucheck.exe
C:\Programme\Alice\signup\AliceCnn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AVG\AVG8\aAvgApi.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\PROGRA~1\AVG\AVG8\avgscanx.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Programme\AVG\AVG8\avgtoolbar.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Programme\AVG\AVG8\avgtoolbar.dll
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [CAMP SHIM EXIT HECK] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\That Face Camp Shim\multi anti.exe
O4 - HKLM\..\Run: [masezadogu] Rundll32.exe "C:\WINDOWS\system32\doguzeri.dll",s
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ClockTrans] C:\DOKUME~1\Besitzer\ANWEND~1\WMAREC~1\mfcddoes.exe
O4 - HKCU\..\Run: [rvzejnr] c:\dokumente und einstellungen\besitzer\lokale einstellungen\anwendungsdaten\rvzejnr.exe rvzejnr
O4 - HKUS\S-1-5-19\..\Run: [masezadogu] Rundll32.exe "C:\WINDOWS\system32\doguzeri.dll",s (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [masezadogu] Rundll32.exe "C:\WINDOWS\system32\doguzeri.dll",s (User 'NETZWERKDIENST')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{496CF343-7786-4B61-8530-BBAC872552A4}: NameServer = 62.109.123.7 213.191.92.86
O17 - HKLM\System\CCS\Services\Tcpip\..\{FCB375A4-6BA5-4524-96A6-8C5C11D5E5FD}: NameServer = 192.168.100.100
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: C:\WINDOWS\system32\petokulu.dll,c:\windows\system32\jobaruse.dll,c:\windows\system32\wurubawu.dll,avgrsstx.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\ALDI Foto Service Nord\Common\Database\bin\fbserver.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
--
End of file - 6049 bytes
--
Sensationsangebot nur bis 30.11: GMX FreeDSL - Telefonanschluss + DSL
für nur 16,37 Euro/mtl.!* http://dsl.gmx.de/?ac=OM.AD.PD003K11308T4569a
Folgende Einträge solltest du fixen:
O4 - HKLM\..\Run: [CAMP SHIM EXIT HECK] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\That Face Camp Shim\multi anti.exe
O4 - HKLM\..\Run: [masezadogu] Rundll32.exe "C:\WINDOWS\system32\doguzeri.dll",s
O4 - HKCU\..\Run: [ClockTrans] C:\DOKUME~1\Besitzer\ANWEND~1\WMAREC~1\mfcddoes.exe
O4 - HKCU\..\Run: [rvzejnr] c:\dokumente und einstellungen\besitzer\lokale einstellungen\anwendungsdaten\rvzejnr.exe rvzejnr
O4 - HKUS\S-1-5-19\..\Run: [masezadogu] Rundll32.exe "C:\WINDOWS\system32\doguzeri.dll",s (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [masezadogu] Rundll32.exe "C:\WINDOWS\system32\doguzeri.dll",s (User 'NETZWERKDIENST')
O20 - AppInit_DLLs: C:\WINDOWS\system32\petokulu.dll,c:\windows\system32\jobaruse.dll,c:\windows\sys tem32\wurubawu.dll,avgrsstx.dll
Kannst du mir sagen, was das jetzt genau ist /sind.... Trojaner? Denn wir hatten da ich weiß nicht mehr wie viele Warnungen und Pfunde an Viren, Trojanern usw. (glaube gut 120) aber das meiste lies sich leider nicht so einfach entfernen.
Natürlich sind das Viren und Trojaner.
Habt ihr sie jetzt entfernt? Gegebenenfalls im abgesicherten Modus entfernen.
Nein bislang noch nicht. Waren da vorhin zum Geburtstag und sie ist jetzt auch arbeiten.. wollte es morgen sonst über Teamviewer machen (wo abges. Modus natürlich nicht geht) aber zur Not muss ich ihr das telefonisch erklären. :( Danke aber für die Info.. der Name sagt mir ja immer nichts genau, darum meien Frage. :-[
Zitat von: Shiva82hh am 29. November 2008, 23:55:51 Uhr
.. der Name sagt mir ja immer nichts genau, darum meine Frage. :-[
Solche Viren bzw. Trojaner editieren ihren Namen nach einem Neustart im System ständig neu. Deshalb kannst du über Google auch nichts finden.
Ah ok.. das ist ja ganz fein. Ich werde morgen mal schauen, was sich machen lässt, ansonsten ggf. noch mal nen neuen Log senden.
Hi,
ich könnte auch Hilfe gebrauchen. Habe nen Trojaner, der sich scheinbar nicht löschen läßt von Antivir.
Hab schon mit Ad-Aware und Spybot gescannt. Bei Ad-Aware hat er was gefunden. Da ich aber nur die kostenlose Version habe, konnte ich die gefundenen Objekte nicht löschen/reparieren. Gefunden hat er folgende Objekte:
Trojan.FakeAlert (5 Infizierungen)
Registry-Schlüssel:
HKEY_USERS\S-1-5-21-746137067-1965331169-725345543-1003\Software\XML
Zu korrigierender Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharesAccess\Parameters\FirewallPolicy\StandardProfile, D...
HKEY_USERS\S-1-5-21-746137067-1965331169-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\...
HKEY_USERS\S-1-5-21-746137067-19653311969-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Eyplorer\...
Deshalb hab ich noch einmal mit HiJack gescannt.
Ich habe mal ein Logfile mit HiJack gemacht.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:09:21, on 20.03.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\csrss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\system32\svchost.exe
G:\Programme\Lavasoft\Ad-Aware\AAWService.exe
G:\WINDOWS\Explorer.EXE
G:\WINDOWS\system32\spoolsv.exe
D:\Anwendungen\Avira\Avira\AntiVir Desktop\sched.exe
G:\WINDOWS\system32\svchost.exe
D:\Anwendungen\Avira\Avira\AntiVir Desktop\avguard.exe
G:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
G:\Programme\Bonjour\mDNSResponder.exe
D:\Anwendungen\Java\bin\jqs.exe
G:\WINDOWS\system32\nvsvc32.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\system32\wbem\unsecapp.exe
G:\WINDOWS\System32\alg.exe
G:\WINDOWS\system32\wbem\wmiprvse.exe
G:\WINDOWS\system32\RUNDLL32.EXE
D:\Anwendungen\Avira\Avira\AntiVir Desktop\avgnt.exe
G:\WINDOWS\system32\rundll32.exe
D:\Anwendungen\Java\bin\jusched.exe
G:\WINDOWS\system32\ctfmon.exe
G:\Programme\Spybot - Search & Destroy\TeaTimer.exe
G:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
D:\Anwendungen\Spyware Doctor\BDT\BDTUpdateService.exe
D:\Anwendungen\Spyware Doctor\pctsAuxs.exe
D:\Anwendungen\Spyware Doctor\pctsSvc.exe
D:\Anwendungen\Spyware Doctor\pctsTray.exe
D:\Anwendungen\HiJackThis\HijackThis.exe
G:\WINDOWS\system32\wbem\wmiprvse.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Browser Defender BHO - {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} - D:\Anwendungen\Spyware Doctor\BDT\PCTBrowserDefender.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - G:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Anwendungen\Java\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Anwendungen\Java\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: PC Tools Browser Guard - {472734EA-242A-422B-ADF8-83D1E48CC825} - D:\Anwendungen\Spyware Doctor\BDT\PCTBrowserDefender.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "D:\Anwendungen\Avira\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Anwendungen\Java\bin\jusched.exe"
O4 - HKLM\..\Run: [ISTray] "D:\Anwendungen\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] G:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - G:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\IMVU\Run IMVU.lnk
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - G:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - G:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - G:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - G:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Anwendungen\Avira\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Anwendungen\Avira\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - G:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - G:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Browser Defender Update Service - Threat Expert Ltd. - D:\Anwendungen\Spyware Doctor\BDT\BDTUpdateService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - G:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Anwendungen\Java\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - G:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - G:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - D:\Anwendungen\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - D:\Anwendungen\Spyware Doctor\pctsSvc.exe
--
End of file - 5739 bytes
Für Hilfe wäre ich sehr dankbar.
Gruß
Roque
Hallo,
also ich würde mal sagen, folgender Eintrag ist nicht sauber, ansonsten sollte eigentlich alles ok sein.
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
LG, Nadine
die ctfmon.exe gehört zu ms office http://frankn.com/html/ctfmon_exe.html
lässt sich wie folgt deaktivieren: http://www.wintotal.de/tipparchiv/?RBID=2&TID=676&URBID=5
Ok, danke. Hab das nun gemacht. Aber nun habe ich noch das Problem dass ich Firefox nicht starten kann. Ich werde es nun mit der Systemwiederherstellung versuchen. Mal schauen obs was bringt. ???
Gruß
Roque
OHHHH, jetzt startet zwar Firefox wieder , aber nun zeigt Antivir die Trojaner-Warnung wieder an.
G:\WINDOWS\Mboxya.exe
Ist das Trojanische Pferd TR/Agent.asv.2
Warum taucht diese Meldung plötzlich wieder auf?
Habt ihr nen Tipp?
Gruß
Roque
Vermutlich weil du mit der Systemwiederherstellung, ALLE deine durchgeführten Aktionen rückgängig gemacht hast..
Der Trojaner wird auch in der Systemwiederherstellung stecken und wird daurch immer wieder kommen.
Aktualisiere Spybot & AntiVir per Update und starte deinen PC im Abgesicherten Modus (beim Starten F8) und lösche die Datei "G:\WINDOWS\Mboxya.exe". danach mache Scans mit Spybot & AntiVir im Abgesicherten Modus.