Junk

Hallo

Und zwar habe ich ein Problem =/ Ich habe 1 Trojaner und 1 unbekanntes Script der Trojaner meldet sich immer wieder bei antivir und der code kann nicht gelöscht werden nur quaran wo er jedoch nach 30sekunden komischerweise wieder raus ist.

Virus Script:

N:\Windows\mgrs.exe

Es handelt sich um ein heuristschen Treffer.
Für eine genauere Analyse sollten sie uns diese Datei den Quarantäne Manager zur genaueren Untersuchung zusenden.

Enthält: verdächtigen Code: HEUR/Malware

------------
2 Trojaner:
N:\Windows\system32\qommjki.dll
Ist ein Trojanische Pferd: TR/Crypt.XPACK.Gen

Wie kann ich diese beide löschen, manuell kommt das ich sie net löschen kann das sie benutztn werden O.o


Habe mit nem anderen Proggi mal gesucht, wie kann ich die dann löschen???

ReinMan

Schau am besten nach ob sie unte Prozesse ausgeführt werden. STRG ALT ENTF drücken und bei Prozesse gucken ob sie laufen. Ansonsten gehst du mal mit Spybot und Adaware sowie Hijackthis auf die Suche und postest das Logfile hier ins Forum. Do a system scan and save a Logfile. Das postest du hier rein.

Terminator4

wenn man ein ordentliches Anti-Viren Programm nutzt ( Kaspersky!!!), dann hat man nicht solche Probleme wie du!

Also investiere bitte ein wenig geld, für den neuen Kaspersky 7

Junk

--- Report generated: 2007-09-01 18:07 ---

Nous-Tech.UCleaner: Bibliothek (Datei, nothing done)
N:\Programme\Ultimate Cleaner\com\ucsecuredelete.dll

Nous-Tech.UCleaner: Gemeinsame Daten-Dateien-Ordner (Verzeichnis, nothing done)
N:\Dokumente und Einstellungen\All Users\Startmenü\Programme\UltimateCleaner 2007\

Nous-Tech.UCleaner: Anwendungsdaten-Ordner (Verzeichnis, nothing done)
N:\Dokumente und Einstellungen\Gamer\Anwendungsdaten\Ultimate Cleaner\

Nous-Tech.UCleaner: Verknüpfung (Datei, nothing done)
N:\Dokumente und Einstellungen\Gamer\Desktop\Ultimate Cleaner 2007.lnk

Nous-Tech.UCleaner: Programm-Verzeichnis (Verzeichnis, nothing done)
N:\Programme\Ultimate Cleaner\

Nous-Tech.UCleaner: Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_CLASSES_ROOT\AllFilesystemObjects\shellex\Con textMenuHandlers\UCSecureDelete

Nous-Tech.UCleaner: Class ID (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\shellex\ContextMenuHandlers\UCSecure Delete

Nous-Tech.UCleaner: Benutzer-Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-1409082233-1004336348-682003330-1001\Software\Ultimate Cleaner

Nous-Tech.UCleaner: Uninstall-Einstellung (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\Ultimate Cleaner

Nous-Tech.UCleaner: Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Ultimate Cleaner

Nous-Tech.UCleaner: Autorun-Einstellungen (Ultimate Cleaner) (Registrierungsdatenbank-Wert, nothing done)
HKEY_USERS\S-1-5-21-1409082233-1004336348-682003330-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Ultimate Cleaner

Nous-Tech.UCleaner: Programmdatei (Datei, nothing done)
N:\Programme\Ultimate Cleaner\UltimateCleaner.exe

Nous-Tech.UFixer: Uninstall-Einstellung (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\Ultimate Fixer

Nous-Tech.UFixer: Programm-Verzeichnis (Verzeichnis, nothing done)
N:\Programme\Ultimate Fixer\

Nous-Tech.UFixer: Daten (Datei, nothing done)
N:\Programme\Ultimate Fixer\ufixer.pkg

Nous-Tech.UFixer: Daten (Datei, nothing done)
N:\Programme\Ultimate Fixer\UltimateFixer.db

Nous-Tech.Ultimate-Fake-Security-Center: Daten (Datei, nothing done)
c:\.protected

Nous-Tech.Ultimate-Fake-Security-Center: Daten (Datei, nothing done)
N:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\.protected

Nous-Tech.Ultimate-Fake-Security-Center: Daten (Datei, nothing done)
N:\Dokumente und Einstellungen\Gamer\Startmenü\Programme\Autostart\ .protected

Nous-Tech.Ultimate-Fake-Security-Center: Daten (Datei, nothing done)
N:\WINDOWS\.protected

Nous-Tech.Ultimate-Fake-Security-Center: Daten (Datei, nothing done)
N:\WINDOWS\system32\drivers\etc\.protected

Yazzle: Ausführbare Datei (Datei, nothing done)
N:\Programme\Gemeinsame Dateien\Yazzle1162OinAdmin.exe

Yazzle: Ausführbare Datei (Datei, nothing done)
N:\Programme\Gemeinsame Dateien\Yazzle1162OinUninstaller.exe

Microsoft.Windows.Security.InternetExplorer: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-1409082233-1004336348-682003330-1001\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_ LOCKDOWN\iexplore.exe!=W=1

BraveSentry: Autorun-Einstellungen (Windows update loader) (Registrierungsdatenbank-Wert, nothing done)
HKEY_USERS\S-1-5-21-1409082233-1004336348-682003330-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Windows update loader

MagicAntiSpy: Autorun-Einstellungen (smgr) (Registrierungsdatenbank-Wert, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\smgr

Nous-Tech.UDefender: Autorun-Einstellungen (Ultimate Defender) (Registrierungsdatenbank-Wert, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\Ultimate Defender

Nous-Tech.UDefender: Programmdatei (Datei, nothing done)
N:\Programme\Ultimate Defender\UltimateDefender.exe

Nous-Tech.UDefender: Programm-Verzeichnis (Verzeichnis, nothing done)
N:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Ultimate Defender\

Nous-Tech.UDefender: Benutzer-Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-1409082233-1004336348-682003330-1001\Software\Ultimate Defender

Nous-Tech.UDefender: Uninstall-Einstellung (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\Ultimate Defender

Nous-Tech.UDefender: Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Ultimate Defender

Nous-Tech.UDefender: Programm-Verzeichnis (Verzeichnis, nothing done)
N:\Dokumente und Einstellungen\Gamer\Anwendungsdaten\Ultimate Defender\

Nous-Tech.UDefender: Programm-Verzeichnis (Verzeichnis, nothing done)
N:\Programme\Ultimate Defender\

Win32.Agent.qt: Autorun-Einstellungen (runner1) (Registrierungsdatenbank-Wert, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\runner1

Zlock.uc: Bibliothek (Datei, nothing done)
N:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wnuzkfot.dll

Smitfraud-C.: Autorun-Einstellungen (CTDrive) (Registrierungsdatenbank-Wert, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\CTDrive

Smitfraud-C.: Programmdatei (Datei, nothing done)
N:\WINDOWS\system32\rundll32.exe

Virtumonde: Ausführbare Datei (Datei, nothing done)
N:\WINDOWS\system32\gebca.dll

Virtumonde: Bibliothek (Datei, nothing done)
N:\WINDOWS\system32\winwim32.dll

Virtumonde: Uninstall-Einstellung (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\Outerinfo

Virtumonde: Ausführbare Datei (Datei, nothing done)
N:\Dokumente und Einstellungen\Gamer\Lokale Einstellungen\Temp\removalfile.bat

Virtumonde: Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR

Virtumonde: Autorun-Einstellungen (avp) (Registrierungsdatenbank-Wert, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\avp

Virtumonde: Programmdatei (Datei, nothing done)
N:\WINDOWS\avp.exe

Virtumonde: Ausführbare Datei (Datei, nothing done)
N:\Dokumente und Einstellungen\Gamer\Lokale Einstellungen\Temp\winB0.tmp.exe

Virtumonde: Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PSRV

Virtumonde: Ausführbare Datei (Datei, nothing done)
N:\Dokumente und Einstellungen\Gamer\Lokale Einstellungen\Temp\winB5.tmp.exe

DoubleClick: Verfolgender Cookie (Internet Explorer: Gamer) (Cookie, nothing done)


Advertising.com: Verfolgender Cookie (Internet Explorer: Gamer) (Cookie, nothing done)


BFast: Verfolgender Cookie (Firefox: default) (Cookie, nothing done)


DoubleClick: Verfolgender Cookie (Firefox: default) (Cookie, nothing done)


HitBox: Verfolgender Cookie (Firefox: default) (Cookie, nothing done)


FastClick: Verfolgender Cookie (Firefox: default) (Cookie, nothing done)


FastClick: Verfolgender Cookie (Firefox: default) (Cookie, nothing done)


FastClick: Verfolgender Cookie (Firefox: default) (Cookie, nothing done)


FastClick: Verfolgender Cookie (Firefox: default) (Cookie, nothing done)


HitBox: Verfolgender Cookie (Firefox: default) (Cookie, nothing done)


HitBox: Verfolgender Cookie (Firefox: default) (Cookie, nothing done)


MediaPlex: Verfolgender Cookie (Firefox: default) (Cookie, nothing done)


Tradedoubler: Verfolgender Cookie (Firefox: default) (Cookie, nothing done)


Tradedoubler: Verfolgender Cookie (Firefox: default) (Cookie, nothing done)


Tradedoubler: Verfolgender Cookie (Firefox: default) (Cookie, nothing done)


Tradedoubler: Verfolgender Cookie (Firefox: default) (Cookie, nothing done)


Tradedoubler: Verfolgender Cookie (Firefox: default) (Cookie, nothing done)


WebTrends live: Verfolgender Cookie (Firefox: default) (Cookie, nothing done)



--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---

2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2007-09-01 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2007-05-23 advcheck.dll (1.5.3.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2007-07-31 Tools.dll (2.1.2.0)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2007-08-29 Includes\Cookies.sbi (*)
2007-07-25 Includes\Dialer.sbi (*)
2007-08-29 Includes\DialerC.sbi (*)
2007-08-29 Includes\Hijackers.sbi (*)
2007-08-29 Includes\HijackersC.sbi (*)
2007-07-25 Includes\Keyloggers.sbi (*)
2007-08-29 Includes\KeyloggersC.sbi (*)
2007-08-29 Includes\Malware.sbi (*)
2007-08-29 Includes\MalwareC.sbi (*)
2007-08-29 Includes\PUPS.sbi (*)
2007-08-29 Includes\PUPSC.sbi (*)
2007-08-29 Includes\Revision.sbi (*)
2007-05-30 Includes\Security.sbi (*)
2007-08-29 Includes\SecurityC.sbi (*)
2007-08-01 Includes\Spybots.sbi (*)
2007-08-29 Includes\SpybotsC.sbi (*)
2007-08-21 Includes\Tracks.uti
2007-08-29 Includes\Trojans.sbi (*)
2007-08-29 Includes\TrojansC.sbi (*)
2007-06-06 Plugins\TCPIPAddress.dll


Keinen plan ob des des richtige ist. Ist report text

Junk

Auf so ne doofe antwort, sag ich mal nix blabla kauf dir schutz xD ne echt, is geil, hab eigentlich Panda Titanium 2007 aber wegen lan hab ichs momentan net drauf.

ReinMan

Das ist nicht Hijackthis Logfile. Lade dir Hijackthis und poste das Logfile hier rein. Dann geh mit Spybot und Adaware auf die suche. Falls du das noch nicht getan hast.

Das Kommentar mit Schutz kaufen ist vollkommen unnötig: Selbst mit Antivir,Avast,Avira kann man gut geschützt sein es kommt auf den jenigen an der es benutzt wie sicher er sein möchte.

Junk

Wenn du meinen alten tread findest: habe gestern mein pc neugemacht (style war kaputt) und eigentlich habe ich sehr guten schutz und panda hat firewall und alles mit adspyware u.s.w aber der sagt auch das er es nicht löschen kann.

Junk

Logfile of HijackThis v1.99.1
Scan saved at 18:40:13, on 01.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
N:\WINDOWS\System32\smss.exe
N:\WINDOWS\system32\csrss.exe
N:\WINDOWS\system32\winlogon.exe
N:\WINDOWS\system32\services.exe
N:\WINDOWS\system32\lsass.exe
N:\WINDOWS\system32\svchost.exe
N:\WINDOWS\system32\svchost.exe
N:\WINDOWS\system32\svchost.exe
N:\Programme\AntiVir PersonalEdition Classic\avguard.exe
N:\WINDOWS\system32\netdde.exe
N:\Programme\AntiVir PersonalEdition Classic\sched.exe
N:\WINDOWS\system32\dllhost.exe
N:\WINDOWS\system32\nvsvc32.exe
N:\Programme\Belkin\F5D7051\WLService.exe
N:\Programme\Belkin\F5D7051\WLanCfgG.exe
N:\Programme\Stardock\Object Desktop\ThemeManager\wbload.exe
N:\WINDOWS\Explorer.EXE
N:\Programme\Java\jre1.5.0_01\bin\jusched.exe
N:\WINDOWS\system32\regsvr32.exe
N:\Programme\Java\jre1.5.0_01\bin\jucheck.exe
N:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
N:\Programme\SecCenter\scprot4.exe
N:\WINDOWS\system32\ctfmon.exe
N:\Programme\ICQ6\ICQ.exe
N:\PROGRA~1\MOZILL~1\FIREFOX.EXE
N:\Programme\Spybot - Search & Destroy\TeaTimer.exe
N:\Programme\Windows Media Player\wmplayer.exe
N:\Programme\Spybot - Search & Destroy\SpybotSD.exe
N:\Programme\WinRAR\WinRAR.exe
N:\DOKUME~1\Gamer\LOKALE~1\Temp\Rar$EX00.469\Hijac kThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - N:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE N:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE N:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] N:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [runner1] N:\WINDOWS\retadpu2000352.exe 61A847B5BBF72810329B385577FB01F0B3E35B6638993F4661 AA4EBD86D67C56389B284534F310
O4 - HKLM\..\Run: [avp] N:\WINDOWS\avp.exe
O4 - HKLM\..\Run: [CTDrive] rundll32.exe N:\WINDOWS\system32\drvgum.dll,startup
O4 - HKLM\..\Run: [itqrejgl] rundll32.exe "N:\Programme\itqrejgl\mjmtabwp.dll",Init
O4 - HKLM\..\Run: [wnuzkfot] regsvr32 /u "N:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wnuzkfot.dll"
O4 - HKLM\..\Run: [avgnt] "N:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SC2] N:\Programme\SecCenter\scprot4.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\RunOnce: [SpybotDeletingA9158] command /c del "N:\Programme\Ultimate Cleaner\com\ucsecuredelete.dll_tobedeleted_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC7921] cmd /c del "N:\Programme\Ultimate Cleaner\com\ucsecuredelete.dll_tobedeleted_old"
O4 - HKCU\..\Run: [CTFMON.EXE] N:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "N:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [Oubp] "N:\WINDOWS\WNSXS~1\ati2evxx.exe" -vt yazb
O4 - HKCU\..\Run: [SpybotSD TeaTimer] N:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB5943] command /c del "N:\Programme\Ultimate Cleaner\com\ucsecuredelete.dll_tobedeleted_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD6715] cmd /c del "N:\Programme\Ultimate Cleaner\com\ucsecuredelete.dll_tobedeleted_old"
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - N:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - N:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - N:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - N:\Programme\ICQ6\ICQ.exe
O11 - Options group: [INTERNATIONAL] International*
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - N:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - N:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Belkin High-Speed Mode Wireless G USB Driver (Belkin High-Speed Mode Wireless G USB Network Adapter Service) - Unknown owner - N:\Programme\Belkin\F5D7051\WLService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - N:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - N:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - N:\Programme\Spyware Doctor\swdsvc.exe

mfsto

Lass bitte folgende Datein bei VirusTotal auswerten:

Damit du die Datein finden kannst:

Extras-->Ordneroptionen
-Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
-Geschützte Systemdateien ausblenden -> Haken weg
-Inhalte von Systemordnern anzeigen -> Haken setzen
-Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen


Poste nachdem du alle Datein gescannt hast , die Ergebnisse aller Datein ins Forum in <code> -Tags .


Achso , achte nicht auf solche Quark Antworten von Terminator4 .


Mfg

ReinMan

Also dein Hijackthis Logfile ist soweit sauber (Ja mfsto ich hab draus gelernt ) befolge dann den Rat von mfsto und lass lieber nochmal Spybot und Adaware seine Arbeit machen. Dein Antivirenprogramm kannst du später immernoch scannen lassen. Zufern du die beiden Programme noch nicht benutzt hast.