Befall!!

Dieses Thema im Forum "Viren, Würmer, Spyware" wurde erstellt von dus, 01.05.2008.

  1. dus

    dus Neuer Benutzer

    Dabei seit:
    01.05.2008
    Beiträge:
    12
    Zustimmungen:
    0
    Zu Hilfe, hab mir so ein lästiges Ding eingefangen und bring es nicht mehr los!!

    Ständig poppt irgendeine Fake-Systemmeldungen auf, ich kann nicht mehr auf den Taskmanager zugreifen (outgreyed), mein Bildschirmhintergrund wurde mal durch eine "Fehlermeldung" (samt Link zu einer Website wo Hilfe versprochen wird) ersetzt, usw. - gerade eben poppte wieder eine "secruity-system-warnung" auf.

    Ich verwende Avast und Ad-Aware. Mit Adaware konnte ich anscheinend schon Einiges entfernen, Avast meldet aber nach wie vor einen "Win32:TratBHO [Trj]" - Befall!

    Gibts hierfür eine einfache Rettungsmassnahme oder muss ich den Rechner neu aufsetzen? Danke!!!
     
  2. AdMan

    schau mal hier: Windows-Wartungs-Tool. Viele Probleme lassen sich damit einfach beheben. Oftmals ist der PC dann auch schneller!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  3. #2 Humdinger, 01.05.2008
    Humdinger

    Humdinger Erfahrener Benutzer

    Dabei seit:
    31.01.2008
    Beiträge:
    476
    Zustimmungen:
    0
    Falls der Spybot Teatimer installiert sein sollte, so ist dieser zuerst dauerhaft abzustellen (Erweitert -> Werkzeuge -> Resident --> Häkchen bei Teatimer entfernen -> PC Neustart).

    In dieser Reihenfolge ausführen:

    Malwarebytes anwenden, Funde löschen lassen, Report posten
    http://www.virus-protect.org/artikel/tools/malwarebytes.html

    CCleaner anwenden
    http://virus-protect.org/ccleaner.html

    lade combofix, klicke die Warnmeldung weg + poste hier den Report
    http://virus-protect.org/artikel/tools/combofix.html

    HijackThis log posten
    http://hjt.klaffke.de/
     
  4. Puma45

    Puma45 Erfahrener Benutzer

    Dabei seit:
    20.02.2007
    Beiträge:
    4.436
    Zustimmungen:
    0
    Weshalb? Was macht der?

    mfg
     
  5. #4 Ostseesand, 01.05.2008
    Ostseesand

    Ostseesand .

    Dabei seit:
    01.05.2006
    Beiträge:
    7.726
    Zustimmungen:
    0
    Hi,

    der verhindert das ändern an der registrierdatenbank.
    entweder er schlägt dann alarm, oder verhindert den reinigungsprozess bzw stoppt einen prozess.

    deshalb----> ausschalten
     
  6. dus

    dus Neuer Benutzer

    Dabei seit:
    01.05.2008
    Beiträge:
    12
    Zustimmungen:
    0
    danke erst mal!!

    malwarebytes bringe ich nicht zum laufen. bekomme einen runtime error 372 (failed to load control "image list" from COMCTL32OCX) - was auch immer das heissen mag... habe auch einen alternativen downloadlink ausprobiert, aber selbes ergebnis...

    ccleaner habe ich angewendet

    hier das log vom combofix:






    ComboFix 08-04-29.5 - moi 2008-05-01 19:45:02.1 - NTFSx86
    Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.671 [GMT 2:00]
    ausgeführt von:: C:\Dokumente und Einstellungen\Reinhard Bog\Desktop\ComboFix.exe
    * Neuer Wiederherstellungspunkt wurde erstellt

    WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
    .

    (((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Programme\akl
    C:\Programme\akl\akl.dll
    C:\Programme\akl\akl.exe
    C:\Programme\akl\uninstall.exe
    C:\Programme\akl\unsetup.exe
    C:\WINDOWS\a.bat
    C:\WINDOWS\base64.tmp
    C:\WINDOWS\bdn.com
    C:\WINDOWS\FVProtect.exe
    C:\WINDOWS\iTunesMusic.exe
    C:\WINDOWS\mslagent
    C:\WINDOWS\mslagent\2_mslagent.dll
    C:\WINDOWS\mslagent\mslagent.exe
    C:\WINDOWS\mslagent\uninstall.exe
    C:\WINDOWS\mssecu.exe
    C:\WINDOWS\qadovnel.dll
    C:\WINDOWS\system32\bsva-egihsg52.exe
    C:\WINDOWS\system32\ddccBUoP.dll
    C:\WINDOWS\system32\smp
    C:\WINDOWS\system32\smp\msrc.exe
    C:\WINDOWS\userconfig9x.dll
    C:\WINDOWS\Web\def.htm
    C:\WINDOWS\winsystem.exe
    C:\WINDOWS\xbaqktfv.exe
    C:\WINDOWS\zip1.tmp
    C:\WINDOWS\zip2.tmp
    C:\WINDOWS\zip3.tmp
    C:\WINDOWS\zipped.tmp

    .
    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Service_Services


    ((((((((((((((((((((((( Dateien erstellt von 2008-04-01 bis 2008-05-01 ))))))))))))))))))))))))))))))
    .

    2008-05-01 19:51 . 2008-05-01 19:51 110,592 --a------ C:\WINDOWS\system32\erqlqbop.exe
    2008-05-01 19:33 . 2008-05-01 19:33 <DIR> d-------- C:\Programme\CCleaner
    2008-05-01 19:30 . 2008-05-01 19:30 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
    2008-05-01 19:30 . 2008-05-01 19:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
    2008-05-01 01:16 . 2008-05-01 01:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\idmdcbov
    2008-05-01 01:16 . 2008-05-01 01:16 94,208 --a------ C:\WINDOWS\system32\itqrqnsn.exe
    2008-04-15 22:33 . 2008-04-26 00:38 54,156 --ah----- C:\WINDOWS\QTFont.qfn
    2008-04-15 22:33 . 2008-04-15 22:33 1,409 --a------ C:\WINDOWS\QTFont.for
    2008-04-15 21:58 . 2008-04-15 21:59 <DIR> d-------- C:\Programme\QuickTime
    2008-04-15 21:58 . 2008-04-15 21:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
    2008-04-12 13:33 . 2008-04-12 13:33 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
    2008-04-12 13:33 . 2008-05-01 00:03 <DIR> d-------- C:\Dokumente und Einstellungen\Reinhard Bog\Anwendungsdaten\skypePM
    2008-04-12 13:33 . 2008-04-12 13:33 32 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
    2 Datei(en) . 94 C:\ComboFix\Bytes

    .
    (((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-04-30 23:11 --------- d-----w C:\Dokumente und Einstellungen\Reinhard Bog\Anwendungsdaten\Skype
    2008-04-30 22:15 --------- d-----w C:\Programme\Char
    2008-04-12 11:33 --------- d-----w C:\Programme\Skype
    2008-04-12 11:33 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
    2008-04-09 00:30 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
    2008-04-01 20:04 --------- d-----w C:\Programme\SPSS
    2008-03-25 22:34 --------- d-----w C:\Programme\Java
    2008-03-23 19:12 --------- d-----w C:\Dokumente und Einstellungen\Reinhard Bog\Anwendungsdaten\LimeWire
    2008-03-15 18:27 --------- d--h--w C:\Programme\InstallShield Installation Information
    .

    (((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57 15360]
    "mipfzgnv"="C:\WINDOWS\system32\itqrqnsn.exe" [2008-05-01 01:16 94208]
    "tfldiffw"="C:\WINDOWS\system32\erqlqbop.exe" [2008-05-01 19:51 110592]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SkyTel"="SkyTel.EXE" [2006-05-16 19:04 2879488 C:\WINDOWS\SkyTel.exe]
    "RTHDCPL"="RTHDCPL.EXE" [2006-08-14 15:00 16050176 C:\WINDOWS\RTHDCPL.exe]
    "GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 01:47 31016]
    "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 13:22 7700480]
    "nwiz"="nwiz.exe" [2006-10-22 13:22 1622016 C:\WINDOWS\system32\nwiz.exe]
    "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 13:22 86016]
    "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
    "Name of App"="C:\Programme\SAMSUNG\FW LiveUpdate\FWManager.exe" [2007-04-05 16:29 684118]
    "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
    "QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-03-28 23:37 413696]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
    "e20NhutDrF"= C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\idmdcbov\gpcpotuz.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddccBUoP]
    ddccBUoP.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "vidc.iv31"= C:\WINDOWS\system32\ir32_32.dll
    "vidc.iv32"= C:\WINDOWS\system32\ir32_32.dll

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
    "C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
    "C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
    "C:\\Programme\\ICQ6\\ICQ.exe"=
    "C:\\Programme\\Skype\\Phone\\Skype.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "3389:TCP"= 3389:TCP:*:Disabled:mad:xpsp2res.dll,-22009

    R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31]
    R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35]
    R2 SVKP;SVKP;C:\WINDOWS\system32\SVKP.sys [2007-10-19 04:13]
    S3 AR5523;NETGEAR WG111T USB2.0 Wireless Card Service;C:\WINDOWS\system32\DRIVERS\WG11TND5.sys [2005-09-05 12:21]
    S3 efipsk;efipsk;C:\DOKUME~1\REINHA~1\LOKALE~1\Temp\efipsk.sys []

    .
    Inhalt des "geplante Tasks" Ordners
    "2008-04-22 19:43:07 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
    - C:\Programme\Apple Software Update\SoftwareUpdate.exe
    .
    **************************************************************************

    catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-05-01 19:51:39
    Windows 5.1.2600 Service Pack 2 NTFS

    Scanne versteckte Prozesse...

    Scanne versteckte Autostart Eintr„ge...

    Scanne versteckte Dateien...

    Scan erfolgreich abgeschlossen
    versteckte Dateien: 0

    **************************************************************************
    .
    ------------------------ Other Running Processes ------------------------
    .
    C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
    C:\Programme\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
    C:\Programme\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\system32\rundll32.exe
    .
    **************************************************************************
    .
    Zeit der Fertigstellung: 2008-05-01 19:58:36 - machine was rebooted
    ComboFix-quarantined-files.txt 2008-05-01 17:58:30

    8 Verzeichnis(se), 9,503,629,312 Bytes frei
    13 Verzeichnis(se), 9,526,235,136 Bytes frei

    143 --- E O F --- 2008-04-11 19:03:47






    und das log vom hijack:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 20:07:05, on 01.05.2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
    C:\Programme\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
    C:\Programme\Alwil Software\Avast4\ashWebSv.exe
    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\idmdcbov\gpcpotuz.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\itqrqnsn.exe
    C:\WINDOWS\explorer.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
    O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
    O4 - HKLM\..\Run: [Name of App] C:\Programme\SAMSUNG\FW LiveUpdate\FWManager.exe r
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [mipfzgnv] C:\WINDOWS\system32\itqrqnsn.exe
    O4 - HKCU\..\Run: [tfldiffw] C:\WINDOWS\system32\erqlqbop.exe
    O4 - HKLM\..\Policies\Explorer\Run: [e20NhutDrF] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\idmdcbov\gpcpotuz.exe
    O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
    O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
    O20 - Winlogon Notify: ddccBUoP - ddccBUoP.dll (file missing)
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

    --
    End of file - 5672 bytes
     
  7. #6 Ostseesand, 01.05.2008
    Ostseesand

    Ostseesand .

    Dabei seit:
    01.05.2006
    Beiträge:
    7.726
    Zustimmungen:
    0
    Hi,

    ich mische mich ungern in angefangene fehlerbeseitigungen ein.
    aber....
    in deinem system waren sicher ein paar andere trojaner, die sich an die Library Files rangemacht haben.
    ein überbleibsel ist bei einigen trojanern oft der error vom COMCTL32 OCX.
    einige einträge deuten auf den virtumonde hin.

    entweder du fixt mal die einträge im hijackthis und postest nochmal das logfile, was aber meiner meinung keine besserung bringen wird, weil wie gesagt einige registryeinträge verändert wurden und somit systemdateien nicht mehr ausgeführt werden können.
    schade ist, dass du nicht mehr weisst, welche schädlinge der antivir schon gekillt hat.

    ich wäre für radikalkur....daten retten und neu installieren, weil mein verdacht auf einen ableger von virtumonde fällt.

    aber es gibt verschiedene meinungen und manche versuchen noch zu reparieren.
    mal sehen.
     
  8. #7 TIPower, 01.05.2008
    TIPower

    TIPower Erfahrener Benutzer

    Dabei seit:
    26.03.2008
    Beiträge:
    2.200
    Zustimmungen:
    0
    Für Hijackthis:

    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\idmdcbov\gpcpotuz.exe

    O4 - HKCU\..\Run: [tfldiffw] C:\WINDOWS\system32\erqlqbop.exe

    O4 - HKCU\..\Run: [mipfzgnv] C:\WINDOWS\system32\itqrqnsn.exe

    O20 - Winlogon Notify: ddccBUoP - ddccBUoP.dll (file missing)

    C:\WINDOWS\system32\itqrqnsn.exe

    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\idmdcbov\gpcpotuz.exe

    makieren und unten rechts auf fix checked drücken,danach Programm schließen und den PC neu starten.Wieder ein logfile machen und Hier posten.
     
  9. dus

    dus Neuer Benutzer

    Dabei seit:
    01.05.2008
    Beiträge:
    12
    Zustimmungen:
    0
    ui, das hört sich gar nicht gut an... muss ich im falle einer radikalkur was bedenken? beim letzten mal neuaufsetzen hab ich dann nämlich zwei os gleichzeitig am rechner gehabt - und das sollt ich diesmal wohl eher vermeiden :O

    aber ich will zuerst versuchen zu retten... also eine kurze frage zu hijack. zu anhaken find ich diverse Os (also auch die O4s und das O20) und Rs, aber die C:\.. - Pfade nicht! die erscheinen nur dann im log

    oder ist
    O4 - HKCU\..\Run: [mipfzgnv] C:\WINDOWS\system32\itqrqnsn.exe
    das selbe wie
    C:\WINDOWS\system32\itqrqnsn.exe
    ?(
     
  10. AdMan

    Es ist generell erstmal empfehlenswert alle ggf. veralteten oder fehlerhaften Treiber zu scannen und auf neue zu aktualisieren. Hier kannst du einen Treiber-Scanner downloaden. Das erspart oftmals viel Ärger und hilft gegen diverse Probleme.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  11. #9 Ostseesand, 01.05.2008
    Ostseesand

    Ostseesand .

    Dabei seit:
    01.05.2006
    Beiträge:
    7.726
    Zustimmungen:
    0
    Hi,

    einmal ist es der ort der datei, und einmal in der registrierung im RUN-ordner.
    das bedeutet, dass das programm immer mitstartet.

    bedenken musst du nur , dass du bei einer neuinstallation die alte partition löscht und sie dann neu erstellst.

    was ich immer mache, ist:
    mit der cd booten, mit R in die reparaturkonsole gehen, fixboot und fixmbr eingeben.
    erst dann den pc wieder neu booten con cd und das system installieren.
    denn dann sind wirklich alle schädlinge auch im MBR der festplatte weg.
     
  12. dus

    dus Neuer Benutzer

    Dabei seit:
    01.05.2008
    Beiträge:
    12
    Zustimmungen:
    0

    ich finde im highjack nur den haken für den run-ordner... reicht das, oder wo finde ich den für den ort der datei?


    wenn ich dich richtig verstehe, dann kann man mit den befehlen fixboot und fixmbr die alte partition nach einem xp-cd-boot löschen, oder? meine systemplatte ist übrigens nicht partioniert (habe noch eine externe dran hängen) - hoff das funkioniert dann so!!
     
Thema: Befall!!
Besucher kamen mit folgenden Suchen
  1. sbregrebootcleaner

    ,
  2. was ist sbregRebootCleaner

    ,
  3. was ist sbregrebootcleaner im autostart

Die Seite wird geladen...

Befall!! - Ähnliche Themen

  1. iPhone: Browser von Malware befallen

    iPhone: Browser von Malware befallen: Liebe Community! Vielleicht weiß mir ja jemand hier zu helfen! :( Mein iPhone 5S ist seit geraumer Zeit von fieser Malware befallen. Darunter...
  2. Problem nach Befall

    Problem nach Befall: Hallo Leute, Ich musste vor ein paar Tagen meinen Pc formatieren(es gab ein Problem mit Linux),naja ich habe das System neu aufgesetzt und habe...
  3. virus befall

    virus befall: seit gestern abend leuchtet bei mir in der taskleiste immer so ein komisches icon das aussieht wie ein schild. innen leuchtet immer einmal ein...