  | |
| TR/KillApp.V.1 | |
|
Von: 75klaus * am 06.06.2007  beim letzten mal wurde mir hier so gut geholfen, das mein rechner wenigstens eine weile lief - nun musste ich windoof neu installieren und seitdem geht wieder nich mehr viel... anbei der antivir-report und das hijack-logfile - beides offline erstellt... dazu folgende frage: ich lese immer wieder, man solle im abgesicherten modus einen viren-scan machen. ich komm zwar in den abgesicherten modus, bekomme dort aber antivir nicht zum laufen. im abgesicherten modus funzt meine maus nicht und über die tastatur hab ich's bisher nicht geschafft einen suchlauf mit antivir zu starten. irgendwelche tips? und: kann ich mir irgendwelche progs/tools oder sowat auf meinen usb-stick laden um dann zuhause meinen rechner zu checken? avenger, hijackthis und ccleaner hab ich noch auf dem rechner - trau mich aber nicht mehr online zu gehen mit der verseuchten kiste...^^ bin also zuhause grad nicht online, kann durchaus ne weile dauern, bis ich eure antworten lese - ich werde sie aber definitiv lesen und hoffe auf eure hilfe...  gruss ================================ AntiVir PersonalEdition Classic Erstellungsdatum der Reportdatei: Mittwoch, 6. Juni 2007 16:12 Es wird nach 802392 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 1) [5.1.2600] Benutzername: Administrator Computername: YOUR-W9BSL6QZH8 Versionsinformationen: BUILD.DAT : 247 14437 Bytes 10.05.2007 11:52:00 AVSCAN.EXE : 7.0.4.15 282664 Bytes 21.04.2007 15:57:09 AVSCAN.DLL : 7.0.4.0 41000 Bytes 21.04.2007 15:57:09 LUKE.DLL : 7.0.4.11 143400 Bytes 21.04.2007 15:57:10 LUKERES.DLL : 7.0.4.0 10792 Bytes 21.04.2007 15:57:10 ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 07:15:44 ANTIVIR1.VDF : 6.38.1.170 5569024 Bytes 21.05.2007 17:36:15 ANTIVIR2.VDF : 6.38.1.200 169472 Bytes 29.05.2007 14:54:57 ANTIVIR3.VDF : 6.38.1.218 98816 Bytes 01.06.2007 17:35:58 AVEWIN32.DLL : 7.4.0.29 2478592 Bytes 30.05.2007 17:40:19 AVWINLL.DLL : 1.0.0.7 14376 Bytes 21.04.2007 15:57:09 AVPREF.DLL : 7.0.2.1 24616 Bytes 21.04.2007 15:57:09 AVREP.DLL : 7.0.0.1 155688 Bytes 21.04.2007 15:57:11 AVPACK32.DLL : 7.3.0.10 360488 Bytes 30.05.2007 17:40:20 AVREG.DLL : 7.0.1.2 31784 Bytes 21.04.2007 15:57:09 AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 21.04.2007 15:57:08 AVARKT.DLL : 1.0.0.17 278568 Bytes 09.05.2007 12:48:44 NETNT.DLL : 7.0.0.0 7720 Bytes 21.04.2007 15:57:10 RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 21.04.2007 15:57:01 RCTEXT.DLL : 7.0.45.0 86056 Bytes 21.04.2007 15:57:02 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Manuelle Auswahl Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\AntiVir PersonalEdition Classic\PROFILES\folder.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: aus Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, Durchsuche Speicher..............: ein Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Mittwoch, 6. Juni 2007 16:12 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wpabaln.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehRec.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svshost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehSched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'devldr32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '24' Prozesse mit '24' Modulen durchsucht Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '7' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\msecu.exe --> urlx.exe [FUND] Ist das Trojanische Pferd TR/KillApp.V.1 --> bku.exe [FUND] Ist das Trojanische Pferd TR/Click.VB.QW.1 [INFO] Die Datei wurde gelöscht. C:\nzlrs.exe --> urlx.exe [FUND] Ist das Trojanische Pferd TR/KillApp.V.1 --> bku.exe [FUND] Ist das Trojanische Pferd TR/Click.VB.QW.1 [INFO] Die Datei wurde gelöscht. C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\02NFZXOI\bun[1].exe --> urlx.exe [FUND] Ist das Trojanische Pferd TR/KillApp.V.1 --> bku.exe [FUND] Ist das Trojanische Pferd TR/Click.VB.QW.1 [INFO] Die Datei wurde gelöscht. C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KG9MRNJ2\bun[1].exe --> urlx.exe [FUND] Ist das Trojanische Pferd TR/KillApp.V.1 --> bku.exe [FUND] Ist das Trojanische Pferd TR/Click.VB.QW.1 [INFO] Die Datei wurde gelöscht. Ende des Suchlaufs: Mittwoch, 6. Juni 2007 16:38 Benötigte Zeit: 26:59 min Der Suchlauf wurde vollständig durchgeführt. 3232 Verzeichnisse wurden überprüft 115293 Dateien wurden geprüft 8 Viren bzw. unerwünschte Programme wurden gefunden 0 davon wurden als verdächtig eingestuft 4 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 115285 Dateien ohne Befall 973 Archive wurden durchsucht 2 Warnungen 7 Hinweise 0 Versteckte Objekte wurden gefunden ================================================ Logfile of HijackThis v1.99.1 Scan saved at 16:47:14, on 06.06.2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS.0\System32\smss.exe C:\WINDOWS.0\system32\winlogon.exe C:\WINDOWS.0\system32\services.exe C:\WINDOWS.0\system32\lsass.exe C:\WINDOWS.0\system32\svchost.exe C:\WINDOWS.0\System32\svchost.exe C:\WINDOWS.0\Explorer.EXE C:\WINDOWS.0\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS.0\ehome\ehtray.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS.0\System32\ctfmon.exe C:\WINDOWS.0\System32\devldr32.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS.0\ehome\ehSched.exe C:\WINDOWS.0\system32\svshost.exe C:\WINDOWS.0\ehome\ehmsas.exe C:\WINDOWS.0\System32\wpabaln.exe C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe C:\WINDOWS.0\System32\notepad.exe C:\Dokumente und Einstellungen\Administrator.YOUR-W9BSL6QZH8\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alice-dsl.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de O2 - BHO: (no name) - {08C134D3-087C-4139-A98C-3A078358DFDE} - C:\WINDOWS.0\System32\nnnkjkh.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.0\System32\msdxm.ocx O4 - HKLM\..\Run: [ehTray] C:\WINDOWS.0\ehome\ehtray.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SYSTEM] winmgrd.exe O4 - HKLM\..\RunServices: [SYSTEM] winmgrd.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\System32\ctfmon.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS.0\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS.0\web\related.htm O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O20 - Winlogon Notify: nnnkjkh - C:\WINDOWS.0\SYSTEM32\nnnkjkh.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Remote Events Manager - Unknown owner - C:\WINDOWS.0\system32\svshost.exe ================================================ | |
|
Antwort 1 von Sir Reklov am 07.06.2007 Zitat nun musste ich windoof neu installieren Das ist ein Gerücht.... Zitat und seitdem geht wieder Das war abzusehen... Was du gemacht hast ,war keine Neuinstallation. Du hast nur Windows drübergebügelt.... Also nix mit "windoof" ,besser passt "Userdoof"...  Zu erkennen ist dein Gemurkse daran : Zitat C:\WINDOWS.0\ C:\WINDOWS.0\ C:\WINDOWS.0\ C:\WINDOWS.0\ C:\WINDOWS.0\ Dazu fehlt das SP 2.... Zitat im abgesicherten modus einen viren-scan machen. ich komm zwar in den abgesicherten modus, bekomme dort aber antivir nicht zum laufen. im abgesicherten modus funzt meine maus nicht Das ist bei einer "Schnurlos-Maus" bzw. "USB-Maus" auch vollkommen richtig. Zitat und über die tastatur hab ich's bisher nicht geschafft einen suchlauf mit antivir zu starten. Tja...Mäuse schubsen kann jeder... Der wahre Könner zeigt sich erst am DOS Prompter.... Zitat irgendwelche tips? Wenn du mit den Pfeiltasten nicht zurecht kommst,nimm eine ganz gewöhnliche Maus.Sollte bei deiner Grundausstattung dabei gewesen sein,in den "Blöd"-Märkten gibt es die für nen Appel und ein Ei....  Mach eine Neuinstallation nach dieser Anleitung : http://www.trojaner-board.de/12154-anleitung-neuaufsetzen-des-systems-und-anschliessende-absicherung.html Es ist die beste und leichtverständlichste ,die ich kenne.... Ohne Service Pack 2 ist aber auch damit nix zu gewinnen... Du wirst,ohne SP 2, in Minutenschnelle wieder deine Kiste verseucht haben....Übrigens ...hast du mindestens zwei Spione an Bord... Das zeigt dein Log.Daher auch die Meldungen. Dieses kannst du so oft löschen lassen wie du willst,nach einem Neustart sind die wieder aktiv... So wie deine Kiste jetzt aussieht,wirst du damit nicht mehr froh.... Entweder bekommst du durch dein "Windows drüberbügeln" kryptische Fehlermeldungen..... Oder du wirst durch deine "Spione" zur Malwareschleuder.. Sir Reklov | |
|
Antwort 2 von 75klaus * am 07.06.2007  werd mich dann mal daran versuchen und euch hoffentlich irgendwann berichten, das der rechner wieder läuft...^^ | |
| « zurück | Antworten |
