Druckversion des Themas

Geschrieben von: debeemes 25.08.2008, 20:01

Hallo!

Habe mir irgendwie dieses bescheuerte antivir xp 2008 eingefangen. Bei "members.linzag.net" wurde mir empfohlen, den logfile über HiJackThis zu speichern und hier im Forum zu posten. Ich hoffe, ich bin an der richtigen Stelle gelandet.
Hier ist der logfile. Ich hoffe, jemand kann mir helfen.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:33:59, on 25.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\lphc7p7j0evfv.exe
C:\Programme\rhc3p7j0evfv\rhc3p7j0evfv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
C:\Programme\Pinnacle\TVCenter Pro\PMCLoader.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\USB Sharing\usbshare.exe
C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\pphc7p7j0evfv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Hijackthis\HiJackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hansenet.de
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\oembios.exe,
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: amazon - {84B94901-3645-4D80-A6B7-4D0050B19455} - E:\Downloads\Preispiraten4\IEButtonAmazonInterface.dll (file missing)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O2 - BHO: eBay - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - E:\Downloads\Preispiraten4\IEButtonEbayInterface.dll (file missing)
O2 - BHO: Preispiraten 4 - {E9E027BF-C3F3-4022-8F6B-8F6D39A59684} - E:\Downloads\Preispiraten4\IEButtonPPInterface.dll (file missing)
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [lphc7p7j0evfv] C:\WINDOWS\system32\lphc7p7j0evfv.exe
O4 - HKLM\..\Run: [SMrhc3p7j0evfv] C:\Programme\rhc3p7j0evfv\rhc3p7j0evfv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [PMCRemote] C:\Programme\Pinnacle\Shared Files\\Programs\Remote\Remoterm.exe
O4 - HKCU\..\Run: [PMCLoader] C:\Programme\Pinnacle\TVCenter Pro\PMCLoader.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O4 - Global Startup: USB Sharing.lnk = ?
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - E:\\Downloads\\Preispiraten4\\preispiraten.html
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/

Geschrieben von: rock 25.08.2008, 20:07

systemwiederherstellung deaktivieren, alle einträge mit dem inhalt lphc7p7j0evfv .exe fixen! start in den abgesicherten modus, temporäre dateien löschen, temp ordner leeren (am besten das tool ccleaner verwenden) , pc neustart.

nochmal scannen_________funde? wo gemeldet?

Geschrieben von: debeemes 25.08.2008, 20:17

Danke für die Antwort. Leider habe ich zuwenig Computerkenntnisse, um damit wirklich etwas anfangen zu können. Systemwiederherstellung funktioniert sowieso nicht. Wie ich etwas "fixe" weiß ich nicht, es sei denn, das heißt "löschen".
Auf "members.linzag.net" steht, in einem dieser support-foren könnte sich jemand das logfile ansehen und mir sagen, welche Dateien ich löschen muss, um Antivir xp 2008 zu entfernen.

Tja, bin leider immer noch ziemlich ratlos.

Geschrieben von: hypnosekroete 25.08.2008, 20:24

Naja, ein HJT-Log haste ja schonmal hinbekommen....

Mit "Fixen" meint rock das "Reparieren" entsprechender Einträge aus dem HJT-Log, das machst Du passenderweise mit HJT selbst.
Du musst im Fenster von HJT das Kästchen vor dem Eintag anhacken und dann unten "Fix checked" drücken, habs Dir mal gelb angemalt...

[Huch, Bilder-Upload funktioniert nicht ? ? ? - Deshalb gerade leider kein Bild, sry]

Bei Dir wären das die Einträge:

Danach zusätzlich nochmal über die normale Windows-Suche (hier versteckte und Systemdateien mit einbeziehen) nach erstens: *pphc7p7j0evfv* und zweitens *rhc3p7j0evfv* (mit den Sternchen!) suchen und entsprechende Dateien Löschen, ebenso das Verzeichnisb "C:\Programme\rhc3p7j0evfv\rhc3p7j0evfv.exe" und seinen gesamten Inhalt.

In C:\ befindet sich noch eine *.tmp-Datei, die eine (meist einstellige) Zahl als Dateinamen hat (hab 1.tmp, 3.tmp, 4.tmp und 5.tmp bisher gesehen): 'Auch Löschen.

Wenn an irgendeinem Punkt gemeckert wird, das eine Datei nicht gelöscht werden kann weil sie noch in Benutzung ist: Mit "Strg-Alt-Entf" den Taskmanager öffnen und die Prozesse "lphc7p7j0evfv.exe" und rhc3p7j0evfv.exe und einen evt. vorhandenen 1/2/4/5.tmp-Prozess (es sind nicht immer alle vorhanden) beenden, danach das Löschen fortsetzen, danach den Papierkorb leeren.

Falls alles bis hierher gut gelaufen sein sollte, spätestens jetzt die Prozesse wie oben beschrieben killen, neu starten, dann Avira drüberlaufen lassen und ein neues HJT-Log hier posten...

Have Fun.

Geschrieben von: Rios 25.08.2008, 20:24

Mach es so wie ich dir schrieb

Geschrieben von: Rene-gad 25.08.2008, 20:53

@debeemes
Der HJT Log ist unvollständig. Bitte den kompletten Log posten, evtl. auf 2 od. mehreren Beiträge aufgeteilt.
@ll
Fixen nutzt nichts - es werden nur die Registry-Einträge entfernt. Es müssen die Dateien

gelöscht werden.
Und davon gibt es noch ein paar Screensaver, die im HJT-Log gar nicht auftauchen.

Geschrieben von: raman 25.08.2008, 21:25

Wie bei fast allem: Nutz mal Combofix:

Downloade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichere es auf den Desktop
Danach schliesse alle Fenster, deaktiviere alle Hintergrundwaechter (AV und z.B. Spybots Tea-Timer) starte die combofix.exe, lies die Informationen auf den auftauchenden Fenstern und beantworte sie danach mit Ja.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen
Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinen Thread einfuegen.
http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

Geschrieben von: debeemes 25.08.2008, 21:42

Hallo!

Ich habe jetzt die verschiedenen angegebenen Dateien gelöscht, einen Neustart gemacht und lasse jetzt Avira laufen. Es ist jetzt bei knapp 50% und hat bis jetzt nichts Auffälliges gefunden. Das ist schon mal viel besser, als vorher. Das Ende des Scans kann ich leider nicht abwarten, weil ich morgen arbeiten und dafür ausgeschlafen sein muss.
Daher kann ich alle weiteren Schritte erst morgen machen. Dann poste ich aber nochmal ein neues (und hoffentlich bereinigtes) Logfile.

Vielen Dank erstmal bis hierhin für alle Tipps!
Und Gute Nacht.

Geschrieben von: debeemes 25.08.2008, 22:02

Nun bin ich doch noch da. Und Avira ist fertig. Hat nichts gefunden. Ob ich hoffen darf???

Hier nochmal der neue Logfile. Jetzt hoffentlich auch vollständig.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:57:49, on 25.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
C:\Programme\Pinnacle\TVCenter Pro\PMCLoader.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\USB Sharing\usbshare.exe
C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Hijackthis\HiJackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hansenet.de
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\oembios.exe,
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: amazon - {84B94901-3645-4D80-A6B7-4D0050B19455} - E:\Downloads\Preispiraten4\IEButtonAmazonInterface.dll (file missing)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O2 - BHO: eBay - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - E:\Downloads\Preispiraten4\IEButtonEbayInterface.dll (file missing)
O2 - BHO: Preispiraten 4 - {E9E027BF-C3F3-4022-8F6B-8F6D39A59684} - E:\Downloads\Preispiraten4\IEButtonPPInterface.dll (file missing)
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [PMCRemote] C:\Programme\Pinnacle\Shared Files\\Programs\Remote\Remoterm.exe
O4 - HKCU\..\Run: [PMCLoader] C:\Programme\Pinnacle\TVCenter Pro\PMCLoader.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O4 - Global Startup: USB Sharing.lnk = ?
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - E:\\Downloads\\Preispiraten4\\preispiraten.html
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuit

Geschrieben von: debeemes 25.08.2008, 22:05

Doppelter Eintrag. Habe ich gelöscht.

Geschrieben von: debeemes 25.08.2008, 22:06

Ich sehe gerade, dass der Logfile nicht vollständig ist. Hier folgt noch der Rest:


O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hansenet.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1145640153796
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7047 bytes

Geschrieben von: hypnosekroete 26.08.2008, 06:45

Zumindest das Logfile ist wieder "sauber"....

Was sagt Avira?

Geschrieben von: Rene-gad 26.08.2008, 10:31

Das nicht:

@debeemes
Folge bitte dem Link: http://freenet-homepage.de/rene-gad/AVZ/AVZAnleitung.html

Geschrieben von: citro 26.08.2008, 12:14

@Rene-gad

HI,

Zwischenfrage: welche Engine benützt AVZ ?

An wen werden die Malwaredateien gesendet ?

http://virusinfo.info/upload_virus_eng.php

Geschrieben von: Rene-gad 26.08.2008, 12:46

Den eigenen - von Oleg Saitsew ©

An KL

Geschrieben von: citro 26.08.2008, 12:55

Danke

Geschrieben von: Rene-gad 26.08.2008, 13:14

Gern geschehen

Geschrieben von: debeemes 26.08.2008, 19:16

Hallo mal wieder!

Rene-gad: Habe die Zeile, die du angegeben hast auch gelöscht. Danke.

Avira kann im Moment nichts Schlimmes finden, ich gehe also erstmal davon aus, dass erstmal alles sauber ist. Hoffentlich bleibt es so. Ich weiß nämlich gar nicht, wie ich mir den Trojaner überhaupt geholt habe. Im Allgemeinen klicke ich nicht einfach mal schnell irgendwelche Installationsanfragen oder ähnliches an. Naja.

Vielen Dank an alle jedenfalls!

Geschrieben von: Rene-gad 27.08.2008, 09:32

Es ging gar nicht um die Zeile, sondern um die Datei C:\WINDOWS\system32\oembios.exe - die muss nämlich entfernt werden.
Außerdem. Es ist nicht ausgeschlossen, dass die Datei C:\WINDOWS\system32\userinit.exe verändert wurde.

Geschrieben von: klaus_ue 27.08.2008, 09:37

@debeemes: Befolge doch den Tipp vor raman http://www.rokop-security.de/index.php?s=&showtopic=17319&view=findpost&p=246126