Trojaner...bitte um hilfe

[Nikita]

poste das neue Log vom HijackThis

+
das log vom winpfind
http://virus-protect.org/winpfind.html

[DeeKay]

p
command C:\PROGRA~1\Telekom\EUMEX5~1\Capictrl.exe
item CAPIControl

[Nikita]

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{C2996206-A25B-4062-98BC-BA9128B14A52}"=-
"{609368C8-82FD-4DB3-9E3A-2593112D7E34}"=-
"{DBDD9AB1-6E7B-4A64-8AAD-FFDDC15B6917}"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"{6429089A-0BB0-1031-0822-050509090031}"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System]
"DisableRegistryTools"=-

Avenger:

Files to delete:

C:\Programme\Gemeinsame Dateien\{E043B8CF-0708-1031-0827-040403110031}\services.dll
C:\Programme\Gemeinsame Dateien\{E043B8CF-0708-1031-0827-040403110031}\Update.exe
C:\WINDOWS\system32\dhnlobby.dll
C:\WINDOWS\system32\epcapi.dll
C:\WINDOWS\system32\ghmf32.dll

*
poste das log vom avenger
*
poste noch mal das log von winpfind

[DeeKay]

»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder.
Scan completed on 21.07.2006 04:14:02

[Nikita]

das sieht schon mal ganz gut aus...

1.
Gehe in die Registry
Start - Ausfuehren - regedit

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System
DisableRegistryTools <--loeschen

PC neustarten

2.
mache einen Onlinescan mit Panda und poste den scanreport
http://virus-protect.org/onlinescan.html

[DeeKay]

Incident Status Location

Adware:adware/dollarrevenue Not disinfected c:\windows\keyboard1.dat
Adware:adware/sidesearch Not disinfected Windows Registry

[Nikita]

1.
loeschen: c:\windows\keyboard1.dat

2.
F-Secure Online Scanner Next Generation Beta
http://support.f-secure.com/enu/home/ols3.shtml

1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta".
2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren
3. Installiere diese ActiveX-Komponente
4. Lies die Anleitung und klicke: "Accept"
5. Klicke "Full System Scan"
6. klicke "Show report" - kopiere den Scanreport

[DeeKay]

Scanning type: Scan system for viruses, rootkits, spyware
Target: C:\


--------------------------------------------------------------------------------

Result: 29 malware found
Tracking Cookie (spyware)
System (Disinfected)
System
System
System
System
System
System
System
System
System
System
System
System
System
System
System
System
System
System
System
System
System
System
System
System
System
Trojan-Downloader.MSIL.Agent.a (virus)
C:\DOKUMENTE UND EINSTELLUNGEN\dee\DOCTORWEB\QUARANTINE\A0018607.EXE (Renamed)
Trojan.Win32.Scapur.k (virus)
C:\DOKUMENTE UND EINSTELLUNGEN\Dee\DOCTORWEB\QUARANTINE\A0018609.EXE (Renamed)
W32/DLoader.ZXZ (virus)
C:\DOKUMENTE UND EINSTELLUNGEN\Dee\DOCTORWEB\QUARANTINE\A0018608.EXE

--------------------------------------------------------------------------------

Statistics
Scanned:
Files: 20696
System: 4121
Not scanned: 6
Actions:
Disinfected: 1
Renamed: 2
Deleted: 0
None: 26
Submitted: 0
Files not scanned:
C:\HIBERFIL.SYS
C:\PAGEFILE.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\VAXSCSI.SYS
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
C:\DOKUMENTE UND EINSTELLUNGEN\dee\LOKALE EINSTELLUNGEN\TEMP\HSPERFDATA_dee\340

***

auto:blank kommt immernoch wen ich explorer öffne

[Nikita]

neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
--------------------------------------------------------------------------------------------------------

1.
scanne mit ewido (Online) und poste den report
http://virus-protect.org/onlinescan.html

2.
CWShredder
http://virus-protect.org/antispytools.html
Während des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!

* Doppelklick CWShredder.exe
* Klick "Fix ->" und klick "OK"
* CWShredder scannen lassen
* Click "Next->" und dann "Exit".
* Log-->"make Report"--> bitte posten

[DeeKay]

www.internetcologne.de
IEOPT: [Search Page] http://www.microsoft.com/isapi/redir.dl ... r=iesearch

[Nikita]

Start > Ausfuehren --> reinschreiben --> cmd.exe
und ok. kopiere rein und poste alles, was im Texteditor erscheint

Code: Alles auswählen

dir /s /a "c:\ΑppPatch*.*" > c:\find.txt & start notepad c:\find.txt

[DeeKay]

Datentr„ger in Laufwerk C: ist 439483
Volumeseriennummer: 6429-089A

Verzeichnis von c:\WINDOWS

13.07.2006 14:46 <DIR> ?ppPatch
0 Datei(en) 0 Bytes

Anzahl der angezeigten Dateien:
0 Datei(en) 0 Bytes
1 Verzeichnis(se), 137.376.813.056 Bytes frei

[Nikita]

suche nach Datum und loesche:

Verzeichnis von c:\WINDOWS

13.07.2006 14:46 <DIR> .....ppPatch

pass auf, dass du nicht das Falsche loeschst, das Fragezeichen, was hier im Browser erscheint sind in Wirklichkeit ...kryptische Zeichen

Beispiel:

[DeeKay]

ist gelöscht...
wie sieht das denn jetzt aus, kann ich nicht die trojaner löschen die bei mir unter qurantäne stehen? und dise ganzen cookies da auch?

[Nikita]

die Cookies kannst du loeschen und die Quarantaenen und backups vom Avenger.
uebrigens...wie geht es dem Rechner ? Besser ?