Virus Keylogger.Cone.Trojan bekomm ihn einfach nicht weg


  • nirvana019
  • 1844 Aufrufe 15 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Virus Keylogger.Cone.Trojan bekomm ihn einfach nicht weg

    So Leute, hab mir hier im Forum aus der APPZ Kategorie was downgeloadet, und um es zu installieren musste ich die Firewall abschalten! Da ja sonst ne Fehlermeldung kommt.

    Nun hab ich frisch und froh nen Keylogger auf meinem PC und ich bekomm den Scheiß nicht weg.

    Hab Norton Antivirus und heute auch BitDefender 8 Professional Plus downgeloadet, aber er bleibt immer wieder.

    Bei Norton kommt ne Viruswarnmeldung (pop up) wo steht:

    Norton AntiVirus hat einen Virus auf Ihrem Computer gefunden und ihn entfernt.
    Details:
    Objektname: C:\WINDOWS\TEMP\tmp154.tmp
    Virenname: Keylogger.Cone.Trojan
    Aktion: Die Datei wurde automatisch gelöscht.

    ICH MUSS JETZT MIT OK BESTÄTIGEN!

    und gleich danach kommt das nächste pop up! Es steht das selbe wie im ersten mit der Ausnahme das der Objektname nun C:\WINDOWS\TEMP\tmp155.tmp heißt.
    Soll heißen es springt immer um eins weiter.

    Kommt Leute, bitte helft mir, bin schon total verzweifelt.

    :(

  • Also grundsätzlich würde ich erstmal die Verbindung vom Internet trennen ;)
    So, dann solltest du sicherheitshalber alle Systemwiederherstellungspunkte löschen (Rechtsklick auf Arbeitsplatz->Eigenschaften->Systemweiderherstellung und dort Häkchen bei "Systemwiederherstellung auf allen Laufwerken deaktivieren). Danach in den Abgesicherten Modus starten (Während dem Botten F8 drücken und dann Abgesicherten Modus wählen) Wenn du dort drinnen bist, den ganzen Temp Ordner (bzw. der Inhalt des Ordners) löschen und dann neustarten. Er müsste dann weg sein.

    mfG
    CrYstaLX

    *edit*
    Es wäre auch hilfreich (für uns und dich) wenn du uns dein Logfile von Hijackthis posten könntest!
    Du kannst das Programm unter hxxp://w³.hijackthis.de -> Direktdownload runterladen.

    Das Programm müsste automatisch ein Logfile erstellen, dieses dann bitte hier reinkopieren!

  • Hier eine Beschreibung von Symantec (unten Tipps zur Entfernung):

    Keylogger.Cone.Trojan will usually arrive as an attachment to an email, luring you to execute it.

    Once activated, Keylogger.Cone.Trojan does the following:

    1. Displays a message box as follows:

    Title: xxxx Extranal Safety Evaluation Program
    Message:
    Evaluation sucessfully completed
    Thank you for your cooperation
    Report will follow soon.

    2. Creates the following files:
    * %System%\bpk.bin
    * %System%\rinst.dat
    * %System%\Win Host Process.exe
    * %System%\Win Host Processhk.dll
    * %System%\WIN HOST PROCESSr.exe
    * %System%\Win Host Processwb.dll

    3. Creates the value:

    "WIN HOST PROCESS"="%system%\WIN HOST PROCESS.EXE"

    in the registry key:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    4. Registers "Win Host Preocsswb.dll" as an IE browser helper object, by creating the registry keys:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Explorer\Browser Helper Objects\{1E1B2879-88FF-11D3-8D96-D7ACAC95951A}
    HKEY_LOCAL_MACHINE\CLASSES\CLSID\
    {1E1B2879-88FF-11D3-8D96-D7ACAC95951A}
    HKEY_LOCAL_MACHINE\CLASSES\Interface\{1E1B2879-88FF-11D3-8D96-
    D7ACAC95951A}
    HKEY_LOCAL_MACHINE\CLASSES\TypeLib\{1E1B2879-88FF-11D3-8D96-
    D7ACAC95951A}
    HKEY_LOCAL_MACHINE\CLASSES\PK.IE.1
    HKEY_LOCAL_MACHINE\CLASSES\PK.IE


    Together these components monitor keystrokes and mouse movements on your computer. Then, this information is sent every four hours to geo@swissops.com, through smtp.swissops.com.

    recommendations

    Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

    * Turn off and remove unneeded services. By default, many operating systems install auxiliary services that are not critical, such as an FTP server, telnet, and a Web server. These services are avenues of attack. If they are removed, blended threats have less avenues of attack and you have fewer services to maintain through patch updates.
    * If a blended threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
    * Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
    * Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
    * Configure your email server to block or remove email that contains file attachments that are commonly used to spread viruses, such as .vbs, .bat, .exe, .pif and .scr files.
    * Isolate infected computers quickly to prevent further compromising your organization. Perform a forensic analysis and restore the computers using trusted media.
    * Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.

    removal instructions

    The following instructions pertain to all current and recent Symantec antivirus products, including the Symantec AntiVirus and Norton AntiVirus product lines.

    1. Disable System Restore (Windows Me/XP).
    2. Update the virus definitions.
    3. Restart the computer in Safe mode or VGA mode.
    4. Reverse the changes that the Trojan made to the registry.
    5. Run a full system scan and delete all the files detected as Keylogger.Cone.Trojan.


    For details on each of these steps, read the following instructions.

    1. Disabling System Restore (Windows Me/XP)
    If you are running Windows Me or Windows XP, we recommend that you temporarily turn off System Restore. Windows Me/XP uses this feature, which is enabled by default, to restore the files on your computer in case they become damaged. If a virus, worm, or Trojan infects a computer, System Restore may back up the virus, worm, or Trojan on the computer.

    Windows prevents outside programs, including antivirus programs, from modifying System Restore. Therefore, antivirus programs or tools cannot remove threats in the System Restore folder. As a result, System Restore has the potential of restoring an infected file on your computer, even after you have cleaned the infected files from all the other locations.

    Also, a virus scan may detect a threat in the System Restore folder even though you have removed the threat.

    For instructions on how to turn off System Restore, read your Windows documentation, or one of the following articles:

    * "How to disable or enable Windows Me System Restore"
    * "How to turn off or turn on Windows XP System Restore"


    For additional information, and an alternative to disabling Windows Me System Restore, see the Microsoft Knowledge Base article, "Antivirus Tools Cannot Clean Infected Files in the _Restore Folder," Article ID: Q263455.

    2. Updating the virus definitions
    Symantec Security Response fully tests all the virus definitions for quality assurance before they are posted to our servers. There are two ways to obtain the most recent virus definitions:

    * Running LiveUpdate, which is the easiest way to obtain virus definitions: These virus definitions are posted to the LiveUpdate servers once each week (usually on Wednesdays), unless there is a major virus outbreak. To determine whether definitions for this threat are available by LiveUpdate, refer to the Virus Definitions (LiveUpdate).
    * Downloading the definitions using the Intelligent Updater: The Intelligent Updater virus definitions are posted on U.S. business days (Monday through Friday). You should download the definitions from the Symantec Security Response Web site and manually install them. To determine whether definitions for this threat are available by the Intelligent Updater, refer to the Virus Definitions (Intelligent Updater).

    The Intelligent Updater virus definitions are available: Read "How to update virus definition files using the Intelligent Updater" for detailed instructions.


    3. Restarting the computer in Safe mode or VGA mode

    * For Windows 95, 98, Me, 2000, or XP users, restart the computer in Safe mode. For instructions, refer to the document, "How to start the computer in Safe Mode."
    * For Windows NT 4 users, restart the computer in VGA mode.



    4. Reversing the changes made to the registry

    CAUTION: Symantec strongly recommends that you back up the registry before making any changes to it. Incorrect changes to the registry can result in permanent data loss or corrupted files. Modify the specified keys only. Read the document, "How to make a backup of the Windows registry," for instructions.

    1. Click Start, and then click Run. (The Run dialog box appears.)
    2. Type regedit

    Then click OK. (The Registry Editor opens.)

    3. Navigate to the key:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    4. In the right pane, delete the value:

    "WIN HOST PROCESS"="%system%\WIN HOST PROCESS.EXE"

    5. Navigate to and delete the following keys:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
    Browser Helper Objects\{1E1B2879-88FF-11D3-8D96-D7ACAC95951A}
    HKEY_LOCAL_MACHINE\CLASSES\CLSID\{1E1B2879-88FF-11D3-8D96-D7ACAC95951A}
    HKEY_LOCAL_MACHINE\CLASSES\Interface\{1E1B2879-88FF-11D3-8D96-
    D7ACAC95951A}
    HKEY_LOCAL_MACHINE\CLASSES\TypeLib\{1E1B2879-88FF-11D3-8D96-
    D7ACAC95951A}
    HKEY_LOCAL_MACHINE\CLASSES\PK.IE.1
    HKEY_LOCAL_MACHINE\CLASSES\PK.IE

    6. Exit the Registry Editor.



    5. Scanning for and deleting the infected files

    1. Start your Symantec antivirus program and make sure that it is configured to scan all the files.
    * For Norton AntiVirus consumer products: Read the document, "How to configure Norton AntiVirus to scan all files."
    * For Symantec AntiVirus Enterprise products: Read the document, "How to verify that a Symantec Corporate antivirus product is set to scan all files."
    2. Run a full system scan.
    3. If any files are detected as infected with Keylogger.Cone.Trojan, click Delete.


    Für die komplette Beschreibung ... securityresponse.symantec.com/…eylogger.cone.trojan.html

    Gruß,

    Michael

  • Post jetzt mal die Logfile, danach probier ich das von CrytalX

    Logfile of HijackThis v1.99.1
    Scan saved at 12:36:38, on 12.07.2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\CTsvcCDA.EXE
    C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
    C:\Programme\Norton AntiVirus\navapsvc.exe
    C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
    C:\Programme\Analog Devices\SoundMAX\Smax4.exe
    C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Programme\Logitech\iTouch\iTouch.exe
    C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
    C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
    C:\Programme\MSN Apps\Updater\01.02.3000.1001\de-at\msnappau.exe
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
    C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
    C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
    C:\Programme\Picasa2\PicasaMediaDetector.exe
    C:\Programme\Google\Gmail Notifier\gnotify.exe
    C:\Programme\Advanced Registry Doctor\RegManServ.exe
    C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
    C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
    C:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
    C:\Programme\Softwin\BitDefender8\bdoesrv.exe
    C:\WINDOWS\System32\tcpsvcs.exe
    C:\PROGRA~1\softwin\BITDEF~1\bdnagent.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
    C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
    C:\Programme\Creative\MediaSource\Detector\CTDetect.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
    C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
    C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
    C:\Programme\Softwin\BitDefender8\vsserv.exe
    C:\WINDOWS\system32\msiexec.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\PROGRA~1\WINZIP\winzip32.exe
    C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = my.freeze.com/start.shtml
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = msn.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = search.msn.de/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = msn.de/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Franzi\Spyware Killer\Spybot - Search & Destroy\SDHelper.dll (file missing)
    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de-at\msntb.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
    O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de-at\msntb.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
    O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
    O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
    O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Franzi\Wichtige Programme\Andere Programme\Desktoptuning\BootSkin\BootSkin.exe" /StartupJobs
    O4 - HKLM\..\Run: [LogonStudio] "C:\Franzi\Wichtige Programme\Andere Programme\Desktoptuning\Logon\LogonStudio\logonstudio.exe" /RANDOM
    O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de-at\msnappau.exe"
    O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
    O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
    O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
    O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
    O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    O4 - HKLM\..\Run: [CloneCDTray] "C:\Dokumente und Einstellungen\Besitzer\Desktop\CloneCD\CloneCDTray.exe" /s
    O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
    O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Programme\Google\Gmail Notifier\gnotify.exe
    O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
    O4 - HKLM\..\Run: [BDMCon] c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
    O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\bdoesrv.exe
    O4 - HKLM\..\Run: [BDNewsAgent] "C:\PROGRA~1\softwin\BITDEF~1\bdnagent.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [my-playlist] "C:\Programme\my-playlist\my-playlist.exe" /Autostart
    O4 - HKCU\..\Run: [CSLauncher] C:\Programme\CS-Launcher\CSLauncher.exe
    O4 - HKCU\..\Run: [SIDEBAR] "C:\Programme\Desktop Sidebar\dsidebar.exe"
    O4 - HKCU\..\Run: [Morpheus] "C:\Programme\StreamCast\Morpheus\Morpheus.exe" -min
    O4 - HKCU\..\Run: [CursorXP] C:\Franzi\Wichtige Programme\Cursor\CursorXP.exe
    O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
    O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
    O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R
    O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: HotDesktop.lnk = C:\Programme\MD-Soft\HotDesktop\HotDesktop.exe
    O4 - Global Startup: hpoddt01.exe.lnk = ?
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: &Save Flash In This Page - C:\PROGRA~1\FLASHS~1.0\save.htm
    O8 - Extra context menu item: Download all by Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
    O8 - Extra context menu item: Download by Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
    O8 - Extra context menu item: Download selected by Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
    O8 - Extra context menu item: Download web site by Free Download Manager - file://C:\Programme\Free Download Manager\dlpage.htm
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
    O9 - Extra button: Flash Saver - {09EA1F80-F40A-11D1-B792-444553540001} - C:\PROGRA~1\FLASHS~1.0\save.htm
    O9 - Extra 'Tools' menuitem: Flash Saver - {09EA1F80-F40A-11D1-B792-444553540001} - C:\PROGRA~1\FLASHS~1.0\save.htm
    O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - go.microsoft.com/fwlink/?linkid=34738&clcid=0x409
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - v5.windowsupdate.microsoft.com…eb_site.cab?1093260066234
    O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab
    O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} (IEPlugIn Class) - install.cokemusic.de/client/pc…T-WEBINSTALLER_loader.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{30CD8DAF-5B10-4DAB-BE2D-C565DA8838EF}: NameServer = 195.3.96.67 195.3.96.68
    O17 - HKLM\System\CS1\Services\Tcpip\..\{30CD8DAF-5B10-4DAB-BE2D-C565DA8838EF}: NameServer = 195.3.96.67 195.3.96.68
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
    O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
    O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
    O23 - Service: Registry Management Service (RegManServ) - Unknown owner - C:\Programme\Advanced Registry Doctor\RegManServ.exe
    O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
    O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
    O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender8\vsserv.exe
    O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

    -------------------------------------------------------

    @ Gwen, ja da war ich auch schon nur mit dem Problem, das die ganzen Reg-Keys bei mir nicht existieren!!!

    und der Abgesicherte Modus geht nicht, ich wehl in zwar aus, dann steht unten in blau Abgesicherter Modus, dann muss ich noch windows xp starten angeben dann kommen ein paar weiße schriften, zu schnell um es lesen zu können, und dann fängt der pc wieder an zu booten und ich müsste das ganze von neuem eingeben, und das geht immer so weiter!!

    Ich dreh noch durch,

    Hab auch noch versucht die TEMP Dateien so zu lösche, geht aber nicht.

  • Dann solltest du nochmal wie ich es in meinem ersten post beschrieben hab, die Systemweiderherstellung deaktivieren und in den Abgesichrten Modus starten.
    Danach startest du nochmals Hijackthis und fixt diese Einträge:
    1. O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Franzi\Spyware Killer\Spybot - Search & Destroy\SDHelper.dll (file missing)
    2. O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
    3. O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
    4. O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
    5. O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
    6. O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
    Aufjedenfall solltest du bei den beren gennaten 2. entfernen! Die anderen sind sachen zum Browser die unnötig sind, daher ist es besser sie gleich zu fixen.

    Bei denn ich mir nicht sicher bin sind folgende:
    1. O4 - HKCU\..\Run: [my-playlist] "C:\Programme\my-playlist\my-playlist.exe" /Autostart
    2. O4 - Global Startup: HotDesktop.lnk = C:\Programme\MD-Soft\HotDesktop\HotDesktop.exe
    3. O4 - Global Startup: hpoddt01.exe.lnk = ?
    4. O8 - Extra context menu item: &Save Flash In This Page - C:\PROGRA~1\FLASHS~1.0\save.htm
    5. O9 - Extra button: Flash Saver - {09EA1F80-F40A-11D1-B792-444553540001} - C:\PROGRA~1\FLASHS~1.0\save.htm
    6. O9 - Extra 'Tools' menuitem: Flash Saver - {09EA1F80-F40A-11D1-B792-444553540001} - C:\PROGRA~1\FLASHS~1.0\save.htm
    7. O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} (IEPlugIn Class) - install.cokemusic.de/client/...LLER_loader.exe
    8. O17 - HKLM\System\CCS\Services\Tcpip\..\{30CD8DAF-5B10-4DAB-BE2D-C565DA8838EF}: NameServer = 195.3.96.67 195.3.96.68
    9. O17 - HKLM\System\CS1\Services\Tcpip\..\{30CD8DAF-5B10-4DAB-BE2D-C565DA8838EF}: NameServer = 195.3.96.67 195.3.96.68


    Hast du z.B. ein Programm selber installiert, dass evtl FlashSaver heißt oder so? Falls nicht, dann die Einträge die "C:\PROGRA~1\FLASHS~1.0\save.htm" enthalten löschen! Den Rest kannst du auch erstmal lassen, wenn du dir sicher bist, dass du sie erstellt hast!

    mfG
    CrYstaLX

  • Also das der PC beim Booten mit dem Abgesicherten Modus "ein paar weiße Schriften" anzeigt, ist normal. Dannach solltest du eigentlich zum Anmeldebildschirm kommen.

    War sicherlich der Perfect Keylogger von Charly-The-Cat, oder ? Deinstalliere diesen auf jeden Fall erstmal.

    Danach nochmal gründlich scannen (Bitdefender 8, Online Scanner und nach Spyware mit Ad-Aware und Spybot Search & Destroy.

  • jo des war er, wollt ihn nicht nennen, aber da du selbst draufgekommen bist....

    eine frage, ich hab jetzt bitdefender 8 pro plus (oder wie der heißt) laufen lassen, und er hat ein paar viren gefunden!

    Trojan.Keylogger.D die hat er alle gelöscht waren sehr viele dateien damit verseucht
    2x Trojan.Dropper.ExeBundle.2.8.6 --> desinfizieren fehlgeschlagen
    2x Trojan.Dropper.Small.Nm.Dam.2 --> verschoben
    4x Virtool.Cracksearcher.A --> desinfizieren fehlgeschlagen + 1x verschieben fehlgeschlagen, sonst immer verschoben!

    So, was soll ich jetzt mit denen machen? Sind die jetzt irgendwo anders, weil ja verschoben steht?

    Und noch was die sehr viele infizierte datein wurden im Norton Antivirus Quarantänte gefunden --> das sind alle .tmp dateien, kann ich die gefahrlos löschen?

    ---------

    Sorry wegen der vielen Fragerei, hatte aber bis jetzt noch nie nen Virus auf meinem PC!

  • so leute, ich dank mal für eure Hilfe, bin ihn endlich los, lass jetzt noch mal Ad-Aware SE, Spybot Search & Destroy und dann nochmal Bitdefender laufen!

    :danke: für eure tipps
    px">



    ------------------

    Was ich noch wissen wollte, kann es sein das mein System jetzt langsamer läuft, oder ist das jetzt nur EInbildung? :confused: