Con♂️♀️r.Z.30 +geänderte registry

Dieses Thema im Forum "Viren, Trojaner & Malware" wurde erstellt von LORD1337, 22. Juni 2010 .

Schlagworte:
  1. 22. Juni 2010
    Hey leute hab n Progblem..
    undzwar denke ich das ich mir den "WORM/Con♂️♀️r.Z.30' [worm]." über die schule eingefangen habe, hab auch schon ein "con♂️♀️r-remove-toll" durchlaufen lassen, hat aba alles nicht so geklappt, hab auch eine antivir-rescue Live-CD durchlaufen lassen...
    naja aufjedenfall ist er immernoch nicht runter^^
    und zur meiner registry -_- ich kann unter Extras-->Ordneroptionen den Menüpunkt versteckte Dateien und Ordner Anzeigen nicht aktiviren..
    ich kann ja zwar n haken machen, aba wenn ich auf Übernehmen und OK klicke, ändert sich nix

    und hier mal mein HJT log
    Spoiler
    Logfile of Trend Micro HijackThis v2.0.4
    Scan saved at 18:00:29, on 22.06.2010
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    D:\Programme\Avira\AntiVir Desktop\sched.exe
    C:\WINDOWS\Explorer.EXE
    D:\Programme\Avira\AntiVir Desktop\avguard.exe
    C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
    D:\Programme\Avira\AntiVir Desktop\avgnt.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\WINDOWS\system32\ctfmon.exe
    D:\Programme\Avira\AntiVir Desktop\avshadow.exe
    C:\WINDOWS\system32\netdde.exe
    D:\Programme\Java\jre6\bin\jqs.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\Windows Live\Messenger\msnmsgr.exe
    C:\Dokumente und Einstellungen\Christian\Desktop\syscl3@n\syscl3@n.com
    C:\Dokumente und Einstellungen\Christian\Desktop\syscl3@n\8nu6e4n.bin
    C:\Dokumente und Einstellungen\Christian\Desktop\syscl3@n\VSCANTM.BIN
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Dokumente und Einstellungen\Christian\Desktop\HiJackThis204.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
    O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programme\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe Reader\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
    O4 - HKLM\..\Run: [LogMeIn Hamachi Ui] "D:\Programme\Hamachi2\hamachi-2-ui.exe" --auto-start
    O4 - HKLM\..\Run: [DivXUpdate] "C:\Programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: Verknüpfung mit Ruhezeit aktivieren.lnk = C:\Dokumente und Einstellungen\Christian\Desktop\Sonstiges\Ruhezeit aktivieren.bat
    O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) -
    O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} (Java Plug-in 1.6.0_13) -
    O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} (Java Plug-in 1.6.0_15) -
    O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} (Java Plug-in 1.6.0_16) -
    O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} (Java Plug-in 1.6.0_17) -
    O16 - DPF: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} (Java Plug-in 1.6.0_19) -
    O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
    O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
    O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - D:\Programme\Hamachi2\hamachi-2.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Programme\Java\jre6\bin\jqs.exe
    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
    O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe

    --
    End of file - 6489 bytes

    danke schonmal in vorraus, BW is kla
    // gegooglet hab ich auch schon nach dem problem mit den versteckten dateien
     
    + Multi-Zitat Zitieren
  3. 22. Juni 2010
    AW: Con♂️♀️r.Z.30 +geänderte registry

    Combofix macht es weg: Combofix

    Direkter Link zum Download: http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    Falls combofix nicht öffnet dann einfach zu combofix1.exe umbennen und wenns immernoch net klappt im abgesicherten modus

    Schalte den AntiVirus aus und restlichen scheiß. Hat bei mir eig. alles Bösartige entfernt. Funktioniert nur mit Windows XP ansonsten schrottet es dir den pc ^^

    Edit: Nicht haken und ok, sondern haken und fix it klicken (oder was auch immer da steht).
     
    + Multi-Zitat Zitieren
  4. 22. Juni 2010
    AW: Con♂️♀️r.Z.30 +geänderte registry

    falls das auf meine "haken-sache" bezogen ist, ich habe nicht von HJT sondern vom windows fenster "OK" und "übernehmen" gesprochen^^
    // der wurm is immanoch da
     
    + Multi-Zitat Zitieren
  5. 23. Juni 2010
    AW: Con♂️♀️r.Z.30 +geänderte registry

    Probiere mal:

    McAfee Inc.
    http://data2.kaspersky-labs.com:8080/special/KKiller_v3.4.1.zip
    http://www.trendmicro.com/ftp/products/pattern/spyware/fixtool/SysClean-WORM_DOWNAD.zip
    oder von microsoft persönlich:
    Download Malicious Software Removal Tool from Official Microsoft Download Center

    Der erste Link müsste aber schon langen
     
    + Multi-Zitat Zitieren
  6. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.

Auf dieses Thema antworten