Italienischer Dialer |
|
---|---|
16.10.2006, 20:07
...neu hier
Beiträge: 4 |
|
|
|
17.10.2006, 02:44
Ehrenmitglied
Beiträge: 29434 |
#2
1.
poste dieses log http://virus-protect.org/artikel/tools/combofix.html 2. stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html 3. Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
17.10.2006, 11:44
...neu hier
Themenstarter Beiträge: 4 |
#3
Hallo Sabina,
Es sieht so aus, als hätte CounterSpy letzte Nacht das Problem gelöst, nachdem ich mich endlich entschlossen hatte, die Systemwiederherstellung zu deaktivieren. Dazu eine grundsätzliche (Anfänger)frage: Wäre es möglich gewesen, einen Schädling durch Rücksetzen auf einen Wiederherstellungspunkt zu beseitigen (diesen Weg wollte ich mir offen halten), oder ist es zwingend notwendig, die Systemwiederherstellung zu deaktivieren, damit Schädlinge nicht immer neu geladen werden? Ich poste heute Abend das Ergebnis von CounterSpy und werde dann weiter nach Deiner Anleitung vorgehen. Viene Dank! MfG Stefan |
|
|
17.10.2006, 14:34
Ehrenmitglied
Beiträge: 29434 |
#4
das zuruecksetzen hat manchmal Erfolg...manchmal nicht, abhaengig, wo sich die Malware festsetzt.
poste also das log vom Counterspy und eventuell noch meine logs, dann sehen wir weiter __________ MfG Sabina rund um die PC-Sicherheit |
|
|
17.10.2006, 23:51
...neu hier
Themenstarter Beiträge: 4 |
#5
CounterSpy log:
Spyware Scan Details Start Date: 16.10.2006 23:07:00 End Date: 17.10.2006 00:25:31 Total Time: 1 hrs 18 mins 31 secs Detected spyware PC Tattletale Commercial Key Logger more information... Details: PC Tattletale's Advanced Keystroke Logger records all keystrokes - Including passwords, "hidden characters" and true keystrokes too. It even features to captures both in AND outbound mails Status: Quarantined Packed.Win32.Klone.g Trojan more information... Status: Quarantined Virtumonde Adware (General) more information... Details: Virtumonde is an adware program that displays pop-up advertisements on the desktop. Virtumonde also downloads other software from various remote servers. Status: Quarantined Trojan.Emcodec Trojan more information... Status: Quarantined Trojan.WinlogonHook.Delf.A Trojan more information... Details: WinlogonHook.Delf.A is a backdoor trojan that gives an attacker the ability to control the infected machine without the user's knowledge. Status: Quarantined Cookie: GeoCities Cookie (General) more information... Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count Status: Deleted Infected files detected d:\windows\system32\kbdmonitor.lib d:\windows\system32\kbdmonitor.exp Infected files detected d:\windows\temp\win13.tmp d:\windows\temp\wina.tmp Infected files detected d:\windows\system32\qpqss.bak1 d:\windows\system32\qpqss.ini d:\windows\system32\ssqpq.dll D:\WINDOWS\system32\khfghhh.dll Infected files detected D:\Programme\cracks\vissie\run.exe Infected registry entries detected HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR Data 128216261 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR LSTV HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR BSTV HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR MSLIST HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR Brnd 779 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR SSTV HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR SCLIST HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR SSLIST HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR PSTV HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR BPTV 1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR PID 2 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR Rid 200 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR LID 49 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR OCCUR 1 Infected cookies detected d:\dokumente und einstellungen\user\cookies\user@geocities[2].txt Seite 1 von 1 17.10.2006 file://D:\Dokumente%20und%20Einstellungen\user\Lokale%20Einstellungen\Anwendungsda... Combofix: user - 06-10-17 23:04:47,34 Service Pack 1 ComboFix 06.10.16 - Running from: "G:\" ((((((((((((((((((((((((((((((( Files Created from 2006-09-17 to 2006-10-17 )))))))))))))))))))))))))))))))))) 2006-10-17 19:36 40,973 --------- D:\WINDOWS\system32\tuvtqpn.dll 2006-10-14 00:33 118,272 --a------ D:\WINDOWS\W0190WUn.EXE 2006-10-13 22:42 98,324 --a------ D:\WINDOWS\system32\oseglari.dll 2006-10-13 22:40 143,380 --a------ D:\WINDOWS\system32\hpjcnuxq.exe 2006-10-13 22:30 684,084 --------- D:\WINDOWS\system32\ssqpq.dll 2006-10-12 21:59 18,432 --a------ D:\WINDOWS\system32\wintuh32.dll 2006-10-08 12:55 53,248 --a------ D:\WINDOWS\uninstbb.exe (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-10-17 22:37 -------- d-------- D:\Programme\Mozilla Firefox 2006-10-17 16:22 -------- d-------- D:\Programme\cracks 2006-10-17 16:21 -------- d-------- D:\Programme\CounterSpy 2006-10-17 14:14 -------- d-------- D:\Dokumente und Einstellungen\user\Anwendungsdaten\Adobe 2006-10-16 23:29 -------- d-------- D:\Programme\exe 2006-10-16 08:10 -------- d-------- D:\Programme\fsbl 2006-10-15 17:40 -------- d-------- D:\Programme\PestPatrol 2006-10-15 17:38 -------- d-------- D:\Programme\AdvOfficePasswRec 2006-10-15 15:26 -------- d-------- D:\Programme\Gemeinsame Dateien\Scanner 2006-10-15 15:26 -------- d-------- D:\Programme\Gemeinsame Dateien 2006-10-14 11:20 10687 --a------ D:\Programme\Gemeinsame Dateien\{DC95971F-05DB-3079-0902-04030105002b}.zip 2006-10-14 11:20 102637 --a------ D:\Programme\Gemeinsame Dateien\{3C95971F-05DB-3079-0902-04030105002b}.zip 2006-10-14 10:06 -------- d-------- D:\Programme\Babylon 2006-10-14 02:05 159769 --a------ D:\WINDOWS\system32\rasapi32.dll 2006-10-14 00:33 -------- d-------- D:\Programme\0190 Warner 2006-10-12 01:08 -------- d-------- D:\Programme\Sprite Backup 2006-10-12 00:45 -------- d-------- D:\Dokumente und Einstellungen\user\Anwendungsdaten\Canon 2006-10-11 14:25 -------- d-------- D:\Dokumente und Einstellungen\user\Anwendungsdaten\Hot Keyboard 2006-10-09 20:28 -------- d-------- D:\Programme\X1 2006-10-09 20:26 -------- d-------- D:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2006-10-09 19:41 -------- d-------- D:\Programme\WinMX 2006-10-08 23:22 -------- d---s---- D:\Dokumente und Einstellungen\user\Anwendungsdaten\Microsoft 2006-10-08 20:17 -------- d-------- D:\Programme\IntellisyncYahoo 2006-10-08 16:37 -------- d-------- D:\Programme\Superior Search 2006-10-08 16:37 -------- d-------- D:\Programme\Gemeinsame Dateien\NeuroPower 2006-10-01 23:59 -------- d-------- D:\Programme\Outlook Express 2006-09-30 21:56 38439 --a------ D:\Dokumente und Einstellungen\user\Anwendungsdaten\Kommagetrennte Werte (Windows).ADR 2006-09-27 21:22 -------- d-------- D:\Programme\Suitcase 2006-09-27 21:18 -------- d--h----- D:\Programme\InstallShield Installation Information 2006-09-27 00:17 -------- d-------- D:\Dokumente und Einstellungen\user\Anwendungsdaten\Aladdin Systems 2006-09-25 10:24 9903 --a------ D:\Dokumente und Einstellungen\user\Anwendungsdaten\Lotus Organizer 5.x.TSK 2006-09-24 01:25 -------- d-------- D:\Programme\Brockhaus Multimedia 2006-09-18 18:35 -------- d-------- D:\Programme\YearPlanner 2006-09-14 19:43 -------- d-------- D:\Dokumente und Einstellungen\user\Anwendungsdaten\Quark 2006-09-12 22:01 -------- d-------- D:\Programme\Group Mail 2006-09-10 13:44 -------- d-------- D:\Programme\Internet Explorer 2006-09-10 13:25 -------- d-------- D:\Programme\PocketBackup 2006-09-09 10:01 -------- d-------- D:\Programme\OrgUpgrade 2006-09-09 10:01 -------- d-------- D:\Programme\Gemeinsame Dateien\RandSync 2006-09-07 18:37 42237 --a------ D:\Dokumente und Einstellungen\user\Anwendungsdaten\Lotus Organizer 5.x.ADR 2006-09-07 01:19 -------- d-------- D:\Programme\ActiveSync 2006-09-06 23:16 -------- d-------- D:\Programme\EditNumbers 2006-09-06 22:16 -------- d-------- D:\Programme\Gemeinsame Dateien\System 2006-09-06 18:18 -------- d-------- D:\Programme\Paragon Software 2006-09-06 16:16 -------- d-------- D:\Dokumente und Einstellungen\user\Anwendungsdaten\Sprite PC Agent 2006-09-05 17:13 -------- d-------- D:\Programme\Cammy 2006-09-05 16:50 -------- d-------- D:\Dokumente und Einstellungen\user\Anwendungsdaten\AquaSoft 2006-09-05 16:45 -------- d-------- D:\Programme\Gemeinsame Dateien\AquaSoft 2006-09-05 16:45 -------- d-------- D:\Programme\AquaSoftPhotoAlbum 2006-09-05 01:12 -------- d-------- D:\Programme\Gemeinsame Dateien\ODBC 2006-09-04 16:11 -------- d-------- D:\Programme\VideoReDoPlus 2006-09-04 01:00 -------- d-------- D:\Programme\Live 3.0.4 2006-09-04 01:00 -------- d-------- D:\Programme\Jaws PDF Creator 2006-09-04 01:00 -------- d-------- D:\Programme\Heyers Daten 2006-09-04 01:00 -------- d-------- D:\Programme\Gemeinsame Dateien\Vbox 2006-09-04 01:00 -------- d-------- D:\Programme\DogWaffle 2006-09-04 01:00 -------- d-------- D:\Programme\Common Files 2006-09-04 01:00 -------- d-------- D:\Programme\Call Soft 2006-09-04 01:00 -------- d-------- D:\Programme\AVGeoInter40 2006-09-04 01:00 -------- d-------- D:\Programme\Auto News 2006-09-04 01:00 -------- d-------- D:\Programme\AustrianMap 2006-09-03 23:45 -------- d-------- D:\Programme\DiscCreator 2006-09-03 23:44 -------- d-------- D:\Programme\Gemeinsame Dateien\AVSMedia 2006-09-03 02:03 -------- d-------- D:\Dokumente und Einstellungen\user\Anwendungsdaten\Schmap 2006-09-03 01:58 -------- d-------- D:\Programme\Schmap 2006-08-31 14:09 -------- d-------- D:\Programme\Effective Site Studio 2006-08-31 01:40 -------- d-------- D:\Programme\NCH Swift Sound 2006-08-31 01:40 -------- d-------- D:\Dokumente und Einstellungen\user\Anwendungsdaten\NCH Swift Sound 2006-08-26 21:20 -------- d-------- D:\Programme\Calculator Pro 2006-08-26 21:15 74752 --a------ D:\WINDOWS\ST6UNST.EXE 2006-08-26 21:15 532480 --------- D:\WINDOWS\Setup1.exe 2006-08-17 17:30 -------- d-------- D:\Programme\Adobe 2006-08-17 17:29 -------- d-------- D:\Programme\Gemeinsame Dateien\Adobe (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries are not shown [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "Hot Keyboard"="D:\\Programme\\Hot Keyboard Pro\\HotKeyb.exe -minimized" "H/PC Connection Agent"="\"D:\\Programme\\ActiveSync\\WCESCOMM.EXE\"" "Babylon Translator"="D:\\Programme\\Babylon\\Babylon.exe" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce] "CounterSpyCleaner"="D:\\Programme\\CounterSpy\\sunASCleaner.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "NvCplDaemon"="RUNDLL32.EXE D:\\WINDOWS\\System32\\NvCpl.dll,NvStartup" "nwiz"="nwiz.exe /install" "PDFCreatorClient"="D:\\Programme\\Jaws PDF Creator\\PDFClient.exe" "NvMediaCenter"="RUNDLL32.EXE D:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit" "Acronis True Image Monitor"="D:\\Programme\\Acronis\\TrueImage\\TrueImageMonitor.exe" "Acronis Scheduler2 Service"="D:\\Programme\\Gemeinsame Dateien\\Acronis\\Schedule2\\schedhlp.exe" "nod32kui"="\"D:\\Programme\\Eset\\nod32kui.exe\" /WAITSERVICE" "ISUSPM Startup"="\"D:\\Programme\\Gemeinsame Dateien\\InstallShield\\UpdateService\\ISUSPM.exe\" -startup" "ISUSScheduler"="\"D:\\Programme\\Gemeinsame Dateien\\InstallShield\\UpdateService\\issch.exe\" -start" "XTNDConnect PC - WinSmartPhone"="D:\\PROGRA~1\\GEMEIN~1\\XCPCSync\\TRANSL~1\\WINSMA~1\\AUTODE~1.EXE" "XTNDConnect PC - LtOrg97"="D:\\PROGRA~1\\GEMEIN~1\\XCPCSync\\XCPCME~1.EXE" "XTNDConnect PC - ScheduleSync"="D:\\PROGRA~1\\XTNDCO~1\\SCHEDU~1.EXE" "0190 Warner"="D:\\PROGRA~1\\0190WA~1\\WARN0190.EXE" "SunServer"="D:\\Programme\\CounterSpy\\sunserver.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000005 [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" "Flags"=dword:00000002 "Position"=hex:2c,00,00,00,80,01,00,00,00,00,00,00,80,02,00,00,e2,02,00,00,00,\ 00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00 "CurrentState"=hex:04,00,00,40 "OriginalStateInfo"=hex:18,00,00,00,00,01,00,00,00,00,00,00,00,03,00,00,cb,02,\ 00,00,04,00,00,40 "RestoredStateInfo"=hex:18,00,00,00,00,01,00,00,00,00,00,00,00,03,00,00,cb,02,\ 00,00,01,00,00,00 [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="D:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="D:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" "{076394AD-7FDD-44EF-A075-32C68DBAB99B}"="" "{0E24427B-DF2A-40EB-980B-A819F5FF3DD0}"="" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 "NoLogoff"=dword:00000000 "StartMenuLogOff"=dword:00000001 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:000000b5 "NoCDBurning"=dword:00000000 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run] [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload] "PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}" "CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}" "WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" "SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] "path"="D:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Microsoft Office.lnk" "backup"="D:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup" "location"="Common Startup" "command"="D:\\PROGRA~1\\MICROS~2\\Office10\\OSA.EXE -b -l" "item"="Microsoft Office" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^PC-Bibliothek-Direktsuche.lnk] "path"="D:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\PC-Bibliothek-Direktsuche.lnk" "backup"="D:\\WINDOWS\\pss\\PC-Bibliothek-Direktsuche.lnkCommon Startup" "location"="Common Startup" "command"="D:\\PROGRA~1\\BROCKH~1\\PCLib.exe " "item"="PC-Bibliothek-Direktsuche" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Suitcase Startup.lnk] "path"="D:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Suitcase Startup.lnk" "backup"="D:\\WINDOWS\\pss\\Suitcase Startup.lnkCommon Startup" "location"="Common Startup" "command"="D:\\PROGRA~1\\Suitcase\\Suitcase.exe -Startup" "item"="Suitcase Startup" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Copernic Desktop Search] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="CopernicDesktopSearch" "hkey"="HKCU" "command"="\"D:\\Programme\\Copernic Desktop Search\\CopernicDesktopSearch.exe\" /tray" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="ctfmon" "hkey"="HKCU" "command"="D:\\WINDOWS\\System32\\ctfmon.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FaxTalk Messenger Pro 7.0] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="FTClCtrl" "hkey"="HKLM" "command"="\"D:\\Programme\\FaxTalk Messenger Pro 7.0\\FTClCtrl.exe\"" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FineReader7NewsReaderPro] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="AbbyyNewsReader" "hkey"="HKLM" "command"="D:\\Programme\\FineReader 7.0\\AbbyyNewsReader.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="WCESCOMM" "hkey"="HKCU" "command"="\"D:\\Programme\\ActiveSync\\WCESCOMM.EXE\"" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Laplink PDASync 3.3 - ScheduleSync] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="SCHEDU~1" "hkey"="HKLM" "command"="D:\\PROGRA~1\\LAPLIN~1.3\\SCHEDU~1.EXE" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="msmsgs" "hkey"="HKCU" "command"="\"D:\\Programme\\Messenger\\msmsgs.exe\" /background" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="qttask" "hkey"="HKLM" "command"="\"D:\\Programme\\QuickTime\\qttask.exe\" -atboottime" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunServer] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="sunserver" "hkey"="HKLM" "command"="D:\\Programme\\CounterSpy\\sunserver.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="realsched" "hkey"="HKLM" "command"="\"D:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinMX Manager] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="WinMX Manager" "hkey"="HKCU" "command"="D:\\Programme\\WinMX Manager\\WinMX Manager.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "StarWindService"=dword:00000002 HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqpq HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tuvtqpn HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wintuh32 [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" Completion time: 06-10-17 23:06:04.96 D:\ComboFix.txt ... 06-10-17 23:06 Datfind: 1) Verzeichnis von D:\WINDOWS\system32 17.10.2006 23:44 470.996 qpqss.ini 17.10.2006 23:29 26.324 nvapps.xml 17.10.2006 19:36 40.973 tuvtqpn.dll 15.10.2006 15:14 2.184 wpa.dbl 14.10.2006 02:05 159.769 rasapi32.dll 14.10.2006 02:05 159.769 rasTMP.tmp 13.10.2006 22:43 98.324 oseglari.dll 13.10.2006 22:42 143.380 hpjcnuxq.exe 13.10.2006 22:39 684.084 ssqpq.dll 12.10.2006 21:59 18.432 wintuh32.dll 09.10.2006 00:31 311.604 perfh009.dat 09.10.2006 00:31 48.156 perfc007.dat 09.10.2006 00:31 316.594 perfh007.dat 09.10.2006 00:31 39.992 perfc009.dat 09.10.2006 00:31 721.390 PerfStringBackup.INI 27.09.2006 22:26 386.408 FNTCACHE.DAT 27.09.2006 21:20 47 imon1.dat 02.07.2006 22:52 42 nt32200ax1.dll 01.07.2006 01:19 455 ws329363.ocx 2) Datentr„ger in Laufwerk D: ist Part.D Volumeseriennummer: DC95-971F Verzeichnis von D:\DOKUME~1\user\LOKALE~1\Temp 17.10.2006 23:40 0 ~dtpdf.tmp 17.10.2006 23:40 0 Acr33.tmp 17.10.2006 23:40 3.363 Acr31.tmp 17.10.2006 23:40 3.631 Acr32.tmp 17.10.2006 23:29 224 WCESCOMM.LOG 17.10.2006 23:29 49.152 ~DF1DA1.tmp 17.10.2006 23:29 32.768 ~DFDD06.tmp 17.10.2006 23:28 16.384 ~DF6A8B.tmp 17.10.2006 23:26 32.768 ~DFA812.tmp 17.10.2006 23:26 32.768 ~DFA3F8.tmp 17.10.2006 23:10 49.152 ~DFEF1.tmp 17.10.2006 23:10 32.768 ~DFE9FF.tmp 17.10.2006 23:09 16.384 ~DF7B9F.tmp 13 Datei(en) 269.362 Bytes 0 Verzeichnis(se), 4.971.470.848 Bytes frei 3) Datentr„ger in Laufwerk D: ist Part.D Volumeseriennummer: DC95-971F Verzeichnis von D:\WINDOWS 17.10.2006 23:47 8.544 ModemLog_Trust 56K V92 USB Modem.txt 17.10.2006 23:28 0 0.log 17.10.2006 23:28 159 wiadebug.log 17.10.2006 23:28 50 wiaservc.log 17.10.2006 23:27 2.048 bootstat.dat 17.10.2006 23:26 32.626 SchedLgU.Txt 17.10.2006 21:49 795.163 setupapi.log 17.10.2006 16:44 946 win.ini 17.10.2006 16:44 227 system.ini 17.10.2006 16:00 92 mfpd.ini 17.10.2006 13:46 728.638 ntbtlog.txt 15.10.2006 16:08 0 PestPatrol5.INI 14.10.2006 00:33 2.258 0190Warner_Uninstall.ins 11.10.2006 18:53 172 Photoshop Import Prefs 11.10.2006 00:21 10.240 Thumbs.db 09.10.2006 00:35 8.652 COM+.log 09.10.2006 00:31 627.538 iis6.log 09.10.2006 00:31 75.317 comsetup.log 09.10.2006 00:31 10.478 imsins.log 09.10.2006 00:31 102.731 tsoc.log 09.10.2006 00:31 5.817 tabletoc.log 09.10.2006 00:31 54.363 ntdtcsetup.log 09.10.2006 00:31 8.620 ocmsn.log 09.10.2006 00:31 155.832 ocgen.log 09.10.2006 00:31 10.198 msgsocm.log 09.10.2006 00:31 155.244 FaxSetup.log 09.10.2006 00:31 28.987 netfxocm.log 09.10.2006 00:29 95.418 msmqinst.log 09.10.2006 00:24 5.177 imsins.BAK 08.10.2006 21:09 190 datawriter.log 08.10.2006 21:09 5.854 coredw.log 08.10.2006 12:55 53.248 uninstbb.exe 04.10.2006 01:24 192 winamp.ini 02.10.2006 00:42 2.048 PC-BIB.DAT 29.09.2006 17:03 0 err.txt 26.09.2006 22:19 174.849 setupact.log 26.09.2006 22:07 211 SchmapPlayer.INI 19.09.2006 17:16 1.957 aoxppr.ini 19.09.2006 17:14 214 avpr.ini 09.09.2006 10:01 1.572 HRMY98.MIF 08.09.2006 21:14 1.135 WINCMD.INI 08.09.2006 21:14 2.294 wcx_ftp.ini 05.09.2006 01:13 1.678 musi.ini 03.09.2006 21:18 52 videodeLuxe.INI 03.09.2006 03:03 27.311 wmsetup.log 03.09.2006 02:42 70 musicmaker.INI 26.08.2006 21:15 532.480 Setup1.exe 26.08.2006 21:15 74.752 ST6UNST.EXE 26.08.2006 21:15 1.689 ST6UNST.000 17.08.2006 15:41 957 ODBC.INI 14.08.2006 17:47 117.936 Windows Update.log 05.07.2006 02:30 42 CDCOPS.INI 05.07.2006 02:01 558 IPIXNets.log 05.07.2006 01:59 401 IPIXView.log 02.07.2006 22:52 32 ntcheck3232bx1.dll 02.07.2006 20:54 206 EurekaLog.ini 4) Datentr„ger in Laufwerk D: ist Part.D Volumeseriennummer: DC95-971F Verzeichnis von D:\WINDOWS\Temp 17.10.2006 23:45 0 win36.tmp 17.10.2006 23:43 0 win35.tmp 17.10.2006 23:41 0 win34.tmp 17.10.2006 23:39 0 win30.tmp 17.10.2006 23:37 0 win3.tmp 5 Datei(en) 0 Bytes 0 Verzeichnis(se), 4.971.458.560 Bytes frei 5) Datentr„ger in Laufwerk D: ist Part.D Volumeseriennummer: DC95-971F Verzeichnis von D:\WINDOWS\Downloaded Program Files 07.10.2005 01:03 65 desktop.ini 10.06.2005 10:44 417.792 isusweb.dll 26.05.2005 04:19 291 wuweb.inf 25.08.2003 18:12 1.096 iuctl.inf 25.07.2002 17:13 24.576 dwusplay.dll 25.07.2002 17:13 196.608 dwusplay.exe 20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd 7 Datei(en) 641.590 Bytes 0 Verzeichnis(se), 4.971.360.256 Bytes frei 6) Datentr„ger in Laufwerk D: ist Part.D Volumeseriennummer: DC95-971F Verzeichnis von D:\ 17.10.2006 23:49 0 sys.txt 17.10.2006 23:48 603 down.txt 17.10.2006 23:48 454 tmp.txt 17.10.2006 23:47 9.831 system.txt 17.10.2006 23:46 865 systemtemp.txt 17.10.2006 23:44 113.572 system32.txt 17.10.2006 23:27 805.306.368 pagefile.sys 17.10.2006 23:06 16.292 ComboFix.txt 11.10.2006 14:33 1.559 macro.tbl 08.10.2006 20:26 494 emailscan.log 03.09.2006 22:06 170.407.940 Kuenstler (02).vob 03.09.2006 22:05 68.519.940 FuerElise (02).vob 13.08.2006 04:09 183.408 TREEINFO.WC 01.07.2006 01:19 531 os100944.bin 27.06.2006 01:38 181 IALicense.cfg 22.12.2005 01:23 5.300.949 L.Bernstein Inst.rar 06.11.2005 16:30 27.136 116-Prot111005.doc 19.10.2005 15:29 0 15.tmp 19.10.2005 15:29 0 12.tmp 18.10.2005 14:34 0 18.tmp 18.10.2005 14:32 0 16.tmp 18.10.2005 14:22 0 14.tmp 18.10.2005 14:22 0 11.tmp 17.10.2005 02:28 457 inst_ak051012.log 09.10.2005 03:21 4.630 os136207.bin 15.03.2005 13:22 215.571 scrapbk.xpi.zip 26 Datei(en) 1.050.110.781 Bytes 0 Verzeichnis(se), 4.971.356.160 Bytes frei -- Schadprogramm ist wieder da, wird aber von CounterSpy abgewehrt. Bitte um weitee Anweisungen. Danke! Mit freundlichen Grüßen Stefan |
|
|
18.10.2006, 01:29
Ehrenmitglied
Beiträge: 29434 |
#6
1.
Vundofix anwenden http://virus-protect.org/artikel/tools/vundofixx.html 2. Avenger http://virus-protect.org/artikel/tools/avenger.html koiere rein Zitat registry keys to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
18.10.2006, 23:25
...neu hier
Themenstarter Beiträge: 4 |
#7
Hallo Sabina,
Aufrichtigen Dank für die kompetente Hilfe. Es gab noch Probleme mit zwei BHO Einträgen, seit ich die gelöscht habe, gibt weder Counter Spy noch der 0190-Warner irgendwelche Meldungen ab. Welcher Schutz ist vor solchen BHOs empfehlenswert? (Habe jetzt einmal den Internet Explorer per Firewall ausgeschlossen). Ist selbst Firefox anfällig? Oder stellt OutlookExpress eine Gefahr dar, obwohl ich nur Textmails schreibe und empfange und die Vorschau deaktiviert habe? Mit freundlichen Grüßen Stefan |
|
|
18.10.2006, 23:31
Ehrenmitglied
Beiträge: 29434 |
#8
loesche das backup vom avenger unter C:\Avenger\backup.zip
eventueller schutz: http://virus-protect.org/artikel/tools/sandboxie.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
Logfile of HijackThis v1.99.1
Scan saved at 04:21:47, on 16.10.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\LEXBCES.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\LEXPPS.EXE
D:\Programme\0190 Warner\w0svc.exe
D:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
D:\Programme\Eset\nod32krn.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\system32\PDFCreatorMessages.exe
D:\Programme\Kerio\Personal Firewall\persfw.exe
D:\Programme\Analog Devices\SoundMAX\SMAgent.exe
D:\Programme\Alcohol\bin\Alcohol 1.9.5\Alcohol 120\Alcohol 120\StarWind\StarWindService.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Jaws PDF Creator\PDFClient.exe
D:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
D:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
D:\WINDOWS\System32\rundll32.exe
D:\Programme\Eset\nod32kui.exe
D:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
D:\PROGRA~1\GEMEIN~1\XCPCSync\XCPCME~1.EXE
D:\PROGRA~1\0190WA~1\WARN0190.EXE
D:\Programme\Hot Keyboard Pro\HotKeyb.exe
D:\Programme\ActiveSync\WCESCOMM.EXE
D:\Programme\Babylon\Babylon.exe
D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
D:\lotus\organize\easyclip.exe
D:\lotus\smartctr\smartctr.exe
D:\lotus\smartctr\suitest.exe
D:\Programme\Mightyfax\MFNTCTL.EXE
D:\Programme\Quick View Plus\PROGRAM\qvp32.exe
D:\Programme\exe\hijackthis.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freewebtown.com/freesec/thankyou.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Übersetzer - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - D:\Programme\Prompt7\PRMTIE\prmtie.dll
O3 - Toolbar: (no name) - {C004DEC2-2623-438e-9CA2-C9043AB28508} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PDFCreatorClient] D:\Programme\Jaws PDF Creator\PDFClient.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Acronis True Image Monitor] D:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] D:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
O4 - HKLM\..\Run: [nod32kui] "D:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [ISUSPM Startup] "D:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "D:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [XTNDConnect PC - WinSmartPhone] D:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\WINSMA~1\AUTODE~1.EXE
O4 - HKLM\..\Run: [XTNDConnect PC - LtOrg97] D:\PROGRA~1\GEMEIN~1\XCPCSync\XCPCME~1.EXE
O4 - HKLM\..\Run: [XTNDConnect PC - ScheduleSync] D:\PROGRA~1\XTNDCO~1\SCHEDU~1.EXE
O4 - HKLM\..\Run: [0190 Warner] D:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKCU\..\Run: [Hot Keyboard] D:\Programme\Hot Keyboard Pro\HotKeyb.exe -minimized
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Programme\ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Babylon Translator] D:\Programme\Babylon\Babylon.exe
O4 - Startup: Adobe Gamma.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lotus Organizer EasyClip.lnk = ?
O4 - Global Startup: Lotus QuickStart.lnk = ?
O4 - Global Startup: Lotus SmartCenter.lnk = D:\lotus\smartctr\smartctr.exe
O4 - Global Startup: Lotus SuiteStart.lnk = D:\lotus\smartctr\suitest.exe
O4 - Global Startup: MightyFAX Controller.lnk = D:\Programme\Mightyfax\MFNTCTL.EXE
O4 - Global Startup: Quick View Plus.lnk = D:\Programme\Quick View Plus\PROGRAM\qvp32.exe
O8 - Extra context menu item: Assign &hot key - D:\Programme\Hot Keyboard Pro\IEScript.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - D:\Programme\ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\Programme\ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\Programme\ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - D:\Programme\Prompt7\PRMTIE\prmtie5.htm
O9 - Extra 'Tools' menuitem: Übersetzen - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - D:\Programme\Prompt7\PRMTIE\prmtie5.htm
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - D:\Programme\Prompt7\PRMTIE\options.htm
O9 - Extra 'Tools' menuitem: Übersetzungsoptionen anpassen - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - D:\Programme\Prompt7\PRMTIE\options.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128816705703
O18 - Protocol: schmap-help - {2CF664A0-5EA6-47B5-884C-433A60145F78} - D:\Programme\Schmap\Schmap Player\SchmapDocLib.dll
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - D:\Programme\0190 Warner\w0svc.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - D:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - D:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - D:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Programme\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PDFCreatorMessages - Global Graphics Software Ltd - D:\WINDOWS\system32\PDFCreatorMessages.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - D:\Programme\Kerio\Personal Firewall\persfw.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - D:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Programme\Alcohol\bin\Alcohol 1.9.5\Alcohol 120\Alcohol 120\StarWind\StarWindService.exe
--
NOD32 im abges. Modus, Spybot, PestPatrol und f-secure Blacklight haben nichts ergeben. Was soll ich als nächstes tun?
MfG
Stefan