System langsam und instabil, daurender Malware und Trojaner Alarm |
|
---|---|
26.04.2008, 11:08
Member
Beiträge: 23 |
|
|
|
26.04.2008, 12:14
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo,
1. wende cleaner an http://www.ccleaner.de/?protecus.de 2. mit dem HijackThis löschen ("fixen") Klicke: "Do a system scan only" Setze ein Häckchen in das Kästchen vor den genannten Eintrag und wähle fix checked. + starte den Rechner neu. Zitat O1 - Hosts: 141.18.5.3 venus3. http://virus-protect.org/artikel/tools/otmoveIt.html öffne: OTMoveIt.exe Kopiere rein: im linken Fenster ,wo steht: Paste Standard List of Files/Folders to be Move Zitat C:\Programme\Gemeinsame Dateien\FestplattenReinigerKlicke auf den Roten MoveIt! 4. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als regstore.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Die Datei REGSTORE.REG auf dem Desktop doppelklicken und bestätigen, dass sie der Registry beigefügt wird. Zitat REGEDIT4PC neustarten 5. wende windowsscan an + poste den report http://virus-protect.org/artikel/tools/windowsscan.html 6. wende noch mal Combofix an + poste den report http://virus-protect.org/artikel/tools/combofix.html ----------------- Zitat ist für mich (Info) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
26.04.2008, 13:40
Member
Themenstarter Beiträge: 23 |
#3
Hi,
habe alle Schritte durchgeführt und die folgenden Reports wurden erstellt. ********************************************************* windowscan report: Die 30 neuesten Dateien im Ordner Windows: ***** ***** ***** ***** ***** ***** Scanning C:\WINDOWS ***** ***** ***** ***** ***** ***** 26.04.2008 0.log 13 35:0 26.04.2008 wiadebug.log 13 35:159 26.04.2008 wiaservc.log 13 35:51 26.04.2008 WindowsUpdate.log 13 35:2.046.568 26.04.2008 bootstat.dat 13 34:2.048 26.04.2008 BM376244ea.txt 13 06:32.328 26.04.2008 pskt.ini 13 05:22 26.04.2008 BM376244ea.xml 12 49:109.809 26.04.2008 cookies.ini 12 03:650 23.04.2008 ydhqzop.sys 23 00:61.874 31.03.2008 Ui.INI 18 24:0 30.03.2008 mdm.ini 22 33:185 28.03.2008 win.ini 19 10:604 27.03.2008 WATCH.INI 14 49:0 27.03.2008 MAXLINK.INI 14 45:492 16.02.2008 nsreg.dat 18 50:0 15.02.2008 WMSysPr9.prx 20 04:316.640 15.02.2008 WMSysPrx.prx 19 30:299.552 15.02.2008 setupapi.log.0.old 18 04:1.165.927 15.02.2008 ODBCINST.INI 17 05:4.346 15.02.2008 ODBC.INI 17 05:660 15.02.2008 vbaddin.ini 16 51:59 15.02.2008 vb.ini 16 51:1.309 15.02.2008 Ascd_tmp.ini 16 14:1.715 15.02.2008 hpdj5100.his 16 12:219.167 15.02.2008 hpdj5100.ini 16 12:10.576 15.02.2008 hpdj5100.hi1 16 05:206.672 Die 50 neuesten Dateien im Ordner Windows\system32: ***** ***** ***** ***** ***** ***** Scanning C:\WINDOWS\system32 ***** ***** ***** ***** ***** ***** 26.04.2008 DLlkkUtv.ini 13 37:206.891 26.04.2008 DLlkkUtv.ini2 13 34:206.789 26.04.2008 perfc009.dat 02 18:39.992 26.04.2008 perfh007.dat 02 18:316.594 26.04.2008 perfh009.dat 02 18:311.604 26.04.2008 perfc007.dat 02 18:48.156 26.04.2008 PerfStringBackup.INI 02 18:723.744 26.04.2008 wpa.dbl 00 04:2.206 25.04.2008 vtUkklLD.dll 23 26:281.088 24.04.2008 CONFIG.NT 21 34:2.984 24.04.2008 FNTCACHE.DAT 20 26:167.504 23.04.2008 byXOiHwV.dll 22 56:39.936 06.04.2008 MRT.exe 07 56:19.836.024 mit 30.03.2008 Verknpfung 22 36:690 29.03.2008 aswBoot.exe 19 45:1.146.232 29.03.2008 AvastSS.scr 19 23:95.608 20.03.2008 win32k.sys 10 03:1.845.376 19.03.2008 D6F8AEB0.kor 20 27:38 19.03.2008 tjclip.dll 20 24:36.864 01.03.2008 mshtml.dll 18 24:3.591.680 01.03.2008 wininet.dll 14 54:826.368 01.03.2008 webcheck.dll 14 54:233.472 01.03.2008 urlmon.dll 14 54:1.159.680 01.03.2008 pngfilt.dll 14 54:44.544 01.03.2008 url.dll 14 54:105.984 01.03.2008 occache.dll 14 54:102.912 01.03.2008 msrating.dll 14 54:193.024 01.03.2008 mstime.dll 14 54:671.232 01.03.2008 mshtmled.dll 14 54:478.208 01.03.2008 msfeeds.dll 14 53:459.264 01.03.2008 msfeedsbs.dll 14 53:52.224 01.03.2008 inetcpl.cpl 14 53:1.831.424 01.03.2008 jsproxy.dll 14 53:27.648 01.03.2008 iertutil.dll 14 53:267.776 01.03.2008 iernonce.dll 14 53:44.544 01.03.2008 ieframe.dll 14 53:6.066.176 01.03.2008 iedkcs32.dll 14 53:384.512 01.03.2008 ieapfltr.dll 14 53:383.488 01.03.2008 dxtrans.dll 14 53:214.528 01.03.2008 icardie.dll 14 53:63.488 01.03.2008 extmgr.dll 14 53:133.120 01.03.2008 ieakeng.dll 14 53:153.088 01.03.2008 ieaksie.dll 14 53:230.400 01.03.2008 advpack.dll 14 53:124.928 01.03.2008 dxtmsft.dll 14 53:347.136 29.02.2008 ie4uinit.exe 10 54:70.656 22.02.2008 ieudinit.exe 12 00:13.824 ***** ***** ***** ***** ***** ***** Scanning C:\WINDOWS\system32\drivers\etc\hosts ***** ***** ***** ***** ***** ***** # Copyright (c) 1993-1999 Microsoft Corp. # # Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP # für Windows 2000 verwendet wird. # # Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen. # Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP- # Adresse sollte in der ersten Spalte gefolgt vom zugehörigen # Hostnamen stehen. # Die IP-Adresse und der Hostname müssen durch mindestens ein # Leerzeichen getrennt sein. # # Zusätzliche Kommentare (so wie in dieser Datei) können in # einzelnen Zeilen oder hinter dem Computernamen eingefügt werden, # aber müssen mit dem Zeichen '#' eingegeben werden. # # Zum Beispiel: # # 102.54.94.97 rhino.acme.com # Quellserver # 38.25.63.10 x.acme.com # x-Clienthost 127.0.0.1 localhost # EDA Server ***** ***** ***** ***** ***** ***** Scanning Processe ***** ***** ***** ***** ***** ***** Microsoft Windows XP [Version 5.1.2600] http://www.paules-pc-forum.de ***** Malware Team ***** ***** Ende des Scans 26.04.2008 um 13:37:40,64 *** ******************************************************* ComboFix 08-04-24.1 - Admin 2008-04-26 13:45:44.5 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.271 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Admin\Desktop\ComboFix.exe . _________________________ MfG Dietmar Dieser Beitrag wurde am 26.04.2008 um 13:59 Uhr von Di editiert.
|
|
|
26.04.2008, 13:58
Ehrenmitglied
Beiträge: 29434 |
#4
o.k.
einige Viren sind noch drauf, dennoch versuche jetzt schon mal nach Anwendung vom Cleaner die Combofix zum Laufen zu bringen..klappt es ? poste das komplette log hier......... Zitat ComboFix 08-04-24.1 - Admin 2008-04-26 13:45:44.5 - NTFSx86 __________ MfG Sabina rund um die PC-Sicherheit |
|
|
26.04.2008, 15:45
Member
Themenstarter Beiträge: 23 |
#5
Hallo,
habe CCleaner durchgeführt undComboFix gestartet und komme bis zu "Suche infizierte Dateien"....."Aenderungen nicht rückgängig machen! Wird später wieder hergestellt!" Dann hat das System neu gestartet und ist dann abgestürtzt. Nach dem "Willkommen" bekomme ich eine Meldung: Fehler beim Laden von C:\WINDOWS\system32\fwkoqbtu.dll. Modul nicht gefunden. ___________________ MfG Dietmar |
|
|
26.04.2008, 16:12
Ehrenmitglied
Beiträge: 29434 |
#6
die Fehlermeldung ist kein Problem, das bekommt man gelöst.
wende comboscan an + poste die 2 logs http://virus-protect.org/artikel/tools/comboscan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
26.04.2008, 16:33
Member
Themenstarter Beiträge: 23 |
#7
Hallo,
sorry dass es vorhin etwas länger gedauert hat. ******************************************* main.txt Deckard's System Scanner v20071014.68 Run by Admin on 2008-04-26 16:27:38 Computer is in Normal Mode. -------------------------------------------------------------------------------- -- System Restore -------------------------------------------------------------- Successfully created a Deckard's System Scanner Restore Point. -- Last 5 Restore Point(s) -- 10: 2008-04-26 14:27:44 UTC - RP177 - Deckard's System Scanner Restore Point 9: 2008-04-26 11:42:16 UTC - RP176 - ComboFix created restore point 8: 2008-04-26 09:58:42 UTC - RP175 - Software Distribution Service 3.0 7: 2008-04-26 00:38:52 UTC - RP174 - ComboFix created restore point 6: 2008-04-26 00:27:02 UTC - RP173 - ComboFix created restore point -- First Restore Point -- 1: 2008-04-24 17:37:13 UTC - RP168 - Software Distribution Service 3.0 Backed up registry hives. Performed disk cleanup. -- HijackThis (run as Admin.exe) ----------------------------------------------- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:28:58, on 26.04.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE E:\Avast4\aswUpdSv.exe E:\Avast4\ashServ.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe E:\Avast4\ashDisp.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe E:\FRITZ!DSL\IGDCTRL.EXE C:\Programme\avmwlanstick\WlanNetService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\svchost.exe E:\Avast4\ashMaiSv.exe E:\Avast4\ashWebSv.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\rundll32.exe C:\Dokumente und Einstellungen\Admin\Desktop\dss.exe C:\DOKUME~1\Admin\Desktop\HJT\Admin.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://board.protecus.de/t33472.htm?highlight=system+langsam+und+instabil R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://fritz.box/ O2 - BHO: {17a60727-cdd9-483b-6c54-8df81aebb802} - {208bbea1-8fd8-45c6-b384-9ddc72706a71} - C:\WINDOWS\system32\chhesaek.dll O2 - BHO: (no name) - {B1E4471B-4B0A-439D-9E58-90F3B0FFBC3C} - C:\WINDOWS\system32\vtUkklLD.dll O2 - BHO: (no name) - {F50B3F5E-856E-4757-9BB1-B35D46CA7719} - C:\WINDOWS\system32\byXOiHwV.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [UltraMon] "E:\UltraMon\UltraMon.exe" /auto O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe O4 - HKLM\..\Run: [avast!] E:\Avast4\ashDisp.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [BM376244ea] Rundll32.exe "C:\WINDOWS\system32\wfnrwsmp.dll",s O4 - HKLM\..\Run: [34517776] rundll32.exe "C:\WINDOWS\system32\jaglkkxc.dll",b O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background O4 - HKCU\..\Run: [autoload] C:\Dokumente und Einstellungen\Admin\cftmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = E:\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = E:\MicrosoftOfficeXP\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O16 - DPF: Microsoft WFC Forms Designer - file://N:\VJ98\wfcforms.cab O16 - DPF: Visual Studio 6 Extensibility Libraries - file://N:\VJ98\vstudio6.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1203091194729 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1209159837562 O20 - Winlogon Notify: byXOiHwV - C:\WINDOWS\SYSTEM32\byXOiHwV.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: avast! iAVS4 Control Service (aswupdsv) - ALWIL Software - E:\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus (avast! antivirus) - ALWIL Software - E:\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner (avast! mail scanner) - ALWIL Software - E:\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner (avast! web scanner) - ALWIL Software - E:\Avast4\ashWebSv.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - E:\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe -- End of file - 6060 bytes -- HijackThis Fixed Entries (C:\DOKUME~1\Admin\Desktop\HJT\backups\) ----------- backup-20080426-125908-109 O4 - HKLM\..\Run: [BM376244ea] Rundll32.exe "C:\WINDOWS\system32\fwkoqbtu.dll",s backup-20080426-125908-131 O1 - Hosts: 141.18.5.235 eda-win2 backup-20080426-125908-139 O4 - HKLM\..\Run: [jdgf894jrghoiiskd] C:\DOKUME~1\Admin\LOKALE~1\Temp\winlogan.exe backup-20080426-125908-142 O1 - Hosts: 141.18.5.230 eda-sol1 backup-20080426-125908-158 O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k backup-20080426-125908-224 O1 - Hosts: 141.18.5.3 venus backup-20080426-125908-286 O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe backup-20080426-125908-317 O1 - Hosts: 141.18.5.232 eda-win1 backup-20080426-125908-344 O4 - HKCU\..\Run: [Jnskdfmf9eldfd] C:\DOKUME~1\Admin\LOKALE~1\Temp\csrssc.exe backup-20080426-125908-387 O4 - HKLM\..\Run: [autoload] C:\Dokumente und Einstellungen\Admin\cftmon.exe backup-20080426-125908-407 O1 - Hosts: 141.18.9.3 saturn backup-20080426-125908-414 O4 - HKLM\..\Run: [34517776] rundll32.exe "C:\WINDOWS\system32\sfwtjsjy.dll",b backup-20080426-125908-530 O2 - BHO: (no name) - {f50b3f5e-856e-4757-9bb1-b35d46ca7719} - C:\WINDOWS\system32\byXOiHwV.dll backup-20080426-125908-606 O2 - BHO: {b47b0de6-477d-0c29-cb54-da9887f0a3a0} - {0a3a0f78-89ad-45bc-92c0-d7746ed0b74b} - C:\WINDOWS\system32\sofvebpd.dll backup-20080426-125908-615 O22 - SharedTaskScheduler: jhsf8d984jief8dsfus98jkefn - {C5AF49A2-94F3-42BD-F434-2604812C897D} - C:\WINDOWS\system32\jfiehayd.dll (file missing) backup-20080426-125908-662 O20 - Winlogon Notify: byXOiHwV - C:\WINDOWS\SYSTEM32\byXOiHwV.dll backup-20080426-125908-711 O2 - BHO: (no name) - {F3DEBE6E-93BA-4AC8-A2E4-14597267BAFB} - C:\WINDOWS\system32\vtUkklLD.dll backup-20080426-125908-746 O4 - HKLM\..\Run: [Salestart] "C:\Programme\Gemeinsame Dateien\SysKontroller\strpmon.exe" dm=http://syskontroller.com ad=http://syskontroller.com sd=http://painst.syskontroller.com backup-20080426-125908-810 O4 - HKLM\..\Run: [Salestart(1)] "C:\Programme\Gemeinsame Dateien\FestplattenReiniger\stm.exe" dm=http://festplattenreiniger.com ad=http://festplattenreiniger.com sd=http://pkins.festplattenreiniger.com backup-20080426-125908-889 O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe backup-20080426-125908-897 O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1535.exe 61A847B5BBF7281337983D466188719AB689201522886B092CBD44BD8689220221DD3257 backup-20080426-125908-921 O1 - Hosts: 141.18.5.231 eda-sol2 backup-20080426-125908-953 O1 - Hosts: 141.18.9.1 atlas backup-20080426-125908-957 O2 - BHO: C:\WINDOWS\system32\jfiehayd.dll - {c5af49a2-94f3-42bd-f434-2604812c897d} - C:\WINDOWS\system32\jfiehayd.dll (file missing) backup-20080426-125908-964 O2 - BHO: (no name) - {591E921D-3830-45AF-9B50-96F03157175B} - C:\WINDOWS\system32\nnnkjjjJ.dll (file missing) backup-20080426-125908-991 O4 - HKCU\..\Run: [jdgf894jrghoiiskd] C:\DOKUME~1\Admin\LOKALE~1\Temp\winlogan.exe -- File Associations ----------------------------------------------------------- All associations okay. -- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------- R0 avgntmgr - c:\windows\system32\drivers\avgntmgr.sys <Not Verified; AVIRA GmbH; AntiVir®> R1 AFS2K - c:\windows\system32\drivers\afs2k.sys <Not Verified; Oak Technology Inc.; AFS> R1 avgntdd - c:\windows\system32\drivers\avgntdd.sys <Not Verified; AVIRA GmbH; AntiVir®> R1 ydhqzop - c:\windows\ydhqzop.sys R2 UltraMonUtility (UltraMon Utility Driver) - c:\programme\gemeinsame dateien\realtime soft\ultramonmirrordrv\x32\ultramonutility.sys <Not Verified; Realtime Soft; UltraMon> R3 UltraMonMirror - c:\windows\system32\drivers\ultramonmirror.sys <Not Verified; Realtime Soft; UltraMon> S3 catchme - c:\combofix\catchme.sys (file missing) -- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled -------------------- R2 AntiVirScheduler (AntiVir PersonalEdition Classic Planer) - c:\programme\antivir personaledition classic\sched.exe <Not Verified; Avira GmbH; AntiVir Scheduler> R2 AVM IGD CTRL Service - e:\fritz!dsl\igdctrl.exe <Not Verified; AVM Berlin; AVM IGD Service> R2 AVM WLAN Connection Service - c:\programme\avmwlanstick\wlannetservice.exe <Not Verified; AVM Berlin; AVM AVMWlanService> S3 de_serv (AVM FRITZ!web Routing Service) - c:\programme\gemeinsame dateien\avm\de_serv.exe <Not Verified; AVM Berlin; AVM Rocky> -- Device Manager: Disabled ---------------------------------------------------- Class GUID: {36FC9E60-C465-11CF-8056-444553540000} Description: USB-Massenspeichergerät Device ID: USB\VID_0DB0&PID_6982\2002-78 Manufacturer: Kompatibles USB-Speichergerät Name: USB-Massenspeichergerät PNP Device ID: USB\VID_0DB0&PID_6982\2002-78 Service: USBSTOR Class GUID: {4D36E97E-E325-11CE-BFC1-08002BE10318} Description: Audiocontroller für Multimedia Device ID: PCI\VEN_13F6&DEV_0111&SUBSYS_1144153B&REV_10\3&61AAA01&0&38 Manufacturer: Name: Audiocontroller für Multimedia PNP Device ID: PCI\VEN_13F6&DEV_0111&SUBSYS_1144153B&REV_10\3&61AAA01&0&38 Service: -- Files created between 2008-03-26 and 2008-04-26 ----------------------------- 2008-04-26 15:40:31 107072 --a------ C:\WINDOWS\system32\chhesaek.dll 2008-04-26 15:37:31 95808 --a------ C:\WINDOWS\system32\jaglkkxc.dll 2008-04-26 15:35:43 106048 --a------ C:\WINDOWS\system32\wfnrwsmp.dll 2008-04-26 14:00:50 0 dr-h----- C:\Dokumente und Einstellungen\Admin\Recent 2008-04-26 13:29:43 196732 --ahs---- C:\WINDOWS\system32\DLlkkUtv.ini2 2008-04-26 02:32:23 0 d-------- C:\cmdcons 2008-04-26 02:26:42 68096 --a------ C:\WINDOWS\zip.exe 2008-04-26 02:26:42 49152 --a------ C:\WINDOWS\VFind.exe 2008-04-26 02:26:42 212480 --a------ C:\WINDOWS\swxcacls.exe <Not Verified; SteelWerX; SteelWerX Extended Configurator ACLists> 2008-04-26 02:26:42 136704 --a------ C:\WINDOWS\swsc.exe <Not Verified; SteelWerX; SteelWerX Service Controller> 2008-04-26 02:26:42 161792 --a------ C:\WINDOWS\swreg.exe <Not Verified; SteelWerX; SteelWerX Registry Editor> 2008-04-26 02:26:42 98816 --a------ C:\WINDOWS\sed.exe 2008-04-26 02:26:42 80412 --a------ C:\WINDOWS\grep.exe 2008-04-26 02:26:42 73728 --a------ C:\WINDOWS\fdsv.exe <Not Verified; Smallfrogs Studio; > 2008-04-25 23:26:33 281088 --a------ C:\WINDOWS\system32\vtUkklLD.dll 2008-04-25 23:22:19 0 d--h----- C:\WINDOWS\PIF 2008-04-24 19:24:30 0 dr------- C:\Dokumente und Einstellungen\All Users\Application Data\syskontroller 2008-04-24 19:24:29 0 dr------- C:\Dokumente und Einstellungen\All Users\Application Data\SalesMon 2008-04-24 19:24:28 0 dr------- C:\Dokumente und Einstellungen\All Users\Application Data 2008-04-23 23:00:41 61874 --a------ C:\WINDOWS\ydhqzop.sys 2008-04-23 22:56:20 39936 --a------ C:\WINDOWS\system32\byXOiHwV.dll 2008-03-27 14:43:30 0 d-------- C:\Dokumente und Einstellungen\Admin\WINDOWS 2008-03-27 14:43:14 124336 --a------ C:\WINDOWS\system\itss.dll <Not Verified; Microsoft Corporation; Microsoft(R) Windows NT(R) Operating System> 2008-03-27 14:43:14 169120 --a------ C:\WINDOWS\system\itircl.dll <Not Verified; Microsoft Corporation; Microsoft(R) Windows NT(R) Operating System> 2008-03-27 14:43:05 776240 --a------ C:\WINDOWS\system\lead52.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Windows> 2008-03-27 14:42:56 81946 --a------ C:\WINDOWS\system32\Vb5ko.dll <Not Verified; Microsoft Corporation; Visual Basic Environment> 2008-03-27 14:42:56 172032 --a------ C:\WINDOWS\system32\SpotSaver.scr <Not Verified; BearPaw; BearPaw ScreenSaver> 2008-03-27 14:42:56 176128 --a------ C:\WINDOWS\system32\PuzzSaver.scr <Not Verified; BearPaw; BearPaw ScreenSaver> 2008-03-27 14:42:56 135168 --a------ C:\WINDOWS\system32\ParaSaver.scr <Not Verified; ; ScreenSaver Application> 2008-03-27 14:42:53 212480 --a------ C:\WINDOWS\system\Pcdlib32.dll <Not Verified; Eastman Kodak; Kodak Photo CD Access Developer Toolkit> 2008-03-27 14:42:53 20480 --a------ C:\WINDOWS\system\Lfwpg70n.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Win32> 2008-03-27 14:42:53 18944 --a------ C:\WINDOWS\system\Lfwfx70n.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Win32> 2008-03-27 14:42:53 20992 --a------ C:\WINDOWS\system\lftga70n.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Win32> 2008-03-27 14:42:53 19456 --a------ C:\WINDOWS\system\Lfras70n.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Win32> 2008-03-27 14:42:53 22016 --a------ C:\WINDOWS\system\Lfpsd70n.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Win32> 2008-03-27 14:42:53 111616 --a------ C:\WINDOWS\system\Lfpng70n.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Win32> 2008-03-27 14:42:53 24064 --a------ C:\WINDOWS\system\Lfpcx70n.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Win32> 2008-03-27 14:42:53 19456 --a------ C:\WINDOWS\system\Lfmsp70n.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Win32> 2008-03-27 14:42:53 32768 --a------ C:\WINDOWS\system\lfgif70n.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Win32> 2008-03-27 14:42:53 24064 --a------ C:\WINDOWS\system\Lfeps70n.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Win32> 2008-03-27 14:42:53 81920 --a------ C:\WINDOWS\system\Capi2032.dll 2008-03-27 14:42:51 93184 --a------ C:\WINDOWS\system\lftif70n.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Win32> 2008-03-27 14:42:51 24064 --a------ C:\WINDOWS\system\lfpct70n.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Win32> 2008-03-27 14:42:51 19456 --a------ C:\WINDOWS\system\lfpcd70n.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Win32> 2008-03-27 14:42:51 18944 --a------ C:\WINDOWS\system\lfmac70n.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Win32> 2008-03-27 14:42:51 25088 --a------ C:\WINDOWS\system\lflmb70n.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Win32> 2008-03-27 14:42:51 29184 --a------ C:\WINDOWS\system\lflma70n.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Win32> 2008-03-27 14:42:51 95232 --a------ C:\WINDOWS\system\LFKODAK.DLL 2008-03-27 14:42:51 20480 --a------ C:\WINDOWS\system\lfimg70n.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Win32> 2008-03-27 14:42:51 26112 --a------ C:\WINDOWS\system\lfica70n.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Win32> 2008-03-27 14:42:51 35328 --a------ C:\WINDOWS\system\lffpx70n.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Win32> 2008-03-27 14:42:51 306688 --a------ C:\WINDOWS\system\LFFPX7.DLL <Not Verified; ; Reference Implementation> 2008-03-27 14:42:51 224768 --a------ C:\WINDOWS\system\lfcmp70n.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Win32> 2008-03-27 14:42:51 19968 --a------ C:\WINDOWS\system\lfcal70n.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Win32> 2008-03-27 14:42:51 24576 --a------ C:\WINDOWS\system\lfbmp70n.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Win32> 2008-03-27 14:42:51 17920 --a------ C:\WINDOWS\system\lfavi70n.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Win32> 2008-03-27 14:42:50 350208 --a------ C:\WINDOWS\system\ltkrn70n.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Win32> 2008-03-27 14:42:50 55296 --a------ C:\WINDOWS\system\ltfil70n.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Win32> 2008-03-27 14:42:50 175104 --a------ C:\WINDOWS\system\lffax70n.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Win32> 2008-03-27 14:42:48 0 d-------- C:\Programme\Mustek 1200 UB Plus 2008-03-27 14:37:01 0 d-------- C:\Programme\OpenOffice.org 2.1 -- Find3M Report --------------------------------------------------------------- 2008-04-26 02:18:33 316594 --a------ C:\WINDOWS\system32\perfh007.dat 2008-04-26 02:18:33 48156 --a------ C:\WINDOWS\system32\perfc007.dat 2008-04-24 23:53:38 0 d-------- C:\Programme\Gemeinsame Dateien 2008-04-24 19:36:00 0 d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\FestplattenReiniger 2008-04-24 19:29:29 0 d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\syskontroller 2008-04-20 22:24:44 0 d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\OpenOffice.org2 2008-04-19 18:34:28 36296 --a------ C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2008-03-30 22:37:39 0 d--h----- C:\Programme\Zero G Registry 2008-03-19 20:24:44 36864 --a------ C:\WINDOWS\system32\tjclip.dll 2008-03-14 14:51:53 0 d-------- C:\Programme\Messenger 2008-03-02 15:40:52 0 d-------- C:\Programme\avmwlanstick 2008-02-16 18:50:10 0 --a------ C:\WINDOWS\nsreg.dat 2008-02-14 21:12:26 0 -rahs---- C:\MSDOS.SYS 2008-02-14 21:12:26 0 -rahs---- C:\IO.SYS 2008-02-14 21:12:26 0 --a------ C:\CONFIG.SYS 2008-02-14 21:12:26 0 --a------ C:\AUTOEXEC.BAT 2008-02-14 21:10:24 21740 --a------ C:\WINDOWS\system32\emptyregdb.dat 2008-02-14 21:05:57 62 --ahs---- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\desktop.ini -- Registry Dump --------------------------------------------------------------- *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{208bbea1-8fd8-45c6-b384-9ddc72706a71}] 26.04.2008 15:40 107072 --a------ C:\WINDOWS\system32\chhesaek.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B1E4471B-4B0A-439D-9E58-90F3B0FFBC3C}] 25.04.2008 23:26 281088 --a------ C:\WINDOWS\system32\vtUkklLD.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F50B3F5E-856E-4757-9BB1-B35D46CA7719}] 23.04.2008 22:56 39936 --a------ C:\WINDOWS\system32\byXOiHwV.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMan"="SOUNDMAN.EXE" [28.10.2002 08:38 C:\WINDOWS\SOUNDMAN.EXE] "HP Software Update"="C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [17.12.2002 12:40] "DeviceDiscovery"="C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" [02.12.2002 21:56] "NeroCheck"="C:\WINDOWS\System32\\NeroCheck.exe" [09.07.2001 12:50] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [31.10.2006 18:07] "UltraMon"="E:\UltraMon\UltraMon.exe" [12.10.2006 22:27] "AVMWlanClient"="C:\Programme\avmwlanstick\FRITZWLANMini.exe" [23.06.2006 12:24] "avast!"="E:\Avast4\ashDisp.exe" [29.03.2008 19:37] "KernelFaultCheck"="C:\WINDOWS\system32\dumprep 0 -k" [] "BM376244ea"="C:\WINDOWS\system32\wfnrwsmp.dll" [26.04.2008 15:35] "34517776"="C:\WINDOWS\system32\jaglkkxc.dll" [26.04.2008 15:37] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [04.08.2004 09:57] "MSMSGS"="C:\Programme\Messenger\MSMSGS.exe" [] "autoload"="C:\Dokumente und Einstellungen\Admin\cftmon.exe" [] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Reader - Schnellstart.lnk - E:\Acrobat 7.0\Reader\reader_sl.exe [24.09.2005 00:05:26] Microsoft Office.lnk - E:\MicrosoftOfficeXP\Office10\OSA.EXE [13.02.2001 02:01:04] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system] "disableregistrytools"=0 (0x0) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{F50B3F5E-856E-4757-9BB1-B35D46CA7719}"= C:\WINDOWS\system32\byXOiHwV.dll [23.04.2008 22:56 39936] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\byXOiHwV] byXOiHwV.dll 23.04.2008 22:56 39936 C:\WINDOWS\system32\byXOiHwV.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] "Authentication Packages"= msv1_0 C:\WINDOWS\system32\vtUkklLD [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PSEXESVC] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}] @="Volume shadow copy" [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] p2psvc p2psvc p2pimsvc p2pgasvc PNRPSvc [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{358ba9ac-e85e-11dc-9a7d-0010dce427e8}] AutoRun\command- D:\pushinst.exe -- End of Deckard's System Scanner: finished at 2008-04-26 16:30:37 ------------ ***************************************** extra.txt Deckard's System Scanner v20071014.68 Extra logfile - please post this as an attachment with your post. -------------------------------------------------------------------------------- -- System Information ---------------------------------------------------------- Microsoft Windows XP Home Edition (build 2600) SP 2.0 Architecture: X86; Language: German CPU 0: Intel(R) Pentium(R) 4 CPU 2.60GHz Percentage of Memory in Use: 55% Physical Memory (total/avail): 511.48 MiB / 226.38 MiB Pagefile Memory (total/avail): 1250.2 MiB / 962.36 MiB Virtual Memory (total/avail): 2047.88 MiB / 1931.23 MiB A: is Removable (Unformatted) C: is Fixed (NTFS) - 39.06 GiB total, 33.56 GiB free. E: is Fixed (NTFS) - 78.13 GiB total, 49.55 GiB free. F: is Fixed (NTFS) - 31.85 GiB total, 26.85 GiB free. M: is CDROM (No Media) N: is CDROM (No Media) \\.\PHYSICALDRIVE0 - ST3160021A - 149.05 GiB - 3 partitions \PARTITION0 (bootable) - Installierbares Dateisystem - 39.06 GiB - C: \PARTITION1 - Erweitert mit Int 13 (erweitert) - 109.98 GiB - E: - F: \\.\PHYSICALDRIVE1 - WDC WD400BB-22JHC0 - 37.27 GiB - 3 partitions \PARTITION0 - Unknown - 2.01 GiB \PARTITION1 - Unknown - 13.01 GiB \PARTITION2 - Unknown - 22 GiB \PARTITION3 - Erweitert mit Int 13 (erweitert) - 258.86 MiB -- Security Center ------------------------------------------------------------- AUOptions is scheduled to auto-install. Windows Internal Firewall is enabled. AntivirusOverride is set. AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH) [COLOR=RED]Outdated[/COLOR] AV: avast! antivirus 4.8.1169 [VPS 080425-1] v4.8.1169 (ALWIL Software) [COLOR=RED]Disabled[/COLOR] [HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" [HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "E:\\BorlandTogether6.2\\jdk\\jre\\bin\\java.exe"="E:\\BorlandTogether6.2\\jdk\\jre\\bin\\java.exe:*:Enabled:java" "E:\\Borland\\Together6.2\\jdk\\jre\\bin\\java.exe"="E:\\Borland\\Together6.2\\jdk\\jre\\bin\\java.exe:*:Enabled:java" "E:\\BorlandTogehter\\jdk\\jre\\bin\\java.exe"="E:\\BorlandTogehter\\jdk\\jre\\bin\\java.exe:*:Enabled:java" "E:\\Maxima-5.11.0\\wxMaxima\\wxMaxima.exe"="E:\\Maxima-5.11.0\\wxMaxima\\wxMaxima.exe:*:Enabled:wxMaxima" -- Environment Variables ------------------------------------------------------- -- User Profiles --------------------------------------------------------------- Admin (admin) -- Add/Remove Programs --------------------------------------------------------- --> E:\DivX\ConverterUninstall.exe /CONVERTER --> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf ABBYY FineReader 4.0 Sprint --> C:\WINDOWS\bitdeins.exe E:\ABBYYF~1.0SP\bitdeins.ini Adobe Flash Player ActiveX --> C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe Adobe Reader 7.0.5 - Deutsch --> MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A70500000002} ATI Display Driver --> rundll32 C:\WINDOWS\System32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_classISPLAY -clean avast! Antivirus --> E:\Avast4\aswRunDll.exe "E:\Avast4\Setup\setiface.dll",RunSetup Avira AntiVir PersonalEdition Classic --> C:\Programme\AntiVir PersonalEdition Classic\setup.exe /REMOVE AVM FRITZ!DSL --> C:\WINDOWS\IsUn0407.exe -fE:\FRITZ!DSL\WebUnins.isu -cE:\FRITZ!DSL\Webunins.dll AVM FRITZ!WLAN --> C:\Programme\avmwlanstick\instwcli.exe -d1 Borland Together ControlCenter (v.6.2) --> "E:\BorlandTogehter\UninstallerData\Uninstall Together 6.2.exe" CCleaner (remove only) --> "E:\CCleaner\uninst.exe" Coroutine for Java --> jcuninstall.exe DivX 5.0.2 Bundle --> C:\WINDOWS\unvise32.exe E:\DivX\uninstal.log DivX Content Uploader --> E:\DivX\DivXContentUploaderUninstall.exe /CUPLOADER DivX Converter --> E:\DivX\ConverterUninstall.exe /CONVERTER DivX Player --> E:\DivX\DivXPlayerUninstall.exe /PLAYER DivX Web Player --> E:\DivX\DivXWebPlayerUninstall.exe /PLUGIN FaJo XP File Security Extension v1.2 --> "E:\FaJo\XP File Security Extension\unins000.exe" GO --> MsiExec.exe /I{35F5959E-BAA3-4AD3-9A4C-0BFF6BDF7A81} HijackThis 2.0.2 --> "C:\Dokumente und Einstellungen\Admin\Desktop\HJT\HijackThis.exe" /uninstall Hotfix für Windows XP (KB914440) --> "C:\WINDOWS\$NtUninstallKB914440$\spuninst\spuninst.exe" hp deskjet 5100 --> MsiExec.exe /X{FEDA56C4-82F3-46DD-8B50-FC592BBE1C0D} hp deskjet 5100 series --> rundll32 hpzcon08.dll,VendorJettison hp deskjet 5100 series HP Photo and Imaging 2.0 - Deskjet Series --> MsiExec.exe /I{E0828692-FD9D-459F-9312-C645C3CA6650} hp print screen utility --> C:\Program Files\Hewlett-Packard\hp print screen utility\UnInstall\prnunins.exe HP Speicher-Disc --> MsiExec.exe /X{B376402D-58EA-45EA-BD50-DD924EB67A70} jetAudio Basic --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{DF8195AF-8E6F-4487-A0EE-196F7E3F4B8A}\setup.exe" -l0x7 -removeonly K-Lite Codec Pack 2.49 Standard --> "E:\K-Lite Codec Pack\unins000.exe" Maxima 5.11.0 --> "E:\Maxima-5.11.0\uninst\unins000.exe" Microsoft AutoRoute 2002 --> MsiExec.exe /I{F7F2DC0A-C22E-49AD-AD37-797309A54E7B} Microsoft Encarta Enzyklopädie 2003 --> MsiExec.exe /I{03440014-3975-4267-9F39-1DC4745090B7} Microsoft Office XP Professional mit FrontPage --> MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9} Microsoft Visual J++ 6.0 (Deutsch) --> "E:\Microsoft Visual Studio\VJ98\Setup\1031\Setup.exe" Microsoft Visual Studio 6.0 Professional Edition (Deutsch) --> "E:\Microsoft Visual Studio\Setup\1031\Setup.exe" Microsoft Web Publishing Wizard 1.53 --> RunDll32 ADVPACK.DLL,LaunchINFSection C:\WINDOWS\INF\wpie3x86.inf,WebPostUninstall Microsoft Works 2003-Setup-Start --> C:\Programme\Microsoft Works Suite 2003\Setup\Launcher.exe N:\ Microsoft Works 7.0 --> MsiExec.exe /I{EDDDC607-91D9-4758-9F57-265FDCD8A772} Mozilla Thunderbird (2.0.0.12) --> E:\Mozilla Thunderbird\uninstall\helper.exe MPLAB Tools v7.50 --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\10\INTEL3~1\IDriver.exe /M{DF72189F-AC28-4545-8B69-880C9D4A311F} MSDN Library - Visual Studio 6.0a (Deutsch) --> "E:\Microsoft Visual Studio\MSDN98\98VSa\1031\Setup\Setup.exe" Mustek 1200 UB Plus v1.3 --> C:\PROGRA~1\MUSTEK~1\Driver\UNINST.EXE Nero - Burning Rom --> MsiExec.exe /X{A4D7B764-4140-11D4-88EB-0050DA3579C0} OpenOffice.org 2.1 --> MsiExec.exe /I{8FB1A5EA-7DA8-4D57-80FB-BD923CCCC852} PowerCinema --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6B103F43-069C-11D6-9EA2-0050BAE317E1}\Setup.exe" -uninst PowerDVD --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\setup.exe" -uninstall Shockwave --> C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log Sicherheitsupdate für Windows XP (KB890046) --> "C:\WINDOWS\$NtUninstallKB890046$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB893756) --> "C:\WINDOWS\$NtUninstallKB893756$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB896358) --> "C:\WINDOWS\$NtUninstallKB896358$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB896423) --> "C:\WINDOWS\$NtUninstallKB896423$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB896424) --> "C:\WINDOWS\$NtUninstallKB896424$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB896428) --> "C:\WINDOWS\$NtUninstallKB896428$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB899587) --> "C:\WINDOWS\$NtUninstallKB899587$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB899591) --> "C:\WINDOWS\$NtUninstallKB899591$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB900725) --> "C:\WINDOWS\$NtUninstallKB900725$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB901017) --> "C:\WINDOWS\$NtUninstallKB901017$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB901214) --> "C:\WINDOWS\$NtUninstallKB901214$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB902400) --> "C:\WINDOWS\$NtUninstallKB902400$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB904706) --> Sicherheitsupdate für Windows XP (KB905414) --> "C:\WINDOWS\$NtUninstallKB905414$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB905749) --> "C:\WINDOWS\$NtUninstallKB905749$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB908519) --> "C:\WINDOWS\$NtUninstallKB908519$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB911562) --> "C:\WINDOWS\$NtUninstallKB911562$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB911927) --> "C:\WINDOWS\$NtUninstallKB911927$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB912919) --> "C:\WINDOWS\$NtUninstallKB912919$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB913580) --> "C:\WINDOWS\$NtUninstallKB913580$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB914388) --> "C:\WINDOWS\$NtUninstallKB914388$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB914389) --> "C:\WINDOWS\$NtUninstallKB914389$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB917344) --> "C:\WINDOWS\$NtUninstallKB917344$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB917422) --> "C:\WINDOWS\$NtUninstallKB917422$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB917953) --> "C:\WINDOWS\$NtUninstallKB917953$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB918118) --> "C:\WINDOWS\$NtUninstallKB918118$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB919007) --> "C:\WINDOWS\$NtUninstallKB919007$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB920213) --> "C:\WINDOWS\$NtUninstallKB920213$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB920670) --> "C:\WINDOWS\$NtUninstallKB920670$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB920683) --> "C:\WINDOWS\$NtUninstallKB920683$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB920685) --> "C:\WINDOWS\$NtUninstallKB920685$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB921398) --> "C:\WINDOWS\$NtUninstallKB921398$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB921883) --> "C:\WINDOWS\$NtUninstallKB921883$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB922616) --> "C:\WINDOWS\$NtUninstallKB922616$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB922819) --> "C:\WINDOWS\$NtUninstallKB922819$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB923191) --> "C:\WINDOWS\$NtUninstallKB923191$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB923414) --> "C:\WINDOWS\$NtUninstallKB923414$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB923694) --> "C:\WINDOWS\$NtUninstallKB923694$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB923789) --> C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf Sicherheitsupdate für Windows XP (KB923980) --> "C:\WINDOWS\$NtUninstallKB923980$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB924191) --> "C:\WINDOWS\$NtUninstallKB924191$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB924270) --> "C:\WINDOWS\$NtUninstallKB924270$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB924496) --> "C:\WINDOWS\$NtUninstallKB924496$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB924667) --> "C:\WINDOWS\$NtUninstallKB924667$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB925902) --> "C:\WINDOWS\$NtUninstallKB925902$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB926247) --> "C:\WINDOWS\$NtUninstallKB926247$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB926255) --> "C:\WINDOWS\$NtUninstallKB926255$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB926436) --> "C:\WINDOWS\$NtUninstallKB926436$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB927779) --> "C:\WINDOWS\$NtUninstallKB927779$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB927802) --> "C:\WINDOWS\$NtUninstallKB927802$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB928255) --> "C:\WINDOWS\$NtUninstallKB928255$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB928843) --> "C:\WINDOWS\$NtUninstallKB928843$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB930178) --> "C:\WINDOWS\$NtUninstallKB930178$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB931261) --> "C:\WINDOWS\$NtUninstallKB931261$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB931784) --> "C:\WINDOWS\$NtUninstallKB931784$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB932168) --> "C:\WINDOWS\$NtUninstallKB932168$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB933729) --> "C:\WINDOWS\$NtUninstallKB933729$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB935839) --> "C:\WINDOWS\$NtUninstallKB935839$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB935840) --> "C:\WINDOWS\$NtUninstallKB935840$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB936021) --> "C:\WINDOWS\$NtUninstallKB936021$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB938829) --> "C:\WINDOWS\$NtUninstallKB938829$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB941568) --> "C:\WINDOWS\$NtUninstallKB941568$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB941569) --> "C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB941644) --> "C:\WINDOWS\$NtUninstallKB941644$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB941693) --> "C:\WINDOWS\$NtUninstallKB941693$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB943055) --> "C:\WINDOWS\$NtUninstallKB943055$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB943460) --> "C:\WINDOWS\$NtUninstallKB943460$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB943485) --> "C:\WINDOWS\$NtUninstallKB943485$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB944653) --> "C:\WINDOWS\$NtUninstallKB944653$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB945553) --> "C:\WINDOWS\$NtUninstallKB945553$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB946026) --> "C:\WINDOWS\$NtUninstallKB946026$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB948590) --> "C:\WINDOWS\$NtUninstallKB948590$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB948881) --> "C:\WINDOWS\$NtUninstallKB948881$\spuninst\spuninst.exe" UltraMon --> MsiExec.exe /I{E67FF1A2-23C1-4102-84E9-42115F77AD32} Update für Windows XP (KB898461) --> "C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe" Update für Windows XP (KB900485) --> "C:\WINDOWS\$NtUninstallKB900485$\spuninst\spuninst.exe" Update für Windows XP (KB904942) --> "C:\WINDOWS\$NtUninstallKB904942$\spuninst\spuninst.exe" Update für Windows XP (KB908531) --> "C:\WINDOWS\$NtUninstallKB908531$\spuninst\spuninst.exe" Update für Windows XP (KB910437) --> "C:\WINDOWS\$NtUninstallKB910437$\spuninst\spuninst.exe" Update für Windows XP (KB911280) --> "C:\WINDOWS\$NtUninstallKB911280$\spuninst\spuninst.exe" Update für Windows XP (KB916595) --> "C:\WINDOWS\$NtUninstallKB916595$\spuninst\spuninst.exe" Update für Windows XP (KB920872) --> "C:\WINDOWS\$NtUninstallKB920872$\spuninst\spuninst.exe" Update für Windows XP (KB922582) --> "C:\WINDOWS\$NtUninstallKB922582$\spuninst\spuninst.exe" Update für Windows XP (KB927891) --> "C:\WINDOWS\$NtUninstallKB927891$\spuninst\spuninst.exe" Update für Windows XP (KB930916) --> "C:\WINDOWS\$NtUninstallKB930916$\spuninst\spuninst.exe" Update für Windows XP (KB936357) --> "C:\WINDOWS\$NtUninstallKB936357$\spuninst\spuninst.exe" Update für Windows XP (KB938828) --> "C:\WINDOWS\$NtUninstallKB938828$\spuninst\spuninst.exe" Update für Windows XP (KB942763) --> "C:\WINDOWS\$NtUninstallKB942763$\spuninst\spuninst.exe" Windows XP-Hotfix - KB873339 --> C:\WINDOWS\$NtUninstallKB873339$\spuninst\spuninst.exe Windows XP-Hotfix - KB885835 --> C:\WINDOWS\$NtUninstallKB885835$\spuninst\spuninst.exe Windows XP-Hotfix - KB885836 --> C:\WINDOWS\$NtUninstallKB885836$\spuninst\spuninst.exe Windows XP-Hotfix - KB885884 --> C:\WINDOWS\$NtUninstallKB885884$\spuninst\spuninst.exe Windows XP-Hotfix - KB886185 --> C:\WINDOWS\$NtUninstallKB886185$\spuninst\spuninst.exe Windows XP-Hotfix - KB887472 --> C:\WINDOWS\$NtUninstallKB887472$\spuninst\spuninst.exe Windows XP-Hotfix - KB888302 --> C:\WINDOWS\$NtUninstallKB888302$\spuninst\spuninst.exe Windows XP-Hotfix - KB890859 --> "C:\WINDOWS\$NtUninstallKB890859$\spuninst\spuninst.exe" Windows XP-Hotfix - KB891781 --> C:\WINDOWS\$NtUninstallKB891781$\spuninst\spuninst.exe WinRAR archiver --> E:\WinRAR\uninstall.exe -- Application Event Log ------------------------------------------------------- Event Record #/Type660 / Warning Event Submitted/Written: 04/26/2008 03:35:13 PM Event ID/Source: 1015 / EvntAgnt Event Description: TraceLevel-Parameter ist nicht in der Registrierung enthalten. Die verwendete Standardablaufverfolgungsstufe ist 32. Event Record #/Type659 / Warning Event Submitted/Written: 04/26/2008 03:35:13 PM Event ID/Source: 1003 / EvntAgnt Event Description: TraceFileName-Parameter ist nicht in der Registrierung enthalten. Die verwendete Standardablaufverfolgungsdatei ist . Event Record #/Type655 / Warning Event Submitted/Written: 04/26/2008 01:50:44 PM Event ID/Source: 1015 / EvntAgnt Event Description: TraceLevel-Parameter ist nicht in der Registrierung enthalten. Die verwendete Standardablaufverfolgungsstufe ist 32. Event Record #/Type654 / Warning Event Submitted/Written: 04/26/2008 01:50:44 PM Event ID/Source: 1003 / EvntAgnt Event Description: TraceFileName-Parameter ist nicht in der Registrierung enthalten. Die verwendete Standardablaufverfolgungsdatei ist . Event Record #/Type651 / Warning Event Submitted/Written: 04/26/2008 01:35:16 PM Event ID/Source: 1015 / EvntAgnt Event Description: TraceLevel-Parameter ist nicht in der Registrierung enthalten. Die verwendete Standardablaufverfolgungsstufe ist 32. -- Security Event Log ---------------------------------------------------------- No Errors/Warnings found. -- System Event Log ------------------------------------------------------------ Event Record #/Type3816 / Error Event Submitted/Written: 04/26/2008 02:59:43 PM Event ID/Source: 10005 / DCOM Event Description: Bei DCOM ist der Fehler "%%1084" aufgetreten, als der Dienst "EventSystem" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF} Event Record #/Type3815 / Error Event Submitted/Written: 04/26/2008 02:56:18 PM Event ID/Source: 7026 / Service Control Manager Event Description: Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen: aavmker4 AFD aswsp aswtdi Fips intelppm IPSec MRxSmb NetBIOS NetBT RasAcd Rdbss Tcpip Tcpip6 Event Record #/Type3814 / Error Event Submitted/Written: 04/26/2008 02:56:18 PM Event ID/Source: 7001 / Service Control Manager Event Description: Der Dienst "Einfache TCP/IP-Dienste" ist vom Dienst "Umgebung für die AFD-Netzwerkunterstützung" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%31 Event Record #/Type3813 / Error Event Submitted/Written: 04/26/2008 02:56:18 PM Event ID/Source: 7001 / Service Control Manager Event Description: Der Dienst "IPSEC-Dienste" ist vom Dienst "IPSEC-Treiber" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%31 Event Record #/Type3812 / Error Event Submitted/Written: 04/26/2008 02:56:18 PM Event ID/Source: 7001 / Service Control Manager Event Description: Der Dienst "IPv6-Hilfsdienst" ist vom Dienst "Microsoft IPv6-Protokolltreiber" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%31 -- End of Deckard's System Scanner: finished at 2008-04-26 16:30:37 ------------ ___________ MfG Dietmar |
|
|
26.04.2008, 17:50
Ehrenmitglied
Beiträge: 29434 |
#8
1.
fixe mit hijacktHis (nicht neustarten) Zitat O2 - BHO: {17a60727-cdd9-483b-6c54-8df81aebb802} - {208bbea1-8fd8-45c6-b384-9ddc72706a71} - C:\WINDOWS\system32\chhesaek.dll----------------------------------------------------------------------- 2.. Lade Avenger http://virus-protect.org/artikel/tools/avenger.html -setze ein Häkchen in: "Automatically disable any rootkits found" -Das Häkchen "Scan for Rootkits" sollte angehakt sein. kopiere in das weisse Feld: Zitat Drivers to disable:schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten) Klicke: Execute bestätige, dass der Rechner neu gestartet wird - klicke "yes" WENN FEHLERMELDUNGEN KOMMEN, klicke 4 oder 5 mal, wenn immer noch nicht neugestartet wird, starte du selbst den Rechner neu » poste dann das log von Avenger, was erscheint ------------- «« scanne mit Malwarebytes + poste den report http://virus-protect.org/artikel/tools/malwarebytes.html hoffentlich holt Malwarebytes den veränderten Lsa-Wert raus: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) - «« scanne im abgesicherten modus und berichte, ob der Rootkit (ydhqzop.sys) gelöscht wurde Sophos Anti-Rootkit http://www.sophos.de/products/free-tools/sophos-anti-rootkit.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
26.04.2008, 19:06
Member
Themenstarter Beiträge: 23 |
#9
Hallo,
1. ok 2. Avenger kam eine Fehlermeldung: Error: Invalid script. A valid script must begin with a command directive. Aborting execution! Habe "Drivers to disable" in "Drivers to disable:" abgeändert. ******************************************* Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Driver "ydhqzop" disabled successfully. Driver "ydhqzop" deleted successfully. File "C:\WINDOWS\pskt.ini" deleted successfully. File "C:\WINDOWS\ydhqzop.sys" deleted successfully. File "C:\WINDOWS\system32\vtUkklLD.dll" deleted successfully. Error: file "C:\WINDOWS\system32\chhesaek.dll" not found! Deletion of file "C:\WINDOWS\system32\chhesaek.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist File "C:\WINDOWS\system32\jaglkkxc.dll" deleted successfully. File "C:\WINDOWS\system32\wfnrwsmp.dll" deleted successfully. File "C:\WINDOWS\system32\DLlkkUtv.ini2" deleted successfully. File "C:\WINDOWS\system32\DLlkkUtv.ini" deleted successfully. File "C:\WINDOWS\system32\byXOiHwV.dll" deleted successfully. Completed script processing. ******************* Finished! Terminate. ************************************************ Malwarebytes' Anti-Malware 1.11 Datenbank Version: 685 Scan Art: Komplett Scan (C:\|E:\|F:\|) Objekte gescannt: 91175 Scan Dauer: 36 minute(s), 8 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 13 Infizierte Registrierungswerte: 2 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 21 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\CLSID\{d032570a-5f63-4812-a094-87d007c23012} (Spyware.Banker) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{f50b3f5e-856e-4757-9bb1-b35d46ca7719} (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f50b3f5e-856e-4757-9bb1-b35d46ca7719} (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Purchased Products (Rogue.Multiple) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> No action taken. HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> No action taken. HKEY_CURRENT_USER\Software\Microsoft\affltid (Malware.Trace) -> No action taken. HKEY_CLASSES_ROOT\WR (Malware.Trace) -> No action taken. HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{f50b3f5e-856e-4757-9bb1-b35d46ca7719} (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BM376244ea (Trojan.Agent) -> No action taken. Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: C:\Deckard\System Scanner\backup\WINDOWS\temp\7CF28762C38CA0D4.tmp (Trojan.Dropper) -> No action taken. C:\Deckard\System Scanner\backup\WINDOWS\temp\AE8AB41F91F72503.tmp (Malware.Trace) -> No action taken. C:\Dokumente und Einstellungen\Admin\Desktop\HJT\backups\backup-20080426-125908-530.dll (Trojan.Vundo) -> No action taken. C:\Dokumente und Einstellungen\Admin\Desktop\HJT\backups\backup-20080426-125908-606.dll (Trojan.Vundo) -> No action taken. C:\Dokumente und Einstellungen\Admin\Desktop\HJT\backups\backup-20080426-125908-711.dll (Trojan.Vundo) -> No action taken. C:\Dokumente und Einstellungen\Admin\Desktop\HJT\backups\backup-20080426-185737-110.dll (Trojan.Vundo) -> No action taken. C:\Dokumente und Einstellungen\Admin\Desktop\HJT\backups\backup-20080426-185737-226.dll (Trojan.Vundo) -> No action taken. C:\Dokumente und Einstellungen\Admin\Desktop\HJT\backups\backup-20080426-185737-674.dll (Trojan.Vundo) -> No action taken. C:\Dokumente und Einstellungen\Admin\Desktop\HJT\backups\backup-20080426-194539-388.dll (Trojan.Vundo) -> No action taken. C:\Dokumente und Einstellungen\Admin\Desktop\HJT\backups\backup-20080426-194539-628.dll (Trojan.Vundo) -> No action taken. C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4G50I0WL\glas[1] (Trojan.Vundo) -> No action taken. C:\System Volume Information\_restore{00AA45B3-6A6D-44CA-8BA1-7D8A65A8E133}\RP168\A0015663.dll (Rogue.Multiple) -> No action taken. C:\System Volume Information\_restore{00AA45B3-6A6D-44CA-8BA1-7D8A65A8E133}\RP168\A0015681.exe (Rogue.SystemErrorFixer) -> No action taken. C:\System Volume Information\_restore{00AA45B3-6A6D-44CA-8BA1-7D8A65A8E133}\RP175\A0019931.dll (Trojan.Vundo) -> No action taken. C:\System Volume Information\_restore{00AA45B3-6A6D-44CA-8BA1-7D8A65A8E133}\RP177\A0022967.dll (Trojan.Vundo) -> No action taken. C:\System Volume Information\_restore{00AA45B3-6A6D-44CA-8BA1-7D8A65A8E133}\RP177\A0022990.dll (Trojan.Vundo) -> No action taken. C:\System Volume Information\_restore{00AA45B3-6A6D-44CA-8BA1-7D8A65A8E133}\RP177\A0022994.dll (Trojan.Vundo) -> No action taken. C:\_OTMoveIt\MovedFiles\04262008_132314\WINDOWS\system32\ajwekhyk.dll (Trojan.Vundo) -> No action taken. C:\_OTMoveIt\MovedFiles\04262008_132314\WINDOWS\system32\dilwxeiq.dll (Trojan.Vundo) -> No action taken. C:\_OTMoveIt\MovedFiles\04262008_132314\WINDOWS\system32\rqRJCvuV.dll (Trojan.Vundo) -> No action taken. C:\_OTMoveIt\MovedFiles\04262008_132314\WINDOWS\system32\ymbutmbu.dll (Trojan.Vundo) -> No action taken. ___________ MfG Dietmar Dieser Beitrag wurde am 26.04.2008 um 21:00 Uhr von Di editiert.
|
|
|
26.04.2008, 21:14
Ehrenmitglied
Beiträge: 6028 |
#10
Malwarebytes Anti-Malware
Zitat Wenn am Ende infizierungen gefunden werden,anhaacken und entfernen lassen __________ MfG Argus |
|
|
26.04.2008, 21:30
Member
Themenstarter Beiträge: 23 |
#11
Hallo,
habe noch im Abgesicherten Modus Sophos Anti-Rootkit durchlaufen lassen, der hat aber nicht gefunden und nichts gelöscht. Beim booten braucht das System etwas lange. Starte Malwarebytes Anti-Malware und lösche die infizierten Dateien. ____________ Mfg Dietmar |
|
|
26.04.2008, 21:37
Ehrenmitglied
Beiträge: 29434 |
|
|
|
26.04.2008, 22:20
Member
Themenstarter Beiträge: 23 |
#13
Hi,
ComboFix ist komplett durchgelaufen. ******************************************************* ComboFix 08-04-24.1 - Admin 2008-04-26 22:07:22.7 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.231 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Admin\Desktop\ComboFix.exe . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\cookies.ini C:\WINDOWS\system32\1.tmp C:\WINDOWS\system32\cxkklgaj.ini C:\WINDOWS\system32\mcrh.tmp . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_6TO4 -------\Legacy_IPRIP -------\Service_6to4 -------\Service_Iprip -------\Legacy_MEMSWEEP2 -------\Service_MEMSWEEP2 ((((((((((((((((((((((( Dateien erstellt von 2008-03-26 bis 2008-04-26 )))))))))))))))))))))))))))))) . 2008-04-26 19:17 . 2008-04-26 19:17 61,440 --a------ C:\WINDOWS\system32\drivers\gkacn.sys 2008-04-26 18:42 . 2008-04-26 18:42 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Malwarebytes 2008-04-26 18:41 . 2008-04-26 18:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-04-26 16:27 . 2008-04-26 16:27 <DIR> d-------- C:\Deckard 2008-04-26 13:53 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll 2008-04-26 13:53 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui 2008-04-26 13:23 . 2008-04-26 13:23 <DIR> d-------- C:\_OTMoveIt 2008-04-25 23:22 . 2008-04-25 23:22 <DIR> d--h----- C:\WINDOWS\PIF 2008-04-24 19:36 . 2008-04-24 19:36 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\FestplattenReiniger 2008-04-24 19:31 . 2008-04-24 19:31 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FestplattenReiniger 2008-04-24 19:29 . 2008-04-24 19:29 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\syskontroller 2008-04-24 19:19 . 2008-04-26 20:01 109,779 --a------ C:\WINDOWS\BM376244ea.xml 2008-03-31 18:24 . 2008-03-31 18:24 0 --a------ C:\WINDOWS\Ui.INI 2008-03-30 22:36 . 2008-03-30 22:36 690 --a------ C:\WINDOWS\system32\Verknpfung mit DEVENV.EXE.lnk 2008-03-27 14:50 . 2002-04-15 17:38 196,608 -ra------ C:\WINDOWS\system32\SBMiniDrv.dll 2008-03-27 14:50 . 2001-11-08 10:53 18,120 -ra------ C:\WINDOWS\system32\drivers\gt680x.sys 2008-03-27 14:50 . 2001-11-29 16:47 8,192 -ra------ C:\WINDOWS\system32\drivers\SBfw.usb 2008-03-27 14:49 . 2008-03-27 14:49 0 --a------ C:\WINDOWS\WATCH.INI 2008-03-27 14:45 . 2008-03-27 14:45 492 --a------ C:\WINDOWS\MAXLINK.INI 2008-03-27 14:43 . 2008-03-27 14:43 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\WINDOWS 2008-03-27 14:43 . 1995-05-23 01:30 776,240 --a------ C:\WINDOWS\system\lead52.dll 2008-03-27 14:43 . 1997-09-18 01:30 332,800 --a------ C:\WINDOWS\system\hhctrl.ocx 2008-03-27 14:43 . 1997-09-18 01:30 169,120 --a------ C:\WINDOWS\system\itircl.dll 2008-03-27 14:43 . 1997-09-18 01:30 124,336 --a------ C:\WINDOWS\system\itss.dll 2008-03-27 14:42 . 2008-03-27 14:42 <DIR> d-------- C:\Programme\Mustek 1200 UB Plus 2008-03-27 14:38 . 2008-04-20 22:24 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\OpenOffice.org2 2008-03-27 14:37 . 2008-03-27 14:37 <DIR> d-------- C:\Programme\OpenOffice.org 2.1 4 Datei(en) . 3,702,544 C:\ComboFix\Bytes . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-04-26 19:50 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2008-04-26 12:08 90,112 ----a-w C:\WINDOWS\DUMP4a38.tmp 2008-04-19 16:34 36,296 ----a-w C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2008-03-30 20:37 --------- d--h--w C:\Programme\Zero G Registry 2008-03-02 13:40 --------- d-----w C:\Programme\avmwlanstick 2008-02-15 15:05 766,365 ----a-w C:\WINDOWS\java\Packages\9JR353X7.ZIP 2008-02-15 15:05 518,922 ----a-w C:\WINDOWS\java\Packages\AT3BTZZ9.ZIP 2008-02-14 19:12 558,142 ----a-w C:\WINDOWS\java\Packages\SXNP7B1J.ZIP 2008-02-14 19:12 155,995 ----a-w C:\WINDOWS\java\Packages\5Z7BPNP7.ZIP . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D9D80BA1-5D13-44AD-BD13-61450C6FE558}] C:\WINDOWS\system32\vtUkklLD.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MSMSGS"="C:\Programme\Messenger\MSMSGS.exe" [ ] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMan"="SOUNDMAN.EXE" [2002-10-28 08:38 47104 C:\WINDOWS\SOUNDMAN.EXE] "HP Software Update"="C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [2002-12-17 12:40 49152] "DeviceDiscovery"="C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" [2002-12-02 21:56 40960] "NeroCheck"="C:\WINDOWS\System32\\NeroCheck.exe" [2001-07-09 12:50 155648] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2006-10-31 18:07 299048] "UltraMon"="E:\UltraMon\UltraMon.exe" [2006-10-12 22:27 304640] "AVMWlanClient"="C:\Programme\avmwlanstick\FRITZWLANMini.exe" [2006-06-23 12:24 343552] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\byXOiHwV] byXOiHwV.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.3iv2"= 3ivxVfWCodec.dll "VIDC.HFYU"= huffyuv.dll "VIDC.VP31"= vp31vfw.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "E:\\BorlandTogehter\\jdk\\jre\\bin\\java.exe"= "E:\\Maxima-5.11.0\\wxMaxima\\wxMaxima.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3587:TCP"= 3587:TCP:Windows-Peer-zu-Peer-Gruppierung "3540:UDP"= 3540:UDPeer Name Resolution-Protokoll (PNRP) "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings] "AllowInboundEchoRequest"= 1 (0x1) R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2006-11-22 14:29] R1 aswsp;avast! Self Protection;C:\WINDOWS\system32\drivers\aswsp.sys [2008-03-29 19:31] R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2006-11-22 14:29] R2 aswfsblk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35] R2 UltraMonUtility;UltraMon Utility Driver;C:\Programme\Gemeinsame Dateien\Realtime Soft\UltraMonMirrorDrv\x32\UltraMonUtility.sys [2006-09-24 22:22] R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2002-11-04 16:29] R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2005-10-18 03:04] R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2002-11-04 16:32] R3 UltraMonMirror;UltraMonMirror;C:\WINDOWS\system32\DRIVERS\UltraMonMirror.sys [2006-09-24 22:23] S3 p2pgasvc;Peernetzwerk-Gruppenauthentifizierung;C:\WINDOWS\System32\svchost.exe [2004-08-04 09:58] S3 p2pimsvc;Peernetzwerkidentitäts-Manager;C:\WINDOWS\System32\svchost.exe [2004-08-04 09:58] S3 p2psvc;Peernetzwerk;C:\WINDOWS\System32\svchost.exe [2004-08-04 09:58] S3 PNRPSvc;Peer Name Resolution-Protokoll;C:\WINDOWS\System32\svchost.exe [2004-08-04 09:58] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{358ba9ac-e85e-11dc-9a7d-0010dce427e8}] \Shell\AutoRun\command - D:\pushinst.exe . ************************************************************************** catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-04-26 22:16:11 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . E:\Avast4\aswUpdSv.exe E:\Avast4\ashServ.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe E:\FRITZ!DSL\IGDCTRL.EXE C:\Programme\avmwlanstick\WLanNetService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\tcpsvcs.exe C:\WINDOWS\system32\snmp.exe E:\Acrobat 7.0\Reader\reader_sl.exe E:\Avast4\ashMaiSv.exe E:\Avast4\ashWebSv.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-04-26 22:18:47 - machine was rebooted [Admin] ComboFix-quarantined-files.txt 2008-04-26 20:18:43 10 Verzeichnis(se), 36,008,349,696 Bytes frei 11 Verzeichnis(se), 35,950,931,968 Bytes frei 151 --- E O F --- 2008-04-26 10:00:28 _____________ MfG Dietmar |
|
|
27.04.2008, 00:09
Ehrenmitglied
Beiträge: 29434 |
#14
Hallo,
Virustotal http://www.virustotal.com/flash/index_en.html C:\WINDOWS\system32\drivers\gkacn.sys Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren ------------------------------------------ «« Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern Zitat Registry::Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden. cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen danach: Combofix noch einmal anwenden PC neustarten «« Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" «« OTMoveIt klicken: CleanUp! button cleanup.txt wird vom Internet geladen (von Firewall zulassen!) Begin cleanup process? klicke: Yes. - "Do you want to reboot?" klicke Yes -------- «« mache einen Onlinescan mit f-Secure + poste den report http://virus-protect.org/onlinescan.html «« poste ein neus Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
27.04.2008, 00:27
Member
Themenstarter Beiträge: 23 |
#15
Hi,
noch wach :-)? ***************************** Virustotal analyse: MD5: 589312a3b46721c5a751e4d5222a89be First received: - Datum 2008.04.26 23:19:15 (CET) [<1D] Ergebnisse 0/32 Permalink: analisis/c12c18bc1f71f43cf55d409d0bd80530 ***************************************** f-secure report: Scanning Report Sunday, April 27, 2008 01:00:52 - 02:20:26 Computer name: ARBEITSZIMMER Scanning type: Scan system for malware, rootkits Target: C:\ E:\ F:\ -------------------------------------------------------------------------------- Result: 1 malware found Tracking Cookie (spyware) System -------------------------------------------------------------------------------- Statistics Scanned: Files: 38040 System: 3875 Not scanned: 7 Actions: Disinfected: 0 Renamed: 0 Deleted: 0 None: 1 Submitted: 0 Files not scanned: C:\PAGEFILE.SYS C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT C:\WINDOWS\SYSTEM32\CONFIG\SAM C:\WINDOWS\SYSTEM32\CONFIG\SECURITY C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM C:\WINDOWS\SOFTWAREDISTRIBUTION\EVENTCACHE\{85473277-0BF1-44B6-B71F-C48D97F74BE5}.BIN -------------------------------------------------------------------------------- Options Scanning engines: F-Secure USS: 2.30.0 F-Secure Hydra: 2.8.8110, 2008-04-26 F-Secure AVP: 7.0.171, 2008-04-26 F-Secure Pegasus: 1.20.0, 2008-02-28 F-Secure Blacklight: 1.0.64 Scanning options: Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR Use Advanced heuristics ************************************* hijackthis logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 02:23:09, on 27.04.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE E:\Avast4\aswUpdSv.exe E:\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe E:\FRITZ!DSL\IGDCTRL.EXE C:\Programme\avmwlanstick\WlanNetService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe E:\UltraMon\UltraMon.exe C:\Programme\avmwlanstick\FRITZWLANMini.exe C:\WINDOWS\system32\ctfmon.exe E:\Avast4\ashMaiSv.exe E:\Avast4\ashWebSv.exe C:\Programme\internet explorer\iexplore.exe E:\Acrobat 7.0\Reader\AcroRd32.exe C:\Dokumente und Einstellungen\Admin\Desktop\HJT\HJT.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://board.protecus.de/t33472.htm?highlight=system+langsam+und+instabil R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://fritz.box/ O2 - BHO: (no name) - {D9D80BA1-5D13-44AD-BD13-61450C6FE558} - C:\WINDOWS\system32\vtUkklLD.dll (file missing) O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [UltraMon] "E:\UltraMon\UltraMon.exe" /auto O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = E:\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = E:\MicrosoftOfficeXP\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O16 - DPF: Microsoft WFC Forms Designer - file://N:\VJ98\wfcforms.cab O16 - DPF: Visual Studio 6 Extensibility Libraries - file://N:\VJ98\vstudio6.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1203091194729 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1209159837562 O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab O20 - Winlogon Notify: byXOiHwV - byXOiHwV.dll (file missing) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: avast! iAVS4 Control Service (aswupdsv) - ALWIL Software - E:\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus (avast! antivirus) - ALWIL Software - E:\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner (avast! mail scanner) - ALWIL Software - E:\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner (avast! web scanner) - ALWIL Software - E:\Avast4\ashWebSv.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - E:\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe -- End of file - 5714 bytes Guten Morgen...Hab neue Kräfte getankt, jetzt kanns weitergehen ____________ MfG Dietmar Dieser Beitrag wurde am 27.04.2008 um 10:56 Uhr von Di editiert.
|
|
|
ich habe ein problem mit meinem pc.
Das ganze system ist langsam, sobald ich meinen internetexplorer starte erscheinen dauernd popups wie "syskontroller" "festplattenreiniger" und sagen ich solle sie installieren. AntiVir meldet irgendwelche malware und trojaner die ich dann in Quarantäne verschiebe oder lösche. Nach dem löschen tauchen Sie aber immer wieder neu auf. Avast AntiVir meldet die gleichen und dass auch welche im Arbeitsspeicher zugange sind und fordert mich dann auf das system neu zu starten und einen check während dem bootvorgang vorzunehmen.
Unter Internetoptionen habe ich diese Popups auch schon in die Liste der zu blockenden Sites eingefügt. Aber das hilft nicht, sie erscheinen immer wieder. Im Internetexplorer kann ich nur meine startseite öffnen.
Ueber google habe ich protecus gefunden wo jemand das gleiche problem hat.
Habe dann die Schritte unter http://board.protecus.de/t23187.htm befolgt. Combofix hat mir aber keine Logfile erstellen können (war sehr geduldig habe über eine Stunde gewartet). Habe mit HijackThis und datfind.bat eine Logfile erstellen können. (im Anhang)
Danke im Voraus für die Hilfe.
_________________
MfG Dietmar[/img]