four2one.virus - versteut sich in mehrer Dateien, wie bekomme ich ihn weg? |
|
---|---|
07.10.2008, 16:41
Member
Beiträge: 12 |
|
|
|
07.10.2008, 17:45
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo,nikstevie
wende bitte Combofix an (klicke die Warnmeldung weg) Nach Neustart erscheint ein Log - poste es bitte hier http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
08.10.2008, 18:53
Member
Themenstarter Beiträge: 12 |
#3
Hallo Sabina,
vielen Dank für Deine schnelle Nachricht, ich hoffe ich habe alles richtig gemacht.... Also bei meinem eeePC kam folgendes Ergebnis raus: ComboFix 08-10-07.06 - Sasha Inglis 2008-10-08 18:16:22.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.661 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Sasha Inglis\Desktop\ComboFix.exe [COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR] . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\localdate.dll D:\Autorun.inf . ((((((((((((((((((((((( Dateien erstellt von 2008-09-08 bis 2008-10-08 )))))))))))))))))))))))))))))) . 2008-10-08 18:02 . 2008-10-08 18:02 <DIR> d-------- C:\Programme\CCleaner 2008-10-07 00:28 . 2008-10-07 00:28 552 --a------ C:\WINDOWS\system32\d3d8caps.dat 2008-10-06 19:41 . 2008-10-06 19:45 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\U3 2008-10-06 19:41 . 2004-08-04 00:40 57,600 --a------ C:\WINDOWS\system32\drivers\redbook.sys 2008-10-06 19:17 . 2008-03-21 10:45 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2008-10-06 19:17 . 2008-04-16 19:56 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü 2008-10-06 19:17 . 2008-03-21 10:23 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2008-10-06 19:17 . 2008-10-08 18:18 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2008-10-06 19:17 . 2008-04-16 17:42 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten 2008-10-06 19:17 . 2008-04-16 17:42 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien 2008-10-06 19:17 . 2008-03-21 10:23 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung 2008-10-06 19:17 . 2008-04-16 17:51 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InstallShield 2008-10-06 19:17 . 2008-10-06 19:41 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2008-10-06 19:17 . 2008-10-06 19:17 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator 2008-10-05 20:07 . 2001-08-18 04:22 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys 2008-10-05 20:07 . 2001-08-17 14:02 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys 2008-09-21 19:55 . 2008-09-21 19:55 <DIR> d--h----- C:\WINDOWS\$hf_mig$ 2008-09-19 11:16 . 2008-08-10 19:33 18,858 -rahs---- C:\WINDOWS\system32\four2one.vbs 2008-09-19 11:16 . 2008-09-19 11:16 18,858 -rahs---- C:\WINDOWS\system32\Fortuna.dll 2008-09-19 11:16 . 2008-09-19 11:16 1,600 -rahs---- C:\WINDOWS\system32\google.htm 2008-09-19 11:16 . 2008-09-19 11:16 1,600 -rahs---- C:\google.htm 2008-09-19 11:16 . 2008-09-19 11:16 416 -rahs---- C:\WINDOWS\system32\explorer.vbs 2008-09-15 11:23 . 2008-09-15 11:23 <DIR> d-------- C:\WINDOWS\Sun . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-08 15:47 --------- d-----w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\StarOffice8 2008-09-30 20:09 --------- d-----w C:\Programme\Windows Live 2008-09-19 21:11 176 ----a-w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\wklnhst.dat 2008-09-05 22:44 --------- d-----w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\Skype 2008-09-05 22:07 --------- d-----w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\skypePM 2008-08-30 17:18 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat 2008-08-27 10:50 1,558,528 ----a-w C:\Programme\iview420g_setup.exe 2008-08-27 10:36 --------- d-----w C:\Programme\Avira 2008-08-27 10:36 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-08-27 10:26 25,093,328 ----a-w C:\Programme\antivir_workstation8.1.0.331_winu_de_h.exe 2008-08-27 01:21 --------- d-----w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\InterVideo 2008-08-13 18:44 --------- d-----w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\Template 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe 2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll 2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll 2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-08-04 1667584] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2007-09-24 104984] "HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2007-09-24 121368] "Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2007-09-24 100888] "AsusTray"="C:\Programme\Asus\EeePC ACPI\AsTray.exe" [2008-03-27 102400] "AsusACPIServer"="C:\Programme\Asus\EeePC ACPI\AsAcpiSvr.exe" [2008-03-20 544768] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496] "ETDWare"="C:\Programme\Elantech\ETDCtrl.exe" [2008-04-16 335872] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "MicrosoftSystem"="C:\WINDOWS\system32\four2one.vbs" [2008-08-10 18858] "RTHDCPL"="RTHDCPL.EXE" [2008-03-06 C:\WINDOWS\RTHDCPL.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 15360] C:\Dokumente und Einstellungen\Sasha Inglis\Startmen\Programme\Autostart\ StarOffice 8.lnk - D:\Programme\Sun\StarOffice 8\program\quickstart.exe [2007-08-17 122880] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ AutoRun OSCleaner.lnk - C:\Programme\ASUS\Asus OS Cleaner\AsOSCleaner.exe [2008-04-16 118784] [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= R3 AsusACPI;ASUS ACPI Driver;C:\WINDOWS\system32\DRIVERS\ASUSACPI.sys [2007-07-26 11264] R3 AtcL002;NDIS Miniport Driver for Atheros L2 Fast Ethernet Controller;C:\WINDOWS\system32\DRIVERS\l251x86.sys [2008-02-13 30720] R3 Ktp;Elantech Smart-Pad;C:\WINDOWS\system32\DRIVERS\ETD.sys [2008-04-15 25088] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6ecb48aa-8299-11dd-a68f-0022151219c0}] \Shell\AutoRun\command - System\Security\DriveGuard.exe -run \Shell\Explore\Command - System\Security\DriveGuard.exe -run \Shell\Open\Command - System\Security\DriveGuard.exe -run [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6ecb48ab-8299-11dd-a68f-0022151219c0}] \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe recycle.vbs [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b996c0c1-8305-11dd-a690-0015afa64934}] \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe recycle.vbs *Newly Created Service* - PROCEXP90 . Inhalt des "geplante Tasks" Ordners 2008-10-06 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job - C:\Programme\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 11:20] . - - - - Entfernte verwaiste Registrierungseinträge - - - - MSConfigStartUp-Adobe Reader Speed Launcher - C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe MSConfigStartUp-MsnMsgr - C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe . ------- Zusätzlicher Suchlauf ------- . R0 -: HKCU-Main,Start Page = c:\Google.htm R1 -: HKCU-Internet Connection Wizard,ShellNext = hxxp://eeepc.asus.com/global O8 -: &Windows Live Search - C:\Programme\Windows Live Toolbar\msntb.dll/search.htm . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-08 18:18:39 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-10-08 18:19:52 ComboFix-quarantined-files.txt 2008-10-08 16:19:48 Vor Suchlauf: 54,673,408 Bytes frei Nach Suchlauf: 54,591,488 Bytes frei 134 --- E O F --- 2008-09-30 20:10:02 Ich hoffe Du kannst mir weiter helfen, lg Nikstevie P.S. oben im ersten Beitrag sind die Daten vom Laptop im Anhang... Danke,danke Dieser Beitrag wurde am 08.10.2008 um 19:05 Uhr von nikstevie editiert.
|
|
|
08.10.2008, 22:37
Ehrenmitglied
Beiträge: 29434 |
#4
1.
wende Flash_Disinfector an - der Stick muss eingestöpselt sein - infizierten Stick mit FlashDis. "behandeln" http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe 2. antivbs.zip - laden - entzippen + anwenden http://virus-protect.org/zip/antivbs.zip http://virus-protect.org/artikel/spyware/vbs-remove.html 3. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern Zitat KILLALL::Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden. cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen Dann erscheint ein "öffnen mit" -bestätigen - und Combofix startet neu «« scanne mit Dr.Web erst im Normalmodus, dann im abgesicherten Modus http://virus-protect.org/cureit.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
10.10.2008, 01:35
Member
Themenstarter Beiträge: 12 |
#5
Hi Sabina,
wie es aussieht sind alle infizierten Dateien entfernt und es wird nichts Neues mehr angesteckt...!!!!!!!!!! Vielen Dank für die SUPER HILFE!!!!!!!!! LG Nikstevie |
|
|
10.10.2008, 01:40
Ehrenmitglied
Beiträge: 29434 |
|
|
|
10.10.2008, 04:08
Member
Themenstarter Beiträge: 12 |
#7
...tja, das würde ich gerne, aber weder bei dem Einen als bei dem anderen Rechner lässt sich Combofix mehr öffnen.
Hoffe, das ist kein schlechtes zeichen... |
|
|
10.10.2008, 12:14
Ehrenmitglied
Beiträge: 29434 |
#8
««
ComboFix entfernen Ausführen bei Windows XP : Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" « dann lade Combofix neu + poste den Report http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
11.10.2008, 18:26
Member
Themenstarter Beiträge: 12 |
#9
Hier der Logfile vom eeePC:
ComboFix 08-10-10.09 - Sasha Inglis 2008-10-11 18:55:09.6 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.706 [GMT 2:00] Running from: C:\Dokumente und Einstellungen\Sasha Inglis\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\profile\cache4\temporary_download\ComboFix.exe * Created a new restore point [COLOR=RED]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/COLOR] . ((((((((((((((((((((((((( Files Created from 2008-09-11 to 2008-10-11 ))))))))))))))))))))))))))))))) . 2008-10-10 03:11 . 2008-06-14 19:32 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys 2008-10-10 03:10 . 2008-04-11 21:04 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll 2008-10-10 03:10 . 2008-05-08 16:02 203,136 -----c--- C:\WINDOWS\system32\dllcache\rmcast.sys 2008-10-10 02:59 . 2008-10-10 02:59 <DIR> d-------- C:\WINDOWS\system32\de-de 2008-10-10 02:58 . 2008-10-10 02:58 <DIR> d-------- C:\WINDOWS\system32\de 2008-10-10 02:58 . 2008-10-10 02:58 <DIR> d-------- C:\WINDOWS\system32\bits 2008-10-10 02:58 . 2008-10-10 02:58 <DIR> d-------- C:\WINDOWS\l2schemas 2008-10-10 02:54 . 2008-10-10 02:54 <DIR> d-------- C:\WINDOWS\ServicePackFiles 2008-10-10 02:46 . 2008-10-10 02:46 400 --a------ C:\WINDOWS\ODBC.INI 2008-10-10 02:43 . 2008-10-10 02:43 <DIR> d-------- C:\WINDOWS\ShellNew 2008-10-10 02:39 . 2008-10-10 02:39 <DIR> d-------- C:\WINDOWS\EHome 2008-10-10 02:24 . 2004-08-03 22:41 1,309,184 --------- C:\WINDOWS\system32\drivers\mtlstrm.sys 2008-10-10 02:23 . 2006-02-28 14:00 381,425 -----c--- C:\WINDOWS\system32\dllcache\copycd.wmv 2008-10-10 02:20 . 2004-08-04 00:38 701,952 --------- C:\WINDOWS\system32\drivers\ati2mtag.sys 2008-10-10 02:10 . 2008-10-10 02:10 <DIR> d-------- C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\Apple Computer 2008-10-10 02:10 . 2008-04-17 13:12 107,368 --a------ C:\WINDOWS\system32\GEARAspi.dll 2008-10-10 02:10 . 2008-04-17 13:12 15,464 --a------ C:\WINDOWS\system32\drivers\GEARAspiWDM.sys 2008-10-10 02:09 . 2008-10-10 02:10 <DIR> d-------- C:\Programme\iTunes 2008-10-10 02:09 . 2008-10-10 02:09 <DIR> d-------- C:\Programme\iPod 2008-10-10 02:09 . 2008-10-10 02:09 <DIR> d-------- C:\Programme\Bonjour 2008-10-10 02:09 . 2008-10-10 02:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6} 2008-10-10 02:07 . 2008-10-10 02:08 <DIR> d-------- C:\Programme\QuickTime 2008-10-10 02:07 . 2008-10-10 02:07 <DIR> d-------- C:\Programme\Apple Software Update 2008-10-10 02:07 . 2008-10-10 02:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer 2008-10-10 02:06 . 2008-10-10 02:08 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Apple 2008-10-10 02:06 . 2008-10-10 02:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple 2008-10-10 01:19 . 2003-06-25 16:05 266,360 --a------ C:\WINDOWS\system32\TweakUI.exe 2008-10-10 01:19 . 2002-06-21 15:09 160,217 --a------ C:\WINDOWS\system32\PowerToysLicense.rtf 2008-10-10 01:13 . 2008-10-10 01:13 <DIR> d-------- C:\Programme\Foxit Software 2008-10-10 01:03 . 2008-10-10 01:03 <DIR> d-------- C:\Programme\Opera 2008-10-09 23:54 . 2008-10-09 23:54 <DIR> d-------- C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\Windows Live Writer 2008-10-09 23:35 . 2008-10-10 00:23 <DIR> d-------- C:\Dokumente und Einstellungen\Sasha Inglis\DoctorWeb 2008-10-09 23:31 . 2008-10-09 23:31 <DIR> d---s---- C:\Dokumente und Einstellungen\Sasha Inglis\UserData 2008-10-09 22:54 . 2008-10-09 22:54 <DIR> d-------- C:\Programme\Atheros Communications Inc 2008-10-09 22:50 . 2008-10-09 22:50 <DIR> d-------- C:\Programme\Atheros 2008-10-09 22:49 . 2008-10-09 22:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Atheros 2008-10-09 22:49 . 2007-05-02 19:00 546,976 --a------ C:\WINDOWS\system32\ar5211.sys 2008-10-09 22:49 . 2007-05-02 19:00 84,470 --a------ C:\WINDOWS\system32\net5211.inf 2008-10-09 22:49 . 2007-05-09 10:16 20,888 --a------ C:\WINDOWS\system32\net5211.cat 2008-10-09 22:39 . 2006-10-08 21:09 192,512 -ra------ C:\WINDOWS\system32\SETDA.tmp 2008-10-09 22:39 . 2006-10-08 21:13 122,880 -ra------ C:\WINDOWS\system32\SETFE.tmp 2008-10-09 22:39 . 2006-10-08 21:13 114,688 -ra------ C:\WINDOWS\system32\SETE2.tmp 2008-10-09 22:39 . 2006-10-08 21:10 94,208 -ra------ C:\WINDOWS\system32\SETE4.tmp 2008-10-08 18:02 . 2008-10-08 18:02 <DIR> d-------- C:\Programme\CCleaner 2008-10-07 00:28 . 2008-10-07 00:28 552 --a------ C:\WINDOWS\system32\d3d8caps.dat 2008-10-06 19:41 . 2008-10-06 19:45 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\U3 2008-10-06 19:41 . 2008-04-14 03:52 57,728 --a------ C:\WINDOWS\system32\drivers\redbook.sys 2008-10-06 19:17 . 2008-03-21 10:45 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2008-10-06 19:17 . 2008-04-16 19:56 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü 2008-10-06 19:17 . 2008-03-21 10:23 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2008-10-06 19:17 . 2008-10-11 18:57 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2008-10-06 19:17 . 2008-04-16 17:42 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten 2008-10-06 19:17 . 2008-04-16 17:42 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien 2008-10-06 19:17 . 2008-03-21 10:23 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung 2008-10-06 19:17 . 2008-04-16 17:51 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InstallShield 2008-10-06 19:17 . 2008-10-06 19:41 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2008-10-06 19:17 . 2008-10-06 19:17 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator 2008-10-05 20:07 . 2001-08-18 04:22 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys 2008-10-05 20:07 . 2008-04-13 20:45 10,368 --a------ C:\WINDOWS\system32\drivers\hidusb.sys 2008-09-21 19:55 . 2008-10-11 18:20 <DIR> d--h----- C:\WINDOWS\$hf_mig$ 2008-09-19 11:16 . 2008-09-19 11:16 1,600 -rahs---- C:\WINDOWS\system32\google.htm 2008-09-19 11:16 . 2008-09-19 11:16 416 -rahs---- C:\WINDOWS\system32\explorer.vbs 2008-09-15 11:23 . 2008-09-15 11:23 <DIR> d-------- C:\WINDOWS\Sun . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-09 23:53 --------- d-----w C:\Programme\microsoft frontpage 2008-10-09 20:54 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-10-09 20:12 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe 2008-10-09 20:01 --------- d-----w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\StarOffice8 2008-09-19 21:11 176 ----a-w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\wklnhst.dat 2008-09-05 22:44 --------- d-----w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\Skype 2008-09-05 22:07 --------- d-----w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\skypePM 2008-08-30 17:18 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat 2008-08-29 08:18 87,336 ----a-w C:\WINDOWS\system32\dns-sd.exe 2008-08-29 07:53 61,440 ----a-w C:\WINDOWS\system32\dnssd.dll 2008-08-27 10:36 --------- d-----w C:\Programme\Avira 2008-08-27 10:36 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-08-27 01:21 --------- d-----w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\InterVideo 2008-08-13 18:44 --------- d-----w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\Template 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe 2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll 2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll 2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AsusTray"="C:\Programme\Asus\EeePC ACPI\AsTray.exe" [2008-03-27 102400] "AsusACPIServer"="C:\Programme\Asus\EeePC ACPI\AsAcpiSvr.exe" [2008-03-20 544768] "ETDWare"="C:\Programme\Elantech\ETDCtrl.exe" [2008-04-16 335872] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2006-10-08 98304] "HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2006-10-08 114688] "Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2006-10-08 94208] "RTHDCPL"="RTHDCPL.EXE" [2008-03-06 C:\WINDOWS\RTHDCPL.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [21.01.2000 10:15:54 65588] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^AutoRun OSCleaner.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\AutoRun OSCleaner.lnk backup=C:\WINDOWS\pss\AutoRun OSCleaner.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= "C:\\Programme\\Bonjour\\mDNSResponder.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= R3 AsusACPI;ASUS ACPI Driver;C:\WINDOWS\system32\DRIVERS\ASUSACPI.sys [2007-07-26 11264] R3 AtcL002;NDIS Miniport Driver for Atheros L2 Fast Ethernet Controller;C:\WINDOWS\system32\DRIVERS\l251x86.sys [2008-02-13 30720] R3 Ktp;Elantech Smart-Pad;C:\WINDOWS\system32\DRIVERS\ETD.sys [2008-04-15 25088] R3 WSIMD;wsimd Service;C:\WINDOWS\system32\DRIVERS\wsimd.sys [2007-03-28 57024] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6ecb48aa-8299-11dd-a68f-0022151219c0}] \Shell\AutoRun\command - System\Security\DriveGuard.exe -run \Shell\Explore\Command - System\Security\DriveGuard.exe -run \Shell\Open\Command - System\Security\DriveGuard.exe -run [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6ecb48ab-8299-11dd-a68f-0022151219c0}] \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe recycle.vbs . Contents of the 'Scheduled Tasks' folder 2008-10-10 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34] . . ------- Supplementary Scan ------- . R0 -: HKCU-Main,Start Page = about:blank R1 -: HKCU-Internet Connection Wizard,ShellNext = hxxp://eeepc.asus.com/global R1 -: HKCU-Internet Settings,ProxyOverride = *.local . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-11 18:58:07 Windows 5.1.2600 Service Pack 3 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2008-10-11 18:59:52 ComboFix-quarantined-files.txt 2008-10-11 16:59:46 Pre-Run: 500,961,280 Bytes frei Post-Run: 491,073,536 Bytes frei 165 --- E O F --- 2008-10-10 01:15:28 Und hier der Logfile vom Laptop: ComboFix 08-10-10.09 - Nikola Stevens 2008-10-11 19:08:36.3 - [color=red]FAT32[/color]x86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.590 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Nikola Stevens\Desktop\ComboFix1.exe * Neuer Wiederherstellungspunkt wurde erstellt [COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR] . ((((((((((((((((((((((( Dateien erstellt von 2008-09-11 bis 2008-10-11 )))))))))))))))))))))))))))))) . 2008-10-10 03:34 . 2008-10-10 03:34 <DIR> d-------- C:\Programme\CCleaner 2008-10-09 20:33 . 2008-10-09 20:33 <DIR> d-------- C:\Dokumente und Einstellungen\Nikola Stevens\DoctorWeb 2008-10-06 21:06 . 2008-10-06 21:06 <DIR> d-------- C:\Programme\Lavasoft 2008-10-06 21:06 . 2008-10-06 21:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-10-06 21:05 . 2008-10-06 21:05 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-10-06 20:05 . 2006-07-18 03:43 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\WINDOWS 2008-10-06 20:05 . 2006-07-18 03:13 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2008-10-06 20:05 . 2006-07-18 03:13 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü 2008-10-06 20:05 . 2006-07-18 03:13 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2008-10-06 20:05 . 2006-07-18 03:13 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2008-10-06 20:05 . 2006-07-18 03:45 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten 2008-10-06 20:05 . 2006-07-18 03:45 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien 2008-10-06 20:05 . 2006-07-18 03:13 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung 2008-10-06 20:05 . 2006-07-18 03:31 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Symantec 2008-10-06 20:05 . 2006-07-18 03:42 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Intel 2008-10-06 20:05 . 2006-07-18 03:13 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2008-10-06 20:05 . 2008-10-06 20:05 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator 2008-10-05 20:13 . 2008-10-05 20:13 <DIR> d-------- C:\Programme\iTunes 2008-10-05 19:42 . 2008-10-05 19:42 <DIR> d-------- C:\Programme\iPod 2008-10-05 19:42 . 2008-10-05 19:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6} 2008-10-05 19:39 . 2008-10-05 19:39 <DIR> d-------- C:\Programme\QuickTime 2008-10-05 19:37 . 2008-10-05 19:37 <DIR> d-------- C:\Programme\Apple Software Update 2008-10-05 19:22 . 2008-10-05 19:22 <DIR> d--hs---- C:\Dokumente und Einstellungen\Nikola Stevens\Phone Browser 2008-10-05 19:16 . 2008-10-05 19:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite 2008-10-05 19:13 . 2008-10-05 19:13 <DIR> d-------- C:\Programme\Gemeinsame Dateien\PCSuite 2008-10-05 19:13 . 2008-10-05 19:13 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nokia 2008-10-05 19:13 . 2008-10-05 19:13 <DIR> d-------- C:\Programme\DIFX 2008-10-05 19:13 . 2008-10-05 19:13 <DIR> d-------- C:\Dokumente und Einstellungen\Nikola Stevens\Anwendungsdaten\PC Suite 2008-10-05 19:13 . 2008-10-05 19:13 <DIR> d-------- C:\Dokumente und Einstellungen\Nikola Stevens\Anwendungsdaten\Nokia 2008-10-05 19:12 . 2008-10-05 19:12 <DIR> d-------- C:\Programme\PC Connectivity Solution 2008-10-05 19:12 . 2008-10-05 19:12 <DIR> d-------- C:\Programme\Nokia 2008-10-05 19:12 . 2007-02-22 10:15 137,216 --a------ C:\WINDOWS\system32\drivers\nmwcd.sys 2008-10-05 19:12 . 2007-02-22 10:15 90,624 --a------ C:\WINDOWS\system32\nmwcdcls.dll 2008-10-05 19:12 . 2007-02-22 10:15 65,536 --a------ C:\WINDOWS\system32\nmwcdcocls.dll 2008-10-05 19:12 . 2007-02-22 10:15 12,288 --a------ C:\WINDOWS\system32\drivers\nmwcdcm.sys 2008-10-05 19:12 . 2007-02-22 10:15 12,288 --a------ C:\WINDOWS\system32\drivers\nmwcdcj.sys 2008-10-05 19:12 . 2007-02-22 10:15 8,320 --a------ C:\WINDOWS\system32\drivers\nmwcdc.sys 2008-10-05 19:10 . 2008-10-05 19:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations 2008-10-04 02:11 . 2008-10-04 02:11 2,823,651 --a------ C:\WINDOWS\Reissdor.scr 2008-10-04 02:11 . 2008-10-04 02:09 2,547,320 --a------ C:\Programme\reissdorf_bildschirmschoner.zip 2008-10-04 02:11 . 2008-10-04 02:11 233,451 --a------ C:\WINDOWS\deinstallation Reissdor.exe 2008-09-30 23:23 . 2008-09-30 23:23 <DIR> d-------- C:\WINDOWS\system32\CatRoot_bak 2008-09-30 22:57 . 2008-09-30 22:57 <DIR> d-------- C:\Dokumente und Einstellungen\Nikola Stevens\Anwendungsdaten\CyberLink 2008-09-30 21:44 . 2008-05-10 11:07 36,439 -rah----- C:\WINDOWS\system32\Google.jpg 2008-09-30 21:44 . 2008-09-30 21:44 1,600 -rahs---- C:\WINDOWS\system32\google.htm 2008-09-29 15:34 . 2008-09-29 15:34 <DIR> d-------- C:\Programme\Bonjour . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-11 10:55 32 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2008-10-11 10:55 32 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat 2008-08-29 08:18 87,336 ----a-w C:\WINDOWS\system32\dns-sd.exe 2008-08-29 07:53 61,440 ----a-w C:\WINDOWS\system32\dnssd.dll 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe 2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\dllcache\wups.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll 2008-01-10 13:10 121,851 ----a-w C:\Programme\AB_Spr_1.zip 2007-12-26 10:37 54,330,664 ----a-w C:\Programme\iTunesSetup.exe 2007-12-23 09:26 166,912 ----a-w C:\Programme\Setup Karten leser.exe 2007-11-27 16:10 210,416 ----a-w C:\Programme\zaSetup_de.exe . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "HControl"="C:\WINDOWS\ATK0100\HControl.exe" [2005-07-28 102400] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-09-23 7286784] "SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-12-22 98394] "SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-12-22 688218] "IntelZeroConfig"="C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-05-31 401408] "IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-06-03 385024] "EOUApp"="C:\Programme\Intel\Wireless\Bin\EOUWiz.exe" [2005-05-31 356352] "ASUS Live Update"="C:\Programme\ASUS\ASUS Live Update\ALU.exe" [2006-02-21 180224] "Power_Gear"="C:\Programme\ASUS\Power4 Gear\BatteryLife.exe" [2005-06-16 86016] "Wireless Console"="C:\Programme\ASUS\Wireless Console\wcourier.exe" [2005-07-22 57344] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-08-13 180269] "EPSON Stylus Photo R240 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAHE.EXE" [2005-04-25 98304] "Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-16 63712] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-08-13 266497] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496] "ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 919016] "PCSuiteTrayApplication"="C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-03-23 227328] "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-10-01 289576] "nwiz"="nwiz.exe" [2005-09-23 C:\WINDOWS\system32\nwiz.exe] "RTHDCPL"="RTHDCPL.EXE" [2005-09-06 C:\WINDOWS\RTHDCPL.EXE] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360] "Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-03-27 1744896] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless] 2005-05-31 22:46 110592 C:\Programme\Intel\Wireless\Bin\LgNotify.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] --a------ 2008-01-11 22:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] --------- 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2008-09-06 15:09 413696 C:\Programme\QuickTime\QTTask.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\WINDOWS\\System32\\ZoneLabs\\avsys\\ScanningProcess.exe"= "C:\\Programme\\Bonjour\\mDNSResponder.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= R0 R592;R592;C:\WINDOWS\system32\DRIVERS\R592.sys [2004-07-05 57088] R0 risdpntk;risdpntk;C:\WINDOWS\system32\DRIVERS\risdpntk.sys [2004-09-17 27264] R2 AAV UpdateService;AAV UpdateService;C:\Programme\Gemeinsame Dateien\AAV\aavus.exe [2007-10-04 122880] R2 SmartSurferManager;SmartSurfer Manager;C:\Programme\WEB.DE\WEB.DE SmartSurfer\SmurfService.exe [2007-12-18 132560] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a20f40f6-8f30-11dd-90ec-00166f98f1d7}] \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe recycle.vbs . Inhalt des "geplante Tasks" Ordners 2008-10-11 C:\WINDOWS\Tasks\Symantec NetDetect.job - C:\Programme\Symantec\LiveUpdate\NDETECT.EXE [] 2008-10-08 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34] . . ------- Zusätzlicher Suchlauf ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\Nikola Stevens\Anwendungsdaten\Mozilla\Firefox\Profiles\426oxagj.default\ FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-11 19:10:19 Windows 5.1.2600 Service Pack 2 FAT NTAPI Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-10-11 19:11:17 ComboFix-quarantined-files.txt 2008-10-11 17:11:12 ComboFix3.txt 2008-10-08 15:48:06 ComboFix2.txt 2008-10-09 17:53:00 Vor Suchlauf: 18 Verzeichnis(se), 27.659.141.120 Bytes frei Nach Suchlauf: 21 Verzeichnis(se), 27,651,309,568 Bytes frei 168 --- E O F --- 2008-10-06 21:21:18 Ich hoffe, du kannst Entwarnung geben. Danke nochmals für die Hilfe... Grüße nik Dieser Beitrag wurde am 11.10.2008 um 19:14 Uhr von nikstevie editiert.
|
|
|
11.10.2008, 22:15
Ehrenmitglied
Beiträge: 29434 |
#10
««
noch mal: antivbs.zip - laden - entzippen + anwenden http://virus-protect.org/zip/antivbs.zip «« erstelle eine neue cfscript.txt - dann wieder auf das symbol von Combofix ziehen Zitat KILLALL::poste dann gleich das neue Log von Combofix __________ MfG Sabina rund um die PC-Sicherheit |
|
|
13.10.2008, 20:09
Member
Themenstarter Beiträge: 12 |
#11
Also, das ist das Log vom eeePC:
ComboFix 08-10-12.01 - Sasha Inglis 2008-10-13 19:51:45.7 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.726 [GMT 2:00] Running from: C:\Dokumente und Einstellungen\Sasha Inglis\Desktop\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\Sasha Inglis\Desktop\cfscript.txt.txt * Created a new restore point [COLOR=RED]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/COLOR] FILE :: C:\WINDOWS\system32\four2one.vbs C:\WINDOWS\system32\recycle.vbs . ((((((((((((((((((((((((( Files Created from 2008-09-13 to 2008-10-13 ))))))))))))))))))))))))))))))) . 2008-10-11 20:21 . 2008-10-11 20:21 <DIR> d-------- C:\Programme\Elaborate Bytes 2008-10-11 19:50 . 2008-10-11 19:50 <DIR> d-------- C:\Programme\Xvid 2008-10-11 19:50 . 2008-04-27 10:33 765,952 --a------ C:\WINDOWS\system32\xvidcore.dll 2008-10-11 19:50 . 2008-04-27 10:35 180,224 --a------ C:\WINDOWS\system32\xvidvfw.dll 2008-10-11 19:50 . 2007-06-28 18:55 77,824 --a------ C:\WINDOWS\system32\xvid.ax 2008-10-10 03:11 . 2008-06-14 19:32 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys 2008-10-10 03:10 . 2008-04-11 21:04 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll 2008-10-10 03:10 . 2008-05-08 16:02 203,136 -----c--- C:\WINDOWS\system32\dllcache\rmcast.sys 2008-10-10 02:59 . 2008-10-10 02:59 <DIR> d-------- C:\WINDOWS\system32\de-de 2008-10-10 02:58 . 2008-10-10 02:58 <DIR> d-------- C:\WINDOWS\system32\de 2008-10-10 02:58 . 2008-10-10 02:58 <DIR> d-------- C:\WINDOWS\system32\bits 2008-10-10 02:58 . 2008-10-10 02:58 <DIR> d-------- C:\WINDOWS\l2schemas 2008-10-10 02:54 . 2008-10-10 02:54 <DIR> d-------- C:\WINDOWS\ServicePackFiles 2008-10-10 02:46 . 2008-10-10 02:46 400 --a------ C:\WINDOWS\ODBC.INI 2008-10-10 02:43 . 2008-10-10 02:43 <DIR> d-------- C:\WINDOWS\ShellNew 2008-10-10 02:39 . 2008-10-10 02:39 <DIR> d-------- C:\WINDOWS\EHome 2008-10-10 02:24 . 2004-08-03 22:41 1,309,184 --------- C:\WINDOWS\system32\drivers\mtlstrm.sys 2008-10-10 02:23 . 2006-02-28 14:00 381,425 -----c--- C:\WINDOWS\system32\dllcache\copycd.wmv 2008-10-10 02:20 . 2004-08-04 00:38 701,952 --------- C:\WINDOWS\system32\drivers\ati2mtag.sys 2008-10-10 02:10 . 2008-10-10 02:10 <DIR> d-------- C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\Apple Computer 2008-10-10 02:10 . 2008-04-17 13:12 107,368 --a------ C:\WINDOWS\system32\GEARAspi.dll 2008-10-10 02:10 . 2008-04-17 13:12 15,464 --a------ C:\WINDOWS\system32\drivers\GEARAspiWDM.sys 2008-10-10 02:09 . 2008-10-10 02:10 <DIR> d-------- C:\Programme\iTunes 2008-10-10 02:09 . 2008-10-10 02:09 <DIR> d-------- C:\Programme\iPod 2008-10-10 02:09 . 2008-10-10 02:09 <DIR> d-------- C:\Programme\Bonjour 2008-10-10 02:09 . 2008-10-10 02:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6} 2008-10-10 02:07 . 2008-10-10 02:08 <DIR> d-------- C:\Programme\QuickTime 2008-10-10 02:07 . 2008-10-10 02:07 <DIR> d-------- C:\Programme\Apple Software Update 2008-10-10 02:07 . 2008-10-10 02:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer 2008-10-10 02:06 . 2008-10-10 02:08 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Apple 2008-10-10 02:06 . 2008-10-10 02:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple 2008-10-10 01:19 . 2003-06-25 16:05 266,360 --a------ C:\WINDOWS\system32\TweakUI.exe 2008-10-10 01:19 . 2002-06-21 15:09 160,217 --a------ C:\WINDOWS\system32\PowerToysLicense.rtf 2008-10-10 01:13 . 2008-10-10 01:13 <DIR> d-------- C:\Programme\Foxit Software 2008-10-10 01:03 . 2008-10-10 01:03 <DIR> d-------- C:\Programme\Opera 2008-10-09 23:54 . 2008-10-09 23:54 <DIR> d-------- C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\Windows Live Writer 2008-10-09 23:35 . 2008-10-10 00:23 <DIR> d-------- C:\Dokumente und Einstellungen\Sasha Inglis\DoctorWeb 2008-10-09 23:31 . 2008-10-09 23:31 <DIR> d---s---- C:\Dokumente und Einstellungen\Sasha Inglis\UserData 2008-10-09 22:54 . 2008-10-09 22:54 <DIR> d-------- C:\Programme\Atheros Communications Inc 2008-10-09 22:50 . 2008-10-09 22:50 <DIR> d-------- C:\Programme\Atheros 2008-10-09 22:49 . 2008-10-09 22:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Atheros 2008-10-09 22:49 . 2007-05-02 19:00 546,976 --a------ C:\WINDOWS\system32\ar5211.sys 2008-10-09 22:49 . 2007-05-02 19:00 84,470 --a------ C:\WINDOWS\system32\net5211.inf 2008-10-09 22:49 . 2007-05-09 10:16 20,888 --a------ C:\WINDOWS\system32\net5211.cat 2008-10-09 22:39 . 2006-10-08 21:09 192,512 -ra------ C:\WINDOWS\system32\SETDA.tmp 2008-10-09 22:39 . 2006-10-08 21:13 122,880 -ra------ C:\WINDOWS\system32\SETFE.tmp 2008-10-09 22:39 . 2006-10-08 21:13 114,688 -ra------ C:\WINDOWS\system32\SETE2.tmp 2008-10-09 22:39 . 2006-10-08 21:10 94,208 -ra------ C:\WINDOWS\system32\SETE4.tmp 2008-10-08 18:02 . 2008-10-08 18:02 <DIR> d-------- C:\Programme\CCleaner 2008-10-07 00:28 . 2008-10-07 00:28 552 --a------ C:\WINDOWS\system32\d3d8caps.dat 2008-10-06 19:41 . 2008-10-06 19:45 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\U3 2008-10-06 19:41 . 2008-04-14 03:52 57,728 --a------ C:\WINDOWS\system32\drivers\redbook.sys 2008-10-06 19:17 . 2008-03-21 10:45 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2008-10-06 19:17 . 2008-04-16 19:56 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü 2008-10-06 19:17 . 2008-03-21 10:23 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2008-10-06 19:17 . 2008-10-11 18:59 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2008-10-06 19:17 . 2008-04-16 17:42 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten 2008-10-06 19:17 . 2008-04-16 17:42 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien 2008-10-06 19:17 . 2008-03-21 10:23 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung 2008-10-06 19:17 . 2008-04-16 17:51 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InstallShield 2008-10-06 19:17 . 2008-10-06 19:41 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2008-10-06 19:17 . 2008-10-06 19:17 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator 2008-10-05 20:07 . 2001-08-18 04:22 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys 2008-10-05 20:07 . 2008-04-13 20:45 10,368 --a------ C:\WINDOWS\system32\drivers\hidusb.sys 2008-09-21 19:55 . 2008-10-11 18:20 <DIR> d--h----- C:\WINDOWS\$hf_mig$ 2008-09-19 11:16 . 2008-09-19 11:16 1,600 -rahs---- C:\WINDOWS\system32\google.htm 2008-09-19 11:16 . 2008-09-19 11:16 416 -rahs---- C:\WINDOWS\system32\explorer.vbs 2008-09-15 11:23 . 2008-09-15 11:23 <DIR> d-------- C:\WINDOWS\Sun . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-09 23:53 --------- d-----w C:\Programme\microsoft frontpage 2008-10-09 20:54 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-10-09 20:12 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe 2008-10-09 20:01 --------- d-----w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\StarOffice8 2008-09-19 21:11 176 ----a-w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\wklnhst.dat 2008-09-05 22:44 --------- d-----w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\Skype 2008-09-05 22:07 --------- d-----w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\skypePM 2008-08-30 17:18 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat 2008-08-29 08:18 87,336 ----a-w C:\WINDOWS\system32\dns-sd.exe 2008-08-29 07:53 61,440 ----a-w C:\WINDOWS\system32\dnssd.dll 2008-08-27 10:36 --------- d-----w C:\Programme\Avira 2008-08-27 10:36 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-08-27 01:21 --------- d-----w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\InterVideo 2008-08-13 18:44 --------- d-----w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\Template 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe 2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll 2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll 2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll . ((((((((((((((((((((((((((((( snapshot@2008-10-11_18.58.56.29 ))))))))))))))))))))))))))))))))))))))))) . + 2008-05-07 09:07:23 135,168 ----a-w C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\cscript.exe + 2008-05-09 10:50:14 512,000 ----a-w C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\jscript.dll + 2008-05-09 10:50:14 180,224 ----a-w C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\scrobj.dll + 2008-05-09 10:50:14 172,032 ----a-w C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\scrrun.dll + 2008-05-09 10:50:14 430,080 ----a-w C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\vbscript.dll + 2008-05-08 11:24:44 155,648 ----a-w C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\wscript.exe + 2008-05-09 10:50:14 90,112 ----a-w C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\wshext.dll + 2007-11-30 12:39:14 18,808 ----a-w C:\WINDOWS\$hf_mig$\KB951978\spmsg.dll + 2007-11-30 12:39:14 234,872 ----a-w C:\WINDOWS\$hf_mig$\KB951978\spuninst.exe + 2007-11-30 12:39:14 26,488 ----a-w C:\WINDOWS\$hf_mig$\KB951978\update\spcustom.dll + 2007-11-30 12:39:08 765,304 ----a-w C:\WINDOWS\$hf_mig$\KB951978\update\update.exe + 2007-11-30 12:39:08 388,984 ----a-w C:\WINDOWS\$hf_mig$\KB951978\update\updspapi.dll - 2008-04-14 02:22:40 139,264 ----a-w C:\WINDOWS\system32\cscript.exe + 2008-05-07 09:07:23 135,168 ----a-w C:\WINDOWS\system32\cscript.exe + 2008-05-07 09:07:23 135,168 -c----w C:\WINDOWS\system32\dllcache\cscript.exe + 2008-05-09 10:54:09 512,000 -c----w C:\WINDOWS\system32\dllcache\jscript.dll + 2008-05-09 10:54:10 180,224 -c----w C:\WINDOWS\system32\dllcache\scrobj.dll + 2008-05-09 10:54:10 172,032 -c----w C:\WINDOWS\system32\dllcache\scrrun.dll + 2008-05-09 10:54:10 430,080 -c----w C:\WINDOWS\system32\dllcache\vbscript.dll + 2008-05-08 11:24:44 155,648 -c----w C:\WINDOWS\system32\dllcache\wscript.exe + 2008-05-09 10:54:10 90,112 -c----w C:\WINDOWS\system32\dllcache\wshext.dll + 2008-07-17 00:12:47 28,672 ----a-w C:\WINDOWS\system32\drivers\VClone.sys - 2008-04-14 02:22:13 512,000 ----a-w C:\WINDOWS\system32\jscript.dll + 2008-05-09 10:54:09 512,000 ----a-w C:\WINDOWS\system32\jscript.dll + 2008-03-25 03:21:18 2,889,088 ----a-w C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll + 2008-03-25 03:21:20 218,496 ----a-w C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe + 2008-10-11 17:29:31 70,264 ----a-w C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe - 2008-10-11 16:47:18 61,880 ----a-w C:\WINDOWS\system32\perfc007.dat + 2008-10-13 17:21:46 61,880 ----a-w C:\WINDOWS\system32\perfc007.dat - 2008-10-11 16:47:18 53,166 ----a-w C:\WINDOWS\system32\perfc009.dat + 2008-10-13 17:21:46 53,166 ----a-w C:\WINDOWS\system32\perfc009.dat - 2008-10-11 16:47:18 387,724 ----a-w C:\WINDOWS\system32\perfh007.dat + 2008-10-13 17:21:46 387,724 ----a-w C:\WINDOWS\system32\perfh007.dat - 2008-10-11 16:47:19 380,918 ----a-w C:\WINDOWS\system32\perfh009.dat + 2008-10-13 17:21:46 380,918 ----a-w C:\WINDOWS\system32\perfh009.dat - 2008-04-14 02:22:23 180,224 ----a-w C:\WINDOWS\system32\scrobj.dll + 2008-05-09 10:54:10 180,224 ----a-w C:\WINDOWS\system32\scrobj.dll - 2008-04-14 02:22:24 172,032 ----a-w C:\WINDOWS\system32\scrrun.dll + 2008-05-09 10:54:10 172,032 ----a-w C:\WINDOWS\system32\scrrun.dll - 2007-11-30 11:18:34 18,808 ------w C:\WINDOWS\system32\spmsg.dll + 2007-11-30 12:39:14 18,808 ------w C:\WINDOWS\system32\spmsg.dll - 2008-04-14 02:22:31 434,176 ----a-w C:\WINDOWS\system32\vbscript.dll + 2008-05-09 10:54:10 430,080 ----a-w C:\WINDOWS\system32\vbscript.dll - 2008-04-14 02:23:06 155,648 ----a-w C:\WINDOWS\system32\wscript.exe + 2008-05-08 11:24:44 155,648 ----a-w C:\WINDOWS\system32\wscript.exe - 2008-04-14 02:22:32 90,112 ----a-w C:\WINDOWS\system32\wshext.dll + 2008-05-09 10:54:10 90,112 ----a-w C:\WINDOWS\system32\wshext.dll . -- Snapshot reset to current date -- . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AsusTray"="C:\Programme\Asus\EeePC ACPI\AsTray.exe" [2008-03-27 102400] "AsusACPIServer"="C:\Programme\Asus\EeePC ACPI\AsAcpiSvr.exe" [2008-03-20 544768] "ETDWare"="C:\Programme\Elantech\ETDCtrl.exe" [2008-04-16 335872] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2006-10-08 98304] "HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2006-10-08 114688] "Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2006-10-08 94208] "RTHDCPL"="RTHDCPL.EXE" [2008-03-06 C:\WINDOWS\RTHDCPL.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [2000-01-21 65588] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^AutoRun OSCleaner.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\AutoRun OSCleaner.lnk backup=C:\WINDOWS\pss\AutoRun OSCleaner.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= "C:\\Programme\\Bonjour\\mDNSResponder.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= R3 AsusACPI;ASUS ACPI Driver;C:\WINDOWS\system32\DRIVERS\ASUSACPI.sys [2007-07-26 11264] R3 AtcL002;NDIS Miniport Driver for Atheros L2 Fast Ethernet Controller;C:\WINDOWS\system32\DRIVERS\l251x86.sys [2008-02-13 30720] R3 Ktp;Elantech Smart-Pad;C:\WINDOWS\system32\DRIVERS\ETD.sys [2008-04-15 25088] R3 WSIMD;wsimd Service;C:\WINDOWS\system32\DRIVERS\wsimd.sys [2007-03-28 57024] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6ecb48ab-8299-11dd-a68f-0022151219c0}] \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe recycle.vbs . Contents of the 'Scheduled Tasks' folder 2008-10-10 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34] . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-13 19:56:37 Windows 5.1.2600 Service Pack 3 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\system32\acs.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe C:\WINDOWS\system32\igfxsrvc.exe C:\WINDOWS\system32\igfxext.exe . ************************************************************************** . Completion time: 2008-10-13 19:58:39 - machine was rebooted ComboFix-quarantined-files.txt 2008-10-13 17:58:31 Pre-Run: 478,920,704 Bytes frei Post-Run: 471,232,512 Bytes frei 228 --- E O F --- 2008-10-13 17:18:54 Am großen Laptop versuchen wir gerade den Virus vom Handy, von der Digitalkamera und vom iPod wegzukriegen. Beim iPod hat Antivir den Virus gefunden und hoffentlich beseitigt.. Gruß Nikola Soooo, und nun kommt hier der Log vom Laptop: ComboFix 08-10-12.01 - Nikola Stevens 2008-10-13 21:33:00.7 - [color=red]FAT32[/color]x86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.659 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Nikola Stevens\Desktop\ComboFix.exe Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Nikola Stevens\Desktop\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt [COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR] . ((((((((((((((((((((((( Dateien erstellt von 2008-09-13 bis 2008-10-13 )))))))))))))))))))))))))))))) . 2008-10-13 21:18 . 2008-10-13 21:18 <DIR> d-------- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\SmartSurfer 2008-10-13 20:38 . 2008-10-13 20:38 <DIR> d-------- C:\WINDOWS\system32\NtmsData 2008-10-13 19:58 . 2003-06-25 16:05 266,360 --a------ C:\WINDOWS\system32\TweakUI.exe 2008-10-13 19:58 . 2002-06-21 15:09 160,217 --a------ C:\WINDOWS\system32\PowerToysLicense.rtf 2008-10-13 11:18 . 2008-10-13 11:18 <DIR> d-------- C:\ComboFix1 2008-10-10 03:34 . 2008-10-10 03:34 <DIR> d-------- C:\Programme\CCleaner 2008-10-09 20:33 . 2008-10-09 20:33 <DIR> d-------- C:\Dokumente und Einstellungen\Nikola Stevens\DoctorWeb 2008-10-06 21:06 . 2008-10-06 21:06 <DIR> d-------- C:\Programme\Lavasoft 2008-10-06 21:06 . 2008-10-06 21:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-10-06 21:05 . 2008-10-06 21:05 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-10-06 20:05 . 2006-07-18 03:43 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\WINDOWS 2008-10-06 20:05 . 2006-07-18 03:13 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2008-10-06 20:05 . 2006-07-18 03:13 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü 2008-10-06 20:05 . 2006-07-18 03:13 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2008-10-06 20:05 . 2006-07-18 03:13 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2008-10-06 20:05 . 2006-07-18 03:45 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten 2008-10-06 20:05 . 2006-07-18 03:45 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien 2008-10-06 20:05 . 2006-07-18 03:13 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung 2008-10-06 20:05 . 2006-07-18 03:31 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Symantec 2008-10-06 20:05 . 2006-07-18 03:42 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Intel 2008-10-06 20:05 . 2006-07-18 03:13 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2008-10-06 20:05 . 2008-10-06 20:05 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator 2008-10-05 20:13 . 2008-10-05 20:13 <DIR> d-------- C:\Programme\iTunes 2008-10-05 19:42 . 2008-10-05 19:42 <DIR> d-------- C:\Programme\iPod 2008-10-05 19:42 . 2008-10-05 19:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6} 2008-10-05 19:39 . 2008-10-05 19:39 <DIR> d-------- C:\Programme\QuickTime 2008-10-05 19:37 . 2008-10-05 19:37 <DIR> d-------- C:\Programme\Apple Software Update 2008-10-05 19:22 . 2008-10-05 19:22 <DIR> d--hs---- C:\Dokumente und Einstellungen\Nikola Stevens\Phone Browser 2008-10-05 19:16 . 2008-10-05 19:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite 2008-10-05 19:13 . 2008-10-05 19:13 <DIR> d-------- C:\Programme\Gemeinsame Dateien\PCSuite 2008-10-05 19:13 . 2008-10-05 19:13 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nokia 2008-10-05 19:13 . 2008-10-05 19:13 <DIR> d-------- C:\Programme\DIFX 2008-10-05 19:13 . 2008-10-05 19:13 <DIR> d-------- C:\Dokumente und Einstellungen\Nikola Stevens\Anwendungsdaten\PC Suite 2008-10-05 19:13 . 2008-10-05 19:13 <DIR> d-------- C:\Dokumente und Einstellungen\Nikola Stevens\Anwendungsdaten\Nokia 2008-10-05 19:12 . 2008-10-05 19:12 <DIR> d-------- C:\Programme\PC Connectivity Solution 2008-10-05 19:12 . 2008-10-05 19:12 <DIR> d-------- C:\Programme\Nokia 2008-10-05 19:12 . 2007-02-22 10:15 137,216 --a------ C:\WINDOWS\system32\drivers\nmwcd.sys 2008-10-05 19:12 . 2007-02-22 10:15 90,624 --a------ C:\WINDOWS\system32\nmwcdcls.dll 2008-10-05 19:12 . 2007-02-22 10:15 65,536 --a------ C:\WINDOWS\system32\nmwcdcocls.dll 2008-10-05 19:12 . 2007-02-22 10:15 12,288 --a------ C:\WINDOWS\system32\drivers\nmwcdcm.sys 2008-10-05 19:12 . 2007-02-22 10:15 12,288 --a------ C:\WINDOWS\system32\drivers\nmwcdcj.sys 2008-10-05 19:12 . 2007-02-22 10:15 8,320 --a------ C:\WINDOWS\system32\drivers\nmwcdc.sys 2008-10-05 19:10 . 2008-10-05 19:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations 2008-10-04 02:11 . 2008-10-04 02:11 2,823,651 --a------ C:\WINDOWS\Reissdor.scr 2008-10-04 02:11 . 2008-10-04 02:09 2,547,320 --a------ C:\Programme\reissdorf_bildschirmschoner.zip 2008-10-04 02:11 . 2008-10-04 02:11 233,451 --a------ C:\WINDOWS\deinstallation Reissdor.exe 2008-09-30 23:23 . 2008-09-30 23:23 <DIR> d-------- C:\WINDOWS\system32\CatRoot_bak 2008-09-30 22:57 . 2008-09-30 22:57 <DIR> d-------- C:\Dokumente und Einstellungen\Nikola Stevens\Anwendungsdaten\CyberLink 2008-09-30 21:44 . 2008-09-30 21:44 1,600 -rahs---- C:\WINDOWS\system32\google.htm 2008-09-29 15:34 . 2008-09-29 15:34 <DIR> d-------- C:\Programme\Bonjour . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-13 19:35 2,080 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat 2008-10-13 19:35 1,100 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2008-10-01 11:01 32,000 ----a-w C:\WINDOWS\system32\drivers\usbaapl.sys 2008-08-29 08:18 87,336 ----a-w C:\WINDOWS\system32\dns-sd.exe 2008-08-29 07:53 61,440 ----a-w C:\WINDOWS\system32\dnssd.dll 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe 2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\dllcache\wups.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll 2008-01-10 13:10 121,851 ----a-w C:\Programme\AB_Spr_1.zip 2007-12-26 10:37 54,330,664 ----a-w C:\Programme\iTunesSetup.exe 2007-12-23 09:26 166,912 ----a-w C:\Programme\Setup Karten leser.exe 2007-11-27 16:10 210,416 ----a-w C:\Programme\zaSetup_de.exe . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 1694208] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "HControl"="C:\WINDOWS\ATK0100\HControl.exe" [2005-07-28 102400] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-09-23 7286784] "SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-12-22 98394] "SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-12-22 688218] "IntelZeroConfig"="C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-05-31 401408] "IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-06-03 385024] "EOUApp"="C:\Programme\Intel\Wireless\Bin\EOUWiz.exe" [2005-05-31 356352] "ASUS Live Update"="C:\Programme\ASUS\ASUS Live Update\ALU.exe" [2006-02-21 180224] "Power_Gear"="C:\Programme\ASUS\Power4 Gear\BatteryLife.exe" [2005-06-16 86016] "Wireless Console"="C:\Programme\ASUS\Wireless Console\wcourier.exe" [2005-07-22 57344] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-08-13 180269] "EPSON Stylus Photo R240 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAHE.EXE" [2005-04-25 98304] "Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-16 63712] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-08-13 266497] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496] "ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 919016] "PCSuiteTrayApplication"="C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-03-23 227328] "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-10-01 289576] "nwiz"="nwiz.exe" [2005-09-23 C:\WINDOWS\system32\nwiz.exe] "RTHDCPL"="RTHDCPL.EXE" [2005-09-06 C:\WINDOWS\RTHDCPL.EXE] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360] "Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-03-27 1744896] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless] 2005-05-31 22:46 110592 C:\Programme\Intel\Wireless\Bin\LgNotify.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] --a------ 2008-01-11 22:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] --------- 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2008-09-06 15:09 413696 C:\Programme\QuickTime\QTTask.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\WINDOWS\\System32\\ZoneLabs\\avsys\\ScanningProcess.exe"= "C:\\Programme\\Bonjour\\mDNSResponder.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= R0 R592;R592;C:\WINDOWS\system32\DRIVERS\R592.sys [2004-07-05 57088] R0 risdpntk;risdpntk;C:\WINDOWS\system32\DRIVERS\risdpntk.sys [2004-09-17 27264] R2 AAV UpdateService;AAV UpdateService;C:\Programme\Gemeinsame Dateien\AAV\aavus.exe [2007-10-04 122880] R2 SmartSurferManager;SmartSurfer Manager;C:\Programme\WEB.DE\WEB.DE SmartSurfer\SmurfService.exe [2007-12-18 132560] . Inhalt des "geplante Tasks" Ordners 2008-10-13 C:\WINDOWS\Tasks\Symantec NetDetect.job - C:\Programme\Symantec\LiveUpdate\NDETECT.EXE [] 2008-10-08 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34] . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-13 21:37:23 Windows 5.1.2600 Service Pack 2 FAT NTAPI Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Weitere laufende Prozesse ------------------------ . C:\PROGRAMME\INTEL\WIRELESS\BIN\EVTENG.EXE C:\PROGRAMME\INTEL\WIRELESS\BIN\S24EVMON.EXE C:\WINDOWS\SYSTEM32\ZONELABS\VSMON.EXE C:\PROGRAMME\INTEL\WIRELESS\BIN\1XCONFIG.EXE C:\PROGRAMME\LAVASOFT\AD-AWARE\AAWSERVICE.EXE C:\PROGRAMME\AVIRA\ANTIVIR PERSONALEDITION CLASSIC\AVGUARD.EXE C:\PROGRAMME\AVIRA\ANTIVIR PERSONALEDITION CLASSIC\SCHED.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\APPLE\MOBILE DEVICE SUPPORT\BIN\APPLEMOBILEDEVICESERVICE.EXE C:\PROGRAMME\BONJOUR\MDNSRESPONDER.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\LIGHTSCRIBE\LSSRVC.EXE C:\WINDOWS\SYSTEM32\NVSVC32.EXE C:\PROGRAMME\INTEL\WIRELESS\BIN\OPROTSVC.EXE C:\PROGRAMME\INTEL\WIRELESS\BIN\REGSRVC.EXE C:\PROGRAMME\ASUS\NB PROBE\SPM\SPMGR.EXE C:\Programme\PC Connectivity Solution\ServiceLayer.exe C:\WINDOWS\ATK0100\ATKOSD.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\iPod\bin\iPodService.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-10-13 21:39:25 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2008-10-13 19:39:20 ComboFix5.txt 2008-10-13 19:32:02 ComboFix4.txt 2008-10-13 15:01:32 ComboFix3.txt 2008-10-13 15:26:40 ComboFix2.txt 2008-10-13 15:43:30 Vor Suchlauf: 19 Verzeichnis(se), 27.919.974.400 Bytes frei Nach Suchlauf: 22 Verzeichnis(se), 27,911,028,736 Bytes frei 191 --- E O F --- 2008-10-06 21:21:18 Ist es das wohl gewesen?? Ich hoffe sehr!!! Ganz vielen Dank Nik Dieser Beitrag wurde am 13.10.2008 um 21:41 Uhr von nikstevie editiert.
|
|
|
13.10.2008, 22:15
Ehrenmitglied
Beiträge: 29434 |
#12
Log vom eeePC
der registry-Eintrag erstellt sich immer wieder neu ...an anderer Stelle erstelle bitte eine neue cfscript.txt - dann wieder auf combofix ziehen... Zitat KILLALL::Log vom Laptop: - ist i.o. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
14.10.2008, 14:57
Member
Themenstarter Beiträge: 12 |
#13
so ne sch....
also, hier der neue Log vom eeePc: ComboFix 08-10-12.01 - Sasha Inglis 2008-10-14 14:46:16.8 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.704 [GMT 2:00] Running from: C:\Dokumente und Einstellungen\Sasha Inglis\Desktop\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\Sasha Inglis\Desktop\cfscript.txt * Created a new restore point [COLOR=RED]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/COLOR] . ((((((((((((((((((((((((( Files Created from 2008-09-14 to 2008-10-14 ))))))))))))))))))))))))))))))) . 2008-10-11 20:21 . 2008-10-11 20:21 <DIR> d-------- C:\Programme\Elaborate Bytes 2008-10-11 19:50 . 2008-10-11 19:50 <DIR> d-------- C:\Programme\Xvid 2008-10-11 19:50 . 2008-04-27 10:33 765,952 --a------ C:\WINDOWS\system32\xvidcore.dll 2008-10-11 19:50 . 2008-04-27 10:35 180,224 --a------ C:\WINDOWS\system32\xvidvfw.dll 2008-10-11 19:50 . 2007-06-28 18:55 77,824 --a------ C:\WINDOWS\system32\xvid.ax 2008-10-10 03:11 . 2008-06-14 19:32 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys 2008-10-10 03:10 . 2008-04-11 21:04 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll 2008-10-10 03:10 . 2008-05-08 16:02 203,136 -----c--- C:\WINDOWS\system32\dllcache\rmcast.sys 2008-10-10 02:59 . 2008-10-10 02:59 <DIR> d-------- C:\WINDOWS\system32\de-de 2008-10-10 02:58 . 2008-10-10 02:58 <DIR> d-------- C:\WINDOWS\system32\de 2008-10-10 02:58 . 2008-10-10 02:58 <DIR> d-------- C:\WINDOWS\system32\bits 2008-10-10 02:58 . 2008-10-10 02:58 <DIR> d-------- C:\WINDOWS\l2schemas 2008-10-10 02:54 . 2008-10-10 02:54 <DIR> d-------- C:\WINDOWS\ServicePackFiles 2008-10-10 02:46 . 2008-10-10 02:46 400 --a------ C:\WINDOWS\ODBC.INI 2008-10-10 02:43 . 2008-10-10 02:43 <DIR> d-------- C:\WINDOWS\ShellNew 2008-10-10 02:39 . 2008-10-10 02:39 <DIR> d-------- C:\WINDOWS\EHome 2008-10-10 02:24 . 2004-08-03 22:41 1,309,184 --------- C:\WINDOWS\system32\drivers\mtlstrm.sys 2008-10-10 02:23 . 2006-02-28 14:00 381,425 -----c--- C:\WINDOWS\system32\dllcache\copycd.wmv 2008-10-10 02:20 . 2004-08-04 00:38 701,952 --------- C:\WINDOWS\system32\drivers\ati2mtag.sys 2008-10-10 02:10 . 2008-10-10 02:10 <DIR> d-------- C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\Apple Computer 2008-10-10 02:10 . 2008-04-17 13:12 107,368 --a------ C:\WINDOWS\system32\GEARAspi.dll 2008-10-10 02:10 . 2008-04-17 13:12 15,464 --a------ C:\WINDOWS\system32\drivers\GEARAspiWDM.sys 2008-10-10 02:09 . 2008-10-10 02:10 <DIR> d-------- C:\Programme\iTunes 2008-10-10 02:09 . 2008-10-10 02:09 <DIR> d-------- C:\Programme\iPod 2008-10-10 02:09 . 2008-10-10 02:09 <DIR> d-------- C:\Programme\Bonjour 2008-10-10 02:09 . 2008-10-10 02:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6} 2008-10-10 02:07 . 2008-10-10 02:08 <DIR> d-------- C:\Programme\QuickTime 2008-10-10 02:07 . 2008-10-10 02:07 <DIR> d-------- C:\Programme\Apple Software Update 2008-10-10 02:07 . 2008-10-10 02:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer 2008-10-10 02:06 . 2008-10-10 02:08 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Apple 2008-10-10 02:06 . 2008-10-10 02:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple 2008-10-10 01:19 . 2003-06-25 16:05 266,360 --a------ C:\WINDOWS\system32\TweakUI.exe 2008-10-10 01:19 . 2002-06-21 15:09 160,217 --a------ C:\WINDOWS\system32\PowerToysLicense.rtf 2008-10-10 01:13 . 2008-10-10 01:13 <DIR> d-------- C:\Programme\Foxit Software 2008-10-10 01:03 . 2008-10-10 01:03 <DIR> d-------- C:\Programme\Opera 2008-10-09 23:54 . 2008-10-09 23:54 <DIR> d-------- C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\Windows Live Writer 2008-10-09 23:35 . 2008-10-10 00:23 <DIR> d-------- C:\Dokumente und Einstellungen\Sasha Inglis\DoctorWeb 2008-10-09 23:31 . 2008-10-09 23:31 <DIR> d---s---- C:\Dokumente und Einstellungen\Sasha Inglis\UserData 2008-10-09 22:54 . 2008-10-09 22:54 <DIR> d-------- C:\Programme\Atheros Communications Inc 2008-10-09 22:50 . 2008-10-09 22:50 <DIR> d-------- C:\Programme\Atheros 2008-10-09 22:49 . 2008-10-09 22:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Atheros 2008-10-09 22:49 . 2007-05-02 19:00 546,976 --a------ C:\WINDOWS\system32\ar5211.sys 2008-10-09 22:49 . 2007-05-02 19:00 84,470 --a------ C:\WINDOWS\system32\net5211.inf 2008-10-09 22:49 . 2007-05-09 10:16 20,888 --a------ C:\WINDOWS\system32\net5211.cat 2008-10-09 22:39 . 2006-10-08 21:09 192,512 -ra------ C:\WINDOWS\system32\SETDA.tmp 2008-10-09 22:39 . 2006-10-08 21:13 122,880 -ra------ C:\WINDOWS\system32\SETFE.tmp 2008-10-09 22:39 . 2006-10-08 21:13 114,688 -ra------ C:\WINDOWS\system32\SETE2.tmp 2008-10-09 22:39 . 2006-10-08 21:10 94,208 -ra------ C:\WINDOWS\system32\SETE4.tmp 2008-10-08 18:02 . 2008-10-08 18:02 <DIR> d-------- C:\Programme\CCleaner 2008-10-07 00:28 . 2008-10-07 00:28 552 --a------ C:\WINDOWS\system32\d3d8caps.dat 2008-10-06 19:41 . 2008-10-06 19:45 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\U3 2008-10-06 19:41 . 2008-04-14 03:52 57,728 --a------ C:\WINDOWS\system32\drivers\redbook.sys 2008-10-06 19:17 . 2008-03-21 10:45 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2008-10-06 19:17 . 2008-04-16 19:56 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü 2008-10-06 19:17 . 2008-03-21 10:23 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2008-10-06 19:17 . 2008-10-14 14:48 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2008-10-06 19:17 . 2008-04-16 17:42 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten 2008-10-06 19:17 . 2008-04-16 17:42 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien 2008-10-06 19:17 . 2008-03-21 10:23 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung 2008-10-06 19:17 . 2008-04-16 17:51 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InstallShield 2008-10-06 19:17 . 2008-10-06 19:41 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2008-10-06 19:17 . 2008-10-06 19:17 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator 2008-10-05 20:07 . 2001-08-18 04:22 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys 2008-10-05 20:07 . 2008-04-13 20:45 10,368 --a------ C:\WINDOWS\system32\drivers\hidusb.sys 2008-09-21 19:55 . 2008-10-11 18:20 <DIR> d--h----- C:\WINDOWS\$hf_mig$ 2008-09-19 11:16 . 2008-09-19 11:16 1,600 -rahs---- C:\WINDOWS\system32\google.htm 2008-09-19 11:16 . 2008-09-19 11:16 416 -rahs---- C:\WINDOWS\system32\explorer.vbs 2008-09-15 11:23 . 2008-09-15 11:23 <DIR> d-------- C:\WINDOWS\Sun . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-09 23:53 --------- d-----w C:\Programme\microsoft frontpage 2008-10-09 20:54 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-10-09 20:12 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe 2008-10-09 20:01 --------- d-----w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\StarOffice8 2008-09-19 21:11 176 ----a-w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\wklnhst.dat 2008-09-05 22:44 --------- d-----w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\Skype 2008-09-05 22:07 --------- d-----w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\skypePM 2008-08-30 17:18 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat 2008-08-29 08:18 87,336 ----a-w C:\WINDOWS\system32\dns-sd.exe 2008-08-29 07:53 61,440 ----a-w C:\WINDOWS\system32\dnssd.dll 2008-08-27 10:36 --------- d-----w C:\Programme\Avira 2008-08-27 10:36 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-08-27 01:21 --------- d-----w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\InterVideo 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe 2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll 2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll 2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll . ((((((((((((((((((((((((((((( snapshot_2008-10-13_19.57.51.42 ))))))))))))))))))))))))))))))))))))))))) . - 2008-10-13 17:21:46 61,880 ----a-w C:\WINDOWS\system32\perfc007.dat + 2008-10-14 12:38:40 61,880 ----a-w C:\WINDOWS\system32\perfc007.dat - 2008-10-13 17:21:46 53,166 ----a-w C:\WINDOWS\system32\perfc009.dat + 2008-10-14 12:38:41 53,166 ----a-w C:\WINDOWS\system32\perfc009.dat - 2008-10-13 17:21:46 387,724 ----a-w C:\WINDOWS\system32\perfh007.dat + 2008-10-14 12:38:40 387,724 ----a-w C:\WINDOWS\system32\perfh007.dat - 2008-10-13 17:21:46 380,918 ----a-w C:\WINDOWS\system32\perfh009.dat + 2008-10-14 12:38:41 380,918 ----a-w C:\WINDOWS\system32\perfh009.dat . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AsusTray"="C:\Programme\Asus\EeePC ACPI\AsTray.exe" [2008-03-27 102400] "AsusACPIServer"="C:\Programme\Asus\EeePC ACPI\AsAcpiSvr.exe" [2008-03-20 544768] "ETDWare"="C:\Programme\Elantech\ETDCtrl.exe" [2008-04-16 335872] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2006-10-08 98304] "HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2006-10-08 114688] "Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2006-10-08 94208] "RTHDCPL"="RTHDCPL.EXE" [2008-03-06 C:\WINDOWS\RTHDCPL.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [2000-01-21 65588] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^AutoRun OSCleaner.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\AutoRun OSCleaner.lnk backup=C:\WINDOWS\pss\AutoRun OSCleaner.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= "C:\\Programme\\Bonjour\\mDNSResponder.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= R3 AsusACPI;ASUS ACPI Driver;C:\WINDOWS\system32\DRIVERS\ASUSACPI.sys [2007-07-26 11264] R3 AtcL002;NDIS Miniport Driver for Atheros L2 Fast Ethernet Controller;C:\WINDOWS\system32\DRIVERS\l251x86.sys [2008-02-13 30720] R3 Ktp;Elantech Smart-Pad;C:\WINDOWS\system32\DRIVERS\ETD.sys [2008-04-15 25088] R3 WSIMD;wsimd Service;C:\WINDOWS\system32\DRIVERS\wsimd.sys [2007-03-28 57024] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6ecb48ab-8299-11dd-a68f-0022151219c0}] \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe recycle.vbs . Contents of the 'Scheduled Tasks' folder 2008-10-10 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34] . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-14 14:49:24 Windows 5.1.2600 Service Pack 3 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2008-10-14 14:50:59 ComboFix-quarantined-files.txt 2008-10-14 12:50:54 ComboFix2.txt 2008-10-13 17:58:40 Pre-Run: 452,042,752 Bytes frei Post-Run: 441,049,088 Bytes frei 171 --- E O F --- 2008-10-13 17:18:54 |
|
|
14.10.2008, 15:10
Ehrenmitglied
Beiträge: 29434 |
#14
der gleiche Eintrag ist noch da - ich nehme an, du hast das script von Combofix nicht richtig erstellt....angewendet.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6ecb48ab-8299-11dd-a68f-0022151219c0}] \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe recycle.vbs du kannst das rot gekennzeichnete auch direkt in der Registry löschen Start - Ausführen - regedit . «« Virustotal http://www.virustotal.com/flash/index_en.html C:\WINDOWS\system32\explorer.vbs Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren __________ MfG Sabina rund um die PC-Sicherheit |
|
|
14.10.2008, 15:12
Member
Themenstarter Beiträge: 12 |
#15
Hi Sabina,
folgendes sagt Virustotal über die Datei C:\WINDOWS\system... vom eeePC: MD5: ead6e89dc62c6c320ae5915475a42cb2 First received: 2008.09.08 15:01:21 (CET) Datum 2008.10.08 14:56:46 (CET) [>6D] Ergebnisse 8/36 Permalink: analisis/536870ed09ae34fcfa149585952a5d2d Hoffe, habe es jetzt richtig gemacht?? Dieser Beitrag wurde am 16.10.2008 um 10:38 Uhr von nikstevie editiert.
|
|
|
ich habe einen sehr hartnäckigen Virus, Trojaner o. ä. auf meinem Laptop (Asus, eeePC, auf einer externen Festplatte und auf dem Speicherstick), mit Namen four2one. Er öffnet sich über ein Bild, was auf meinem Rechner immer wieder im Explorer erschien.
Dadurch war der Taskmanager nicht mehr aktiv, sowie die Ordneroptionen usw. Verschiedene Probleme konnten wir bereits teilweise beheben (nicht auf dem eeePC, externe Festplatte und Stick sind virenfrei), aber die regedit Datei unter System 32 ist nach wie vor fehlerhaft und lässt sich nicht verändern. Und die veränderte Datei msconfig konnten wir nicht finden. Ich selbst habe sehr wenig Ahnung, deshalb hat mir ein Freund weiter geholfen, der aber auch irgendwann nicht weiter wußte.
Im Netz ist bisher wenig zu finden, ich habe folgende Nachricht als Hilfe benutzt:
about four2one virus
A virus recently attack my company's desktop, suspected is from a USB thumb drive.
I need some help on recovery, I have managed to clear all virus file manually because ANTIVIR is not able to detect that as virus, and so do other brands.
I will tell you more about the virus first,
The virus in a thumb drive is hidden as system file, so you need to view hidden file including the system file unchecked.
You will see 4 files;
- four2one.vbs
- recycle.bin
- google.jpg
- autorun.inf
You can safely browse the thumb drive by right click open DO NOT double clicks on the icon. Once you double click it will run four2one.vbs and recycle.bin
when the virus is running the system processes will have a application running call four2one.exe which will run every time you start the computer, the virus will exempt to send information from your computer like html, explorer data, and etc... Places where password and ID is possibility stored.
The virus will copy fortune.dll, explorer.vbs, four2one.vbs into system32 folder.
The virus will copy google.htm and google.jpg into you C:\. If you have other drives it will copy the 4 files I mention above to all other drives and removable drive.
Your Task manager is disabled, folder option is gone from window tab and control panel also disabled if you happen to have a shortcut folder option.
Regedit.exe and msconfig.exe both the virus have change to run this 2 application using notepad by default. I manage to resolve this problem by coping this 2 application file to the desktop and rename it with any name you like with an .exe behind, run it and it works, so when I run regedit i manage to bring back task manager. you can do a search in regedit for four2one, twoone and delete any string found. as for the msconfig you should unchecked the four2one.exe at the startup tab. boot in safe mode and run full scan to delete virus found. ANTIVIR is not able to clear four2one.vbs, recycle.bin even in safe mode..
Meine Überlegung war jetzt ein neues Betriebssystem auf den eeePC zu spielen. Aber das ist natürlich die letzte Möglichkeit, aber auch der Laptop ist noch nicht ganz virenfrei...
Könnt Ihr mir irgendwie weiter helfen?? Das wär super!!
Vielen Dank im Vorraus
Nikstevie
Im Anhang sind die Daten des Laptops...