Testthread - zum testen, posten, zwischenspeichern - nicht zur Unterhaltung

#0
26.06.2006, 12:40
Meldungen...
Avatar System

Beiträge: 766
#1 Hi,

schon öfter gewünscht und natürlich kein Problem:
der offizelle Test-Thread

hier dürft ihr fröhlich herumprobieren, Sachen zwischenspeichern etc.
(bitte nicht für flamen oder für Diskussionen und Unterhaltungen verwenden!)

Beiträge in diesem Thema werden von Zeit zu Zeit von den Moderatoren entfernt!
__________
Danke!
Seitenanfang Seitenende
15.05.2007, 23:33
Member

Beiträge: 500
#2 Download: HijackThis199

Sollte wohl schon nicht mehr ganz so neu sein;)

Felix
__________
Keine Anfragen per E-Mail und PN!
Seitenanfang Seitenende
03.03.2008, 20:27
Member
Avatar bob777

Beiträge: 24
#3 Ein kurzer Test weil ich mit dem Board noch nicht vertraut bin Ein kurzer Test weil ich mit dem Board noch nicht vertraut bin

Anhang: pompom.gif
Seitenanfang Seitenende
22.04.2008, 10:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 ======C:\WINDOWS====
----a-w 0 2008-04-22 07:39:44 C:\WINDOWS\0.log
-c--a-w 2,048 2008-04-22 07:37:09 C:\WINDOWS\bootstat.dat
-c--a-w 250 2008-04-11 10:53:03 C:\WINDOWS\gmer.ini
----a-w 118,784 2008-04-06 23:56:54 C:\WINDOWS\GREUninstall.exe
-c--a-w 26 2008-04-20 12:36:54 C:\WINDOWS\Lic.xxx
----a-w 335 2008-04-07 00:04:21 C:\WINDOWS\mozregistry.dat
-c--a-w 14,109 2008-04-06 23:57:20 C:\WINDOWS\mozver.dat
----a-w 322 2008-03-26 12:36:58 C:\WINDOWS\msnfix.txt
----a-w 335 2008-04-06 23:57:38 C:\WINDOWS\nsreg.dat
----a-w 13 2008-03-26 12:36:41 C:\WINDOWS\presf.txt
-c--a-w 227 2008-04-19 21:16:08 C:\WINDOWS\system.ini
-c--a-w 1,192 2008-04-06 23:57:18 C:\WINDOWS\win.ini
-c--a-w 400,278 2008-04-22 08:09:10 C:\WINDOWS\WindowsUpdate.log

Entries: 13 (13)
Directories: 0 Files: 13
Bytes: 537,919 Blocks: 1,056
======C:\WINDOWS\system32=====
----a-w 0 2008-04-05 18:30:25 C:\WINDOWS\System32\h323log.txt
----a-w 56,700 2008-04-13 14:14:14 C:\WINDOWS\System32\perfc009.dat
----a-w 359,076 2008-04-13 14:14:14 C:\WINDOWS\System32\perfh009.dat
-c--a-w 421,408 2008-04-13 14:14:14 C:\WINDOWS\System32\PerfStringBackup.INI
----a-w 789,473 2008-04-13 05:46:48 C:\WINDOWS\System32\RVAXO.bat
-c--a-w 2,184 2008-04-13 09:33:54 C:\WINDOWS\System32\wpa.dbl

Entries: 6 (6)
Directories: 0 Files: 6
Bytes: 1,628,841 Blocks: 3,184
======C:\WINDOWS\system32\drivers=====
---h--r 2,015 2008-04-19 14:13:38 C:\WINDOWS\System32\drivers\hosts

Entries: 1 (0)
Directories: 0 Files: 1
Bytes: 2,015 Blocks: 4
=======C:\Program Files=====
Entries: 0 (0)
Directories: 0 Files: 0
Bytes: 0 Blocks: 0
=======C:=====
-c--a-w 5,674 2008-04-19 21:08:16 C:\avenger.txt
-c--a-w 2,314 2008-04-19 21:10:03 C:\Bug.txt
-c--a-w 4,833 2008-04-19 21:17:15 C:\ComboFix.txt
----a-w 5,839,384 2008-04-07 08:13:33 C:\Firefox Setup 2.0.0.13.exe
-c--a-w 211 2008-04-13 14:41:27 C:\firstrun5.log
--sha-w 528,015,360 2008-04-22 07:37:02 C:\hiberfil.sys
-c--a-w 123 2008-04-19 17:23:15 C:\rapport_clean.txt
-c--a-w 346 2008-04-13 14:47:53 C:\RVAXO-results.log
-c--a-w 7,291 2008-04-13 14:48:40 C:\RVAXO-Vfind.log
-c--a-w 51 2008-04-19 21:06:36 C:\tempfiles.txt
-c--a-w 600 2008-04-21 14:02:38 C:\winscp.RND

Entries: 11 (10)
Directories: 0 Files: 11
Bytes: 533,876,187 Blocks: 1,042,734
======C:\Documents and Settings\Sabine\Application Data======
Entries: 0 (0)
Directories: 0 Files: 0
Bytes: 0 Blocks: 0
======C:\Temp======
Entries: 0 (0)
Directories: 0 Files: 0
Bytes: 0 Blocks: 0
======C:\Documents and Settings\Sabine======
----a-w 4,009,984 2008-04-21 23:41:47 C:\Documents and Settings\Sabine\ntuser.dat
----a-w 20,480 2008-04-22 08:09:46 C:\Documents and Settings\Sabine\ntuser.dat.LOG
-csh--w 180 2008-04-21 23:41:47 C:\Documents and Settings\Sabine\ntuser.ini

Entries: 3 (2)
Directories: 0 Files: 3
Bytes: 4,030,644 Blocks: 7,873
======C:\WINDOWS\Downloaded Program Files====
Entries: 0 (0)
Directories: 0 Files: 0
Bytes: 0 Blocks: 0
=============
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.05.2008, 20:56
Passwort: gast
Avatar Gastaccount

Beiträge: 0
#5 test...........bitte stehen lassen, danke...

MfG Ralf
Seitenanfang Seitenende
15.06.2008, 00:14
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 «

Grusskarte : "jemand" hat Ihnen eine Grusskarte geschickt

(jemand hat für Sie eine Überraschung vorbereitet - holen Sie sie bei clix.pt ab)

Zitat

Received: from unknown (HELO host.baport.com) ([140.99.28.146])
(envelope-sender <nobody@host.baport.com>;)

by mta9 (qmail-ldap-1.03) with AES256-SHA encrypted SMTP
for <XXXXXX@sapo.pt>; 14 Jun 2008 17:08:14 -0000
Received: from nobody by host.baport.com with local (Exim 4.6Cool
(envelope-from <nobody@host.baport.com>;)
id 1K7XWd-0002Pl-0d
for XXXXXX; Sat, 14 Jun 2008 08:18:43 -0700
To: XXXXXX


Subject: **Alguem** enviou-lhe um postal!

MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
From: clix.pt <postais@clix.pt>
Reply-To: <postais@clix.pt>
Message-Id: <E1K7XWd-0002Pl-0d@host.baport.com>
Date: Sat, 14 Jun 2008 08:18:43 -0700

------------------------------------------------------------------------------

X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - host.baport.com
X-AntiAbuse: Original Domain - sapo.pt
X-AntiAbuse: Originator/Caller UID/GID - [99 99] / [47 12]
X-AntiAbuse: Sender Address Domain - host.baport.com


Alguem preparou-lhe uma surpresa a partir do canal de postais do
Clix.
Código:

Para levantar o seu postal, clique aqui:
a onclick="onClickUnsafeLink(event);"
"http://76.30.167.35/Flash/a5bcb26a5e4751bde3c6baf31a502c86.exe"
target="_blank">http://postais.clix.pt/ver.html?id=4303971&key=a5bcb26a5e4751bde3c6baf31a502c86

Espero que goste!
-------------

a5bcb26a5e4751bde3c6baf31a502c86.exe

AhnLab-V3 2008.6.13.1 2008.06.13 -
AntiVir 7.8.0.55 2008.06.14 HEUR/Crypted
Authentium 5.1.0.4 2008.06.14 -
Avast 4.8.1195.0 2008.06.14 -
AVG 7.5.0.516 2008.06.14 -
BitDefender 7.2 2008.06.14 -
CAT-QuickHeal 9.50 2008.06.14 (Suspicious) - DNAScan
ClamAV 0.92.1 2008.06.14 -
DrWeb 4.44.0.09170 2008.06.14 -
eSafe 7.0.15.0 2008.06.12 -
eTrust-Vet 31.6.5873 2008.06.14 -
Ewido 4.0 2008.06.14 -
F-Prot 4.4.4.56 2008.06.12 -
F-Secure 6.70.13260.0 2008.06.14 -
Fortinet 3.14.0.0 2008.06.14 -
GData 2.0.7306.1023 2008.06.14 -
Ikarus T3.1.1.26.0 2008.06.14 -
Kaspersky 7.0.0.125 2008.06.14 -
McAfee 5317 2008.06.13 -
Microsoft 1.3604 2008.06.14 -
NOD32v2 3186 2008.06.13 -
Norman 5.80.02 2008.06.13 -
Panda 9.0.0.4 2008.06.14 -
Prevx1 V2 2008.06.15 -
Rising 20.48.52.00 2008.06.14 -
Sophos 4.30.0 2008.06.14 -
Sunbelt 3.0.1145.1 2008.06.05 -
Symantec 10 2008.06.14 -
TheHacker 6.2.92.350 2008.06.14 -
VBA32 3.12.6.7 2008.06.14 -
VirusBuster 4.3.26:9 2008.06.12 -
Webwasher-Gateway 6.6.2 2008.06.14 Heuristic.Crypted

-------

Dateiname : a5bcb26a5e4751bde3c6baf31a502c86.exe
Größe : 160082 byte
Typ : MS-DOS executable (EXE), OS/2 or MS Windows
MD5 : a3deb2d91cf72bd300eccd0598c5ba95
SHA1 : 4fc7aad47b21408245dcfd85b0a15e87a39b5f89

-------

Queried whois.arin.net with "140.99.28.146"...

OrgName: Datability Software Systems, Inc.
OrgID: DERU
Address: 14982 N 83rd Pl, STE 201
City: Scottsdale
StateProv: AZ
PostalCode: 85260
Country: US

NetRange: 140.99.0.0 - 140.99.255.255
CIDR: 140.99.0.0/16
NetName: DSS1
NetHandle: NET-140-99-0-0-1
Parent: NET-140-0-0-0-0
NetType: Direct Allocation
NameServer: NS1.DERU.NET
NameServer: NS2.DERU.NET

Tracing route to host.baport.com [140.99.28.146]...

hop rtt rtt rtt ip address fully qualified domain name
1 6 1 1 70.84.211.97 61.d3.5446.static.theplanet.com
2 0 0 0 70.84.160.129 vl1.dsr01.dllstx5.theplanet.com
3 0 0 0 70.85.127.105 po51.dsr01.dllstx3.theplanet.com
4 0 0 0 70.87.253.13 et5-1.ibr04.dllstx3.theplanet.com
5 0 0 0 4.71.122.1 te-3-1.car4.dallas1.level3.net
6 13 0 0 4.68.19.126 vlan79.csw2.dallas1.level3.net
7 1 0 14 4.69.136.125 ae-71-71.ebr1.dallas1.level3.net
8 24 24 25 4.69.133.29 ae-8-8.car1.phoenix1.level3.net
9 24 24 24 4.69.133.34 ae-11-11.car2.phoenix1.level3.net
10 25 25 24 4.79.164.54 gigabit-core-l3.deru.net
11 25 25 25 140.99.10.57 phoenix8-gw.deru.net
12 25 24 24 140.99.28.146 host.baport.com
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.06.2008, 01:54
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 Arnold, ich kenne das....

Zitat

C:\
&rë†áã †áèÈ †áâ÷†áèãu!€Ï€>P töÇuH‰> - 1252,
wenn du ganz sicher sein willst ...formatiere.
keine Ahnung, wie man das entfernt...
über cmd ist es nicht sichtbar...
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.06.2008, 09:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"DoNotAllowXPSP2"=dword:00000001

die Windowsupdates kanst du auch nicht mehr machen ;)
(es sei denn, den Wert auf 0 setzen)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify"=dword:00000000
"FirewallDisableNotify"=dword:00000000
"UpdatesDisableNotify"=dword:00000000
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001


Antivirus + Firewall wurden überschrieben

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"WaitToKillServiceTimeout"="7000" - wegen diesem Wert, dauert Windows beenden so lange ;)

------------

bevor du formatierst, versuche es mit einer Systemwiederherstellung ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.06.2008, 16:17
Moderator

Beiträge: 5694
#9 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:16:26, on 28.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX\adminsvc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\Motive\McciCMService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\DSentry.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\ZyXEL\360\Gcc.exe
C:\Programme\Creative\SBLive\Diagnostics\diagent.exe
C:\Programme\ZyXEL\360\OdHost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.net/de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.gmx.net/home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.gmx.net/home
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [diagent] C:\Programme\Creative\SBLive\Diagnostics\diagent.exe startup
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [BuildBU] c:\dell\bldbubg.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BuildLabs] C:\WINDOWS\system\csrss.exe
O4 - HKLM\..\Run: [Gmsvc32] gmsvc32.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickHelp2_McciTrayApp] C:\Programme\QuickHelp2\QuickHelp.exe
O4 - HKLM\..\RunServices: [Gmsvc32] gmsvc32.exe
O4 - HKLM\..\RunOnce: [IHUQuickHelp2] "C:\Programme\Gemeinsame Dateien\Motive\InstallHelper.exe" /DIR="C:\Programme\Gemeinsame Dateien\Motive" /UninstallVendor=QuickHelp2 /platform=Win32
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: ZyXEL G-360 Wireless Adapter-Programm.lnk = C:\Programme\ZyXEL\360\Gcc.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O23 - Service: GMX Browser Update (AdminSVC) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX\adminsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: McciCMService - Motive Communications, Inc. - C:\Programme\Gemeinsame Dateien\Motive\McciCMService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe

--
End of file - 7020 bytes


Zitat

Bereits gefixt:

O4 - HKLM\..\Run: [BuildLabs] C:\WINDOWS\system\csrss.exe
ComboFix 08-06-20.4 - gorbs 2008-06-28 22:21:10.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.249 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\gorbs\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-05-28 bis 2008-06-28 ))))))))))))))))))))))))))))))
.

2008-06-28 22:14 . 2008-06-28 22:14 <DIR> d-------- C:\Programme\Trend Micro
2008-06-28 22:11 . 2008-06-28 22:11 <DIR> d-------- C:\WINDOWS\LastGood
2008-06-28 22:11 . 2008-06-28 22:16 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2008-06-28 22:07 . 2008-06-28 22:07 <DIR> d-------- C:\Programme\CCleaner
2008-06-11 13:59 . 2008-06-14 19:57 273,024 --------- C:\WINDOWS\SYSTEM32\DLLCACHE\bthport.sys
2008-06-07 11:37 . 2008-06-28 21:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-06-04 20:04 . 2008-06-04 20:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Motive

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-28 19:53 --------- d-----w C:\Programme\Yahoo!
2008-06-28 19:53 --------- d-----w C:\Programme\Google
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-04 18:42 --------- d-----w C:\Programme\Gemeinsame Dateien\Motive
2008-05-23 18:07 --------- d-----w C:\Programme\Gemeinsame Dateien\MAGIX Shared
2008-05-23 18:07 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2008-05-23 18:07 --------- d-----w C:\Programme\DiMAGE Image Viewer Utility
2008-05-23 18:07 --------- d-----w C:\Programme\Creative
2008-05-23 18:07 --------- d-----w C:\Programme\Common Files
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-08 12:28 202,752 ------w C:\WINDOWS\SYSTEM32\DLLCACHE\rmcast.sys
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\SYSTEM32\quartz.dll
2008-05-07 05:14 1,293,312 ------w C:\WINDOWS\SYSTEM32\DLLCACHE\quartz.dll
2008-04-23 20:16 3,591,680 ----a-w C:\WINDOWS\SYSTEM32\DLLCACHE\mshtml.dll
2008-04-22 07:40 625,664 ------w C:\WINDOWS\SYSTEM32\DLLCACHE\iexplore.exe
2008-04-22 07:39 70,656 ------w C:\WINDOWS\SYSTEM32\DLLCACHE\ie4uinit.exe
2008-04-22 07:39 13,824 ------w C:\WINDOWS\SYSTEM32\DLLCACHE\ieudinit.exe
2008-04-20 05:07 161,792 ------w C:\WINDOWS\SYSTEM32\DLLCACHE\ieakui.dll
2004-10-23 08:32 0 ---ha-w C:\Dokumente und Einstellungen\gorbs\hpothb07.dat
2003-09-20 16:18 0 ---ha-w C:\Dokumente und Einstellungen\Särbäli.D696DS0J\hpothb07.dat
2003-09-20 16:18 0 ---ha-w C:\Dokumente und Einstellungen\Särbäli.D696DS0J\hpothb07.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-05-27 10:04 68856]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-10-06 15:16 5058560]
"diagent"="C:\Programme\Creative\SBLive\Diagnostics\diagent.exe" [2002-04-03 02:01 135264]
"UpdReg"="C:\WINDOWS\UpdReg.EXE" [2000-05-11 02:00 90112]
"DVDSentry"="C:\WINDOWS\System32\DSentry.exe" [2002-08-14 19:22 28672]
"AdaptecDirectCD"="C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" [2002-12-17 13:28 684032]
"BuildBU"="c:\dell\bldbubg.exe" [2001-12-06 15:48 53248]
"nwiz"="nwiz.exe" [2003-10-06 15:16 741376 C:\WINDOWS\SYSTEM32\nwiz.exe]
"BuildLabs"="C:\WINDOWS\system\csrss.exe" [ ]
"Gmsvc32"="gmsvc32.exe" []
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-30 19:11 262401]
"HP Software Update"="C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [2002-12-17 11:40 49152]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-16 12:45 63712]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"QuickHelp2_McciTrayApp"="C:\Programme\QuickHelp2\QuickHelp.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"IHUQuickHelp2"="C:\Programme\Gemeinsame Dateien\Motive\InstallHelper.exe" [2007-09-10 10:18 544768]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Gmsvc32"="gmsvc32.exe" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
hp psc 1000 series.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2002-12-02 21:08:34 147456]
hpoddt01.exe.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2002-12-02 20:56:10 40960]
ZyXEL G-360 Wireless Adapter-Programm.lnk - C:\Programme\ZyXEL\360\Gcc.exe [2006-03-31 20:36:46 36864]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i263_32.drv
"vidc.iv31"= C:\WINDOWS\system32\ir32_32.dll
"vidc.iv32"= C:\WINDOWS\system32\ir32_32.dll
"msacm.ctmp3"= C:\WINDOWS\System32\ctmp3.acm
"vidc.MJPG"= m3jpeg32.dll
"vidc.dmb1"= m3jpeg32.dll
"msacm.g723"= g723.acm
"vidc.I263"= I263_32.drv

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\GMX\\gmx_Update.exe"=

R2 AdminSVC;GMX Browser Update;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX\adminsvc.exe [2006-10-31 08:04]
R2 McciCMService;McciCMService;"C:\Programme\Gemeinsame Dateien\Motive\McciCMService.exe" [2007-09-10 10:19]
R3 CBTNDIS5;CBTNDIS5 NDIS Protocol Driver;C:\WINDOWS\System32\CBTNDIS5.SYS [2003-07-16 23:28]
R3 odysseyIM4;Odyssey Network Agent Miniport;C:\WINDOWS\system32\DRIVERS\odysseyIM4.sys [2004-09-25 00:36]
R3 TNET1130;ZyXEL 802.11b/g Wireless Card;C:\WINDOWS\system32\DRIVERS\TNET1130.sys [2004-12-01 18:31]
S3 bDMusicb;bDMusicb;C:\DOKUME~1\gorbs\LOKALE~1\Temp\bDMusicb.sys []
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Programme\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 14:18]
S3 MREMP50;MREMP50 NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\Motive\MREMP50.SYS [2007-07-10 18:37]
S3 MREMP50a64;MREMP50a64 NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\Motive\MREMP50a64.SYS []
S3 MRESP50;MRESP50 NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\Motive\MRESP50.SYS [2007-07-10 18:37]
S3 MRESP50a64;MRESP50a64 NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\Motive\MRESP50a64.SYS []
S3 UPnPService;UPnPService;C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe [2006-12-14 16:00]

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2008-06-27 14:23:00 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1061562131.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I
"2008-06-28 20:23:00 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Programme\Symantec\LiveUpdate\NDETECT.EXE
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-28 22:23:56
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-06-28 22:25:40
ComboFix-quarantined-files.txt 2008-06-28 20:25:28

13 Verzeichnis(se), 168,173,756,416 Bytes frei
15 Verzeichnis(se), 168,285,728,768 Bytes frei

122 --- E O F --- 2008-06-20 15:11:04

Zitat

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gmsvc32"=-
"BuildLabs"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Gmsvc32"=-

File::
C:\WINDOWS\system\csrss.exe
wobei es sich hier vermutlich um einen Backdoor handelt?!
http://www.pcshow.de/security/viren/w32-agobot-nz.html


C:\WINDOWS\system\csrss.exe

Malwarebytes und Bitdefender hat nichts gefunden.

Gruss Swiss
Seitenanfang Seitenende
29.06.2008, 16:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Hallo Swizz ;)

ja, ist ein backdoor, falls das ein User ist mit sensiblen Daten (Onlinebanking usw) formatieren

Zitat

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gmsvc32"=-
"BuildLabs"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Gmsvc32"=-

File::
C:\WINDOWS\system\csrss.exe
««
http://virus-protect.org/artikel/tools/sdfix.html
im Normalmodus
gehe in den Ordner C:\SDFix
RunThis.bat doppelt klicken


reinschreiben: 3
wird Sophos geladen
bei Option 6 - erfolgt ein Fullscan + löschen der infizierten Dateien

"SophosReport.txt" (im SDFix-Ordner) - abkopieren und in den Beitrag

-----------------------
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.06.2008, 17:03
Moderator

Beiträge: 5694
#11 Hallo Sabina

Lag ich also auf der richtigen Bahn ;)

ja er macht Online Banknig aber hat sonst keine wichtigen Daten auf dem System.

Werde das System für Ihn neu Aufsetzen ;)

Vielen Dank.

Gruss
Swizzzzzzzz ;)
Seitenanfang Seitenende
01.07.2008, 12:22
Moderator

Beiträge: 5694
#12 D:\WINDOWS\gfetqaxsoet.dll
D:\WINDOWS\pntqkflv.dll
D:\WINDOWS\qegbdmwf.dll
D:\WINDOWS\gxvpsafm.dll
D:\WINDOWS\tovafrnm.exe

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8AE578E0-6DF5-41E0-869F-F65A32D2F6BD}]
2008-06-27 22:15 26624 --a------ D:\WINDOWS\system32\oggwin.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{99BA268B-4021-4739-9945-3C774217FE75}]
D:\Programme\NetProject\sbmdl.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{fb7d98cb-b228-4ecb-acac-e7101156338e}]
2008-05-10 09:32 1470488 --a------ D:\Programme\Techno4ever\tbTec1.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FFFD0041-02A5-4056-981D-7ACE396D50D5}]
2008-07-01 00:53 307200 --a------ D:\WINDOWS\gfetqaxsoet.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{FB7D98CB-B228-4ECB-ACAC-E7101156338E}"= "D:\Programme\Techno4ever\tbTec1.dll" [2008-05-10 09:32 1470488]
"{A9C00446-CA14-4EF3-AACB-723AE6634D61}"= "D:\WINDOWS\gxvpsafm.dll" [2008-07-01 00:53 188416]

[HKEY_CLASSES_ROOT\clsid\{fb7d98cb-b228-4ecb-acac-e7101156338e}]

[HKEY_CLASSES_ROOT\clsid\{a9c00446-ca14-4ef3-aacb-723ae6634d61}]
[HKEY_CLASSES_ROOT\gxvpsafm.1]
[HKEY_CLASSES_ROOT\TypeLib\{9244D1E7-22A4-4474-8110-BA21EEC8289E}]
[HKEY_CLASSES_ROOT\gxvpsafm]
Seitenanfang Seitenende
01.07.2008, 12:54
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 noch viel mehr...ich habe es schon in diesem Thread dort gepostet
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.07.2008, 13:19
Moderator

Beiträge: 5694
#14 Ja ich hatte einmal angefangen und musste noch kurz weg aber du warst wieder schneller ;) Dann habe ich aufgehört ;)

Gruss Swiss
Seitenanfang Seitenende
02.07.2008, 23:13
Moderator

Beiträge: 5694
#15 [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0e64e841-2463-47c9-8797-daf2810bbf61}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{80644d93-f865-4e96-b298-c8444a8abde1}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{a6ad0316-0d62-40ed-8481-81321d5fe060}]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{0E64E841-2463-47C9-8797-DAF2810BBF61}"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqRKbCu]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"84fb3d90"=-

C:\WINDOWS\system32\khfCvvUM.dll
C:\WINDOWS\system32\urqQkklM.dll
C:\flciijjq.exe
C:\d1.exe
C:\-2063909569
C:\WINDOWS\system32\ssqRKbCu.dll
C:\WINDOWS\system32\fccywXQI.dll
C:\WINDOWS\system32\fccdedAq.dll
C:\WINDOWS\system32\hsuajbes.dll
C:\WINDOWS\system32\twprfjck.dll


C:\WINDOWS\system32\drivers\3ce5f904.sys
Dieser Beitrag wurde am 02.07.2008 um 23:22 Uhr von Tonstudio editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: