Home » Spyware & Browser Hijacker Support Forum » automatische seiten-aufrufe www.*yyy102 » Themenansicht
automatische seiten-aufrufe www.*yyy102 |
||
|---|---|---|
| #0
| ||
|
05.02.2006, 16:08
...neu hier
Beiträge: 9 |
||
 
|
|
|
|
05.02.2006, 16:42
Ehrenmitglied
 Beiträge: 29434 |
#2
Pesche
das ist der Look2Me u.a. stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html Download f-secure-Beta Trial http://www.f-secure.com/blacklight/ doppelklick: blbeta.exe nach dem Check klicke -- next nun findet man eine log-datei auf dem Desktop: kopiere sie in deinen Thread __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
05.02.2006, 16:58
...neu hier
Themenstarter Beiträge: 9 |
#3
ok
Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 4016-A2D5 Verzeichnis von C:\WINDOWS\system32 05.02.2006 16:46 234'818 guard.tmp 05.02.2006 14:26 234'818 __delete_on_reboot__guard.tmp 05.02.2006 14:14 3'002 CONFIG.NT 05.02.2006 13:42 233'912 l28mlcl11fq.dll 05.02.2006 12:53 53'942 perfc009.dat 05.02.2006 12:53 395'074 perfh007.dat 05.02.2006 12:53 901'502 PerfStringBackup.INI 05.02.2006 12:53 64'994 perfc007.dat 05.02.2006 12:53 383'588 perfh009.dat 05.02.2006 12:51 234'818 l60u0gd9e60.dll 05.02.2006 12:28 13'646 wpa.dbl 05.02.2006 12:28 233'464 nzrsko.dll 05.02.2006 11:22 647 ps.a3d 05.02.2006 11:22 236'927 dtound.dll 05.02.2006 11:04 2 wintsvcc.exe 05.02.2006 11:04 152'064 oins.exe 05.02.2006 11:01 255'064 FNTCACHE.DAT 30.01.2006 15:20 405'504 w?crtupd.exe 28.01.2006 11:22 1 kr_done1 28.01.2006 11:21 154 AdService.bat 27.01.2006 23:38 503'296 aswBoot.exe 27.01.2006 23:30 90'112 AVASTSS.scr 05.01.2006 04:41 2'836'320 MRT.exe 29.12.2005 03:54 280'064 gdi32.dll 01.12.2005 04:31 1'492'480 shdocvw.dll 24.11.2005 00:58 3'013'632 mshtml.dll 24.11.2005 00:58 1'022'464 browseui.dll 05.11.2005 04:16 606'208 urlmon.dll 05.11.2005 04:16 1'056'256 danim.dll Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 4016-A2D5 Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 4016-A2D5 Verzeichnis von C:\WINDOWS 05.02.2006 14:25 0 0.log 05.02.2006 14:25 159 wiadebug.log 05.02.2006 14:25 2'048 bootstat.dat 05.02.2006 14:24 32'592 SchedLgU.Txt 05.02.2006 14:24 1'157'390 WindowsUpdate.log 05.02.2006 14:24 50 wiaservc.log 05.02.2006 14:14 502 ODBC.INI 05.02.2006 12:27 888'494 ntbtlog.txt 05.02.2006 11:07 107'132 UninstallFirefox.exe 05.02.2006 11:07 3'180 mozver.dat 05.02.2006 11:04 803'770 setupapi.log 05.02.2006 10:45 917 win.ini 05.02.2006 10:37 37 vbaddin.ini 02.02.2006 11:10 16 popcinfo.dat 29.01.2006 08:26 1'393 berlitz.ini 29.01.2006 08:19 54 Edcfg.ini 29.01.2006 08:19 1'389 germa.ini 29.01.2006 08:19 1'311 engli.ini 28.01.2006 11:22 43 drsmartload2.dat 28.01.2006 11:21 3'053 secure32.html 28.01.2006 11:17 0 uniq 14.01.2006 03:00 33'003 msgsocm.log 14.01.2006 03:00 205'639 comsetup.log 14.01.2006 03:00 124'973 ntdtcsetup.log 14.01.2006 03:00 305'957 tsoc.log 14.01.2006 03:00 10'346 KB908519.log 14.01.2006 03:00 1'374 imsins.log 14.01.2006 03:00 790'111 iis6.log 14.01.2006 03:00 33'235 tabletoc.log 14.01.2006 03:00 23'895 medctroc.Log 14.01.2006 03:00 645'671 FaxSetup.log 14.01.2006 03:00 341'891 ocgen.log 14.01.2006 03:00 114'329 netfxocm.log 14.01.2006 03:00 26'171 ocmsn.log 14.01.2006 03:00 214'990 msmqinst.log 08.01.2006 03:00 11'185 KB912919.log 08.01.2006 03:00 29'014 updspapi.log 01.01.2006 15:38 14'145 wmsetup.log 31.12.2005 15:28 720'896 iun6002ev.exe 28.12.2005 09:48 182'426 setupact.log 18.12.2005 17:22 9'502 KB910437.log 18.12.2005 17:22 15'658 KB905915.log 19.11.2005 03:00 11'978 KB896424.log 06.11.2005 03:02 23'475 KB901017.log 06.11.2005 03:02 25'945 KB902400.log 06.11.2005 03:02 16'111 KB896688.log 06.11.2005 03:01 14'128 KB899589.log 06.11.2005 03:01 14'447 KB905414.log 06.11.2005 03:01 14'194 KB900725.log 06.11.2005 03:00 11'544 KB904706.log 06.11.2005 03:00 12'173 KB905749.log Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 4016-A2D5 Verzeichnis von C:\ 05.02.2006 16:56 0 sys.txt 05.02.2006 16:55 10'892 system.txt 05.02.2006 16:54 136 systemtemp.txt 05.02.2006 16:53 103'740 system32.txt 05.02.2006 14:25 402'653'184 pagefile.sys 31.01.2006 19:30 517 hpfr3420.xml 31.01.2006 19:30 132'122 hpfr3425.log 28.01.2006 12:47 160 BOOTLOG.TXT 28.01.2006 12:28 160 BOOTLOG.PRV 02/05/06 17:06:34 [Info]: BlackLight Engine 1.0.30 initialized 02/05/06 17:06:34 [Info]: OS: 5.1 build 2600 (Service Pack 2) 02/05/06 17:06:35 [Note]: 7019 4 02/05/06 17:06:35 [Note]: 7005 0 02/05/06 17:06:38 [Note]: 7006 0 02/05/06 17:06:38 [Note]: 7011 256 02/05/06 17:06:39 [Note]: FSRAW library version 1.7.1014 02/05/06 17:06:39 [Info]: Hidden file: C:\Dokumente und Einstellungen\Administrator\Desktop\wichtige programme\QUICKT~1.LNK 02/05/06 17:06:40 [Info]: Hidden file: C:\WINDOWS\QUICKI~1.INI 02/05/06 17:06:41 [Info]: Hidden file: C:\WINDOWS\Q330994.EXE 02/05/06 17:06:41 [Info]: Hidden file: C:\WINDOWS\Q828026.LOG 02/05/06 17:06:42 [Info]: Hidden file: C:\WINDOWS\QTFONT.QFN 02/05/06 17:06:42 [Info]: Hidden file: C:\WINDOWS\QTFONT.FOR 02/05/06 17:06:43 [Info]: Hidden file: C:\WINDOWS\Q819696.LOG 02/05/06 17:06:43 [Info]: Hidden file: C:\WINDOWS\Q817606.LOG 02/05/06 17:06:43 [Info]: Hidden file: C:\WINDOWS\Q811493.LOG 02/05/06 17:06:44 [Info]: Hidden file: C:\WINDOWS\Q817287.LOG 02/05/06 17:06:44 [Info]: Hidden file: C:\WINDOWS\Q815021.LOG 02/05/06 17:06:44 [Info]: Hidden file: C:\WINDOWS\Q329441.LOG 02/05/06 17:06:45 [Info]: Hidden file: C:\WINDOWS\Q814033.LOG 02/05/06 17:06:45 [Info]: Hidden file: C:\WINDOWS\Q329834.LOG 02/05/06 17:06:46 [Info]: Hidden file: C:\WINDOWS\Q323255.LOG 02/05/06 17:06:46 [Info]: Hidden file: C:\WINDOWS\Q329048.LOG 02/05/06 17:06:46 [Info]: Hidden file: C:\WINDOWS\Q329390.LOG 02/05/06 17:06:47 [Info]: Hidden file: C:\WINDOWS\Q329115.LOG 02/05/06 17:06:47 [Info]: Hidden file: C:\WINDOWS\Q811630.LOG 02/05/06 17:06:47 [Info]: Hidden file: C:\WINDOWS\Q329170.LOG 02/05/06 17:06:48 [Info]: Hidden file: C:\WINDOWS\Q810565.LOG 02/05/06 17:06:48 [Info]: Hidden file: C:\WINDOWS\Q810833.LOG 02/05/06 17:06:49 [Info]: Hidden file: C:\WINDOWS\Q810577.LOG 02/05/06 17:06:49 [Info]: Hidden file: C:\WINDOWS\QUICKI~2.INI 02/05/06 17:06:49 [Info]: Hidden file: C:\WINDOWS\$NtUninstallQ329115$\SPUNINST\SPUNINST.INF 02/05/06 17:06:49 [Info]: Hidden file: C:\WINDOWS\$NtUninstallQ329115$\SPUNINST\SPUNINST.EXE 02/05/06 17:06:49 [Info]: Hidden file: C:\WINDOWS\$NtUninstallQ329115$\CRYPT32.DLL 02/05/06 17:06:49 [Note]: 10002 2 02/05/06 17:06:49 [Note]: 10002 2 02/05/06 17:06:50 [Info]: Hidden file: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\QUICKT~1\QuickTime Player 02/05/06 17:06:50 [Info]: Hidden file: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\QUICKT~1\PictureViewer.ln 02/05/06 17:06:50 [Info]: Hidden file: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\QUICKT~1\QuickTime - Bitt 02/05/06 17:06:50 [Info]: Hidden file: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\QUICKT~1\QuickTime Update 02/05/06 17:06:50 [Info]: Hidden file: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\QUICKT~1\QuickTime deinst 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\DESKTOP.INI 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\INFO2 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc37.doc 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc38.lnk 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc39.xls 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc40\Excel-Kursaufgaben\3D-Bezüge.XLS 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc40\Excel-Kursaufgaben\Adressliste.xls 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc40\Excel-Kursaufgaben\AEKI Möbel GmbH.xls 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc40\Excel-Kursaufgaben\Automarken-Stückzahlenverkauf.xls 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc40\Excel-Kursaufgaben\Benzinverbrauch.xls 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc40\Excel-Kursaufgaben\Bestandliste.xls 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc40\Excel-Kursaufgaben\Bäckerei Meier.xls 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc40\Excel-Kursaufgaben\Dame.doc 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc40\Excel-Kursaufgaben\Diagramm 1.xls 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc40\Excel-Kursaufgaben\Diagramme 2.xls 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc40\Excel-Kursaufgaben\Diagramme 3.xls 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc40\Excel-Kursaufgaben\Erfolgsermittlung.xls 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc40\Excel-Kursaufgaben\Feinkost Meier.xls 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc40\Excel-Kursaufgaben\Gartenartikel.xls 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc40\Excel-Kursaufgaben\Geburtstage und Alter.xls 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc40\Excel-Kursaufgaben\Gewinnverteilung.xls 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc40\Excel-Kursaufgaben\Gliederung.xls 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc40\Excel-Kursaufgaben\Grosshandel-Kunden.xls 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc40\Excel-Kursaufgaben\Inventur.xls 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc40\Excel-Kursaufgaben\Investitionen.xls 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc40\Excel-Kursaufgaben\Kaminfeger.xls 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc40\Excel-Kursaufgaben\Kundenliste.xls 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc40\Excel-Kursaufgaben\Lagerbestand Parfümerie.xls 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc40\Excel-Kursaufgaben\Lagerbestand.xls 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc40\Excel-Kursaufgaben\Laufzeiten.xls 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc40\Excel-Kursaufgaben\Leichtathletik-Lauftraining.xls 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc40\Excel-Kursaufgaben\Lieferantenliste PT.xls 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc40\Excel-Kursaufgaben\Lohnabrechnung.xls 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc40\Excel-Kursaufgaben\Markthalle.xls 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc40\Excel-Kursaufgaben\Mietübersicht.xls 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc40\Excel-Kursaufgaben\Passagierliste PT.xls 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc40\Excel-Kursaufgaben\Peisliste PC-Shop.xls 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc40\Excel-Kursaufgaben\Pivot-Tabelle.xls 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc40\Excel-Kursaufgaben\Produktliste.xls 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc40\Excel-Kursaufgaben\Provision.xls 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc40\Excel-Kursaufgaben\Rechtschreibprüfung.xls 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc40\Excel-Kursaufgaben\Reise.xls 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc40\Excel-Kursaufgaben\Rundes Jubiläum.xls 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc40\Excel-Kursaufgaben\Seminarkosten.xls 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc40\Excel-Kursaufgaben\Sport AG.xls 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc40\Excel-Kursaufgaben\Stundenlohn-Berechnung.xls 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc40\Excel-Kursaufgaben\Stundenlohn.xls 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc40\Excel-Kursaufgaben\Teilergebnisse.xls 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc40\Excel-Kursaufgaben\Textformatierung.xls 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc40\Excel-Kursaufgaben\Touren.xls 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc40\Excel-Kursaufgaben\Umsatz.xls 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc40\Excel-Kursaufgaben\Umsatzanalyse.xls 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc40\Excel-Kursaufgaben\Umsatzprovision.xls 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc40\Excel-Kursaufgaben\Umsatzstatistik.xls 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc40\Excel-Kursaufgaben\Warengruppen.xls 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc40\Excel-Kursaufgaben\Zahlenformatierung.xls 02/05/06 17:06:51 [Info]: Hidden file: C:\RECYCLED\Dc40\Excel-Kursaufgaben\Zahlenrätsel.xls 02/05/06 17:06:51 [Error]: 5001 11635 02/05/06 17:06:51 [Error]: 5001 66292 02/05/06 17:06:52 [Info]: Hidden file: C:\sicherheit\ewido anti-malware\QUARAN~1.DLL 02/05/06 17:06:52 [Info]: Hidden file: C:\sicherheit\ewido anti-malware\QUARAN~1.UPD 02/05/06 17:06:53 [Info]: Hidden file: C:\Programme\QUICKT~1\QuickTimeUpdater.exe 02/05/06 17:06:53 [Info]: Hidden file: C:\Programme\QUICKT~1\README.WRI 02/05/06 17:06:53 [Info]: Hidden file: C:\Programme\QUICKT~1\QTInfo.exe 02/05/06 17:06:53 [Info]: Hidden file: C:\Programme\QUICKT~1\PictureViewer.exe 02/05/06 17:06:53 [Info]: Hidden file: C:\Programme\QUICKT~1\QuickTimePlayer.exe 02/05/06 17:06:53 [Info]: Hidden file: C:\Programme\QUICKT~1\Sample.qtif 02/05/06 17:06:53 [Info]: Hidden file: C:\Programme\QUICKT~1\Sample.mov 02/05/06 17:06:53 [Info]: Hidden file: C:\Programme\QUICKT~1\Plugins\QuickTimePlugin.class 02/05/06 17:06:53 [Info]: Hidden file: C:\Programme\QUICKT~1\Plugins\npqtplugin.dll 02/05/06 17:06:53 [Info]: Hidden file: C:\Programme\QUICKT~1\Plugins\npqtplugin2.dll 02/05/06 17:06:53 [Info]: Hidden file: C:\Programme\QUICKT~1\Plugins\npqtplugin3.dll 02/05/06 17:06:53 [Info]: Hidden file: C:\Programme\QUICKT~1\Plugins\npqtplugin4.dll 02/05/06 17:06:53 [Info]: Hidden file: C:\Programme\QUICKT~1\Plugins\npqtplugin5.dll 02/05/06 17:06:53 [Error]: 5001 53816 02/05/06 17:06:53 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\DRIVERS\RDPCDD.SYS 02/05/06 17:06:54 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\DRIVERS\RDBSS.SYS 02/05/06 17:06:54 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\DRIVERS\RDPWD.SYS 02/05/06 17:06:55 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\DRIVERS\RDPDR.SYS 02/05/06 17:06:55 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\DRIVERS\RECAGENT.SYS 02/05/06 17:06:56 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\QTPLUGIN.LOG 02/05/06 17:06:56 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\QUARTZ.DLL 02/05/06 17:06:57 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\QASF.DLL 02/05/06 17:06:57 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\QCAP.DLL 02/05/06 17:06:57 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\QEDIT.DLL 02/05/06 17:06:58 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\QOSNAME.DLL 02/05/06 17:06:58 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\RECOVER.EXE 02/05/06 17:06:59 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\QUERY.DLL 02/05/06 17:06:59 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\QUICKT~1\QTUninst.dll 02/05/06 17:06:59 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\QUICKT~1\QuickTimeUpdateHelper.exe 02/05/06 17:06:59 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\QUICKT~1\QuickTimeAuthoring.qtx 02/05/06 17:06:59 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\QUICKT~1\QuickTimeCapture.qtx 02/05/06 17:06:59 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\QUICKT~1\QuickTimeEffects.qtx 02/05/06 17:06:59 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\QUICKT~1\QuickTimeEssentials.qtx 02/05/06 17:06:59 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\QUICKT~1\QuickTimeImage.qtx 02/05/06 17:06:59 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\QUICKT~1\QuickTimeMusic.qtx 02/05/06 17:06:59 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\QUICKT~1\QuickTimeInternetExtras.qtx 02/05/06 17:06:59 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\QUICKT~1\QuickTimeStreaming.qtx 02/05/06 17:06:59 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\QUICKT~1\QuickTimeStreamingExtras.qtx 02/05/06 17:06:59 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\QUICKT~1\QuickTimeStreamingAuthoring.qtx 02/05/06 17:06:59 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\QUICKT~1\QuickTimeVRAuthoring.qtx 02/05/06 17:06:59 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\QUICKT~1\QuickTimeMPEG.qtx 02/05/06 17:06:59 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\QUICKT~1\QuickTimeChannels.qtr 02/05/06 17:06:59 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\QUICKT~1\QuickTimePlayerExtras.qpx 02/05/06 17:06:59 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\QUICKT~1\QuickTimeWebHelper.qtx 02/05/06 17:06:59 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\QUICKT~1\Uninstall.log 02/05/06 17:06:59 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\QUICKT~1.CPL 02/05/06 17:07:00 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\QUICKT~1.QTS 02/05/06 17:07:00 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\QUICKT~1.QTX 02/05/06 17:07:01 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\QUICKT~2.QTX 02/05/06 17:07:01 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\QUICKT~1.OCX 02/05/06 17:07:02 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\RDPCLIP.EXE 02/05/06 17:07:02 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\QM.DLL 02/05/06 17:07:02 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\SNDU64.SYS 02/05/06 17:07:03 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\QM.SYS 02/05/06 17:07:03 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\STT82.INI 02/05/06 17:07:04 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\KLGCPT~1.DAT 02/05/06 17:07:04 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\Q0NU0A~1.DLL 02/05/06 17:07:04 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\Q2PSLC~1.DLL 02/05/06 17:07:05 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\QDV.DLL 02/05/06 17:07:05 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\QDVD.DLL 02/05/06 17:07:05 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\RDSHOST.EXE 02/05/06 17:07:06 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\RDCHOST.DLL 02/05/06 17:07:06 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\RDPDD.DLL 02/05/06 17:07:07 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\RDPSND.DLL 02/05/06 17:07:07 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\RDPWSX.DLL 02/05/06 17:07:07 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\RDSADDIN.EXE 02/05/06 17:07:08 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\QAPPSRV.EXE 02/05/06 17:07:08 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\QMGRPRXY.DLL 02/05/06 17:07:09 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\QWINSTA.EXE 02/05/06 17:07:09 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\RDPCFGEX.DLL 02/05/06 17:07:09 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\QPROCESS.EXE 02/05/06 17:07:10 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\QEDWIPES.DLL 02/05/06 17:07:10 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\RDOCURS.DLL 02/05/06 17:07:11 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\QMGR.DLL 02/05/06 17:07:21 [Note]: 7007 0 mfg pesche Dieser Beitrag wurde am 05.02.2006 um 17:09 Uhr von Pesche editiert.
|
|
|
|
|
|
|
05.02.2006, 18:50
Ehrenmitglied
Beiträge: 29434 |
#4
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked"
R3 - URLSearchHook: (no name) - {EC167E47-ECD5-BE53-D17A-BC3EC22A22B0} - C:\WINDOWS\system32\tme.dll (file missing) R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O4 - HKCU\..\Run: [Nabw] "C:\Programme\ormn\nti.exe" -vt mt O4 - HKCU\..\Run: [Aszv] C:\WINDOWS\system32\w?crtupd.exe O20 - Winlogon Notify: msupdate - msupdate32.dll (file missing) O20 - Winlogon Notify: WebCheck - C:\WINDOWS\system32\l60u0gd9e60.dll --------------------------------------------------------------------------- KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: C:\Programme\ormn\nti.exe C:\WINDOWS\System32\guard.tmp C:\WINDOWS\System32\ __delete_on_reboot__guard.tmp C:\WINDOWS\System32\l28mlcl11fq.dll C:\WINDOWS\system32\l60u0gd9e60.dll C:\WINDOWS\System32\nzrsko.dll C:\WINDOWS\System32\ps.a3d C:\WINDOWS\System32\dtound.dll C:\WINDOWS\System32\wintsvcc.exe C:\WINDOWS\System32\oins.exe C:\WINDOWS\System32\w?crtupd.exe C:\WINDOWS\System32\kr_done1 C:\WINDOWS\System32\AdService.bat C:\WINDOWS\drsmartload2.dat C:\WINDOWS\secure32.html C:\WINDOWS\uniq PC neustarten - Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). - suche: C:\!KillBox und loesche alle dort befindlichen Dateien manuell - loeschen C:\Programme\ormn ----------------------------------------------------------------- Hoster.zip http://www.funkytoad.com/download/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. arbeite Option 2--> l2mfix ab und poste nach neustart und scan den scanreport http://virus-protect.org/l2mfix.html dann sehen wir weiter.............. Info Hackdoor http://virus-protect.org/artikel/dienste/sndu_haxdoor.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
05.02.2006, 20:41
...neu hier
Themenstarter Beiträge: 9 |
#5
hoffe das war richtig...
L2mfix 010406 Creating Account. Der Befehl wurde erfolgreich ausgefhrt. Adding Administrative privleges. Checking for L2MFix account(0=no 1=yes): 1 Granting SeDebugPrivilege to L2MFIX ... successful Running From: C:\WINDOWS\system32 Killing Processes! Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 616 'smss.exe' Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 708 'winlogon.exe' Killing PID 708 'winlogon.exe' Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 1840 'explorer.exe' Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Error, Cannot find a process with an image name of rundll32.exe Restoring Sedebugprivilege: Granting SeDebugPrivilege to Administratoren ... successful Scanning First Pass. Please Wait! First Pass Completed Second Pass Scanning Second pass Completed! Restoring Windows Update Certificates.: The following Is the Current Export of the Winlogon notify key: **************************************************************************** Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\ 6c,00,00,00 "Logoff"="ChainWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Logoff"="CryptnetWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll] "DLLName"="cscdll.dll" "Logon"="WinlogonLogonEvent" "Logoff"="WinlogonLogoffEvent" "ScreenSaver"="WinlogonScreenSaverEvent" "Startup"="WinlogonStartupEvent" "Shutdown"="WinlogonShutdownEvent" "StartShell"="WinlogonStartShellEvent" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\policies] "Asynchronous"=dword:00000000 "DllName"="C:\\WINDOWS\\system32\\l28mlcl11fq.dll" "Impersonate"=dword:00000000 "Logon"="WinLogon" "Logoff"="WinLogoff" "Shutdown"="WinShutdown" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp] "DLLName"="wlnotify.dll" "Logon"="SCardStartCertProp" "Logoff"="SCardStopCertProp" "Lock"="SCardSuspendCertProp" "Unlock"="SCardResumeCertProp" "Enabled"=dword:00000001 "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Impersonate"=dword:00000000 "StartShell"="SchedStartShell" "Logoff"="SchedEventLogOff" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy] "Logoff"="WLEventLogoff" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 "DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn] "DLLName"="WlNotify.dll" "Lock"="SensLockEvent" "Logon"="SensLogonEvent" "Logoff"="SensLogoffEvent" "Safe"=dword:00000001 "MaxWait"=dword:00000258 "StartScreenSaver"="SensStartScreenSaverEvent" "StopScreenSaver"="SensStopScreenSaverEvent" "Startup"="SensStartupEvent" "Shutdown"="SensShutdownEvent" "StartShell"="SensStartShellEvent" "PostShell"="SensPostShellEvent" "Disconnect"="SensDisconnectEvent" "Reconnect"="SensReconnectEvent" "Unlock"="SensUnlockEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Impersonate"=dword:00000000 "Logoff"="TSEventLogoff" "Logon"="TSEventLogon" "PostShell"="TSEventPostShell" "Shutdown"="TSEventShutdown" "StartShell"="TSEventStartShell" "Startup"="TSEventStartup" "MaxWait"=dword:00000258 "Reconnect"="TSEventReconnect" "Disconnect"="TSEventDisconnect" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon] "DLLName"="wlnotify.dll" "Logon"="RegisterTicketExpiredNotificationEvent" "Logoff"="UnregisterTicketExpiredNotificationEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 The following are the files found: **************************************************************************** Registry Entries that were Deleted: Please verify that the listing looks ok. If there was something deleted wrongly there are backups in the backreg folder. **************************************************************************** Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{19C58810-86B7-4233-A95D-E6104F65C1C6}] @="" [HKEY_CLASSES_ROOT\CLSID\{19C58810-86B7-4233-A95D-E6104F65C1C6}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{19C58810-86B7-4233-A95D-E6104F65C1C6}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{19C58810-86B7-4233-A95D-E6104F65C1C6}\InprocServer32] @="C:\\WINDOWS\\system32\\dsser.dll" "ThreadingModel"="Apartment" Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{746EF671-CB78-4431-B026-D4D9E7AFBDEF}] @="" [HKEY_CLASSES_ROOT\CLSID\{746EF671-CB78-4431-B026-D4D9E7AFBDEF}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{746EF671-CB78-4431-B026-D4D9E7AFBDEF}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{746EF671-CB78-4431-B026-D4D9E7AFBDEF}\InprocServer32] @="C:\\WINDOWS\\system32\\guard.tmp" "ThreadingModel"="Apartment" REGEDIT4 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] "{9C470F19-E25B-48FF-BB59-4A2ED8D6A8F1}"=- "{19C58810-86B7-4233-A95D-E6104F65C1C6}"=- "{746EF671-CB78-4431-B026-D4D9E7AFBDEF}"=- [-HKEY_CLASSES_ROOT\CLSID\{9C470F19-E25B-48FF-BB59-4A2ED8D6A8F1}] [-HKEY_CLASSES_ROOT\CLSID\{19C58810-86B7-4233-A95D-E6104F65C1C6}] [-HKEY_CLASSES_ROOT\CLSID\{746EF671-CB78-4431-B026-D4D9E7AFBDEF}] REGEDIT4 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] "SV1"="" **************************************************************************** Desktop.ini Contents: **************************************************************************** **************************************************************************** Checking for L2MFix account(0=no 1=yes): 0 Zipping up files for submission: zip warning: name not matched: dlls\*.* zip error: Nothing to do! (backup.zip) adding: backregs/notibac.reg (deflated 87%) adding: backregs/shell.reg (deflated 73%) adding: backregs/19C58810-86B7-4233-A95D-E6104F65C1C6.reg (deflated 70%) adding: backregs/746EF671-CB78-4431-B026-D4D9E7AFBDEF.reg (deflated 70%) |
|
|
|
|
|
|
05.02.2006, 21:35
Ehrenmitglied
Beiträge: 29434 |
#6
Download Registry Search by Bobbi Flekman
http://www.bleepingcomputer.com/files/regsearch.php und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) SNDU64 in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
05.02.2006, 21:49
...neu hier
Themenstarter Beiträge: 9 |
#7
gesagt getan
REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "sndu64" 05.02.2006 21:46:47 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\sndu64.sys] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\sndu64.sys] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SNDU64] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SNDU64\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SNDU64\0000] "Service"="sndu64" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sndu64] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sndu64\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SNDU64] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SNDU64\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SNDU64\0000] "Service"="sndu64" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SNDU64\0000] "DeviceDesc"="sndu64 TCP" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SNDU64\0000\LogConf] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sndu64] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sndu64] "DisplayName"="sndu64 TCP" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sndu64\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SNDU64] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SNDU64\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SNDU64\0000] "Service"="sndu64" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SNDU64\0000] "DeviceDesc"="sndu64 TCP" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SNDU64\0000\LogConf] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SNDU64\0000\Control] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SNDU64\0000\Control] "ActiveService"="sndu64" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sndu64] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sndu64] "DisplayName"="sndu64 TCP" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sndu64\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sndu64\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sndu64\Enum] "0"="Root\\LEGACY_SNDU64\\0000" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SNDU64] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SNDU64\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SNDU64\0000] "Service"="sndu64" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SNDU64\0000] "DeviceDesc"="sndu64 TCP" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SNDU64\0000\LogConf] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SNDU64\0000\Control] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SNDU64\0000\Control] "ActiveService"="sndu64" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sndu64] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sndu64] "DisplayName"="sndu64 TCP" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sndu64\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sndu64\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sndu64\Enum] "0"="Root\\LEGACY_SNDU64\\0000" |
|
|
|
|
|
|
05.02.2006, 22:03
Ehrenmitglied
Beiträge: 29434 |
#8
HijackThis (StartupListe)
Starte den Rechner bitte im abgesicherten Modus und erstelle dort ein Hijackthis log und ein Startuplist log, dazu bitte in die ms tools setion gehen, beide Dinge bei "generate statuplist log" anhaken und die liste erstellen lassen. *HijackThis - Config *List also minor sections (full) -- Häkchen setzen *List empty sections (complete) -- Häkchen setzen *HijackThis - Config - MiscTools -- Generate StartupListlog *(es öffnet sich das Notepad [Texteditor], nun das KOMPLETTE Log abkopieren und posten) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
05.02.2006, 22:27
...neu hier
Themenstarter Beiträge: 9 |
#9
hijack log
Logfile of HijackThis v1.99.1 Scan saved at 22:20:52, on 05.02.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\Administrator\Desktop\wichtige programme\zum wiederherstellen\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://workgroup/ O1 - Hosts file is located at: C:\WINDOWS\System32\drivers\etc\hosts O3 - Toolbar: MSN Suche Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1105\de-ch\msntb.dll O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKCU\..\Run: [WhatPulse] C:\PROGRA~1\WHATPU~1\WHATPU~1.EXE O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O8 - Extra context menu item: &MSN Suche - res://C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1105\de-ch\msntb.dll/search.htm O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\MSN Toolbar Suite\TAB\02.05.0000.1105\de-ch\msntabres.dll/229?c9a1e85013bb49969f1ed4bb6b3bf451 O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\MSN Toolbar Suite\TAB\02.05.0000.1105\de-ch\msntabres.dll/230?c9a1e85013bb49969f1ed4bb6b3bf451 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{A7FF8210-51B8-4157-AE1F-074052397394}: NameServer = 85.237.87.162,217.20.114.125 O17 - HKLM\System\CCS\Services\Tcpip\..\{FA90D483-D11B-4EDC-A27C-AC11B7E25AC0}: NameServer = 85.237.87.162,217.20.114.125 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: ewido security suite control - ewido networks - C:\sicherheit\ewido anti-malware\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\sicherheit\ewido anti-malware\ewidoguard.exe O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\System32\hpbpro.exe O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\System32\hpboid.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe startuplist StartupList report, 05.02.2006, 22:19:26 StartupList version: 1.52.2 Started from : C:\Dokumente und Einstellungen\Administrator\Desktop\wichtige programme\zum wiederherstellen\HijackThis\HijackThis.EXE Detected: Windows XP SP2 (WinNT 5.01.2600) Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180) * Using default options * Including empty and uninteresting sections * Showing rarely important sections ================================================== Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\Administrator\Desktop\wichtige programme\zum wiederherstellen\HijackThis\HijackThis.exe -------------------------------------------------- Listing of startup folders: Shell folders Startup: [C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart] *No files* Shell folders AltStartup: *Folder not found* User shell folders Startup: *Folder not found* User shell folders AltStartup: *Folder not found* Shell folders Common Startup: [C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart] *No files* Shell folders Common AltStartup: *Folder not found* User shell folders Common Startup: *Folder not found* User shell folders Alternate Common Startup: *Folder not found* -------------------------------------------------- Checking Windows NT UserInit: [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = C:\WINDOWS\system32\userinit.exe, [HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon] *Registry key not found* [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] *Registry value not found* [HKCU\Software\Microsoft\Windows\CurrentVersion\Winlogon] *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\Run avast! = C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce *No values found* -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx *No values found* -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices *No values found* -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce *No values found* -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run WhatPulse = C:\PROGRA~1\WHATPU~1\WHATPU~1.EXE msnmsgr = "C:\Programme\MSN Messenger\msnmsgr.exe" /background SpybotSD TeaTimer = C:\Programme\Spybot - Search & Destroy\TeaTimer.exe -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce *No values found* -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices *No values found* -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce *No values found* -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run *Registry key not found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKLM\Software\Microsoft\Windows\CurrentVersion\Run [OptionalComponents] *No values found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce *No subkeys found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx *No subkeys found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices *No subkeys found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce *No subkeys found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKCU\Software\Microsoft\Windows\CurrentVersion\Run *No subkeys found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce *No subkeys found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx *Registry key not found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices *No subkeys found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce *No subkeys found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run *Registry key not found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run *Registry key not found* -------------------------------------------------- File association entry for .EXE: HKEY_CLASSES_ROOT\exefile\shell\open\command (Default) = "%1" %* -------------------------------------------------- File association entry for .COM: HKEY_CLASSES_ROOT\comfile\shell\open\command (Default) = "%1" %* -------------------------------------------------- File association entry for .BAT: HKEY_CLASSES_ROOT\batfile\shell\open\command (Default) = "%1" %* -------------------------------------------------- File association entry for .PIF: HKEY_CLASSES_ROOT\piffile\shell\open\command (Default) = "%1" %* -------------------------------------------------- File association entry for .SCR: HKEY_CLASSES_ROOT\scrfile\shell\open\command (Default) = "%1" /S -------------------------------------------------- File association entry for .HTA: HKEY_CLASSES_ROOT\htafile\shell\open\command (Default) = C:\WINDOWS\System32\mshta.exe "%1" %* -------------------------------------------------- File association entry for .TXT: HKEY_CLASSES_ROOT\txtfile\shell\open\command (Default) = %SystemRoot%\system32\NOTEPAD.EXE %1 -------------------------------------------------- Enumerating Active Setup stub paths: HKLM\Software\Microsoft\Active Setup\Installed Components (* = disabled by HKCU twin) [>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}] StubPath = C:\WINDOWS\inf\unregmp2.exe /ShowWMP [>{26923b43-4d38-484f-9b9e-de460746276c}] * StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE [>{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS] * StubPath = RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP [>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] * StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE [{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] * StubPath = %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll [{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] * StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install [{44BBA842-CC51-11CF-AAFA-00AA00B6015B}] * StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT [{5945c046-1e7d-11d1-bc44-00c04fd912be}] * StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser [{6BF52A52-394A-11d3-B153-00C04F79FAA6}] * StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp10.inf,PerUserStub [{7790769C-0471-11d2-AF11-00C04FA35D02}] * StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install [{89820200-ECBD-11cf-8B85-00AA005B4340}] * StubPath = regsvr32.exe /s /n /i:U shell32.dll [{89820200-ECBD-11cf-8B85-00AA005B4383}] * StubPath = %SystemRoot%\system32\ie4uinit.exe [{89B4C1CD-B018-4511-B0A1-5476DBF70820}] * StubPath = C:\WINDOWS\System32\Rundll32.exe C:\WINDOWS\System32\mscories.dll,Install -------------------------------------------------- Enumerating ICQ Agent Autostart apps: HKCU\Software\Mirabilis\ICQ\Agent\Apps *Registry key not found* -------------------------------------------------- Load/Run keys from C:\WINDOWS\WIN.INI: load=*INI section not found* run=*INI section not found* Load/Run keys from Registry: HKLM\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found* HKLM\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found* HKLM\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found* HKLM\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found* HKCU\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found* HKCU\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found* HKCU\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found* HKCU\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found* HKCU\..\Windows NT\CurrentVersion\Windows: load= HKCU\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found* HKLM\..\Windows NT\CurrentVersion\Windows: load=*Registry value not found* HKLM\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found* HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs= -------------------------------------------------- Shell & screensaver key from C:\WINDOWS\SYSTEM.INI: Shell=*INI section not found* SCRNSAVE.EXE=*INI section not found* drivers=*INI section not found* Shell & screensaver key from Registry: Shell=explorer.exe SCRNSAVE.EXE=*Registry value not found* drivers=*Registry value not found* Policies Shell key: HKCU\..\Policies: Shell=*Registry value not found* HKLM\..\Policies: Shell=*Registry value not found* -------------------------------------------------- Checking for EXPLORER.EXE instances: C:\WINDOWS\Explorer.exe: PRESENT! C:\Explorer.exe: not present C:\WINDOWS\Explorer\Explorer.exe: not present C:\WINDOWS\System\Explorer.exe: not present C:\WINDOWS\System32\Explorer.exe: not present C:\WINDOWS\Command\Explorer.exe: not present C:\WINDOWS\Fonts\Explorer.exe: not present -------------------------------------------------- Checking for superhidden extensions: .lnk: HIDDEN! (arrow overlay: yes) .pif: HIDDEN! (arrow overlay: yes) .exe: not hidden .com: not hidden .bat: not hidden .hta: not hidden .scr: not hidden .shs: HIDDEN! .shb: HIDDEN! .vbs: not hidden .vbe: not hidden .wsh: not hidden .scf: HIDDEN! (arrow overlay: NO!) .url: HIDDEN! (arrow overlay: yes) .js: not hidden .jse: not hidden -------------------------------------------------- Verifying REGEDIT.EXE integrity: - Regedit.exe found in C:\WINDOWS - .reg open command is normal (regedit.exe %1) - Company name OK: 'Microsoft Corporation' - Original filename OK: 'REGEDIT.EXE' - File description: 'Registrierungs-Editor' Registry check passed -------------------------------------------------- Enumerating Browser Helper Objects: *No BHO's found* -------------------------------------------------- Enumerating Task Scheduler jobs: Symantec NetDetect.job FRU Task #Hewlett-Packard#hp psc 1200 series#1125251945.job -------------------------------------------------- Enumerating Download Program Files: [DirectAnimation Java Classes] OSD = C:\WINDOWS\Downloaded Program Files\DirectAnimation Java Classes.osd [Microsoft XML Parser for Java] OSD = C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd [{33564D57-9980-0010-8000-00AA00389B71}] CODEBASE = http://codecs.microsoft.com/codecs/i386/wmv9dmo.cab [Shockwave Flash Object] InProcServer32 = C:\WINDOWS\System32\Macromed\Flash\FLASH.OCX CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab -------------------------------------------------- Enumerating Winsock LSP files: NameSpace #1: C:\WINDOWS\System32\mswsock.dll NameSpace #2: C:\WINDOWS\System32\winrnr.dll NameSpace #3: C:\WINDOWS\System32\mswsock.dll Protocol #1: C:\WINDOWS\system32\mswsock.dll Protocol #2: C:\WINDOWS\system32\mswsock.dll Protocol #3: C:\WINDOWS\system32\mswsock.dll Protocol #4: C:\WINDOWS\system32\rsvpsp.dll Protocol #5: C:\WINDOWS\system32\rsvpsp.dll Protocol #6: C:\WINDOWS\system32\mswsock.dll Protocol #7: C:\WINDOWS\system32\mswsock.dll Protocol #8: C:\WINDOWS\system32\mswsock.dll Protocol #9: C:\WINDOWS\system32\mswsock.dll Protocol #10: C:\WINDOWS\system32\mswsock.dll Protocol #11: C:\WINDOWS\system32\mswsock.dll Protocol #12: C:\WINDOWS\system32\mswsock.dll Protocol #13: C:\WINDOWS\system32\mswsock.dll -------------------------------------------------- Enumerating Windows NT/2000/XP services Microsoft ACPI-Treiber: System32\DRIVERS\ACPI.sys (system) Microsoft Embedded Controllertreiber: System32\DRIVERS\ACPIEC.sys (system) Microsoft Kernel-Echounterdrückung: system32\drivers\aec.sys (manual start) Umgebung für die AFD-Netzwerkunterstützung: \SystemRoot\System32\drivers\afd.sys (system) Service for Realtek AC97 Audio (WDM): system32\drivers\ALCXWDM.SYS (manual start) Warndienst: %SystemRoot%\System32\svchost.exe -k LocalService (disabled) Gatewaydienst auf Anwendungsebene: %SystemRoot%\System32\alg.exe (manual start) Anwendungsverwaltung: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start) ASP.NET State Service: %SystemRoot%\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe (manual start) avast! iAVS4 Control Service: "C:\Programme\Alwil Software\Avast4\aswUpdSv.exe" (autostart) Asynchroner RAS -Medientreiber: System32\DRIVERS\asyncmac.sys (manual start) Standard-IDE/ESDI-Festplattencontroller: System32\DRIVERS\atapi.sys (system) Protokoll für ATM ARP-Client: System32\DRIVERS\atmarpc.sys (manual start) Windows Audio: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Audiostubtreiber: System32\DRIVERS\audstub.sys (manual start) avast! Antivirus: "C:\Programme\Alwil Software\Avast4\ashServ.exe" (autostart) avast! Mail Scanner: "C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (manual start) avast! Web Scanner: "C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (manual start) Intelligenter Hintergrundübertragungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) Computerbrowser: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) CD-ROM-Laufwerktreiber: System32\DRIVERS\cdrom.sys (system) Indexdienst: %SystemRoot%\system32\cisvc.exe (manual start) Ablagemappe: %SystemRoot%\system32\clipsrv.exe (disabled) Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie: System32\DRIVERS\CmBatt.sys (manual start) Microsoft Composite Battery-Treiber: System32\DRIVERS\compbatt.sys (system) COM+-Systemanwendung: C:\WINDOWS\System32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235} (manual start) Kryptografiedienste: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart) d347bus: system32\DRIVERS\d347bus.sys (system) d347prt: System32\Drivers\d347prt.sys (system) DCOM-Server-Prozessstart: %SystemRoot%\system32\svchost -k DcomLaunch (autostart) DHCP-Client: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Laufwerktreiber: System32\DRIVERS\disk.sys (system) Verwaltungsdienst für die Verwaltung logischer Datenträger: %SystemRoot%\System32\dmadmin.exe /com (manual start) dmboot: System32\drivers\dmboot.sys (disabled) Treiber für die Verwaltung logischer Datenträger: System32\drivers\dmio.sys (system) dmload: System32\drivers\dmload.sys (system) Verwaltung logischer Datenträger: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Microsoft Kernel-DLS-Synthesizer: system32\drivers\DMusic.sys (manual start) DNS-Client: %SystemRoot%\System32\svchost.exe -k NetworkService (autostart) Microsoft Kernel-DRM-Audioentschlüsselung: system32\drivers\drmkaud.sys (manual start) Fehlerberichterstattungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Ereignisprotokoll: %SystemRoot%\system32\services.exe (autostart) COM+-Ereignissystem: C:\WINDOWS\System32\svchost.exe -k netsvcs (manual start) ewido security suite control: C:\sicherheit\ewido anti-malware\ewidoctrl.exe (autostart) ewido security suite driver: \??\C:\sicherheit\ewido anti-malware\guard.sys (system) ewido security suite guard: C:\sicherheit\ewido anti-malware\ewidoguard.exe (autostart) Kompatibilität für schnelle Benutzerumschaltung: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) FltMgr: system32\drivers\fltmgr.sys (system) Treiber für Volume-Manager: System32\DRIVERS\ftdisk.sys (system) Standardpaketklassifizierung: System32\DRIVERS\msgpc.sys (manual start) Hilfe und Support: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Eingabegerätezugang: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled) Microsoft HID Class-Treiber: System32\DRIVERS\hidusb.sys (manual start) HP Port Resolver: C:\WINDOWS\System32\hpbpro.exe (manual start) HP Status Server: C:\WINDOWS\System32\hpboid.exe (manual start) IEEE-1284.4 Driver HPZid412: System32\DRIVERS\HPZid412.sys (manual start) Print Class Driver for IEEE-1284.4 HPZipr12: System32\DRIVERS\HPZipr12.sys (manual start) USB to IEEE-1284.4 Translation Driver HPZius12: System32\DRIVERS\HPZius12.sys (manual start) HTTP: System32\Drivers\HTTP.sys (manual start) HTTP-SSL: %SystemRoot%\System32\svchost.exe -k HTTPFilter (manual start) i8042-Tastatur- und PS/2-Mausanschluss-Treiber: System32\DRIVERS\i8042prt.sys (system) Filtertreiber für CD-Brennen: System32\DRIVERS\imapi.sys (system) IMAPI-CD-Brenn-COM-Dienste: C:\WINDOWS\System32\imapi.exe (manual start) Intel-Prozessortreiber: System32\DRIVERS\intelppm.sys (system) IPv6-Windows-Firewalltreiber: system32\drivers\ip6fw.sys (manual start) Filtertreiber für IP-Verkehr: System32\DRIVERS\ipfltdrv.sys (manual start) IP/IP-Tunneltreiber: System32\DRIVERS\ipinip.sys (manual start) Übersetzer für IP-Netzwerkadressen: System32\DRIVERS\ipnat.sys (manual start) IPSEC-Treiber: System32\DRIVERS\ipsec.sys (system) IR-Enumeratordienst: System32\DRIVERS\irenum.sys (manual start) PnP-ISA/EISA-Bus-Treiber: System32\DRIVERS\isapnp.sys (system) Tastaturklassentreiber: System32\DRIVERS\kbdclass.sys (system) Microsoft Kernel-Waveaudiomixer: system32\drivers\kmixer.sys (manual start) Server: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Arbeitsstationsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) TCP/IP-NetBIOS-Hilfsprogramm: %SystemRoot%\System32\svchost.exe -k LocalService (autostart) Machine Debug Manager: "C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe" (autostart) Nachrichtendienst: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled) NetMeeting-Remotedesktop-Freigabe: C:\WINDOWS\System32\mnmsrvc.exe (manual start) Mausklassentreiber: System32\DRIVERS\mouclass.sys (system) Maus-HID-Treiber: System32\DRIVERS\mouhid.sys (manual start) Redirector für WebDav-Client: System32\DRIVERS\mrxdav.sys (manual start) MRXSMB: System32\DRIVERS\mrxsmb.sys (system) Distributed Transaction Coordinator: C:\WINDOWS\System32\msdtc.exe (manual start) Windows Installer: C:\WINDOWS\system32\msiexec.exe /V (manual start) Microsoft Streaming Service Proxy: system32\drivers\MSKSSRV.sys (manual start) Microsoft Proxy für Streaming Clock: system32\drivers\MSPCLOCK.sys (manual start) Microsoft Proxy für Streaming Quality Manager: system32\drivers\MSPQM.sys (manual start) Microsoft-Systemverwaltungs-BIOS-Treiber: System32\DRIVERS\mssmbios.sys (manual start) MPB device driver: System32\ntMPB.sys (manual start) RAS-NDIS-TAPI-Treiber: System32\DRIVERS\ndistapi.sys (manual start) NDIS-Benutzermodus-E/A-Protokoll: System32\DRIVERS\ndisuio.sys (manual start) RAS-NDIS-WAN-Treiber: System32\DRIVERS\ndiswan.sys (manual start) NetBIOS-Schnittstelle: System32\DRIVERS\netbios.sys (system) NetBT: System32\DRIVERS\netbt.sys (system) Netzwerk-DDE-Dienst: %SystemRoot%\system32\netdde.exe (disabled) Netzwerk-DDE-Serverdienst: %SystemRoot%\system32\netdde.exe (disabled) Anmeldedienst: %SystemRoot%\System32\lsass.exe (manual start) Netzwerkverbindungen: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) NLA (Network Location Awareness): %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) NSNDIS5 NDIS Protocol Driver: \??\C:\WINDOWS\System32\NSNDIS5.SYS (manual start) NT-LM-Sicherheitsdienst: %SystemRoot%\System32\lsass.exe (manual start) Wechselmedien: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start) nv: System32\DRIVERS\nv4_mini.sys (manual start) NVIDIA Driver Helper Service: %SystemRoot%\System32\nvsvc32.exe (autostart) Filtertreiber für IPX-Verkehr: System32\DRIVERS\nwlnkflt.sys (manual start) Treiber für IPX-Verkehrsweiterleitung: System32\DRIVERS\nwlnkfwd.sys (manual start) Office Source Engine: "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE" (manual start) PalmUSBD: system32\drivers\PalmUSBD.sys (manual start) Treiber für parallelen Anschluss: System32\DRIVERS\parport.sys (manual start) PCI Bus Driver: System32\DRIVERS\pci.sys (system) PCIIde: System32\DRIVERS\pciide.sys (system) Pcmcia: System32\DRIVERS\pcmcia.sys (system) Plug & Play: %SystemRoot%\system32\services.exe (autostart) Pml Driver HPZ12: C:\WINDOWS\System32\HPZipm12.exe (manual start) IPSEC-Dienste: %SystemRoot%\System32\lsass.exe (autostart) WAN-Miniport (PPTP): System32\DRIVERS\raspptp.sys (manual start) Prozessortreiber: System32\DRIVERS\processr.sys (system) Geschützter Speicher: %SystemRoot%\system32\lsass.exe (autostart) QoS-Paketplaner: System32\DRIVERS\psched.sys (manual start) Treiber für direkte Parallelverbindung: System32\DRIVERS\ptilink.sys (manual start) W2K Pctel Seri*hier nicht!* Device Driver: System32\DRIVERS\Seri*hier nicht!*.sys (manual start) Treiber für automatische RAS-Verbindung: System32\DRIVERS\rasacd.sys (system) Verwaltung für automatische RAS-Verbindung: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) WAN-Miniport (L2TP): System32\DRIVERS\rasl2tp.sys (manual start) RAS-Verbindungsverwaltung: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) Remotezugriff-PPPOE-Treiber: System32\DRIVERS\raspppoe.sys (manual start) Parallelanschluss (direkt): System32\DRIVERS\raspti.sys (manual start) Rdbss: System32\DRIVERS\rdbss.sys (system) RDPCDD: System32\DRIVERS\RDPCDD.sys (system) Treiber für Terminalserver-Geräteumleitung: System32\DRIVERS\rdpdr.sys (manual start) Sitzungs-Manager für Remotedesktophilfe: C:\WINDOWS\system32\sessmgr.exe (manual start) Filtertreiber für digitale CD-Audiowiedergabe: System32\DRIVERS\redbook.sys (system) Routing und RAS: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled) Remote-Registrierung: %SystemRoot%\system32\svchost.exe -k LocalService (autostart) Microsoft Legacy Modem Driver: System32\Drivers\RootMdm.sys (manual start) RPC-Locator: %SystemRoot%\System32\locator.exe (manual start) Remoteprozeduraufruf (RPC): %SystemRoot%\system32\svchost -k rpcss (autostart) QoS-RSVP: %SystemRoot%\System32\rsvp.exe (manual start) Sicherheitskontenverwaltung: %SystemRoot%\system32\lsass.exe (autostart) Smartcard: %SystemRoot%\System32\SCardSvr.exe (manual start) Taskplaner: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Secdrv: System32\DRIVERS\secdrv.sys (manual start) Sekundäre Anmeldung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Systemereignisbenachrichtigung: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart) MAT Seri*hier nicht!* port driver: System32\DRIVERS\ser2pl.sys (manual start) Serenum Filter Driver: System32\DRIVERS\serenum.sys (manual start) High-Capacity-Diskettenlaufwerk: System32\DRIVERS\sfloppy.sys (manual start) Shellhardwareerkennung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) SiS AGP Filter: System32\DRIVERS\SISAGPX.sys (system) SiS PCI Fast Ethernet Adapter Driver: System32\DRIVERS\sisnic.sys (manual start) sndu64 TCP: system32\sndu64.sys (system) Microsoft Kernel-Audiosplitter: system32\drivers\splitter.sys (manual start) Druckwarteschlange: %SystemRoot%\system32\spoolsv.exe (autostart) Filtertreiber für Systemwiederherstellung: \SystemRoot\System32\DRIVERS\sr.sys (disabled) Systemwiederherstellungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Srv: System32\DRIVERS\srv.sys (manual start) SSDP-Suchdienst: %SystemRoot%\System32\svchost.exe -k LocalService (manual start) Windows-Bilderfassung (WIA): %SystemRoot%\System32\svchost.exe -k imgsvc (autostart) Software-Bus-Treiber: System32\DRIVERS\swenum.sys (manual start) Microsoft Kernel GS Wavetablesynthesizer: system32\drivers\swmidi.sys (manual start) MS Software Shadow Copy Provider: C:\WINDOWS\System32\dllhost.exe /Processid:{FDCB29A3-69CB-46FB-BBE4-B33C74F457FA} (manual start) Synaptics TouchPad Driver: System32\DRIVERS\SynTP.sys (manual start) Microsoft Kernel-Systemaudiogerät: system32\drivers\sysaudio.sys (manual start) Leistungsdatenprotokolle und Warnungen: %SystemRoot%\system32\smlogsvc.exe (manual start) Telefonie: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) TCP/IP-Protokolltreiber: System32\DRIVERS\tcpip.sys (system) Terminal-Gerätetreiber: System32\DRIVERS\termdd.sys (system) Terminaldienste: %SystemRoot%\System32\svchost -k DComLaunch (manual start) Designs: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Telnet: C:\WINDOWS\System32\tlntsvr.exe (disabled) Überwachung verteilter Verknüpfungen (Client): %SystemRoot%\system32\svchost.exe -k netsvcs (autostart) Windows User Mode Driver Framework: C:\WINDOWS\system32\wdfmgr.exe (autostart) Microcode Updatetreiber: System32\DRIVERS\update.sys (manual start) Universeller Plug & Play-Gerätehost: %SystemRoot%\System32\svchost.exe -k LocalService (manual start) Unterbrechungsfreie Stromversorgung: %SystemRoot%\System32\ups.exe (manual start) Microsoft Standard-USB-Haupttreiber: System32\DRIVERS\usbccgp.sys (manual start) Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller: System32\DRIVERS\usbehci.sys (manual start) USB2-aktivierter Hub: System32\DRIVERS\usbhub.sys (manual start) Miniporttreiber für Microsoft USB Open Host-Controller: System32\DRIVERS\usbohci.sys (manual start) Microsoft USB-Druckerklasse: System32\DRIVERS\usbprint.sys (manual start) USB-Scannertreiber: System32\DRIVERS\usbscan.sys (manual start) USB-Massenspeichertreiber: System32\DRIVERS\USBSTOR.SYS (manual start) U.S. Robotics 802.11g Wireless Turbo Adapter: System32\DRIVERS\USR11G.sys (manual start) VGA-Anzeigecontroller.: \SystemRoot\System32\drivers\vga.sys (system) W2k Vmodem: System32\DRIVERS\vmodem.sys (system) W2k Vpctcom: System32\DRIVERS\vpctcom.sys (system) Volumeschattenkopie: %SystemRoot%\System32\vssvc.exe (manual start) W2k Vvoice: System32\DRIVERS\vvoice.sys (system) Windows-Zeitgeber: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) RAS-IP-ARP-Treiber: System32\DRIVERS\wanarp.sys (manual start) Treiber für Microsoft WINMM-WDM-Audiokompatibilität: system32\drivers\wdmaud.sys (manual start) Webclient: %SystemRoot%\System32\svchost.exe -k LocalService (autostart) Windows-Verwaltungsinstrumentation: %systemroot%\system32\svchost.exe -k netsvcs (autostart) Dienst für Seriennummern der tragbaren Medien: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) Treibererweiterungen für Windows-Verwaltungsinstrumentation: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) WMI-Leistungsadapter: C:\WINDOWS\System32\wbem\wmiapsrv.exe (manual start) Automatische Updates: %systemroot%\system32\svchost.exe -k netsvcs (autostart) Konfigurationsfreie drahtlose Verbindung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Netzwerkversorgungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) -------------------------------------------------- Enumerating Windows NT logon/logoff scripts: *No scripts set to run* Windows NT checkdisk command: BootExecute = autocheck autochk * Windows NT 'Wininit.ini': PendingFileRenameOperations: *Registry value not found* -------------------------------------------------- Enumerating ShellServiceObjectDelayLoad items: PostBootReminder: C:\WINDOWS\system32\SHELL32.dll CDBurn: C:\WINDOWS\system32\SHELL32.dll WebCheck: C:\WINDOWS\System32\webcheck.dll SysTray: C:\WINDOWS\System32\stobject.dll -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run *No values found* -------------------------------------------------- End of report, 31'402 bytes Report generated in 0.078 seconds Command line options: /verbose - to add additional info on each section /complete - to include empty sections and unsuspicious data /full - to include several rarely-important sections /force9x - to include Win9x-only startups even if running on WinNT /forcent - to include WinNT-only startups even if running on Win9x /forceall - to include all Win9x and WinNT startups, regardless of platform /history - to list version history only |
|
|
|
|
|
|
05.02.2006, 23:31
Ehrenmitglied
Beiträge: 29434 |
#10
fixe mit dem HijackThis
O1 - Hosts file is located at: C:\WINDOWS\System32\drivers\etc\hosts PC neustarten Hoster.zip http://www.funkytoad.com/download/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum http://www.virustotal.com/flash/index_en.html system32\sndu64.sys SpySweeper (trial) scanne und kopiere hier den scanreport http://virus-protect.org/spysweeper.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
06.02.2006, 00:30
...neu hier
Themenstarter Beiträge: 9 |
#11
hmm also
die datei sndu64.sys existirt nirgens. habe danach auf der gesammten platte gesucht. den scan habe ich ausgefürt log: ******** 00:02: | Start of Session, Montag, 6. Februar 2006 | 00:02: Spy Sweeper started 00:02: Sweep initiated using definitions version 611 00:02: Starting Memory Sweep 00:04: Memory Sweep Complete, Elapsed Time: 00:01:43 00:04: Starting Registry Sweep 00:04: Found Adware: purityscan 00:04: HKCR\interface\{3517fb25-305d-4012-b531-186e3851e7ed}\ (8 subtraces) (ID = 137348) 00:04: HKCR\interface\{4781daa6-4de5-47a1-b02a-945f0d017a9e}\ (8 subtraces) (ID = 137349) 00:04: HKLM\software\classes\interface\{3517fb25-305d-4012-b531-186e3851e7ed}\ (8 subtraces) (ID = 137678) 00:04: HKLM\software\classes\interface\{4781daa6-4de5-47a1-b02a-945f0d017a9e}\ (8 subtraces) (ID = 137679) 00:04: HKLM\software\classes\interface\{4781daa6-4de5-47a1-b02a-945f0d017a9e}\typelib\ (2 subtraces) (ID = 137680) 00:04: HKLM\software\classes\typelib\{5530d356-0063-41b9-b20d-e9d799e8d907}\ (9 subtraces) (ID = 137687) 00:04: HKLM\software\microsoft\windows\currentversion\moduleusage\c:/windows/downloaded program files/mediaticketsinstaller.ocx\ (2 subtraces) (ID = 137986) 00:04: HKLM\software\microsoft\windows\currentversion\shareddlls\ || c:\windows\downloaded program files\mediaticketsinstaller.ocx (ID = 139077) 00:04: HKCR\typelib\{5530d356-0063-41b9-b20d-e9d799e8d907}\ (9 subtraces) (ID = 139091) 00:04: Found Adware: dollarrevenue 00:04: HKLM\software\microsoft\drsmartload2\ (1 subtraces) (ID = 1134137) 00:04: Found Trojan Horse: trojan-downloader-toolbarpartner 00:04: HKU\S-1-5-18\software\microsoft\mediaplayer\preferences\msld\ (ID = 144806) 00:04: Found Trojan Horse: trojan-backdoor-satellite 00:04: HKU\S-1-5-18\software\microsoft\moviemaker\recordsettings\captureset\ (1 subtraces) (ID = 1021450) 00:04: Registry Sweep Complete, Elapsed Time:00:00:12 00:04: Starting Cookie Sweep 00:04: Cookie Sweep Complete, Elapsed Time: 00:00:00 00:04: Starting File Sweep verwendet wird 00:08: Warning: Failed to open file "c:\windows\temp\jetcd81.tmp". Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird 00:08: Warning: Failed to open file "c:\windows\temp\perflib_perfdata_1a8.dat". Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird 00:08: Warning: Failed to open file "c:\windows\temp\_avast4_\webshlock.txt". Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird 00:08: mediaticketsinstaller.inf (ID = 73158) 00:10: Warning: Failed to open file "c:\windows\servicepackfiles\i386\newdev.dlx". Das System kann die angegebene Datei nicht finden 00:10: Warning: Failed to open file "c:\windows\servicepackfiles\i386\snmpincl.x". Das System kann die angegebene Datei nicht finden 00:11: Warning: Failed to open file "c:\windows\softwaredistribution\eventcache\{c9773718-9071-4cc3-9a13-1d7ec20fcf7f}.bin". Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird 00:12: Warning: Failed to open file "c:\dokumente und einstellungen\localservice\anwendungsdaten\webroot\spy sweeper\temp\sscs6b0841ba-f888-46b4-912e-dc9f69b08098.tmp". Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird 00:15: Found Adware: targetsaver 00:15: class-barrel (ID = 78229) 00:15: vocabulary (ID = 78283) 00:25: File Sweep Complete, Elapsed Time: 00:20:31 00:25: Full Sweep has completed. Elapsed time 00:22:38 00:25: Traces Found: 71 00:27: Removal process initiated 00:27: Quarantining All Traces: purityscan 00:27: Quarantining All Traces: trojan-backdoor-satellite 00:27: Quarantining All Traces: trojan-downloader-toolbarpartner 00:27: Quarantining All Traces: dollarrevenue 00:27: Quarantining All Traces: targetsaver 00:27: Removal process completed. Elapsed time 00:00:23 |
|
|
|
|
|
|
06.02.2006, 00:32
Ehrenmitglied
Beiträge: 29434 |
#12
und ...der rest hat wohl nicht mehr reingepasst
 die sys gibt es...es ist ein Rootkit., deshalb findest du sie nicht. Ich muss mich erst mal schlau machen, ob die sys zum Haxdoor gehoert. Zitat 02/05/06 17:07:02 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\SNDU64.SYSsie wird allerdings zum System zugehoerig angegeben. Und ich weiss nicht, was tun. Lassen wir es erst mal so...morgen melde ich mich noch mal. ueberpruefe bitte die Ports und berichte http://virus-protect.org/portauthority.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
06.02.2006, 00:52
...neu hier
Themenstarter Beiträge: 9 |
#13
portscan hab ich ausgeführt. port 0-1055 getestet. port 0 und 520 sind "stealth" port 80 "open", der rest ist zu.
Solicited TCP Packets: RECEIVED (FAILED) — As detailed in the port report below, one or more of your system's ports actively responded to our deliberate attempts to establish a connection. It is generally possible to increase your system's security by hiding it from the probes of potentially hostile hackers. Please see the details presented by the specific port links below, as well as the various resources on this site, and in our extremely helpful and active user community. Unsolicited Packets: PASSED — No Internet packets of any sort were received from your system as a side-effect of our attempts to elicit some response from any of the ports listed above. Some questionable personal security systems expose their users by attempting to "counter-probe the prober", thus revealing themselves. But your system remained wisely silent. (Except for the fact that not all of its ports are completely stealthed as shown below.) Ping Reply: RECEIVED (FAILED) — Your system REPLIED to our Ping (ICMP Echo) requests, making it visible on the Internet. Most personal firewalls can be configured to block, drop, and ignore such ping requests in order to better hide systems from hackers. This is highly recommended since "Ping" is among the oldest and most common methods used to locate systems prior to further exploitation. danke für deine hilfe bis spät in die nacht. werde mich jetzt mal aufs ohr hauen. mfg €: ein bekannter hat mir soeben gesagt, dass die datei sndu64.sys zu haxdoor gehört. vieleicht hilft dir das weiter. ich warte jedoch bis du mir schreibtst und lösche nichts von mir aus. der scan der datei: This is a report processed by VirusTotal on 02/06/2006 at 11:02:01 (CET) after scanning the file "sndu64.sys" file. Antivirus Version Update Result AntiVir 6.33.0.81 02.06.2006 BDS/Haxdoor.GK Avast 4.6.695.0 02.04.2006 no virus found AVG 718 02.04.2006 BackDoor.Generic2.GBD Avira 6.33.0.81 02.06.2006 BDS/Haxdoor.GK BitDefender 7.2 02.06.2006 no virus found CAT-QuickHeal 8.00 02.04.2006 Backdoor.Haxdoor.gk ClamAV devel-20060126 02.05.2006 Trojan.Haxdoor.F DrWeb 4.33 02.06.2006 BackDoor.Haxdoor.196 eTrust-InoculateIT 23.71.69 02.05.2006 Win32/Haxdoor.Variant!Sys!Trojan eTrust-Vet 12.4.2066 02.06.2006 Win32/Haxdoor!generic Ewido 3.5 02.06.2006 Backdoor.Haxdoor.gk Fortinet 2.54.0.0 02.06.2006 no virus found F-Prot 3.16c 02.04.2006 no virus found Ikarus 0.2.59.0 02.06.2006 no virus found Kaspersky 4.0.2.24 02.06.2006 Backdoor.Win32.Haxdoor.gk McAfee 4689 02.03.2006 New Malware.z NOD32v2 1.1394 02.05.2006 Win32/Haxdoor Norman 5.70.10 02.03.2006 no virus found Panda 9.0.0.4 02.06.2006 no virus found Sophos 4.02.0 02.06.2006 Troj/Haxdor-Fam Symantec 8.0 02.06.2006 no virus found TheHacker 5.9.3.091 02.06.2006 no virus found UNA 1.83 02.03.2006 Trojan.Spy.Haxdoor VBA32 3.10.5 02.06.2006 suspected of Trojan-Downloader.Agent.84 Dieser Beitrag wurde am 06.02.2006 um 11:01 Uhr von Pesche editiert.
|
|
|
|
|
|
|
06.02.2006, 13:52
Ehrenmitglied
Beiträge: 29434 |
#14
ja...das hatte ich mir gedacht...das es ein Haxdoor ist.
Zitat die sys gibt es...es ist ein Rootkit., deshalb findest du sie nicht.http://virus-protect.org/artikel/dienste/sndu_haxdoor.html fuehre aus, was auf der Seite beschrieben steht, dann scanne noch mal mit dem reg-Tool sndu64+ msupdate32 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. REGEDIT4 [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\sndu64.sys] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\sndu64.sys] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SNDU64] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sndu64] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\sndu64.sys] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\sndu64.sys] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SNDU64] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sndu64] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sndu64.sys] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sndu64.sys] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SNDU64] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sndu64] loesche mit der killbox: C:\WINDOWS\SYSTEM32\SNDU64.SYS PC neustarten Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken ----------------------------------------------------------------------- denn es wird nicht alles geloescht. was bleibt, musst du manuell loeschen. Start -- Ausführen -- regedit (reinschreiben) Sollte man Probleme haben, die Einträge zu löschen, Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels, dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen" Übernehmen, OK Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen. ------------------------------------------------------------------ scanne mit allen 4 Scannern http://virus-protect.org/multiavtool.html scanne mit kaspersky und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
06.02.2006, 22:13
...neu hier
Themenstarter Beiträge: 9 |
#15
so hab jetzt alle scans gemacht. (das dauert ja ewig)
alle einträge mit sndu* sind aus der registry. ------------------------------------------------------------------------------- KASPERSKY ON-LINE SCANNER REPORT Monday, February 06, 2006 22:06:54 Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600) Kaspersky On-line Scanner version: 5.0.67.0 Kaspersky Anti-Virus database last update: 6/02/2006 Kaspersky Anti-Virus database records: 164594 ------------------------------------------------------------------------------- Scan Settings: Scan using the following antivirus database: standard Scan Archives: true Scan Mail Bases: true Scan Target - My Computer: C:\ D:\ Scan Statistics: Total number of scanned objects: 107548 Number of viruses found: 0 Number of infected objects: 0 Number of suspicious objects: 0 Duration of the scan process: 3470 sec No malware has been detected. The sections that have been scanned are CLEAN. Scan process completed. mfg |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
ich weiss es hat schon einige andere threads über dieses thema, aber alle haben mir heute nicht wirklich weitergeholfen. langsam bin ich am verzweifeln.
hier mein hijackthis logfile
Logfile of HijackThis v1.99.1
Scan saved at 16:06:34, on 05.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\sicherheit\ewido anti-malware\ewidoctrl.exe
C:\sicherheit\ewido anti-malware\ewidoguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\WHATPU~1\WHATPU~1.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\ormn\nti.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\w?crtupd.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\wichtige programme\zum wiederherstellen\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://workgroup/
R3 - URLSearchHook: (no name) - {EC167E47-ECD5-BE53-D17A-BC3EC22A22B0} - C:\WINDOWS\system32\tme.dll (file missing)
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O3 - Toolbar: MSN Suche Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1105\de-ch\msntb.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [WhatPulse] C:\PROGRA~1\WHATPU~1\WHATPU~1.EXE
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Nabw] "C:\Programme\ormn\nti.exe" -vt mt
O4 - HKCU\..\Run: [Aszv] C:\WINDOWS\system32\w?crtupd.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: &MSN Suche - res://C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1105\de-ch\msntb.dll/search.htm
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\MSN Toolbar Suite\TAB\02.05.0000.1105\de-ch\msntabres.dll/229?c9a1e85013bb49969f1ed4bb6b3bf451
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\MSN Toolbar Suite\TAB\02.05.0000.1105\de-ch\msntabres.dll/230?c9a1e85013bb49969f1ed4bb6b3bf451
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A7FF8210-51B8-4157-AE1F-074052397394}: NameServer = 85.237.87.162,217.20.114.125
O17 - HKLM\System\CCS\Services\Tcpip\..\{FA90D483-D11B-4EDC-A27C-AC11B7E25AC0}: NameServer = 85.237.87.162,217.20.114.125
O20 - Winlogon Notify: msupdate - msupdate32.dll (file missing)
O20 - Winlogon Notify: WebCheck - C:\WINDOWS\system32\l60u0gd9e60.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\sicherheit\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\sicherheit\ewido anti-malware\ewidoguard.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\System32\hpbpro.exe
O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\System32\hpboid.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
vielen dank für eure hilfe
mfg