Home » Viren, Trojaner & Malware Forum » Trojaner/Virus erstellt win**.tmp.exe dateien - folge: systemüberlastung » Themenansicht
Trojaner/Virus erstellt win**.tmp.exe dateien - folge: systemüberlastungThema ist geschlossen! |
||
|---|---|---|
Thema ist geschlossen! |
||
| #0
| ||
|
30.08.2006, 14:34
Ehrenmitglied
 Beiträge: 29434 |
||
 
|
|
|
|
30.08.2006, 15:27
Member
Beiträge: 11 |
#152
Hallo Sabina,
hier nochmal die files.txt Verzeichnis von C:\WINDOWS\TEMP 30.08.2006 14:07 <DIR> . 30.08.2006 14:07 <DIR> .. 30.08.2006 09:22 <DIR> c.programme.notes.Lotus.Data 30.08.2006 14:00 255 WGAErrLog.txt 30.08.2006 14:03 409 WGANotify.settings 30.08.2006 10:22 40.448 win1E.tmp.exe 30.08.2006 10:42 0 win26.tmp 30.08.2006 10:44 40.448 win27.tmp.exe 30.08.2006 11:04 0 win2B.tmp 30.08.2006 11:06 0 win35.tmp 30.08.2006 11:28 0 win57.tmp 30.08.2006 11:30 1.043 win58.tmp 30.08.2006 11:50 0 win64.tmp 30.08.2006 11:53 0 win65.tmp 30.08.2006 12:15 0 win6E.tmp 30.08.2006 12:37 0 win8A.tmp 30.08.2006 12:39 0 win8B.tmp 30.08.2006 09:42 0 winD.tmp 30.08.2006 10:02 0 winE.tmp 16 Datei(en) 82.603 Bytes 3 Verzeichnis(se), 14.227.116.032 Bytes frei Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: 48DC-3D30 Verzeichnis von C:\Dokumente und Einstellungen\HFennert\Lokale Einstellungen\Anwendungsdaten\{3248F0A6-6813-11D6-A77B-00B0D0150030} 28.08.2006 14:42 <DIR> . 28.08.2006 14:42 <DIR> .. 28.08.2006 14:42 58.368 1031.MST 28.08.2006 14:42 11.339.776 J2SE Runtime Environment 5.0 Update 3.msi 2 Datei(en) 11.398.144 Bytes 2 Verzeichnis(se), 14.225.137.664 Bytes frei |
|
|
|
|
|
|
30.08.2006, 22:32
Ehrenmitglied
Beiträge: 29434 |
#153
age.ef
1. ist das geloescht ?? C:\Programme\Common Files 29.08.2006 12:41 - ??sks 2. Avenger Zitat Files to delete:3. wende smitfraudfix an (option 1 und 2 - poste die reporte) http://virus-protect.org/artikel/tools/smitfrautfix.html 4. scanne mit ewido im normalmodus und dann im abgesicherten modus und poste die scanreporte http://virus-protect.org/ewido.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
31.08.2006, 06:48
...neu hier
Beiträge: 4 |
#154
Hallo Sabina,
nachdem Du das Problem schon bei den anderen so klasse gelöst hast, dachte ich, Du könntest mir vielleicht auch helfen? Es handelt sich um die bekannten win**.tmp-Dateien in c:\windows\temp, die gelegentlich mal zur EXE "mutieren". Nachdem ich hier mal durchgeblättert hatte, dachte ich, der Störenfried müsste sich mit HijackThis zumindest leicht aufspüren lassen, aber weit gefehlt... Das Zeug zum Experten habe ich offenbar nicht. Die Viren-Dateien im system32-Verzeichnis sind auch für mich offensichtlich, aber wo wird das Ding gestartet? HijackThis zeigt kein O20 an, und die anderen Autostarts und Services scheinen alle Sinn zu machen. Noch kurioser ist, dass es im abgesicherten Modus weitergeht, obwohl dort laut Scan wirklich nur noch Systemprozesse laufen. Hier die beiden HijackThis-Reports sowie die Ausgabe von datFindBat: Normaler Modus: ---------------- Logfile of HijackThis v1.99.1 Scan saved at 05:32:40, on 31.08.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE c:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe c:\Programme\Norton AntiVirus\navapsvc.exe c:\Programme\Norton AntiVirus\IWP\NPFMntor.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\svchost.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe C:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe C:\totalcmd\TOTALCMD.EXE C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE C:\Programme\IDM Computer Solutions\UltraEdit-32\uedit32.exe C:\Programme\Messenger\msmsgs.exe c:\HJT\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.com/avcenter/fix_homepage/ O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - c:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [ccApp] "c:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ? O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (Steuerung des DownloadManager ) - http://dlmanager.akamaitools.com.edgesuite.net/dlmanager/versions/activex/dlm-activex-2.0.6.0.cab O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Adobe Version Cue CS2 - Unknown owner - C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe" -win32service (file missing) O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - c:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - c:\Programme\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - c:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: SPBBCSvc - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Abgesicherter Modus: --------------------- Logfile of HijackThis v1.99.1 Scan saved at 06:02:00, on 31.08.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\cmd.exe C:\HJT\HijackThis.exe O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - c:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [ccApp] "c:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ? O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (Steuerung des DownloadManager ) - http://dlmanager.akamaitools.com.edgesuite.net/dlmanager/versions/activex/dlm-activex-2.0.6.0.cab O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Adobe Version Cue CS2 - Unknown owner - C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe" -win32service (file missing) O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - c:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - c:\Programme\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - c:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: SPBBCSvc - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe ----------------------------------------------------------------------- datFindBat-Ausgabe: ----------------------------------------------------------------------- Verzeichnis von C:\WINDOWS\system32 31.08.2006 05:26 578 dcbeg.ini2 31.08.2006 05:24 2.331 ***_KBD.ini 30.08.2006 14:22 416 dcbeg.ini 30.08.2006 12:02 1.644 PQ_DEBUG.TXT 30.08.2006 11:39 381.090 perfh009.dat 30.08.2006 11:39 53.504 perfc009.dat 30.08.2006 11:39 392.936 perfh007.dat 30.08.2006 11:39 64.378 perfc007.dat 30.08.2006 11:39 897.778 PerfStringBackup.INI 30.08.2006 01:45 971.767 dcbeg.tmp 30.08.2006 01:45 13.844 rrgbhlwi.exe 30.08.2006 01:44 573.492 gebcd.dll 30.08.2006 01:39 40.973 urqpqqp.dll 30.08.2006 01:39 18.944 winhoo32.dll 27.08.2006 16:15 1.158 wpa.dbl 07.08.2006 23:06 239.944 FNTCACHE.DAT 03.08.2006 03:22 8.255.912 MRT.exe 28.07.2006 13:28 3.075.072 mshtml.dll 27.07.2006 15:25 679.424 inetcomm.dll 25.07.2006 22:33 615.936 urlmon.dll 21.07.2006 10:29 72.704 hlink.dll Verzeichnis von C:\WINDOWS 31.08.2006 05:23 0 0.log 31.08.2006 05:22 1.473.755 WindowsUpdate.log 31.08.2006 05:22 159 wiadebug.log 31.08.2006 05:22 50 wiaservc.log 31.08.2006 05:21 2.048 bootstat.dat 31.08.2006 05:20 32.496 SchedLgU.Txt 30.08.2006 19:22 399.328 ntbtlog.txt 30.08.2006 14:29 239.731 setupapi.log 30.08.2006 12:49 1.905 diagwrn.xml 30.08.2006 12:49 1.905 diagerr.xml 30.08.2006 12:49 1.090 setupact.log 30.08.2006 12:49 0 setuperr.log 30.08.2006 00:38 69 NeroDigital.ini 16.08.2006 13:38 155.205 SetupWLD.log 15.08.2006 00:12 101.315 wmsetup.log 14.08.2006 01:52 2.908 COM+.log 14.08.2006 00:11 356.850 DPINST.LOG 10.08.2006 15:06 71.049 iis6.log 10.08.2006 15:06 158.719 comsetup.log 10.08.2006 15:06 24.952 ocmsn.log Verzeichnis von C:\DOKUME~1\***\LOKALE~1\Temp 31.08.2006 05:26 102.875 system32.000 31.08.2006 05:23 16.384 ~DFE55E.tmp Verzeichnis von C:\ 31.08.2006 05:27 0 sys.txt 31.08.2006 05:27 9.546 system.txt 31.08.2006 05:26 343 systemtemp.txt 31.08.2006 05:26 102.875 system32.txt 31.08.2006 05:21 1.071.894.528 hiberfil.sys 31.08.2006 05:21 1.610.612.736 pagefile.sys 09.07.2006 18:06 0 dxva_sig.txt Ich hoffe, Du kannst mir helfen! Vielen Dank schon einmal im Voraus! |
|
|
|
|
|
|
31.08.2006, 11:08
Ehrenmitglied
Beiträge: 29434 |
#155
blueguy
1. vundofix anwenden http://virus-protect.org/artikel/tools/vundofixx.html poste den report 2. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein Zitat registry keys to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten poste das log vom avenger, was erscheint ** 3. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\4. poste das log http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
31.08.2006, 13:08
Member
Beiträge: 11 |
#156
Hallo Sabina,
ich habe die von dir gewünschten logs erstellt SmitFraudFix v2.82 Scan done at 8:54:45,95, 31.08.2006 Run from C:\Dokumente und Einstellungen\HFennert\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix ran in safe mode »»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files C:\DOKUME~1\HFennert\FAVORI~1\Antivirus Test Online.url Deleted »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End --------------------------------------------------------- ewido anti-spyware - Scan-Bericht --------------------------------------------------------- + Erstellt um: 12:15:06 31.08.2006 + Scan-Ergebnis: HKLM\SOFTWARE\Microsoft\VisualStudio\Analyzer\Events\{6C736D71-BCBF-11D0-8A23-00AA00B58E10} -> Adware.CoolWebSearch : Keine Aktion durchgeführt. HKU\S-1-5-21-861567501-1383384898-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext\ Stats\ {052B12F7-86FA-4921-8482-26C42316B522} -> Adware.Generic : Keine Aktion durchgeführt. C:\RECYCLER\S-1-5-21-861567501-1383384898-839522115-1003\Dc12\regedit.exe -> Downloader.PurityScan.da : Keine Aktion durchgeführt. C:\avenger\backup.zip/avenger/win1E.tmp.exe -> Trojan.Pakes : Keine Aktion durchgeführt. C:\avenger\backup.zip/avenger/win27.tmp.exe -> Trojan.Pakes : Keine Aktion durchgeführt. ::Berichtende --------------------------------------------------------- ewido anti-spyware - Scan-Bericht --------------------------------------------------------- + Erstellt um: 12:55:52 31.08.2006 + Scan-Ergebnis: Keine Bedrohung gefunden. ::Berichtende |
|
|
|
|
|
|
31.08.2006, 13:18
Ehrenmitglied
Beiträge: 29434 |
#157
age.ef
1. den Papierkorb leeren 2. gehe in die registry Start - Ausfuehren - regedit loeschen: (was ich fett gekennzeichnet habe, kannst du suchen: barbeiten - suchen- reinkopieren: {6C736D71-BCBF-11D0-8A23-00AA00B58E10} {052B12F7-86FA-4921-8482-26C42316B522} HKLM\SOFTWARE\Microsoft\VisualStudio\Analyzer\Events\{6C736D71-BCBF-11D0-8A23-00AA00B58E10} HKU\S-1-5-21-861567501-1383384898-839522115-1003\ Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{052B12F7-86FA-4921-8482-26C42316B522} 3. loeschen: C:\avenger\backup.zip 4. PC neustarten 5. scanne und poste den kompletten scanreport http://virus-protect.org/cureit.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
31.08.2006, 16:59
...neu hier
Beiträge: 4 |
#158
Hallo Sabina,
vielen, vielen Dank! Möglich, dass noch andere Sachen auf meinem PC drauf sind, aber die Produktion dieser win**.tmp-Files ist schonmal gestoppt. Vundofix ist fündig geworden, danach waren dann auch die O2 bzw. O20 Einträge in HJT zu sehen... clever! Allerdings hat der Virus weiterhin HJT (Protokollerzeugung nur über Umwege) und Avenger (Fehlermeldungen in der DOS-Box, leeres Protokoll, Files waren weiterhin da) behindert, sodass ich auf Killbox zurückgreifen musste, um ihn wegzubekommen. Erst danach ist Avenger durchgelaufen und hat auch ein Logfile erzeugt. Er hat aber natürlich nicht mehr viel gefunden. Hier die Logs: ------------------------------------------ VundoFix V6.1.2 Checking Java version... Sun Java not detected Scan started at 14:36:40 31.08.2006 Listing files found while scanning.... C:\WINDOWS\system32\gebcd.dll C:\WINDOWS\system32\dcbeg.ini C:\WINDOWS\system32\dcbeg.ini2 C:\WINDOWS\system32\dcbeg.tmp Beginning removal... Attempting to delete C:\WINDOWS\system32\gebcd.dll C:\WINDOWS\system32\gebcd.dll Could not be deleted. Attempting to delete C:\WINDOWS\system32\dcbeg.ini C:\WINDOWS\system32\dcbeg.ini Has been deleted! Attempting to delete C:\WINDOWS\system32\dcbeg.ini2 C:\WINDOWS\system32\dcbeg.ini2 Has been deleted! Attempting to delete C:\WINDOWS\system32\dcbeg.tmp C:\WINDOWS\system32\dcbeg.tmp Has been deleted! Performing Repairs to the registry. Done! VundoFix V6.1.2 Checking Java version... Sun Java not detected Scan started at 14:49:03 31.08.2006 Listing files found while scanning.... C:\WINDOWS\system32\gebcd.dll Beginning removal... Attempting to delete C:\WINDOWS\system32\gebcd.dll C:\WINDOWS\system32\gebcd.dll Has been deleted! Performing Repairs to the registry. Done! ---------------------------------------------------- HijackThis nach Vundofix: ---------------------------------------------------- Logfile of HijackThis v1.99.1 Scan saved at 15:11:20, on 31.08.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe c:\Programme\Norton AntiVirus\navapsvc.exe c:\Programme\Norton AntiVirus\IWP\NPFMntor.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE C:\totalcmd\TOTALCMD.EXE C:\Programme\IDM Computer Solutions\UltraEdit-32\uedit32.exe C:\Programme\Messenger\msmsgs.exe c:\HJT\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.com/avcenter/fix_homepage/ O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - c:\Programme\Norton AntiVirus\NavShExt.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll O2 - BHO: (no name) - {D37C2371-1EC7-48BC-92EC-52830A43CB44} - C:\WINDOWS\system32\gebcd.dll (file missing) O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - c:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [ccApp] "c:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ? O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (Steuerung des DownloadManager ) - http://dlmanager.akamaitools.com.edgesuite.net/dlmanager/versions/activex/dlm-activex-2.0.6.0.cab O20 - Winlogon Notify: winhoo32 - C:\WINDOWS\SYSTEM32\winhoo32.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Adobe Version Cue CS2 - Unknown owner - C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe" -win32service (file missing) O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - c:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - c:\Programme\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - c:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: SPBBCSvc - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe ----------------------------------------------------------- HijackThis nach Ausführung von Killbox und HJT-Fix-Button: ----------------------------------------------------------- Logfile of HijackThis v1.99.1 Scan saved at 15:54:07, on 31.08.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe c:\Programme\Norton AntiVirus\navapsvc.exe c:\Programme\Norton AntiVirus\IWP\NPFMntor.exe C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe C:\totalcmd\TOTALCMD.EXE c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE c:\HJT\HijackThis.exe C:\Programme\Messenger\msmsgs.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.com/avcenter/fix_homepage/ O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - c:\Programme\Norton AntiVirus\NavShExt.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - c:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [ccApp] "c:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ? O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (Steuerung des DownloadManager ) - http://dlmanager.akamaitools.com.edgesuite.net/dlmanager/versions/activex/dlm-activex-2.0.6.0.cab O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Adobe Version Cue CS2 - Unknown owner - C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe" -win32service (file missing) O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - c:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - c:\Programme\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - c:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: SPBBCSvc - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe ----------------------------------------------------------- Avenger (nachdem Killbox und HJT bereits durch waren): ----------------------------------------------------------- Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\kfvtitjd ******************* Script file located at: \??\C:\WINDOWS\akvjjhwy.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\dcbeg.ini2 not found! Deletion of file C:\WINDOWS\system32\dcbeg.ini2 failed! Could not process line: C:\WINDOWS\system32\dcbeg.ini2 Status: 0xc0000034 File C:\WINDOWS\system32\dcbeg.ini not found! Deletion of file C:\WINDOWS\system32\dcbeg.ini failed! Could not process line: C:\WINDOWS\system32\dcbeg.ini Status: 0xc0000034 File C:\WINDOWS\system32\dcbeg.tmp not found! Deletion of file C:\WINDOWS\system32\dcbeg.tmp failed! Could not process line: C:\WINDOWS\system32\dcbeg.tmp Status: 0xc0000034 File C:\WINDOWS\system32\rrgbhlwi.exe not found! Deletion of file C:\WINDOWS\system32\rrgbhlwi.exe failed! Could not process line: C:\WINDOWS\system32\rrgbhlwi.exe Status: 0xc0000034 File C:\WINDOWS\system32\gebcd.dll not found! Deletion of file C:\WINDOWS\system32\gebcd.dll failed! Could not process line: C:\WINDOWS\system32\gebcd.dll Status: 0xc0000034 File C:\WINDOWS\system32\urqpqqp.dll not found! Deletion of file C:\WINDOWS\system32\urqpqqp.dll failed! Could not process line: C:\WINDOWS\system32\urqpqqp.dll Status: 0xc0000034 File C:\WINDOWS\system32\winhoo32.dll not found! Deletion of file C:\WINDOWS\system32\winhoo32.dll failed! Could not process line: C:\WINDOWS\system32\winhoo32.dll Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\gebcd not found! Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\gebcd failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winhoo32 not found! Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winhoo32 failed! Status: 0xc0000034 Completed script processing. ******************* Finished! Terminate. ------------------------------------------------ Files.txt: ------------------------------------------------ edit -------------------------------------------------------- ComboFix: -------------------------------------------------------- *** - 06-08-31 16:20:50,64 ComboFix 06.08.30BT - Running from: c:\HJT ((((((((((((((((((((((((((((((( Files Created from 2006-07-31 to 2006-08-31 )))))))))))))))))))))))))))))))))) 2006-08-04 11:47 17,920 --a------ C:\WINDOWS\system32\mdimon.dll (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-08-31 16:17 -------- d-------- C:\Programme\CleanUp! 2006-08-31 16:06 -------- d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared 2006-08-30 13:32 -------- d-------- C:\Programme\Mozilla Thunderbird 2006-08-30 13:24 -------- d-------- C:\Programme\Mozilla Firefox 2006-08-30 12:10 -------- d--h----- C:\Programme\InstallShield Installation Information 2006-08-30 12:04 -------- d---s---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft 2006-08-30 11:35 -------- d-------- C:\Programme\Microsoft Virtual PC 2006-08-30 01:40 -------- d-------- C:\Programme\Gemeinsame Dateien 2006-08-30 01:19 97248 --a------ C:\WINDOWS\system32\drivers\snapman.sys 2006-08-30 01:16 -------- d-------- C:\Programme\Azureus 2006-08-30 01:16 -------- d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Azureus 2006-08-30 01:09 -------- d-------- C:\Programme\eMule.de 2006-08-30 00:08 -------- d-------- C:\Programme\Microsoft 2006-08-29 22:46 -------- d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Download Manager 2006-08-26 18:35 -------- d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Apple Computer 2006-08-20 22:33 -------- d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Vidalia 2006-08-20 22:20 -------- d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Tor 2006-08-20 21:18 -------- d-------- C:\Programme\Vidalia 2006-08-20 21:18 -------- d-------- C:\Programme\Tor 2006-08-20 21:18 -------- d-------- C:\Programme\Privoxy 2006-08-14 19:13 -------- d-------- C:\Programme\TechSmith 2006-08-14 19:12 -------- d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2006-08-14 01:11 -------- d-------- C:\Programme\Internet Explorer 2006-08-14 00:15 -------- d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Teleca 2006-08-14 00:11 -------- d-------- C:\Programme\Sony Ericsson 2006-08-14 00:11 -------- d-------- C:\Programme\Gemeinsame Dateien\Teleca Shared 2006-08-14 00:07 6176 --a------ C:\WINDOWS\system32\drivers\w810cm.sys 2006-08-14 00:07 5808 --a------ C:\WINDOWS\system32\drivers\w810wh.sys 2006-08-10 21:41 -------- d-------- C:\Programme\eclipse 2006-08-10 10:39 -------- d-------- C:\Programme\Poseidon For UML CE 4.2 2006-08-10 10:38 -------- d--h----- C:\Programme\Zero G Registry 2006-08-04 11:46 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared 2006-08-04 11:44 -------- d-------- C:\Programme\Microsoft Office 2006-08-04 11:43 -------- d-------- C:\Programme\Microsoft.NET 2006-08-04 11:43 -------- d-------- C:\Programme\Gemeinsame Dateien\System 2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll 2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll 2006-07-13 16:07 -------- d-------- C:\Programme\Zzaph 2006-07-11 12:30 -------- d-------- C:\Programme\Microsoft Games 2006-07-11 11:25 -------- d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Skype 2006-06-08 13:08 534208 --a------ C:\WINDOWS\system32\SymNeti.dll 2006-06-08 13:08 161472 --a------ C:\WINDOWS\system32\SymRedir.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe" "SoundMAXPnP"="C:\\Programme\\Analog Devices\\SoundMAX\\SMax4PNP.exe" "SoundMAX"="C:\\Programme\\Analog Devices\\SoundMAX\\Smax4.exe /tray" "BluetoothAuthenticationAgent"="rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent" "SynTPLpr"="C:\\Programme\\Synaptics\\SynTP\\SynTPLpr.exe" "SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe" "MagicKeyboard"="C:\\Programme\\SAMSUNG\\MagicKBD\\PreMKBD.exe" "SmcService"="C:\\PROGRA~1\\Sygate\\SPF\\smc.exe -startgui" "RemoteControl"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe" "FreePDF Assistant"="C:\\Programme\\FreePDF_XP\\fpassist.exe" "QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime" "DAEMON Tools"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033" "SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe" "Acrobat Assistant 7.0"="\"C:\\Programme\\Adobe\\Adobe Acrobat 7.0\\Distillr\\Acrotray.exe\"" @="" "ccApp"="\"c:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\"" "Sony Ericsson PC Suite"="\"C:\\Programme\\Sony Ericsson\\Mobile2\\Application Launcher\\Application Launcher.exe\" /startoptions" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI] "NoChange"="1" "Installed"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000005 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" "Flags"=dword:00000002 "Position"=hex:2c,00,00,00,18,01,00,00,00,00,00,00,60,04,00,00,fc,03,00,00,00,\ 00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00 "CurrentState"=hex:04,00,00,40 "OriginalStateInfo"=hex:18,00,00,00,18,01,00,00,00,00,00,00,60,04,00,00,fc,03,\ 00,00,04,00,00,40 "RestoredStateInfo"=hex:18,00,00,00,18,01,00,00,00,00,00,00,60,04,00,00,fc,03,\ 00,00,01,00,00,00 [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE" [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE" [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="" "hkey"="HKLM" "command"="" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Acrobat Assistant 7.0] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="Acrotray" "hkey"="HKLM" "command"="\"C:\\Programme\\Adobe\\Adobe Acrobat 7.0\\Distillr\\Acrotray.exe\"" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Adobe Version Cue CS2] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="VersionCueCS2Tray" "hkey"="HKLM" "command"="\"C:\\Programme\\Adobe\\Adobe Version Cue CS2\\ControlPanel\\VersionCueCS2Tray.exe\"" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\AVStation premium] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="AVStation agent" "hkey"="HKLM" "command"="\"C:\\Programme\\Samsung\\AVStation premium\\bin\\AVStation agent.exe\"" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\iTunesHelper] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="iTunesHelper" "hkey"="HKLM" "command"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\"" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\MSMSGS] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="msmsgs" "hkey"="HKCU" "command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\NeroFilterCheck] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="NeroCheck" "hkey"="HKLM" "command"="C:\\WINDOWS\\system32\\NeroCheck.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\QuickTime Task] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="qttask" "hkey"="HKLM" "command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\SunJavaUpdateSched] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="jusched" "hkey"="HKLM" "command"="C:\\Programme\\Java\\j2re1.4.2_03\\bin\\jusched.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\TkBellExe] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="realsched" "hkey"="HKLM" "command"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot" "inimapping"="0" ~ ~ ~ ~ ~ ~ ~ ~ Hijackthis Backups ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ backup-20060831-154944-985 O20 - Winlogon Notify: winhoo32 - winhoo32.dll (file missing) backup-20060831-151918-334 O20 - Winlogon Notify: winhoo32 - C:\WINDOWS\SYSTEM32\winhoo32.dll backup-20060831-151918-230 O2 - BHO: (no name) - {D37C2371-1EC7-48BC-92EC-52830A43CB44} - C:\WINDOWS\system32\gebcd.dll (file missing) backup-20060831-054303-901 O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe Contents of the 'Scheduled Tasks' folder C:\WINDOWS\tasks\Norton AntiVirus - Run Full System Scan - ***.job Completion time: 31.08.2006 16:22:07.98 ComboFix.txt |
|
|
|
|
|
|
31.08.2006, 22:06
Ehrenmitglied
Beiträge: 29434 |
#159
blueguy
ich loesche auf Wunsch natuerlich alle vertraulichen Daten  entschuldige, dass ich so tief und ausfuehrlich graben muss, aber ich habe einen Purityscan gesucht - und nicht gefunden  es muesste alles wieder o.k. sein... loesche die backups vom HijackThis, scanne und poste den scanreport http://virus-protect.org/artikel/tools/superantispyware.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
01.09.2006, 00:39
...neu hier
Beiträge: 4 |
#160
DU musst Dich doch nicht entschuldigen, ICH bin ja derjenige, der Hilfe braucht. Und mir ist es umso lieber, wenn Du genau hinsiehst.
Der SUPERAntiSpyware-Scan läuft gerade und hat auch schon wieder etwas gefunden, noch einen Vundo und einen Smitfraud, so wie es aussieht... Würde mich aber wundern, wenn die aktiv wären, wohl eher Dateileichen, oder? Ärgerlich genug, dass man viel Geld für Norton AntiVirus ausgibt, nur, um dann doch alles per Hand machen zu müssen. Ich habe ihn zum Test mal auf das Killbox-Backup-Dir angesetzt - alles sauber laut NAV. Na klasse! Aviras AntiVir hat zumindest in einer Datei etwas entdeckt... Ob das für die Zukunft reicht? :-( Solange die AV-Software-Hersteller nicht in der Lage sind, vernünftige Programme zu bauen, wird die Menschheit jedenfalls weiter auf engagierte Leute wie Dich angewiesen sein. Deshalb noch einmal vielen Dank! So, einmal den Computer wechseln, um das Log zu posten... ... und wieder da. Zunächst mal SUPERAntiSpyware im normalen Modus, im abgesicherten lasse ich ihn gleich nochmal laufen, während ich schlafe... Außerdem habe ich, verunsichert durch den Fund, nochmal SmitFraudFix laufen lassen, aber der hat, denke ich, nichts gefunden. Log hängt aber auch an! Gute N8! ------------------------------------------ SUPERAntiSpyware Scan Log Generated 09/01/2006 at 00:25 AM Core Rules Database Version : 3068 Trace Rules Database Version: 1109 Memory threats detected : 0 Registry threats detected : 2 File threats detected : 5 Trojan.Malware HKCR\MezziaCodec.Chl HKCR\MezziaCodec.Chl\CLSID Adware.Vundo Variant C:\System Volume Information\_restore{27C96E55-153F-4304-A4D7-7964F9203383}\RP171\A0028294.dll C:\System Volume Information\_restore{27C96E55-153F-4304-A4D7-7964F9203383}\RP171\A0028295.dll C:\System Volume Information\_restore{27C96E55-153F-4304-A4D7-7964F9203383}\RP172\A0028438.dll Trojan.Smitfraud Variant C:\System Volume Information\_restore{27C96E55-153F-4304-A4D7-7964F9203383}\RP171\A0028349.exe C:\System Volume Information\_restore{27C96E55-153F-4304-A4D7-7964F9203383}\RP172\A0028436.exe ------------------------------------------------------------ SmitFraudFix v2.82 Scan done at 0:57:16,95, 01.09.2006 Run from c:\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix ran in normal mode »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\***\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\***\FAVORI~1 »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" »»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End Dieser Beitrag wurde am 01.09.2006 um 01:10 Uhr von blueguy editiert.
|
|
|
|
|
|
|
01.09.2006, 01:48
Ehrenmitglied
Beiträge: 29434 |
#161
blueguy
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren dann wieder aktivieren dann ist alles wieder o.k. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
01.09.2006, 10:57
Member
Beiträge: 11 |
#162
Hallo Sabina
ich hoffe, dass ich nun mein letztes log senden muß .Nicht dass es mir Spaß macht hier zu schreiben, aber hoffentlich ist der Wurm oder was auch immer hier dann raus. ----------------------------------------------------------------------------- Prüfstatistiken ----------------------------------------------------------------------------- Geprüfte Objekte: 0 Infizierte Objekte gefunden: 0 Objekte mit Modifikation gefunden: 0 Verdächtige Objekte gefunden: 0 Adware-Programm gefunden: 0 Dialer-Programm gefunden: 0 Scherz-Programm gefunden: 0 Riskware programm gefunden: 0 Hacktool-Programm gefunden: 0 Desinfizierte Objekte: 0 Gelöschte Objekte: 0 Umbenannte Objekte: 0 Verschobene Objekte: 0 Ignorierte Objekte: 0 Leistung:: 0 Kb/s Dauer:: 00:00:00 ----------------------------------------------------------------------------- [Prüfpfad] C:\WINDOWS\system32\smss.exe [Prüfpfad] C:\WINDOWS\system32\csrss.exe [Prüfpfad] C:\WINDOWS\system32\winlogon.exe ----------------------------------------------------------------------------- Prüfstatistiken ----------------------------------------------------------------------------- Geprüfte Objekte: 5 Infizierte Objekte gefunden: 0 Objekte mit Modifikation gefunden: 0 Verdächtige Objekte gefunden: 0 Adware-Programm gefunden: 0 Dialer-Programm gefunden: 0 Scherz-Programm gefunden: 0 Riskware programm gefunden: 0 Hacktool-Programm gefunden: 0 Desinfizierte Objekte: 0 Gelöschte Objekte: 0 Umbenannte Objekte: 0 Verschobene Objekte: 0 Ignorierte Objekte: 0 Leistung:: 184 Kb/s Dauer:: 00:00:03 ----------------------------------------------------------------------------- Prüfung vom Benutzer abgebrochen! - keine Viren gefunden [Prüfpfad] C:\ C:\hiberfil.sys - Lesefehler C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Snapshots\RegUBP2b-HFennert.reg infiziert mit Trojan.StartPage.1505 - gelöscht C:\Dokumente und Einstellungen\HFennert\NTUSER.DAT - Lesefehler C:\Dokumente und Einstellungen\HFennert\NTUSER~1.LOG - Lesefehler C:\Dokumente und Einstellungen\HFennert\Desktop\SmitfraudFix\Process.exe ist ein Hacktool Tool.Prockill C:\Dokumente und Einstellungen\HFennert\Desktop\SmitfraudFix\restart.exe ist ein Hacktool Tool.ShutDown.11 C:\Dokumente und Einstellungen\HFennert\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Lesefehler C:\Dokumente und Einstellungen\HFennert\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\USRCLA~1.LOG - Lesefehler C:\Dokumente und Einstellungen\HFennert\Lokale Einstellungen\Temp\hsperfdata_HFennert\1216 - Lesefehler C:\Dokumente und Einstellungen\HFennert\Lokale Einstellungen\Temp\hsperfdata_HFennert\464 - Lesefehler C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT - Lesefehler C:\Dokumente und Einstellungen\LocalService\NTUSER~1.LOG - Lesefehler C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Lesefehler C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\USRCLA~1.LOG - Lesefehler C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT - Lesefehler C:\Dokumente und Einstellungen\NetworkService\NTUSER~1.LOG - Lesefehler C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Lesefehler C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\USRCLA~1.LOG - Lesefehler C:\System Volume Information\_restore{873B6431-6F53-4B41-B7D6-9FC87E29E60B}\RP10\A0008571.exe infiziert mit Trojan.Starter.79 - gelöscht C:\System Volume Information\_restore{873B6431-6F53-4B41-B7D6-9FC87E29E60B}\RP10\A0008575.exe infiziert mit Trojan.DownLoader.12309 - gelöscht C:\System Volume Information\_restore{873B6431-6F53-4B41-B7D6-9FC87E29E60B}\RP10\A0008582.dll infiziert mit Trojan.Popuper - gelöscht C:\System Volume Information\_restore{873B6431-6F53-4B41-B7D6-9FC87E29E60B}\RP10\A0008611.dll infiziert mit Trojan.Popuper - gelöscht C:\System Volume Information\_restore{873B6431-6F53-4B41-B7D6-9FC87E29E60B}\RP10\A0008623.exe infiziert mit Trojan.SPuper - gelöscht >C:\System Volume Information\_restore{873B6431-6F53-4B41-B7D6-9FC87E29E60B}\RP10\A0008624.exe infiziert mit Dialer.Riprova - gelöscht C:\System Volume Information\_restore{873B6431-6F53-4B41-B7D6-9FC87E29E60B}\RP10\A0008628.exe infiziert mit Trojan.SPuper - gelöscht C:\System Volume Information\_restore{873B6431-6F53-4B41-B7D6-9FC87E29E60B}\RP10\A0008629.exe infiziert mit Trojan.SPuper - gelöscht C:\System Volume Information\_restore{873B6431-6F53-4B41-B7D6-9FC87E29E60B}\RP10\A0008631.exe infiziert mit Trojan.Popuper - gelöscht C:\System Volume Information\_restore{873B6431-6F53-4B41-B7D6-9FC87E29E60B}\RP10\A0008675.dll infiziert mit Trojan.Mezzia - gelöscht C:\System Volume Information\_restore{873B6431-6F53-4B41-B7D6-9FC87E29E60B}\RP10\A0008720.exe ist ein Hacktool Tool.Prockill >C:\System Volume Information\_restore{873B6431-6F53-4B41-B7D6-9FC87E29E60B}\RP10\A0008736.exe ist ein Adware-Programm Adware.ClickSpring C:\System Volume Information\_restore{873B6431-6F53-4B41-B7D6-9FC87E29E60B}\RP10\A0008772.reg infiziert mit Trojan.StartPage.1505 - gelöscht C:\WINDOWS\system32\CatRoot2\edb.log - Lesefehler C:\WINDOWS\system32\CatRoot2\tmp.edb - Lesefehler C:\WINDOWS\system32\config\default - Lesefehler C:\WINDOWS\system32\config\default.LOG - Lesefehler C:\WINDOWS\system32\config\SAM - Lesefehler C:\WINDOWS\system32\config\SAM.LOG - Lesefehler C:\WINDOWS\system32\config\SECURITY - Lesefehler C:\WINDOWS\system32\config\SECURITY.LOG - Lesefehler C:\WINDOWS\system32\config\software - Lesefehler C:\WINDOWS\system32\config\software.LOG - Lesefehler C:\WINDOWS\system32\config\system - Lesefehler C:\WINDOWS\system32\config\system.LOG - Lesefehler [Prüfpfad] D:\ ----------------------------------------------------------------------------- Prüfstatistiken ----------------------------------------------------------------------------- Geprüfte Objekte: 376038 Infizierte Objekte gefunden: 12 Objekte mit Modifikation gefunden: 0 Verdächtige Objekte gefunden: 0 Adware-Programm gefunden: 1 Dialer-Programm gefunden: 0 Scherz-Programm gefunden: 0 Riskware programm gefunden: 0 Hacktool-Programm gefunden: 3 Desinfizierte Objekte: 0 Gelöschte Objekte: 12 Umbenannte Objekte: 0 Verschobene Objekte: 0 Ignorierte Objekte: 0 Leistung:: 50 Kb/s Dauer:: 20:18:21 ----------------------------------------------------------------------------- hat ja auch ganz schön lange schon gedauert. MfG Henry |
|
|
|
|
|
|
01.09.2006, 11:55
Ehrenmitglied
Beiträge: 29434 |
#163
age.ef
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren) http://virus-protect.org/systemwiederherstellung.html dann ist alles wieder in Ordnung oder erstellen sich wieder neue tmp ??? in: Verzeichnis von C:\WINDOWS\TEMP __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
01.09.2006, 12:18
Member
Beiträge: 11 |
#164
HALLO SABINA
ich glaube es ist vollbracht. es werden keine neuen Datein angelegt, aber ich werd es im Auge behalten. Ich möchte dir für deine schnelle, einfache und kompetente Hilfe danken. Schade das ich auf dieses Board nur durch Zufall gekommen bin. Das Board gehört ... was weiß ich wo, bei chip oder pc-welt oder so gemeldet unter der rubrik, links die jeder braucht. Ich habe es jedenfalls in meine Lesezeichen aufgenommen. Also nochmal dickes Lob Es grüßt aus dem Norden Henry |
|
|
|
|
|
|
01.09.2006, 21:57
Member
Beiträge: 11 |
#165
so... ich melde mich mal wieder mit dem kaspersky log, hatte leider in den letzten tagen nicht soviel Zeit, deshalb kommt es erst jetzt.
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER Freitag, 1. September 2006 21:56:57 Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600) Version von Kaspersky Online Scanner: 5.0.83.0 Letztes Update der Antiviren-Datenbanken: 1/09/2006 Anzahl der Einträge in den Antiviren-Datenbanken: 207149 Scan-Einstellungen Folgende Antiviren-Datenbanken zur Untersuchung verwenden Standard Archive untersuchen ja Mail-Datenbanken untersuchen ja Untersuchungsobjekt Kritische Objekte C:\WINDOWS C:\DOKUME~1\FELIXL~1.MI6\LOKALE~1\Temp\ Untersuchungsergebnisse Untersuchte Objekte insgesamt 17706 Viren gefunden 0 Infizierte Objekte gefunden 0 / 0 Verdächtige Objekte gefunden 0 Untersuchungszeit 00:17:51 Name des infizierten Objekts Virusname Letzte Aktion C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\icssys.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\Internet Logs\fwdbglog.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\Internet Logs\fwpktlog.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\Internet Logs\IAMDB.RDB Das Objekt ist gesperrt übersprungen C:\WINDOWS\Internet Logs\MI6-FJXZHGFIEWD.ldb Das Objekt ist gesperrt übersprungen C:\WINDOWS\Internet Logs\tvDebug.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\Antivirus.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\drivers\sptd1885.sys Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\Temp\Perflib_Perfdata_698.dat Das Objekt ist gesperrt übersprungen C:\WINDOWS\Temp\ZLT029bc.TMP Das Objekt ist gesperrt übersprungen C:\WINDOWS\Temp\ZLT029c6.TMP Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen C:\DOKUME~1\FELIXL~1.MI6\LOKALE~1\Temp\hsperfdata_Felix Lehmann\1852 Das Objekt ist gesperrt übersprungen C:\DOKUME~1\FELIXL~1.MI6\LOKALE~1\Temp\~DF703.tmp Das Objekt ist gesperrt übersprungen C:\DOKUME~1\FELIXL~1.MI6\LOKALE~1\Temp\~DF716.tmp Das Objekt ist gesperrt übersprungen C:\DOKUME~1\FELIXL~1.MI6\LOKALE~1\Temp\~DF72D.tmp Das Objekt ist gesperrt übersprungen C:\DOKUME~1\FELIXL~1.MI6\LOKALE~1\Temp\~DF740.tmp Das Objekt ist gesperrt übersprungen C:\DOKUME~1\FELIXL~1.MI6\LOKALE~1\Temp\~DF757.tmp Das Objekt ist gesperrt übersprungen C:\DOKUME~1\FELIXL~1.MI6\LOKALE~1\Temp\~DF7599.tmp Das Objekt ist gesperrt übersprungen C:\DOKUME~1\FELIXL~1.MI6\LOKALE~1\Temp\~DF766A.tmp Das Objekt ist gesperrt übersprungen C:\DOKUME~1\FELIXL~1.MI6\LOKALE~1\Temp\~DF786.tmp Das Objekt ist gesperrt übersprungen C:\DOKUME~1\FELIXL~1.MI6\LOKALE~1\Temp\~DF79D.tmp Das Objekt ist gesperrt übersprungen C:\DOKUME~1\FELIXL~1.MI6\LOKALE~1\Temp\~DF7B0.tmp Das Objekt ist gesperrt übersprungen C:\DOKUME~1\FELIXL~1.MI6\LOKALE~1\Temp\~DF95ED.tmp Das Objekt ist gesperrt übersprungen C:\DOKUME~1\FELIXL~1.MI6\LOKALE~1\Temp\~DF9944.tmp Das Objekt ist gesperrt übersprungen C:\DOKUME~1\FELIXL~1.MI6\LOKALE~1\Temp\~DF9957.tmp Das Objekt ist gesperrt übersprungen C:\DOKUME~1\FELIXL~1.MI6\LOKALE~1\Temp\~DF996E.tmp Das Objekt ist gesperrt übersprungen C:\DOKUME~1\FELIXL~1.MI6\LOKALE~1\Temp\~DF9981.tmp Das Objekt ist gesperrt übersprungen C:\DOKUME~1\FELIXL~1.MI6\LOKALE~1\Temp\~DF9998.tmp Das Objekt ist gesperrt übersprungen C:\DOKUME~1\FELIXL~1.MI6\LOKALE~1\Temp\~DF99AB.tmp Das Objekt ist gesperrt übersprungen C:\DOKUME~1\FELIXL~1.MI6\LOKALE~1\Temp\~DF99C2.tmp Das Objekt ist gesperrt übersprungen C:\DOKUME~1\FELIXL~1.MI6\LOKALE~1\Temp\~DF99D5.tmp Das Objekt ist gesperrt übersprungen C:\DOKUME~1\FELIXL~1.MI6\LOKALE~1\Temp\~DF9BE9.tmp Das Objekt ist gesperrt übersprungen Die Untersuchung wurde abgeschlossen. |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Zitat
__________
MfG Sabina
rund um die PC-Sicherheit