Trojan.Proxy.Horst.AX infizier?. Kann nicht gesäubert werden!

Thema ist geschlossen!
Thema ist geschlossen!
#0
10.05.2006, 08:18
...neu hier

Beiträge: 6
#1 Guten Morgen, Sabina!
Wie empfohlen habe ich hier die Logs angehängt. Bis dato wird ausgehender Traffic geblockt, es gibt unregelmäßige Versuche, nach draussen zu senden, von Dateien mit Varianten des Namens 33exmodul32.exe. Der BitDefender findet diverse Trojan.Bankfraud und Trojan .Loader verseuchte Dateien, ohne diese beseitigen zu können. Außerdem hat er heute morgen erstmals den Virus Trojan.Proxy.Horst.AX gefunden und geblockt, aber nicht beseitigt.
Über Hilfe freue ich mich sehr!
Vielen Dank!
Björn


Logfile of HijackThis v1.99.1
Scan saved at 07:37:37, on 10.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\PROGRA~1\EzButton\CPLBTS88.EXE
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\PROGRA~1\softwin\BITDEF~1\bdswitch.exe
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Softwin\BitDefender9\bdoesrv.exe
C:\PROGRA~1\softwin\BITDEF~1\bdnagent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\YzShadow\YzShadow.exe
C:\WINDOWS\Alt+Q Hotkey.exe
C:\Programme\WinRoll\winroll.exe
C:\Programme\UberIcon\UberIcon Manager.exe
C:\Programme\802.11 Wireless LAN\802.11b Wireless Cardbus & PCI Adapter HW.11 V1.20\WlanCU.exe
C:\Programme\TopDesk\topdesk.exe
C:\Programme\Yz Dock\YzDock.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\Dahumm\LOKALE~1\Temp\56exmodul32.exe
C:\Programme\totalcmd\TOTALCMD.EXE
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender9\vsserv.exe
c:\progra~1\softwin\bitdef~1\bdmcon.exe
c:\Downloads\Tools\Virus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Microsoft Configuration - {40205287-E793-41AC-B95C-D8D064BA33CA} - C:\WINDOWS\system32\mscfg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [CPLBTS88] C:\PROGRA~1\EzButton\CPLBTS88.EXE
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [BDSwitchAgent] "c:\progra~1\softwin\bitdef~1\bdswitch.exe"
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [TopDesk] C:\Downloads\TopDesk\topdesk.exe
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Programme\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [System Files Updater] C:\WINDOWS\FlyakiteOSX\Tools\System Files Updater.exe /S
O4 - HKLM\..\Run: [BDMCon] c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] "C:\Programme\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "c:\progra~1\softwin\bitdef~1\bdnagent.exe"
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKCU\..\Run: [Yz Shadow] C:\Programme\YzShadow\YzShadow.exe
O4 - HKCU\..\Run: [Alt+Q Hotkey Tool] C:\WINDOWS\Alt+Q Hotkey.exe
O4 - HKCU\..\Run: [WinRoll] C:\Programme\WinRoll\winroll.exe
O4 - HKCU\..\Run: [UberIcon] "C:\Programme\UberIcon\UberIcon Manager.exe"
O4 - Startup: topdesk.lnk = C:\Programme\TopDesk\topdesk.exe
O4 - Startup: YzDock.lnk = C:\Programme\Yz Dock\YzDock.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: VPN Client.lnk = ?
O4 - Global Startup: Wireless Configuration Utility.lnk = C:\Programme\802.11 Wireless LAN\802.11b Wireless Cardbus & PCI Adapter HW.11 V1.20\WlanCU.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O20 - Winlogon Notify: MCPClient - C:\PROGRA~1\GEMEIN~1\Stardock\mcpstub.dll
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)



Log von datfind:
Verzeichnis von c:\

10.05.2006 08:08 0 dirdat.txt
10.05.2006 08:03 535.875.584 hiberfil.sys
10.05.2006 08:03 805.306.368 pagefile.sys
18.03.2006 03:25 157 error.txt
27.01.2006 00:16 356 INSTALL.LOG
26.01.2006 20:33 212 boot.ini
15.12.2005 23:06 357 ifaplog.txt
15.12.2005 02:38 10 eqg_h0024.txt
12.12.2005 22:37 0 MSDOS.SYS
12.12.2005 22:37 0 CONFIG.SYS
12.12.2005 22:37 0 IO.SYS
12.12.2005 22:37 0 AUTOEXEC.BAT
31.12.2002 14:00 251.184 ntldr
31.12.2002 14:00 47.564 NTDETECT.COM
31.12.2002 14:00 4.952 bootfont.bin
15 Datei(en) 1.341.486.744 Bytes
0 Verzeichnis(se), 1.008.451.584 Bytes frei
Datentr„ger in Laufwerk C: ist HD C
Volumeseriennummer: 184A-24DD

Verzeichnis von C:\WINDOWS\system32

10.05.2006 08:04 43.573 nvapps.xml
10.05.2006 07:35 31 getfile.dat
09.05.2006 16:48 2.206 wpa.dbl
08.05.2006 19:09 2.368 SVKP.sys
06.05.2006 14:10 53.248 mscfg.dll
18.04.2006 13:11 73.728 sockspy.dll
18.04.2006 13:09 77.824 xcomm.dll
18.04.2006 11:17 0 009EB5F8_kds.xml
06.04.2006 21:48 5.143.456 MRT.exe
30.03.2006 11:26 1.544.704 shdocvw.dll
30.03.2006 03:16 18.944 xpsp3res.dll
28.03.2006 17:18 311.802 perfh009.dat
28.03.2006 17:18 40.190 perfc009.dat
28.03.2006 17:18 316.838 perfh007.dat
28.03.2006 17:18 48.354 perfc007.dat
28.03.2006 17:18 723.744 PerfStringBackup.INI
23.03.2006 22:34 3.153.408 mshtml.dll
18.03.2006 13:09 626.176 urlmon.dll
18.03.2006 02:58 21.840 SIntfNT.dll
18.03.2006 02:58 17.212 SIntf32.dll
18.03.2006 02:58 12.067 SIntf16.dll
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.296.448 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
06.03.2006 20:22 2.139.264 ntoskrnl.exe
06.03.2006 20:22 2.016.768 ntkrnlpa.exe
06.03.2006 20:13 219.648 uxtheme.dll
05.03.2006 06:40 4.361.728 logonuiX.exe
04.03.2006 05:34 664.064 wininet.dll
04.03.2006 05:34 474.624 shlwapi.dll
04.03.2006 05:34 39.424 pngfilt.dll
04.03.2006 05:34 532.480 mstime.dll
04.03.2006 05:34 448.512 mshtmled.dll
04.03.2006 05:34 146.432 msrating.dll
04.03.2006 05:34 96.768 inseng.dll
04.03.2006 05:34 55.808 extmgr.dll
04.03.2006 05:34 205.312 dxtrans.dll
04.03.2006 05:34 1.056.256 danim.dll
04.03.2006 05:34 251.392 iepeers.dll
04.03.2006 05:34 152.064 cdfview.dll
04.03.2006 05:34 1.014.784 browseui.dll
25.02.2006 14:10 4.361.728 RCX3.tmp
25.02.2006 13:47 1.100 d3d8caps.dat
24.02.2006 17:58 664 d3d9caps.dat
21.02.2006 22:12 16 servdat.slm
21.02.2006 11:54 87 ssprs.tgz
21.02.2006 11:54 73 ssprs.dll
21.02.2006 11:54 354 lsprst7.tgz
21.02.2006 11:54 340 lsprst7.dll
05.02.2006 06:40 1.759 oeminfo.ini
05.02.2006 06:27 83.046 oemlogo.bmp


Verzeichnis von C:\WINDOWS

10.05.2006 08:07 7.814 uedit32.INI
10.05.2006 08:06 2.600 wincmd.ini
10.05.2006 08:03 0 0.log
10.05.2006 08:03 2.048 bootstat.dat
10.05.2006 08:00 27.948 SchedLgU.Txt
10.05.2006 08:00 1.175.162 WindowsUpdate.log
10.05.2006 07:35 764 win.ini
09.05.2006 20:28 830.614 setupapi.log
07.05.2006 21:54 155 winamp.ini
06.05.2006 02:27 24.775 wmsetup.log
06.05.2006 02:27 316.640 WMSysPr9.prx
03.05.2006 17:27 7.425 mozver.dat
01.05.2006 21:47 182.891 setupact.log
27.04.2006 09:01 2.213 Active Setup Log.txt
25.04.2006 21:44 1.558 Active Setup Log.BAK
25.04.2006 21:28 348.719 iis6.log
25.04.2006 21:28 108.319 comsetup.log
25.04.2006 21:28 63.941 ntdtcsetup.log
25.04.2006 21:28 137.132 tsoc.log
25.04.2006 21:28 1.374 imsins.log
25.04.2006 21:28 15.247 tabletoc.log
25.04.2006 21:28 16.275 ocmsn.log
25.04.2006 21:28 17.693 KB900485.log
25.04.2006 21:28 51.525 netfxocm.log
25.04.2006 21:28 20.612 MedCtrOC.log
25.04.2006 21:28 145.952 ocgen.log
25.04.2006 21:28 14.506 msgsocm.log
25.04.2006 21:28 289.761 FaxSetup.log
25.04.2006 21:27 94.666 msmqinst.log
14.04.2006 16:04 1.374 imsins.BAK
14.04.2006 16:04 21.079 KB912812.log
14.04.2006 16:04 18.212 updspapi.log
14.04.2006 16:03 14.926 KB911567.log
14.04.2006 12:00 11.783 KB908531.log
14.04.2006 11:59 11.484 KB911562.log
12.04.2006 21:46 26 fiupd.bat
12.04.2006 08:08 24 AM_D7.PRF
10.04.2006 10:57 1.132.776 ntbtlog.txt
24.03.2006 20:35 24 LogonStudio.ini
21.03.2006 23:57 50 wiaservc.log
21.03.2006 23:56 403 wiadebug.log
06.03.2006 20:23 15.114 RestoreFlyakiteOSX.txt
05.03.2006 07:44 116 NeroDigital.ini
21.02.2006 22:13 146 txtuser.txt
21.02.2006 22:13 28 txtuser.log
19.02.2006 18:45 923 spupdsvc.log
19.02.2006 18:33 10.738 KB911927.log
19.02.2006 18:33 9.780 KB911564.log
19.02.2006 18:31 6.702 KB913446.log
19.02.2006 18:17 11.089 KB911565.log
04.02.2006 14:31 65 UEDIT32
01.02.2006 01:02 296 rlw32.ini


Verzeichnis von C:\DOKUME~1\Dahumm\LOKALE~1\Temp

10.05.2006 08:07 66.560 96exmodul32.exe
10.05.2006 08:04 49.152 tmp1.tmp

2 Datei(en) 115.712 Bytes
0 Verzeichnis(se), 1.059.831.808 Bytes frei


Besten Gruß und vielen Dank!
Seitenanfang Seitenende
10.05.2006, 10:42
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Dahumm

Info:
http://virus-protect.org/artikel/dienste/nvsvcd.html

------------------------------------------------------------------------
1.
Start<Ausfuehren --> schreib rein: cmd
dann kopiere rein: (nach jedem mit "yes" oder "ja" bestaetigen

del c:\ *.tmp

del %temp%\*.tmp /f

del %windir%\prefetch\*.*

del %windir%\temp\*.* /f

del C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\*.* /f

del %temp%

-------------------------------------------------------------------------
2.
klick Start -> Ausführen>> schreibe rein: Services.msc und Klick OK!
"Eigenschaften" >> klick "Stop" >> Starttyp "deaktiviert"

Windows Log

-------------------------------------------------------------------------
3.
Start --> Ausführen --> reinkopieren (wenn eine Fehlermeldung kommt...ignorieren) --> klicke O.K.

sc delete Windows Log

-------------------------------------------------------------------------
4.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_LOG\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Log]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log]
------------------------------------------------------------------------------------
5.
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ............

C:\DOKUME~1\Dahumm\LOKALE~1\Temp\96exmodul32.exe
C:\DOKUME~1\Dahumm\LOKALE~1\Temp\tmp1.tmp
C:\WINDOWS\system\smss.exe
C:\WINDOWS\system32\nvsvcd.exe
C:\WINDOWS\fiupd.bat
C:\WINDOWS\system32\mscfg.dll

PC neustarten

6..
öffne das HijackThis -- Button "scan" -- vor die Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: Microsoft Configuration - {40205287-E793-41AC-B95C-D8D064BA33CA} - C:\WINDOWS\system32\mscfg.dll

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKCU\..\Run: [Yz Shadow] C:\Programme\YzShadow\YzShadow.exe
O4 - HKCU\..\Run: [WinRoll] C:\Programme\WinRoll\winroll.exe
O4 - HKCU\..\Run: [UberIcon] "C:\Programme\UberIcon\UberIcon Manager.exe"
O4 - Startup: topdesk.lnk = C:\Programme\TopDesk\topdesk.exe
O4 - Startup: YzDock.lnk = C:\Programme\Yz Dock\YzDock.exe
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe (file missing)
**
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).

**
Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry beifuegen

**
Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

---------

boote wieder in den normalmodus

**
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

**
scanne mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.05.2006, 08:58
...neu hier

Themenstarter

Beiträge: 6
#3 Guten Morgen, Sabina!
Zunächst herzlichen Dank für die detaillierte Anleitung! Diese Schritte abzuarbeiten, ist ja schon nicht trivial, sie aber zuerstellen ist ne klasse Leistung! Nochmals Danke!
Habe den Kaspersky-Online Scanner laufen lassen, und dieser hat nur noch Viren in den gelöschten Objekten meines Thunderbirds sowie eine smss.exe in dem Quarantäne-Ordner der KillBox gefunden. Kann ich diesen nun auch ersatzlos löschen?

Scan Statistics:
Total number of scanned objects: 1161
Number of viruses found: 1
Number of infected objects: 1
Number of suspicious objects: 0
Duration of the scan process: 00:01:26

Infected Object Name / Virus Name / Last Action
C:\!KillBox\smss.exe Infected: Trojan-Downloader.Win32.Zlob.nr skipped

Ein großes Hallo und herzlichen Dank!
Björn
Seitenanfang Seitenende
11.05.2006, 13:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 loesche:

C:\!KillBox\smss.exe

RootkitRevealer - poste das Log
http://www.sysinternals.com/Utilities/RootkitRevealer.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.05.2006, 19:29
...neu hier

Themenstarter

Beiträge: 6
#5 Hallo Sabina!
Das sich das Ganze als derart zeitaufwändig erweist, hätte ich nicht gedacht! Und ohne Dich hätte ich das sicher auch nicht hinbekommen!
Hier aber nochmal das Log des RootkitRevealers, einige Einträge sind tatsächlich vorhanden. Obs Malware ist, kannst Du sicher besser beurteilen.

HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 13.12.2005 02:09 0 bytes Access is denied.
C:\Dokumente und Einstellungen\Dahumm\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\9wrj7e8f.default\Cache\0299A23Ad01 12.05.2006 19:02 23.36 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Dahumm\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\9wrj7e8f.default\Cache\029AA23Ad01 12.05.2006 19:02 20.38 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Dahumm\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\9wrj7e8f.default\Cache\22F7E042d01 12.05.2006 19:02 42.25 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Dahumm\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\9wrj7e8f.default\Cache\A103B231d01 12.05.2006 19:04 3.30 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Dahumm\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\9wrj7e8f.default\Cache\A10AF33Bd01 12.05.2006 19:03 29.29 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Dahumm\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\9wrj7e8f.default\Cache\D02835CCd01 12.05.2006 19:02 22.70 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Dahumm\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\9wrj7e8f.default\Cache\F142FEF4d01 12.05.2006 19:02 25.07 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Dahumm\Lokale Einstellungen\Temporary Internet Files\Content.IE5\21O3G903\search[1].txt 12.05.2006 19:05 342 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Dahumm\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KDU70HMV\GMXX0028[12].txt 12.05.2006 19:05 1.16 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Dahumm\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KDU70HMV\search[1].txt 12.05.2006 00:02 342 bytes Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\Resources\Themes\JetBlack\ test.theme 17.01.1660 19:58 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\Resources\Themes\JetBlack\test.theme 19.01.30030 08:45 0 bytes Hidden from Windows API.


Vielen Dank und lieben Gruß!
Björn
Seitenanfang Seitenende
13.05.2006, 00:38
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Dahumm

loesche mit der Killbox:

C:\Dokumente und Einstellungen\Dahumm\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\9wrj7e8f.default\Cache\0299A23Ad01
C:\Dokumente und Einstellungen\Dahumm\Lokale Einstellungen\Temporary Internet Files\Content.IE5\21O3G903\search[1].txt
C:\Dokumente und Einstellungen\Dahumm\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KDU70HMV\GMXX0028[12].txt
C:\Dokumente und Einstellungen\Dahumm\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\9wrj7e8f.default\Cache\22F7E042d01
C:\Dokumente und Einstellungen\Dahumm\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\9wrj7e8f.default\Cache\A103B231d01
C:\Dokumente und Einstellungen\Dahumm\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\9wrj7e8f.default\Cache\A10AF33Bd01
C:\Dokumente und Einstellungen\Dahumm\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\9wrj7e8f.default\Cache\D02835CCd01
C:\Dokumente und Einstellungen\Dahumm\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\9wrj7e8f.default\Cache\F142FEF4d01

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

PC neustarten

wende Cleanup im abgesichertem Modus an.
http://virus-protect.org/cleanup.html

PC neustarten

poste das Log ;)
http://virus-protect.org/registry_stuff.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.05.2006, 21:35
...neu hier

Themenstarter

Beiträge: 6
#7 Hi Sabina!
Hier das Logfile der Batch find_stuff:



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000001
"DoNotAllowExceptions"=dword:00000000
"DisableNotifications"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"="C:\\Programme\\Nero\\Nero 7\\Nero Home\\NeroHome.exe:*;)isabled:Nero Home"
"C:\\Programme\\eMule\\emule.exe"="C:\\Programme\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Programme\\Azureus\\Azureus.exe"="C:\\Programme\\Azureus\\Azureus.exe:*:Enabled:Azureus"
"C:\\Spiele\\Line of Sight - Vietnam\\Vietnam.exe"="C:\\Spiele\\Line of Sight - Vietnam\\Vietnam.exe:*;)isabled:Vietnam"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"C:\\Programme\\Java\\jre1.5.0_06\\bin\\javaw.exe"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\javaw.exe:*:Enabled:Java(TM) 2 Platform Standard Edition binary"
"C:\\Programme\\HeartSim4000 Demo\\Hs3kHost.exe"="C:\\Programme\\HeartSim4000 Demo\\Hs3kHost.exe:*;)isabled:Hs3kHost"
"C:\\Programme\\Laerdal Medical\\HeartSim4000\\Hs3kHost.exe"="C:\\Programme\\Laerdal Medical\\HeartSim4000\\Hs3kHost.exe:*:Enabled:Hs3kHost"
"C:\\Programme\\Mozilla Firefox\\firefox.exe"="C:\\Programme\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox"
"C:\\Programme\\QuickTime\\QuickTimePlayer.exe"="C:\\Programme\\QuickTime\\QuickTimePlayer.exe:*:Enabled:QuickTime Player"
"C:\\WINDOWS\\system32\\svchost.exe"="C:\\WINDOWS\\system32\\svchost.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Dahumm\\LOKALE~1\\Temp\\45exmodul32.exe"="C:\\DOKUME~1\\Dahumm\\LOKALE~1\\Temp\\45exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Dahumm\\LOKALE~1\\Temp\\19exmodul32.exe"="C:\\DOKUME~1\\Dahumm\\LOKALE~1\\Temp\\19exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Dahumm\\LOKALE~1\\Temp\\8exmodul32.exe"="C:\\DOKUME~1\\Dahumm\\LOKALE~1\\Temp\\8exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Dahumm\\LOKALE~1\\Temp\\18exmodul32.exe"="C:\\DOKUME~1\\Dahumm\\LOKALE~1\\Temp\\18exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Dahumm\\LOKALE~1\\Temp\\4exmodul32.exe"="C:\\DOKUME~1\\Dahumm\\LOKALE~1\\Temp\\4exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Dahumm\\LOKALE~1\\Temp\\6exmodul32.exe"="C:\\DOKUME~1\\Dahumm\\LOKALE~1\\Temp\\6exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Dahumm\\LOKALE~1\\Temp\\33exmodul32.exe"="C:\\DOKUME~1\\Dahumm\\LOKALE~1\\Temp\\33exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Dahumm\\LOKALE~1\\Temp\\39exmodul32.exe"="C:\\DOKUME~1\\Dahumm\\LOKALE~1\\Temp\\39exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Dahumm\\LOKALE~1\\Temp\\88exmodul32.exe"="C:\\DOKUME~1\\Dahumm\\LOKALE~1\\Temp\\88exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Dahumm\\LOKALE~1\\Temp\\16exmodul32.exe"="C:\\DOKUME~1\\Dahumm\\LOKALE~1\\Temp\\16exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Dahumm\\LOKALE~1\\Temp\\87exmodul32.exe"="C:\\DOKUME~1\\Dahumm\\LOKALE~1\\Temp\\87exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Dahumm\\LOKALE~1\\Temp\\56exmodul32.exe"="C:\\DOKUME~1\\Dahumm\\LOKALE~1\\Temp\\56exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Dahumm\\LOKALE~1\\Temp\\96exmodul32.exe"="C:\\DOKUME~1\\Dahumm\\LOKALE~1\\Temp\\96exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Dahumm\\LOKALE~1\\Temp\\84exmodul32.exe"="C:\\DOKUME~1\\Dahumm\\LOKALE~1\\Temp\\84exmodul32.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Dahumm\\LOKALE~1\\Temp\\94exmodul32.exe"="C:\\DOKUME~1\\Dahumm\\LOKALE~1\\Temp\\94exmodul32.exe:*:Enabled:Microsoft Update"


Sag mal, ne grundsätzliche Frage: ermöglichen die Logs, die hier veröffentlich werden, selber potentiellen Angreifern die Möglichkeit, eine Hintertür zu finden?
Wie sensibel sind denn die Daten, die ich hier dem Netz zur Verfügung stelle?

Vielen Dank!
Björn
Seitenanfang Seitenende
16.05.2006, 00:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Dahumm

um die Daten brauchst du dir keine Sorgen zu machen... verseucht ist/war der Rechner allemal und nur, wer ihn dir verseucht hat...kennt sich auf deinem PC aus.
Andere koennen mit den Daten nichts anfangen.
Dennoch werde ich am Ende das Stuff-Log loeschen.

1. gehe in die Registry
Start-Ausfuehren - regedit
bearbeiten - suchen-

45exmodul32.exe
19exmodul32.exe
8exmodul32.exe
18exmodul32.exe
4exmodul32.exe

usw....

suche alle diese exe [siehe unten] und loesche sie aus der registry

b)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled"=dword:00000001 -> auf 0 aedern

--------------------------------------------------------------------

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:

C:\Dokumente und Einstellungen\Dahumm\LokaleEinstellungen\\Temp\45exmodul32.exe
C:\Dokumente und Einstellungen\Dahumm\Lokale Einstellungen\Temp\19exmodul32.exe
C:\Dokumente und Einstellungen\Dahumm\Lokale Einstellungen\Temp\8exmodul32.exe
C:\Dokumente und Einstellungen\Dahumm\Lokale Einstellungen\Temp\18exmodul32.exe
C:\Dokumente und Einstellungen\Dahumm\Lokale Einstellungen\Temp\4exmodul32.exe
C:\Dokumente und Einstellungen\Dahumm\Lokale Einstellungen\Temp\6exmodul32.exe
C:\Dokumente und Einstellungen\Dahumm\Lokale Einstellungen\Temp\33exmodul32.exe
C:\Dokumente und Einstellungen\Dahumm\Lokale Einstellungen\Temp\39exmodul32.exe
C:\Dokumente und Einstellungen\Dahumm\Lokale Einstellungen\Temp\88exmodul32.exe
C:\Dokumente und Einstellungen\Dahumm\Lokale Einstellungen\Temp\16exmodul32.exe
C:\Dokumente und Einstellungen\Dahumm\Lokale Einstellungen\Temp\87exmodul32.exe
C:\Dokumente und Einstellungen\Dahumm\Lokale Einstellungen\Temp\56exmodul32.exe
C:\Dokumente und Einstellungen\Dahumm\Lokale Einstellungen\Temp\96exmodul32.exe
C:\Dokumente und Einstellungen\Dahumm\Lokale Einstellungen\Temp\84exmodul32.exe
C:\Dokumente und Einstellungen\Dahumm\Lokale Einstellungen\Temp\94exmodul32.exe
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

poste den report vom Avenger
+
das neue Log vom Stuff
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.05.2006, 08:24
...neu hier

Themenstarter

Beiträge: 6
#9 Guten Morgen, Sabina!
Danke für die schnelle Antwort und die Beruhigung zum Thema Daten-Sensibilität. Ich hoffe, der Spuk ist bald vorbei! :o)

edit Sabina

So! So Laienhaft würde ich sagen, dass das gar nicht so schlecht aussieht, oder? Das wär doch mal was! :o)
Uijuijui! :o)
Lieben Gruß und vielen Dank!
Björn
Seitenanfang Seitenende
03.09.2006, 19:19
Member

Beiträge: 23
#10 hm irgendwie hab ich auch des ding ;) hab aber nicht das glück ihn entfernen zu können bzw habs nicht geschafft :*(



das schlimme is das teil verschickt über 100 emails am tag ka wohin usw wurde deswegen schon gesperrt vom provider
dies is die log von hijackthis ;)



Logfile of HijackThis v1.99.1
Scan saved at 19:16:58, on 03.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\progra~1\softwin\bitdef~1\bdnagent.exe
C:\progra~1\softwin\bitdef~1\bdswitch.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Steam\Steam.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender9\vsserv.exe
c:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\las0rine\Desktop\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [BDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] "c:\progra~1\softwin\bitdef~1\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "c:\progra~1\softwin\bitdef~1\bdswitch.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?24399cb1aeca4a6885edf4a3965ce171
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?24399cb1aeca4a6885edf4a3965ce171
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1155246749437
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

hab wirklich versucht des selbe zu amchen wie dahumm aber bin irgendwie gescheitert

need help ;)
Seitenanfang Seitenende
03.09.2006, 19:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 las0r

Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.09.2006, 19:54
Member

Beiträge: 23
#12 der rechner is ja erst vor kurzen neu installiert worden wird nicht viel drin stehen

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 704C-0D1B

Verzeichnis von C:\DOKUME~1\las0rine\LOKALE~1\Temp

03.09.2006 19:19 16.384 ~DF8A1F.tmp
03.09.2006 19:19 512 ~DF8A08.tmp
03.09.2006 19:19 512 ~DF8A33.tmp
03.09.2006 19:19 16.384 ~DF89F4.tmp
03.09.2006 19:19 16.384 ~DF89C9.tmp
03.09.2006 19:19 16.384 ~DF899E.tmp
03.09.2006 19:19 512 ~DF89B2.tmp
03.09.2006 19:19 512 ~DF89DD.tmp
03.09.2006 19:19 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}1087.html
03.09.2006 19:19 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}21067.html
03.09.2006 19:12 0 subC1D.tmp
03.09.2006 19:12 294 xmlC1C.tmp
03.09.2006 19:12 16.384 ~DFCD67.tmp
03.09.2006 19:12 512 ~DFA5DF.tmp
03.09.2006 19:12 16.384 ~DFA5CB.tmp
03.09.2006 07:20 24.570 hpodvd09.log
16 Datei(en) 127.689 Bytes
0 Verzeichnis(se), 51.741.724.672 Bytes frei



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 704C-0D1B

Verzeichnis von C:\WINDOWS

03.09.2006 14:01 1.406.788 WindowsUpdate.log
03.09.2006 14:01 54.538 iis6.log
03.09.2006 14:01 128.201 comsetup.log
03.09.2006 14:01 75.944 ntdtcsetup.log
03.09.2006 14:01 135.712 tsoc.log
03.09.2006 14:01 1.355 imsins.log
03.09.2006 14:01 19.353 ocmsn.log
03.09.2006 14:01 109.390 KB917734.log
03.09.2006 14:01 7.394 wmsetup.log
03.09.2006 14:01 172.149 ocgen.log
03.09.2006 14:01 17.557 msgsocm.log
03.09.2006 14:01 345.402 FaxSetup.log
03.09.2006 14:01 522.781 setupapi.log
03.09.2006 07:25 177.185 setupact.log
03.09.2006 07:21 0 0.log
03.09.2006 07:21 159 wiadebug.log
03.09.2006 07:21 50 wiaservc.log
03.09.2006 07:21 2.048 bootstat.dat
03.09.2006 07:20 32.346 SchedLgU.Txt
03.09.2006 00:03 116 NeroDigital.ini
30.08.2006 16:53 379 wmsetup10.log
30.08.2006 16:48 316.640 WMSysPr9.prx
18.08.2006 03:04 758 win.ini
17.08.2006 20:21 8.351 WgaNotify.log
12.08.2006 22:40 214 HP_48BitScanUpdatePatch.ini
12.08.2006 19:49 206 HPGdiPlus.ini
12.08.2006 19:48 221 HP_RedboxHprblog_HPSU.ini
11.08.2006 16:53 923 spupdsvc.log
11.08.2006 10:53 1.374 imsins.BAK



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 704C-0D1B

Verzeichnis von C:\

03.09.2006 19:55 0 sys.txt
03.09.2006 19:55 7.944 system.txt
03.09.2006 19:53 1.126 systemtemp.txt
03.09.2006 19:52 94.157 system32.txt
03.09.2006 07:21 805.306.368 pagefile.sys
04.08.2006 22:42 0 AUTOEXEC.BAT
04.08.2006 22:42 0 CONFIG.SYS
04.08.2006 22:42 0 IO.SYS
04.08.2006 22:42 0 MSDOS.SYS
04.08.2006 22:36 211 boot.ini
28.02.2006 14:00 4.952 bootfont.bin
28.02.2006 14:00 47.564 NTDETECT.COM
28.02.2006 14:00 251.184 ntldr
13 Datei(en) 805.713.506 Bytes
0 Verzeichnis(se), 51.741.712.384 Bytes frei



so
Seitenanfang Seitenende
03.09.2006, 20:03
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
Seitenanfang Seitenende
03.09.2006, 20:07
Member

Beiträge: 23
#14 las0rine - 06-09-03 20:06:23,78
ComboFix 06.08.30BT - Running from: C:\Programme\Mozilla Firefox

((((((((((((((((((((((((((((((( Files Created from 2006-08-03 to 2006-09-03 ))))))))))))))))))))))))))))))))))


2006-08-18 02:20 178,408 --a------ C:\WINDOWS\system32\muweb.dll
2006-08-18 02:20 128,232 --a------ C:\WINDOWS\system32\mucltui.dll
2006-08-11 09:06 94,208 --a------ C:\WINDOWS\system32\HPZipt12.dll
2006-08-11 09:06 69,632 --a------ C:\WINDOWS\system32\HPZipm12.exe
2006-08-11 09:06 61,440 --a------ C:\WINDOWS\system32\HPZinw12.exe
2006-08-11 09:06 57,344 --a------ C:\WINDOWS\system32\HPZisn12.dll
2006-08-11 09:06 278,584 --a------ C:\WINDOWS\system32\HPZidr12.dll
2006-08-11 09:06 204,800 --a------ C:\WINDOWS\system32\HPZipr12.dll
2006-08-11 09:03 606,208 -ra------ C:\WINDOWS\system32\hpotscl.dll
2006-08-11 09:03 278,528 -ra------ C:\WINDOWS\system32\hpgwiamd.dll
2006-08-11 09:03 274,432 -ra------ C:\WINDOWS\system32\HPZc3212.dll
2006-08-11 09:03 258,122 -ra------ C:\WINDOWS\system32\hpovst08.dll
2006-08-11 00:13 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2006-08-10 23:53 18,200 --a------ C:\WINDOWS\system32\wups2.dll
2006-08-10 23:49 208,896 --a------ C:\WINDOWS\system32\nvudisp.exe
2006-08-10 22:55 24,816 --a------ C:\WINDOWS\system32\mdimon.dll
2006-08-04 23:31 4,529,408 --a------ C:\WINDOWS\system32\nv4_disp.dll
2006-08-04 23:30 77,312 --a------ C:\WINDOWS\system32\usbui.dll
2006-08-04 23:29 86,556 --a------ C:\WINDOWS\system32\dgsetup.dll
2006-08-04 23:29 8,704 --a------ C:\WINDOWS\system32\batt.dll
2006-08-04 23:29 8,192 -ra------ C:\WINDOWS\system32\kbdhept.dll
2006-08-04 23:29 76,288 --a------ C:\WINDOWS\system32\storprop.dll
2006-08-04 23:29 70,144 --a------ C:\WINDOWS\NOTEPAD.EXE
2006-08-04 23:29 7,168 -ra------ C:\WINDOWS\system32\kbdcz.dll
2006-08-04 23:29 6,656 -ra------ C:\WINDOWS\system32\kbdycl.dll
2006-08-04 23:29 6,656 -ra------ C:\WINDOWS\system32\kbdsl1.dll
2006-08-04 23:29 6,656 -ra------ C:\WINDOWS\system32\kbdsl.dll
2006-08-04 23:29 6,656 -ra------ C:\WINDOWS\system32\kbdpl.dll
2006-08-04 23:29 6,656 -ra------ C:\WINDOWS\system32\kbdhu.dll
2006-08-04 23:29 6,656 -ra------ C:\WINDOWS\system32\kbdhela3.dll
2006-08-04 23:29 6,656 -ra------ C:\WINDOWS\system32\kbdcz2.dll
2006-08-04 23:29 6,656 -ra------ C:\WINDOWS\system32\kbdcz1.dll
2006-08-04 23:29 6,656 -ra------ C:\WINDOWS\system32\kbdcr.dll
2006-08-04 23:29 6,656 -ra------ C:\WINDOWS\system32\KBDAL.DLL
2006-08-04 23:29 6,144 -ra------ C:\WINDOWS\system32\kbdtuq.dll
2006-08-04 23:29 6,144 -ra------ C:\WINDOWS\system32\kbdtuf.dll
2006-08-04 23:29 6,144 -ra------ C:\WINDOWS\system32\kbdlv1.dll
2006-08-04 23:29 6,144 -ra------ C:\WINDOWS\system32\kbdlv.dll
2006-08-04 23:29 6,144 -ra------ C:\WINDOWS\system32\kbdhela2.dll
2006-08-04 23:29 6,144 -ra------ C:\WINDOWS\system32\kbdgkl.dll
2006-08-04 23:29 6,144 -ra------ C:\WINDOWS\system32\kbdest.dll
2006-08-04 23:29 5,632 -ra------ C:\WINDOWS\system32\kbdycc.dll
2006-08-04 23:29 5,632 -ra------ C:\WINDOWS\system32\kbduzb.dll
2006-08-04 23:29 5,632 -ra------ C:\WINDOWS\system32\kbdur.dll
2006-08-04 23:29 5,632 -ra------ C:\WINDOWS\system32\kbdtat.dll
2006-08-04 23:29 5,632 -ra------ C:\WINDOWS\system32\kbdru1.dll
2006-08-04 23:29 5,632 -ra------ C:\WINDOWS\system32\kbdru.dll
2006-08-04 23:29 5,632 -ra------ C:\WINDOWS\system32\kbdro.dll
2006-08-04 23:29 5,632 -ra------ C:\WINDOWS\system32\kbdpl1.dll
2006-08-04 23:29 5,632 -ra------ C:\WINDOWS\system32\kbdmon.dll
2006-08-04 23:29 5,632 -ra------ C:\WINDOWS\system32\kbdlt1.dll
2006-08-04 23:29 5,632 -ra------ C:\WINDOWS\system32\kbdlt.dll
2006-08-04 23:29 5,632 -ra------ C:\WINDOWS\system32\kbdkyr.dll
2006-08-04 23:29 5,632 -ra------ C:\WINDOWS\system32\kbdkaz.dll
2006-08-04 23:29 5,632 -ra------ C:\WINDOWS\system32\kbdhu1.dll
2006-08-04 23:29 5,632 -ra------ C:\WINDOWS\system32\kbdhe319.dll
2006-08-04 23:29 5,632 -ra------ C:\WINDOWS\system32\kbdhe220.dll
2006-08-04 23:29 5,632 -ra------ C:\WINDOWS\system32\kbdhe.dll
2006-08-04 23:29 5,632 -ra------ C:\WINDOWS\system32\kbdbu.dll
2006-08-04 23:29 5,632 -ra------ C:\WINDOWS\system32\kbdblr.dll
2006-08-04 23:29 5,632 -ra------ C:\WINDOWS\system32\kbdazel.dll
2006-08-04 23:29 5,632 -ra------ C:\WINDOWS\system32\kbdaze.dll
2006-08-04 23:29 24,661 --a------ C:\WINDOWS\system32\spxcoins.dll
2006-08-04 23:29 176,157 --a------ C:\WINDOWS\system32\dgrpsetu.dll
2006-08-04 23:29 15,872 --a------ C:\WINDOWS\TASKMAN.EXE
2006-08-04 23:29 13,824 --a------ C:\WINDOWS\system32\irclass.dll
2006-08-04 23:29 103,936 --a------ C:\WINDOWS\system32\EqnClass.Dll
2006-08-04 22:54 306,688 --a------ C:\WINDOWS\IsUninst.exe
2006-08-04 22:53 208,896 --a------ C:\WINDOWS\system32\NVUninst.exe
2006-08-04 22:52 7,168 -ra------ C:\WINDOWS\system32\nvack.dll
2006-08-04 22:52 5,120 -ra------ C:\WINDOWS\system32\ALut.dll
2006-08-04 22:52 47,104 -ra------ C:\WINDOWS\system32\nvopenal.dll
2006-08-04 22:52 4,096 --a------ C:\WINDOWS\system32\ksuser.dll
2006-08-04 22:52 29,696 -ra------ C:\WINDOWS\system32\nvasio.dll
2006-08-04 22:52 29,184 -ra------ C:\WINDOWS\system32\NVCOAD.DLL
2006-08-04 22:52 21,504 -ra------ C:\WINDOWS\system32\OpenAL32.dll
2006-08-04 22:52 208,896 --a------ C:\WINDOWS\system32\nvuide.exe
2006-08-04 22:52 208,896 --a------ C:\WINDOWS\system32\nvuaudio.exe
2006-08-04 22:51 208,896 --a------ C:\WINDOWS\system32\nvumctl.exe
2006-08-04 22:51 208,896 --a------ C:\WINDOWS\system32\nvugart.exe
2006-08-04 22:42 0 -rahs---- C:\MSDOS.SYS
2006-08-04 22:42 0 -rahs---- C:\IO.SYS
2006-08-04 22:42 0 --a------ C:\CONFIG.SYS
2006-08-04 22:42 0 --a------ C:\AUTOEXEC.BAT
2006-08-04 22:41 112,128 --a------ C:\WINDOWS\system32\mapi32.dll
2006-08-04 22:39 86,016 --a------ C:\WINDOWS\system32\isign32.dll
2006-08-04 22:39 81,920 --a------ C:\WINDOWS\system32\ils.dll
2006-08-04 22:39 8,192 --a------ C:\WINDOWS\system32\bitsprx2.dll
2006-08-04 22:39 73,728 --a------ C:\WINDOWS\system32\icwdial.dll
2006-08-04 22:39 70,144 --a------ C:\WINDOWS\system32\acctres.dll
2006-08-04 22:39 7,168 --a------ C:\WINDOWS\system32\bitsprx3.dll
2006-08-04 22:39 69,632 --a------ C:\WINDOWS\system32\msconf.dll
2006-08-04 22:39 679,424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-08-04 22:39 67,584 --a------ C:\WINDOWS\system32\srclient.dll
2006-08-04 22:39 65,536 --a------ C:\WINDOWS\system32\icwphbk.dll
2006-08-04 22:39 6,656 --a------ C:\WINDOWS\system32\wuauserv.dll
2006-08-04 22:39 51,712 --a------ C:\WINDOWS\system32\inetres.dll
2006-08-04 22:39 466,200 --a------ C:\WINDOWS\system32\wuapi.dll
2006-08-04 22:39 45,568 --a------ C:\WINDOWS\system32\safrslv.dll
2006-08-04 22:39 44,032 --a------ C:\WINDOWS\system32\racpldlg.dll
2006-08-04 22:39 43,520 --a------ C:\WINDOWS\system32\safrcdlg.dll
2006-08-04 22:39 41,240 --a------ C:\WINDOWS\system32\wups.dll
2006-08-04 22:39 382,464 --a------ C:\WINDOWS\system32\qmgr.dll
2006-08-04 22:39 34,560 --a------ C:\WINDOWS\system32\mnmdd.dll
2006-08-04 22:39 32,768 --a------ C:\WINDOWS\system32\mnmsrvc.exe
2006-08-04 22:39 32,768 --a------ C:\WINDOWS\system32\isrdbg32.dll
2006-08-04 22:39 29,696 --a------ C:\WINDOWS\system32\safrdm.dll
2006-08-04 22:39 282,624 --a------ C:\WINDOWS\system32\inetcfg.dll
2006-08-04 22:39 280,064 --a------ C:\WINDOWS\system32\mstask.dll
2006-08-04 22:39 28,672 --a------ C:\WINDOWS\system32\nmmkcert.dll
2006-08-04 22:39 252,928 --a------ C:\WINDOWS\system32\msoeacct.dll
2006-08-04 22:39 242,176 --a------ C:\WINDOWS\system32\srrstr.dll
2006-08-04 22:39 22,528 --a------ C:\WINDOWS\system32\fltMc.exe
2006-08-04 22:39 194,840 --a------ C:\WINDOWS\system32\wuaueng1.dll
2006-08-04 22:39 192,000 --a------ C:\WINDOWS\system32\schedsvc.dll
2006-08-04 22:39 18,944 --a------ C:\WINDOWS\system32\qmgrprxy.dll
2006-08-04 22:39 174,872 --a------ C:\WINDOWS\system32\wuauclt1.exe
2006-08-04 22:39 173,536 --a------ C:\WINDOWS\system32\wuweb.dll
2006-08-04 22:39 171,008 --a------ C:\WINDOWS\system32\srsvc.dll
2006-08-04 22:39 16,896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-04 22:39 16,384 --a------ C:\WINDOWS\system32\icfgnt5.dll
2006-08-04 22:39 128,280 --a------ C:\WINDOWS\system32\wucltui.dll
2006-08-04 22:39 124,696 --a------ C:\WINDOWS\system32\wuauclt.exe
2006-08-04 22:39 12,288 --a------ C:\WINDOWS\system32\nmevtmsg.dll
2006-08-04 22:39 12,288 --a------ C:\WINDOWS\system32\mstinit.exe
2006-08-04 22:39 11,264 --a------ C:\WINDOWS\system32\atrace.dll
2006-08-04 22:39 105,984 --a------ C:\WINDOWS\system32\msoert2.dll
2006-08-04 22:39 1,343,768 --a------ C:\WINDOWS\system32\wuaueng.dll
2006-08-04 22:38 80,896 --a------ C:\WINDOWS\system32\charmap.exe
2006-08-04 22:38 73,216 --a------ C:\WINDOWS\system32\avwav.dll
2006-08-04 22:38 683,520 --a------ C:\WINDOWS\system32\getuname.dll
2006-08-04 22:38 57,344 --a------ C:\WINDOWS\system32\sol.exe
2006-08-04 22:38 55,808 --a------ C:\WINDOWS\system32\freecell.exe
2006-08-04 22:38 5,632 --a------ C:\WINDOWS\system32\write.exe
2006-08-04 22:38 44,544 --a------ C:\WINDOWS\system32\hticons.dll
2006-08-04 22:38 4,608 --a------ C:\WINDOWS\system32\rdpcfgex.dll
2006-08-04 22:38 35,840 --a------ C:\WINDOWS\system32\winchat.exe
2006-08-04 22:38 33,792 --a------ C:\WINDOWS\system32\regini.exe
2006-08-04 22:38 232,960 --a------ C:\WINDOWS\system32\avtapi.dll
2006-08-04 22:38 22,528 --a------ C:\WINDOWS\system32\qwinsta.exe
2006-08-04 22:38 22,528 --a------ C:\WINDOWS\system32\msg.exe
2006-08-04 22:38 17,920 --a------ C:\WINDOWS\system32\tsshutdn.exe
2006-08-04 22:38 17,408 --a------ C:\WINDOWS\system32\qappsrv.exe
2006-08-04 22:38 16,384 --a------ C:\WINDOWS\system32\tskill.exe
2006-08-04 22:38 16,384 --a------ C:\WINDOWS\system32\rwinsta.exe
2006-08-04 22:38 16,384 --a------ C:\WINDOWS\system32\avmeter.dll
2006-08-04 22:38 15,360 --a------ C:\WINDOWS\system32\tsdiscon.exe
2006-08-04 22:38 15,360 --a------ C:\WINDOWS\system32\tscon.exe
2006-08-04 22:38 15,360 --a------ C:\WINDOWS\system32\shadow.exe
2006-08-04 22:38 139,776 --a------ C:\WINDOWS\system32\sndvol32.exe
2006-08-04 22:38 128,000 --a------ C:\WINDOWS\system32\mshearts.exe
2006-08-04 22:38 120,320 --a------ C:\WINDOWS\system32\winmine.exe
2006-08-04 22:38 114,688 --a------ C:\WINDOWS\system32\calc.exe
2006-08-04 22:38 10,240 --a------ C:\WINDOWS\system32\reset.exe
2006-08-04 22:38 1,237 --a------ C:\WINDOWS\system32\usrlogon.cmd
2006-08-04 22:37 97,792 --a------ C:\WINDOWS\system32\comrepl.dll
2006-08-04 22:37 956,416 --a------ C:\WINDOWS\system32\msdtctm.dll
2006-08-04 22:37 94,720 --a------ C:\WINDOWS\system32\tscfgwmi.dll
2006-08-04 22:37 91,136 --a------ C:\WINDOWS\system32\mtxoci.dll
2006-08-04 22:37 87,176 --a------ C:\WINDOWS\system32\rdpwsx.dll
2006-08-04 22:37 85,504 --a------ C:\WINDOWS\system32\catsrvps.dll
2006-08-04 22:37 67,072 --a------ C:\WINDOWS\system32\rdshost.exe
2006-08-04 22:37 655,360 --a------ C:\WINDOWS\system32\mstscax.dll
2006-08-04 22:37 625,152 --a------ C:\WINDOWS\system32\catsrvut.dll
2006-08-04 22:37 62,464 --a------ C:\WINDOWS\system32\rdpclip.exe
2006-08-04 22:37 61,440 --a------ C:\WINDOWS\system32\remotepg.dll
2006-08-04 22:37 60,416 --a------ C:\WINDOWS\system32\colbact.dll
2006-08-04 22:37 6,144 --a------ C:\WINDOWS\system32\msdtc.exe
2006-08-04 22:37 58,880 --a------ C:\WINDOWS\system32\msdtclog.dll
2006-08-04 22:37 58,880 --a------ C:\WINDOWS\system32\licwmi.dll
2006-08-04 22:37 56,320 --a------ C:\WINDOWS\system32\servdeps.dll
2006-08-04 22:37 540,160 --a------ C:\WINDOWS\system32\comuid.dll
2006-08-04 22:37 54,272 --a------ C:\WINDOWS\system32\stclient.dll
2006-08-04 22:37 539,136 --a------ C:\WINDOWS\system32\spider.exe
2006-08-04 22:37 5,120 --a------ C:\WINDOWS\system32\dcomcnfg.exe
2006-08-04 22:37 498,688 --a------ C:\WINDOWS\system32\clbcatq.dll
2006-08-04 22:37 44,544 --a------ C:\WINDOWS\system32\tscupgrd.exe
2006-08-04 22:37 426,496 --a------ C:\WINDOWS\system32\msdtcprx.dll
2006-08-04 22:37 412,672 --a------ C:\WINDOWS\system32\mstsc.exe
2006-08-04 22:37 4,096 --a------ C:\WINDOWS\system32\mtxex.dll
2006-08-04 22:37 39,424 --a------ C:\WINDOWS\system32\cfgbkend.dll
2006-08-04 22:37 356,352 --a------ C:\WINDOWS\system32\hypertrm.dll
2006-08-04 22:37 346,624 --a------ C:\WINDOWS\system32\mspaint.exe
2006-08-04 22:37 297,472 --a------ C:\WINDOWS\system32\termsrv.dll
2006-08-04 22:37 25,600 --a------ C:\WINDOWS\system32\comaddin.dll
2006-08-04 22:37 25,088 --a------ C:\WINDOWS\system32\mtxlegih.dll
2006-08-04 22:37 225,792 --a------ C:\WINDOWS\system32\catsrv.dll
2006-08-04 22:37 20,480 --a------ C:\WINDOWS\system32\qprocess.exe
2006-08-04 22:37 20,480 --a------ C:\WINDOWS\system32\mtxdm.dll
2006-08-04 22:37 19,968 --a------ C:\WINDOWS\system32\rdpsnd.dll
2006-08-04 22:37 189,440 --a------ C:\WINDOWS\system32\cmprops.dll
2006-08-04 22:37 188,416 --a------ C:\WINDOWS\system32\accwiz.exe
2006-08-04 22:37 17,920 --a------ C:\WINDOWS\system32\mmfutil.dll
2006-08-04 22:37 161,280 --a------ C:\WINDOWS\system32\msdtcuiu.dll
2006-08-04 22:37 15,872 --a------ C:\WINDOWS\system32\logoff.exe
2006-08-04 22:37 15,872 --a------ C:\WINDOWS\system32\cdmodem.dll
2006-08-04 22:37 147,968 --a------ C:\WINDOWS\system32\rdchost.dll
2006-08-04 22:37 147,456 --a------ C:\WINDOWS\system32\comsnap.dll
2006-08-04 22:37 142,848 --a------ C:\WINDOWS\system32\sessmgr.exe
2006-08-04 22:37 133,120 --a------ C:\WINDOWS\system32\sndrec32.exe
2006-08-04 22:37 13,824 --a------ C:\WINDOWS\system32\rdsaddin.exe
2006-08-04 22:37 124,928 --a------ C:\WINDOWS\system32\mplay32.exe
2006-08-04 22:37 110,080 --a------ C:\WINDOWS\system32\clbcatex.dll
2006-08-04 22:37 11,776 --a------ C:\WINDOWS\system32\xolehlp.dll
2006-08-04 22:37 11,264 --a------ C:\WINDOWS\system32\icaapi.dll
2006-08-04 22:37 104,448 --a------ C:\WINDOWS\system32\clipbrd.exe
2006-08-04 22:37 1,267,200 --a------ C:\WINDOWS\system32\comsvcs.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-09-03 20:06 -------- d-------- C:\Programme\Mozilla Firefox
2006-09-03 19:56 -------- d-------- C:\Programme\CleanUp!
2006-09-03 07:21 -------- d-------- C:\Programme\Steam
2006-09-03 07:03 -------- d---s---- C:\Dokumente und Einstellungen\las0rine\Anwendungsdaten\Microsoft
2006-08-30 16:49 -------- d-------- C:\Programme\Windows Media Player
2006-08-18 19:28 -------- d-------- C:\Dokumente und Einstellungen\las0rine\Anwendungsdaten\Ahead
2006-08-17 20:39 -------- d-------- C:\Programme\Windows Live Toolbar
2006-08-17 20:38 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-08-17 20:37 -------- d-------- C:\Programme\MSN Messenger
2006-08-17 20:21 -------- d-------- C:\Dokumente und Einstellungen\las0rine\Anwendungsdaten\MSNInstaller
2006-08-17 07:13 2512 --a------ C:\Dokumente und Einstellungen\las0rine\Anwendungsdaten\AdobeDLM.log
2006-08-17 07:13 0 --a------ C:\Dokumente und Einstellungen\las0rine\Anwendungsdaten\dm.ini
2006-08-15 10:44 -------- d-------- C:\Dokumente und Einstellungen\las0rine\Anwendungsdaten\Adobe
2006-08-15 10:42 -------- d-------- C:\Programme\Gemeinsame Dateien\Adobe
2006-08-15 10:42 -------- d-------- C:\Dokumente und Einstellungen\las0rine\Anwendungsdaten\AdobeUM
2006-08-15 10:42 -------- d-------- C:\Dokumente und Einstellungen\las0rine\Anwendungsdaten\AdobeAUM
2006-08-15 10:41 -------- d-------- C:\Programme\Adobe
2006-08-15 10:39 -------- d-------- C:\Programme\Yahoo!
2006-08-15 10:34 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-08-12 22:40 2128 --a------ C:\Dokumente und Einstellungen\las0rine\Anwendungsdaten\HPSU_48BitScanUpdate.log
2006-08-12 22:35 6839 --a------ C:\Dokumente und Einstellungen\las0rine\Anwendungsdaten\GdiplusUpgrade_MSIApproach_Wrapper.log
2006-08-12 19:48 62695 --a------ C:\Dokumente und Einstellungen\las0rine\Anwendungsdaten\Update_HP_RedboxHprblog_HPSU.log
2006-08-12 19:48 139264 --a------ C:\WINDOWS\system32\hpzjrd01.dll
2006-08-12 01:08 -------- d-------- C:\Programme\HLSW
2006-08-11 22:49 -------- d-------- C:\Programme\Gamers.IRC
2006-08-11 17:03 77824 --a------ C:\WINDOWS\system32\xcomm.dll
2006-08-11 17:03 73728 --a------ C:\WINDOWS\system32\sockspy.dll
2006-08-11 10:51 -------- d-------- C:\Programme\Messenger
2006-08-11 10:51 -------- d-------- C:\Programme\Internet Explorer
2006-08-11 10:49 -------- d-------- C:\Programme\Outlook Express
2006-08-11 10:49 -------- d-------- C:\Programme\Gemeinsame Dateien\System
2006-08-11 09:09 -------- d-------- C:\Programme\HP
2006-08-11 09:08 -------- d-------- C:\Programme\Gemeinsame Dateien\HP
2006-08-11 09:07 -------- d-------- C:\Programme\Hewlett-Packard
2006-08-11 09:06 -------- d-------- C:\Programme\Gemeinsame Dateien\Hewlett-Packard
2006-08-11 09:02 -------- d-------- C:\Dokumente und Einstellungen\las0rine\Anwendungsdaten\HP
2006-08-11 00:11 -------- d-------- C:\Programme\RealVNC
2006-08-10 23:49 -------- d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2006-08-10 23:27 -------- d-------- C:\Programme\teamspeak
2006-08-10 23:27 -------- d-------- C:\Dokumente und Einstellungen\las0rine\Anwendungsdaten\teamspeak2
2006-08-10 23:15 -------- d-------- C:\Dokumente und Einstellungen\las0rine\Anwendungsdaten\Macromedia
2006-08-10 23:08 -------- d-------- C:\Programme\MSN
2006-08-10 23:06 -------- d-------- C:\Programme\ICQLite
2006-08-10 23:06 -------- d-------- C:\Dokumente und Einstellungen\las0rine\Anwendungsdaten\ICQLite
2006-08-10 23:03 -------- d-------- C:\Dokumente und Einstellungen\las0rine\Anwendungsdaten\Mozilla
2006-08-10 23:01 457 --a------ C:\Programme\INSTALL.LOG
2006-08-10 22:56 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-08-10 22:56 -------- d-------- C:\Programme\WinRAR
2006-08-10 22:56 -------- d-------- C:\Programme\CyberLink
2006-08-10 22:54 -------- d-------- C:\Programme\Microsoft.NET
2006-08-10 22:51 -------- d-------- C:\Programme\Microsoft Office
2006-08-10 22:51 -------- d-------- C:\Programme\Gemeinsame Dateien\DESIGNER
2006-08-10 22:46 -------- d-------- C:\Programme\Nero
2006-08-10 22:46 -------- d-------- C:\Programme\Gemeinsame Dateien\Ahead
2006-08-10 22:44 -------- d-------- C:\Programme\Softwin
2006-08-10 22:44 -------- d-------- C:\Programme\Gemeinsame Dateien\Softwin
2006-08-04 23:29 -------- d-------- C:\Programme\Gemeinsame Dateien\SpeechEngines
2006-08-04 23:29 -------- d-------- C:\Programme\Gemeinsame Dateien\ODBC
2006-08-04 23:28 62 --ahs---- C:\Dokumente und Einstellungen\las0rine\Anwendungsdaten\desktop.ini
2006-08-04 22:48 -------- d--h----- C:\Programme\Uninstall Information
2006-08-04 22:48 -------- d-------- C:\Dokumente und Einstellungen\las0rine\Anwendungsdaten\Identities
2006-08-04 22:42 -------- d-------- C:\Programme\xerox
2006-08-04 22:42 -------- d-------- C:\Programme\microsoft frontpage
2006-08-04 22:40 -------- d--h----- C:\Programme\WindowsUpdate
2006-08-04 22:40 -------- d-------- C:\Programme\Online-Dienste
2006-08-04 22:39 -------- d-------- C:\Programme\NetMeeting
2006-08-04 22:39 -------- d-------- C:\Programme\Movie Maker
2006-08-04 22:39 -------- d-------- C:\Programme\Gemeinsame Dateien\MSSoap
2006-08-04 22:39 -------- d-------- C:\Programme\Gemeinsame Dateien\Dienste
2006-08-04 22:39 -------- d-------- C:\Programme\ComPlus Applications
2006-08-04 22:38 -------- d-------- C:\Programme\Windows NT
2006-08-04 22:38 -------- d-------- C:\Programme\Online Services
2006-08-04 22:38 -------- d-------- C:\Programme\MSN Gaming Zone
2006-07-29 19:32 48936 --a------ C:\WINDOWS\system32\sirenacm.dll
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BDMCon"="c:\\progra~1\\softwin\\bitdef~1\\bdmcon.exe"
"BDNewsAgent"="\"c:\\progra~1\\softwin\\bitdef~1\\bdnagent.exe\""
"BDSwitchAgent"="\"c:\\progra~1\\softwin\\bitdef~1\\bdswitch.exe\""
"NeroFilterCheck"="C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NeroCheck.exe"
"RemoteControl"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"HP Software Update"="C:\\Programme\\HP\\HP Software Update\\HPWuSchd2.exe"
"Adobe Photo Downloader"="\"C:\\Programme\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\apdproxy.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"Steam"="\"C:\\Programme\\Steam\\Steam.exe\" -silent"
"MsnMsgr"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background"
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NMBgMonitor.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""



Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Check Updates for Windows Live Toolbar.job

Completion time: 03.09.2006 20:06:55.54
ComboFix.txt
Seitenanfang Seitenende
03.09.2006, 20:12
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 ich weiss nicht, was du alles schon gemacht hast, weder weiss ich , welchen Virus/Trojaner dein Antiviren-Proggie gefunden hat,...ich tappe im Dustern ;) poste mal den scanreport von deinem Antivirus
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende