hat ein problem festgestellt,... |
||
---|---|---|
#0
| ||
18.06.2006, 11:21
...neu hier
Beiträge: 6 |
||
|
||
18.06.2006, 11:55
Moderator
Beiträge: 7805 |
#2
Du musst wohl einmal ungeschuetzt ins Netz gegangen sein, oder aber dir etwas aus zweifelhafter Quelle heruntergeladen/installiert oder via Exploit eingefangen haben.
Dem "O17" Eintrag nach sieht es nach Rootkit aus. Nutze Gmer http://www.gmer.net/files.php . Starte es und schaue, ob es etwas meldet. Macht es das, bitte alle Fragen mit nein beantworten, auf den Reiter Rootkit gehen, wiederum evtl. Fragen mit nein beantworten und mache einen Scan. ist dieser beendet, waehle Copy und fuege den Bericht hier ein. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
18.06.2006, 12:28
...neu hier
Themenstarter Beiträge: 6 |
#3
GMER 1.0.10.10122 - http://www.gmer.net
Rootkit 2006-06-18 12:28:28 Windows 5.1.2600 Service Pack 2 ---- Registry - GMER 1.0.10 ---- Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{998F73E8-C806-4CDC-BFBA-BA7A6EC6C2CE} Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins@xedocne 0x72 0x27 0x00 0x00 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins@repiwoh 0xD9 0x28 0x00 0x00 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins@23plhps 0xD7 0x2A 0x00 0x00 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins@mgcppp 0x70 0x2B 0x00 0x00 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins@tesvaf 0x0A 0x2C 0x00 0x00 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins@nlcalik 0xA3 0x2C 0x00 0x00 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins@kwzmd 0xB1 0x02 0x00 0x00 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run@dmzwk.exe C:\WINDOWS\system32\dmzwk.exe Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ... Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon@System cstco.exe Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon@System cstco.exe Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon@System cstco.exe Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon@System cstco.exe Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon@System cstco.exe Reg \Registry\USER\S-1-5-21-1078081533-448539723-725345543-500\Software\Microsoft\Windows\ShellNoRoam\MUICache@C:\WINDOWS\system32\dmhyi.exe dmhyi ---- Files - GMER 1.0.10 ---- File C:\WINDOWS\$NtServicePackUninstall$\tcptest.exe File C:\WINDOWS\$NtServicePackUninstall$\wbemtest.exe File C:\WINDOWS\ServicePackFiles\i386\tcptest.exe File C:\WINDOWS\ServicePackFiles\i386\wbemtest.exe File C:\WINDOWS\system32\cstco.exe File C:\WINDOWS\system32\dmzwk.exe File C:\WINDOWS\system32\favset.exe File C:\WINDOWS\system32\howiper.exe File C:\WINDOWS\system32\kilacln.exe File C:\WINDOWS\system32\pppcgm.exe File C:\WINDOWS\system32\sphlp32.exe File C:\WINDOWS\system32\wbem\wbemtest.exe ---- EOF - GMER 1.0.10 ---- |
|
|
||
18.06.2006, 12:49
Moderator
Beiträge: 7805 |
#4
Ist ein Wareout installer.
Lasse mit gmer folgende Prozesse "killen" File C:\WINDOWS\system32\cstco.exe File C:\WINDOWS\system32\dmzwk.exe File C:\WINDOWS\system32\favset.exe File C:\WINDOWS\system32\howiper.exe File C:\WINDOWS\system32\kilacln.exe File C:\WINDOWS\system32\pppcgm.exe File C:\WINDOWS\system32\sphlp32.exe ...und per Hand loeschen. Du kannst das aber auch mit Blacklight machen lassen, wenn du dir das mit gmer nicht zutraust. Dazu Blacklight laden http://www.f-secure.com/exclude/blacklight/index.shtml , in einen extra Ordner kopieren, starten, Eula annehmen und scan druecken. Danach auf next druecken und die dort angezeigten versteckten Dateinamen einzelnd anklicken(nur die, die ich dir oben genannt habe!) und rename druecken. Danach weiter mit next und restart. Nach dem ganzen ein neues Hijackthis log bitte. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
18.06.2006, 13:02
...neu hier
Themenstarter Beiträge: 6 |
#5
Danke für die Hilfe, ich habe es mit Blacklight alles umbenannt, dh die Dateien haben jetzt ein .ren hinter dem Namen. Ich schätze diese Dateien sind jetzt unbrauchbar, aber "O17" sieht unverändert aus:
Logfile of HijackThis v1.99.1 Scan saved at 12:58:55, on 18.06.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe C:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Skype\Phone\Skype.exe C:\WINDOWS\system32\wscntfy.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe C:\WINDOWS\system32\wuauclt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O1 - Hosts: localhost 127.0.0.1 O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [dmzwk.exe] C:\WINDOWS\system32\dmzwk.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [KillAndClean] "C:\Programme\KillAndClean\KillAndClean.exe" O4 - HKCU\..\Run: [Steam] "E:\Programme\Steam\Steam.exe" -silent O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{083AB5A8-C54C-4EEF-931F-0CA880BD3B44}: NameServer = 85.255.113.198,85.255.112.138 O17 - HKLM\System\CCS\Services\Tcpip\..\{421B16D9-9B29-4070-BB40-1DAB2778D09C}: NameServer = 85.255.113.198,85.255.112.138 O17 - HKLM\System\CCS\Services\Tcpip\..\{A6AFBEA6-3867-4F30-8C6E-EB4995BE4794}: NameServer = 85.255.113.198,85.255.112.138 O17 - HKLM\System\CCS\Services\Tcpip\..\{EFA25943-932F-45AA-AFB4-CBC172DEE708}: NameServer = 85.255.113.198,85.255.112.138 O17 - HKLM\System\CS1\Services\Tcpip\..\{083AB5A8-C54C-4EEF-931F-0CA880BD3B44}: NameServer = 85.255.113.198,85.255.112.138 O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe |
|
|
||
18.06.2006, 13:11
Moderator
Beiträge: 7805 |
#6
Richtig, bitte die Eintreage fixen:
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O1 - Hosts: localhost 127.0.0.1 O4 - HKLM\..\Run: [dmzwk.exe] C:\WINDOWS\system32\dmzwk.exe O4 - HKCU\..\Run: [KillAndClean] "C:\Programme\KillAndClean\KillAndClean.exe" O17 - HKLM\System\CCS\Services\Tcpip\..\{083AB5A8-C54C-4EEF-931F-0CA880BD3B44}: NameServer = 85.255.113.198,85.255.112.138 O17 - HKLM\System\CCS\Services\Tcpip\..\{421B16D9-9B29-4070-BB40-1DAB2778D09C}: NameServer = 85.255.113.198,85.255.112.138 O17 - HKLM\System\CCS\Services\Tcpip\..\{A6AFBEA6-3867-4F30-8C6E-EB4995BE4794}: NameServer = 85.255.113.198,85.255.112.138 O17 - HKLM\System\CCS\Services\Tcpip\..\{EFA25943-932F-45AA-AFB4-CBC172DEE708}: NameServer = 85.255.113.198,85.255.112.138 O17 - HKLM\System\CS1\Services\Tcpip\..\{083AB5A8-C54C-4EEF-931F-0CA880BD3B44}: NameServer = 85.255.113.198,85.255.112.138 die umbenannten Dateien an virus@protecus.de und unter Software versuchen killandclean zu deinstallieren. Ein datfind Report waere nicht schlecht: virus-protect.org/datfindbat.html __________ MfG Ralf SEO-Spam Hunter |
|
|
||
18.06.2006, 13:26
...neu hier
Themenstarter Beiträge: 6 |
#7
Einträge sind gefixt.
killandclean ist gelöscht datfind report ist angehängt (sind glaub ich 4 logs) email mit den .ren dateien ist abgeschickt (sk8erh8er@gmail.com ist meine adresse) edit: email lässt sich nicht versenden (Einer Ihrer Anhänge enthält einen Virus und konnte nicht gesendet werden. Anhang entfernen und senden) Anhang: datfindlogs.zip Dieser Beitrag wurde am 18.06.2006 um 13:42 Uhr von pr3 editiert.
|
|
|
||
18.06.2006, 13:35
Moderator
Beiträge: 7805 |
#8
Danke, dann weisst du ja wenigstens, wann es dich erwischt hat: 16.06.2006 20:09
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
18.06.2006, 13:47
...neu hier
Themenstarter Beiträge: 6 |
#9
Ich glaube ich weiß was es war:
Ein Popup von einer Seite die ich bei Google gefunden habe. Darin stand dass mein Computer möglicherweise befallen sei, das Fenster habe ich weggeklickt.. :\ Bei sowas weiß ich nciht was ich machen soll, denn diese Fenster kann man nicht anders loswerden ohne gleich den ganzen Firefox.exe zu beenden (das sind keine richtigen Popups sondern solche Windowsfelder). Bin ich diesen Virus jetzt los? |
|
|
||
18.06.2006, 13:51
Moderator
Beiträge: 7805 |
#10
Sofern die Hijackthis Eintraege verschwunden bleiben, die wir gereinigt haben, bist du zu 99% sauber......
BTW: Gmail scheint deine Mail gebloxckt zu haben. Packe die Dateien mit zip und gib dem Archiv ein Password(infected). Danke! Denke daran, ein AV-Programm zu installieren! __________ MfG Ralf SEO-Spam Hunter |
|
|
||
18.06.2006, 13:58
...neu hier
Themenstarter Beiträge: 6 |
#11
jetzt hat es funktioniert, die mail müsste da sein.
danke für die schnelle hilfe, top forum! |
|
|
||
18.06.2006, 14:01
Moderator
Beiträge: 7805 |
||
|
||
18.05.2007, 00:00
...neu hier
Beiträge: 5 |
#13
hi ich hab ein ähnliches Problem, hab mein System auch neu aufgesetzt, bei Steam und Halflife 2 und TwoWorlds zum Beispiel kommt dieses meganervige steam.exe hat ein Problem festgestellt und muss beendet werden. Ich bitte um Hilfe!! Ich kann langsam nicht mehr! Ich hab einen Clan zu Leader in dem Game! Bitte helft mir! Dieses Problem ist nicht nur auf Steam sonder allgemein fassend.
Mein altes System: AMD Athlon 3200+, MSI k7n Delta nForce2 Chipsatz, 6800GT, 1,5 Gig Ram. Hab ihn dann aber ausm Fenster geschmissen. Und die Festplatte rausgeholt und an meinen Ersatzrechner angesteckt: AMD 64 3000+, Asus Mainboard Via Chipsatz, 1 GigaByte Ram. Hab bei beiden Rechner dan MEM Test durchlaufen lassen, gab keine Fehler, habe bei beiden Rechner alle Treiber aktualisiert, dirext X usw. alles neu und installiert. Liegts an meiner Festplatte (Maxtor) das mein System so spackt, oder an mir, am Rechner und den Komponenten kann es nicht liegen hab den Rechner ja gewechselt. Logfile of HijackThis v1.99.1 Scan saved at 22:58:09, on 17.05.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\SCardSvr.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\System32\alg.exe C:\Programme\Java\jre1.6.0_01\bin\jusched.exe C:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\system32\carpserv.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\Programme\MSN Messenger\usnsvc.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\Teamspeak2_RC2\TeamSpeak.exe C:\Programme\Windows Media Player\wmplayer.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Satai.JohnnyBravo\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe, O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [CARPService] carpserv.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe bitte bitte helft mir! ich bin etz schon suicid gefährdet und spring bald selber ausm fenster!! |
|
|
||
18.05.2007, 05:42
Moderator
Beiträge: 7805 |
#14
Es liegt u.a. an diesem Irc Bot: C:\WINDOWS\system32\ntos.exe
Nutze bitte einmal Combofix und poste dessen Report. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
20.05.2007, 19:31
...neu hier
Beiträge: 5 |
#15
Ok danke hab ich gemacht hier der Report:
"Satai.JohnnyBravo" - 2007-05-20 18:13:51 Service Pack 2 ComboFix 07-05.20.9.V - Running from: "C:\Dokumente und Einstellungen\Satai.JohnnyBravo\Desktop\" (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\system32\wsnpoem\audio.dll.cla C:\WINDOWS\system32\wsnpoem\audio.dll C:\WINDOWS\system32\wsnpoem\video.dll C:\WINDOWS\system32\wsnpoem ((((((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) -------\combofix ((((((((((((((((((((((((((((((( Files Created from 2007-04-05 to 2007-05-20 )))))))))))))))))))))))))))))))))) 2007-05-15 18:02 <DIR> d-------- C:\WINDOWS\system32\oodag 2007-05-15 17:16 <DIR> d-------- C:\Programme\OO Software 2007-05-15 16:50 43,584 --a------ C:\WINDOWS\system32\drivers\avipbb.sys 2007-05-15 16:50 28,352 --a------ C:\WINDOWS\system32\drivers\ssmdrv.sys 2007-05-15 16:50 <DIR> d-------- C:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\AntiVir PersonalEdition Classic 2007-05-14 18:51 <DIR> d-------- C:\DOKUME~1\SATAI~1.JOH\ANWEND~1\ATI 2007-05-14 18:48 <DIR> d-------- C:\DOKUME~1\SATAI~1.JOH\ANWEND~1\DivX 2007-05-14 18:47 520,192 --------- C:\WINDOWS\system32\ati2sgag.exe 2007-05-14 18:47 <DIR> d-------- C:\Programme\ATI Technologies 2007-05-14 18:46 <DIR> d-------- C:\ATI 2007-05-14 18:43 32,768 --------- C:\WINDOWS\SHUTPC.EXE 2007-05-14 18:43 <DIR> d-------- C:\Programme\SCM Microsystems 2007-05-14 18:42 27,904 --a------ C:\WINDOWS\system32\drivers\VIAAGP1.SYS 2007-05-14 18:41 38,400 --a------ C:\WINDOWS\system32\drivers\AmdK8.sys 2007-05-14 18:41 306,688 --a------ C:\WINDOWS\IsUninst.exe 2007-05-14 18:41 <DIR> d-------- C:\Programme\AMD 2007-05-14 18:41 <DIR> d-------- C:\DOKUME~1\SATAI~1.JOH\WINDOWS 2007-05-14 18:36 16,128 --a------ C:\WINDOWS\system32\drivers\MODEMCSA.sys 2007-05-14 18:32 69,632 -ra------ C:\WINDOWS\system32\mdmxsdk.dll 2007-05-14 18:32 65,536 -ra------ C:\WINDOWS\system32\carpdll.dll 2007-05-14 18:32 622,592 -ra------ C:\WINDOWS\system32\drivers\HSF_CNXT.sys 2007-05-14 18:32 4,608 -ra------ C:\WINDOWS\system32\carpserv.exe 2007-05-14 18:32 27,786 -ra------ C:\WINDOWS\system32\HSFCI005.dll 2007-05-14 18:32 22,400 -ra------ C:\WINDOWS\system32\drivers\strmdisp.sys 2007-05-14 18:32 177,024 -ra------ C:\WINDOWS\system32\drivers\HSFHWBS2.sys 2007-05-14 18:32 11,044 -ra------ C:\WINDOWS\system32\drivers\mdmxsdk.sys 2007-05-14 18:32 1,107,072 -ra------ C:\WINDOWS\system32\drivers\HSF_DP.sys 2007-05-14 18:30 256,512 -ra------ C:\WINDOWS\system32\drivers\mrv8k51.sys 2007-05-14 18:27 41,984 -ra------ C:\WINDOWS\system32\drivers\fetnd5b.sys 2007-05-14 18:24 61,056 --a------ C:\WINDOWS\system32\drivers\ohci1394.sys 2007-05-14 18:24 6,400 --a------ C:\WINDOWS\system32\drivers\enum1394.sys 2007-05-14 18:24 53,248 --a------ C:\WINDOWS\system32\drivers\1394bus.sys 2007-05-14 18:23 5,376 --a------ C:\WINDOWS\system32\drivers\viaide.sys 2007-05-14 18:23 20,480 --a------ C:\WINDOWS\system32\drivers\usbuhci.sys 2007-05-13 22:07 <DIR> d-------- C:\Programme\Realtek AC97 2007-05-13 17:52 2,560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys 2007-05-13 17:52 2,432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys 2007-05-13 17:52 129,784 --------- C:\WINDOWS\system32\pxafs.dll 2007-05-13 17:52 118,520 --------- C:\WINDOWS\system32\pxinsi64.exe 2007-05-13 17:52 116,472 --------- C:\WINDOWS\system32\pxcpyi64.exe 2007-05-13 17:52 <DIR> d-------- C:\Programme\DivX 2007-05-13 15:49 <DIR> d-------- C:\Programme\Reality Pump 2007-05-13 15:26 <DIR> d-------- C:\WINDOWS\system32\AGEIA 2007-05-13 15:26 <DIR> d-------- C:\Programme\AGEIA Technologies 2007-05-12 15:59 96,792 --------- C:\WINDOWS\system32\basecsp.dll 2007-05-12 15:59 86,016 --------- C:\WINDOWS\system32\pintool.exe 2007-05-12 15:59 26,112 --------- C:\WINDOWS\system32\bcsprsrc.dll 2007-05-12 15:59 151,552 --------- C:\WINDOWS\system32\ifxcardm.dll 2007-05-12 15:59 133,120 --------- C:\WINDOWS\system32\axaltocm.dll 2007-05-12 15:54 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe 2007-05-12 15:54 <DIR> d-------- C:\WINDOWS\system32\PreInstall 2007-05-12 15:50 <DIR> d--h----- C:\WINDOWS\$hf_mig$ 2007-05-11 19:54 524,288 --a------ C:\WINDOWS\system32\DivXsm.exe 2007-05-11 06:37 823,296 --a------ C:\WINDOWS\system32\divx_xx0c.dll 2007-05-11 06:37 823,296 --a------ C:\WINDOWS\system32\divx_xx07.dll 2007-05-11 06:37 802,816 --a------ C:\WINDOWS\system32\divx_xx11.dll 2007-05-11 06:37 740,442 --a------ C:\WINDOWS\system32\DivX.dll 2007-05-10 20:58 24,816 --a------ C:\WINDOWS\system32\mdimon.dll 2007-05-10 20:57 <DIR> d-------- C:\WINDOWS\SHELLNEW 2007-05-10 20:57 <DIR> d-------- C:\Programme\Microsoft.NET 2007-05-08 21:03 <DIR> d-------- C:\Programme\Valve 2007-05-06 20:15 <DIR> d-------- C:\WINDOWS\nview 2007-05-06 19:39 81,768 --a------ C:\WINDOWS\system32\xinput1_3.dll 2007-05-06 19:39 443,752 --a------ C:\WINDOWS\system32\d3dx10_33.dll 2007-05-06 19:39 3,495,784 --a------ C:\WINDOWS\system32\d3dx9_33.dll 2007-05-06 19:39 261,480 --a------ C:\WINDOWS\system32\xactengine2_7.dll 2007-05-06 19:39 255,848 --a------ C:\WINDOWS\system32\xactengine2_6.dll 2007-05-06 19:39 251,672 --a------ C:\WINDOWS\system32\xactengine2_5.dll 2007-05-06 19:39 237,848 --a------ C:\WINDOWS\system32\xactengine2_4.dll 2007-05-06 19:39 2,414,360 --a------ C:\WINDOWS\system32\d3dx9_31.dll 2007-05-06 19:39 15,128 --a------ C:\WINDOWS\system32\x3daudio1_1.dll 2007-05-06 19:39 1,123,696 --a------ C:\WINDOWS\system32\D3DCompiler_33.dll 2007-05-02 21:07 <DIR> d-------- C:\Programme\ICQLite 2007-05-01 19:02 <DIR> d-------- C:\Programme\Steam 2007-04-29 14:51 <DIR> d-------- C:\Programme\GameSpy 2007-04-29 14:50 <DIR> d-------- C:\WINDOWS\system32\URTTEMP 2007-04-29 00:16 <DIR> d-------- C:\Programme\Combined Community Codec Pack 2007-04-29 00:15 <DIR> d-------- C:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\QuickTime 2007-04-27 19:26 <DIR> d-------- C:\Programme\Atari 2007-04-23 02:15 3,596,288 --a------ C:\WINDOWS\system32\qt-dx331.dll 2007-04-23 02:15 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll 2007-04-23 02:15 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll 2007-04-23 02:02 73,728 --a------ C:\WINDOWS\system32\dpl100.dll 2007-04-23 02:02 593,920 --a------ C:\WINDOWS\system32\dpuGUI11.dll 2007-04-23 02:02 57,344 --a------ C:\WINDOWS\system32\dpv11.dll 2007-04-23 02:02 53,248 --a------ C:\WINDOWS\system32\dpuGUI10.dll 2007-04-23 02:02 344,064 --a------ C:\WINDOWS\system32\dpus11.dll 2007-04-23 02:02 294,912 --a------ C:\WINDOWS\system32\dpu11.dll 2007-04-23 02:02 294,912 --a------ C:\WINDOWS\system32\dpu10.dll 2007-04-23 02:02 196,608 --a------ C:\WINDOWS\system32\dtu100.dll 2007-04-23 02:01 124,472 --a------ C:\WINDOWS\system32\DivXCodecUpdateChecker.exe 2007-04-23 02:01 12,288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll 2007-04-22 15:10 <DIR> d-------- C:\DOKUME~1\SATAI~1.JOH\ANWEND~1\ICQ 2007-04-22 15:08 <DIR> d-------- C:\Programme\ICQ6 2007-04-21 22:49 22,584 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys 2007-04-20 19:48 0 --a------ C:\WINDOWS\nsreg.dat 2007-04-20 17:30 108,144 --a------ C:\WINDOWS\system32\CmdLineExt.dll 2007-04-20 17:13 <DIR> d-------- C:\DOKUME~1\SATAI~1.JOH\ANWEND~1\AdobeUM 2007-04-20 16:55 <DIR> d-------- C:\Programme\Electronic Arts 2007-04-20 16:15 <DIR> d-------- C:\Programme\eBesucher-Browser (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-05-20 16:21:55 -------- d-----w C:\DOKUME~1\SATAI~1.JOH\ANWEND~1\Skype 2007-05-17 22:00:11 -------- d-----w C:\Programme\America's Army 2007-05-17 21:51:50 99,904 ----a-w C:\WINDOWS\system32\PnkBstrB.exe 2007-05-17 00:05:04 -------- d-----w C:\DOKUME~1\SATAI~1.JOH\ANWEND~1\teamspeak2 2007-05-14 16:47:49 -------- d--h--w C:\Programme\InstallShield Installation Information 2007-05-14 16:41:03 -------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2007-05-14 16:33:36 74,988 ----a-w C:\WINDOWS\system32\perfc007.dat 2007-05-14 16:33:36 415,124 ----a-w C:\WINDOWS\system32\perfh007.dat 2007-05-12 15:27:19 -------- d-----w C:\Programme\HLSW 2007-04-29 13:44:59 63,040 ----a-w C:\WINDOWS\system32\PnkBstrA.exe 2007-04-25 20:04:56 -------- d-----w C:\Programme\Movie Maker 2007-04-23 00:15:25 36,624 ------w C:\WINDOWS\system32\drivers\pxhelp20.sys 2007-04-22 20:43:17 -------- d-----w C:\DOKUME~1\SATAI~1.JOH\ANWEND~1\Hamachi 2007-04-21 23:19:46 26,056 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys 2007-04-20 15:32:06 -------- d-----w C:\DOKUME~1\SATAI~1.JOH\ANWEND~1\Command & Conquer 3 Tiberium Wars 2007-04-19 17:10:11 -------- d-----w C:\DOKUME~1\SATAI~1.JOH\ANWEND~1\Command and Conquer 3 Tiberium Wars 2007-04-19 16:54:12 -------- d--h--r C:\DOKUME~1\SATAI~1.JOH\ANWEND~1\SecuROM 2007-04-18 20:15:05 -------- d-----w C:\Programme\The All-Seeing Eye 2007-04-18 19:41:44 -------- d-----w C:\Programme\America's Army Server Manager 2007-04-18 19:37:22 -------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield 2007-04-18 18:40:57 -------- d-----w C:\Programme\MSN Messenger 2007-04-18 17:50:18 -------- d-----w C:\Programme\Microsoft Digital Image 2006 2007-04-18 17:49:07 -------- d-----w C:\Programme\Gemeinsame Dateien\Nikon 2007-04-18 17:47:01 -------- d-----w C:\Programme\D-Tools 2007-04-18 16:33:06 -------- d-----w C:\Programme\Screamer Radio 2007-04-18 16:27:40 -------- d-----w C:\Programme\Jasc Software Inc 2007-04-18 16:26:20 -------- d-----w C:\Programme\Gemeinsame Dateien\Jasc Software Inc 2007-04-18 16:25:43 -------- d-----w C:\DOKUME~1\SATAI~1.JOH\ANWEND~1\Jasc Software Inc 2007-04-18 16:06:19 -------- d-----w C:\Programme\FileZilla 2007-04-18 15:58:08 -------- d-----w C:\Programme\Teamspeak2_RC2 2007-04-18 15:57:41 -------- d-----w C:\DOKUME~1\SATAI~1.JOH\ANWEND~1\Lavasoft 2007-04-18 15:57:33 -------- d-----w C:\Programme\Lavasoft 2007-04-18 15:54:32 -------- d-----w C:\Programme\Skype 2007-04-18 15:54:32 -------- d-----w C:\Programme\Gemeinsame Dateien\Skype 2007-04-18 15:53:01 -------- d-----w C:\Programme\Hamachi 2007-04-18 15:52:10 96,256 ----a-w C:\WINDOWS\system32\drivers\sptd5085.sys 2007-04-18 15:52:10 664,064 ----a-w C:\WINDOWS\system32\drivers\sptd.sys 2007-04-18 15:32:42 -------- d-----w C:\Programme\TuneUp Utilities 2006 2007-04-18 15:32:10 -------- d-----w C:\DOKUME~1\SATAI~1.JOH\ANWEND~1\TuneUp Software 2007-04-18 15:19:33 -------- d-----w C:\DOKUME~1\SATAI~1.JOH\ANWEND~1\ICQLite 2007-04-18 15:07:17 -------- d-----w C:\DOKUME~1\SATAI~1.JOH\ANWEND~1\Help 2007-04-17 17:31:29 -------- d-----w C:\Programme\xp-AntiSpy 2007-04-16 20:31:27 -------- d-----w C:\Programme\microsoft frontpage 2007-04-16 20:31:04 0 --sha-r C:\MSDOS.SYS 2007-04-16 20:31:04 0 --sha-r C:\IO.SYS 2007-04-16 20:31:04 0 ----a-w C:\CONFIG.SYS 2007-04-16 20:31:04 0 ----a-w C:\AUTOEXEC.BAT 2007-04-16 20:29:38 -------- d--h--w C:\Programme\WindowsUpdate 2007-04-16 20:29:33 -------- d-----w C:\Programme\Online-Dienste 2007-04-16 20:28:33 -------- d-----w C:\Programme\Gemeinsame Dateien\Dienste 2007-04-16 20:28:27 -------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap 2007-04-16 20:27:18 21,740 ----a-w C:\WINDOWS\system32\emptyregdb.dat 2007-04-16 20:26:51 -------- d-----w C:\Programme\Online Services 2007-04-16 20:26:46 -------- d-----w C:\Programme\Messenger 2007-04-16 20:26:40 -------- d-----w C:\Programme\MSN Gaming Zone 2007-04-16 20:26:27 -------- d-----w C:\Programme\Windows NT 2007-04-16 19:44:20 -------- d-----w C:\Programme\Gemeinsame Dateien\ODBC 2007-04-16 19:44:17 -------- d-----w C:\Programme\Gemeinsame Dateien\SpeechEngines 2007-03-30 13:38:00 77,160 ----a-w C:\Programme\DSETUP.dll 2007-03-30 13:38:00 503,144 ----a-w C:\Programme\DXSETUP.exe 2007-03-30 13:38:00 1,673,576 ----a-w C:\Programme\dsetup32.dll 2007-03-15 01:58:38 315,392 ----a-w C:\WINDOWS\system32\ATIDEMGX.dll 2007-03-15 01:57:34 267,776 ----a-w C:\WINDOWS\system32\ati2dvag.dll 2007-03-15 01:57:15 1,986,560 ----a-w C:\WINDOWS\system32\drivers\ati2mtag.sys 2007-03-15 01:55:38 307,200 ----a-w C:\WINDOWS\system32\atiiiexx.dll 2007-03-15 01:50:39 122,880 ----a-w C:\WINDOWS\system32\atipdlxx.dll 2007-03-15 01:50:27 114,688 ----a-w C:\WINDOWS\system32\Oemdspif.dll 2007-03-15 01:50:19 26,112 ----a-w C:\WINDOWS\system32\Ati2mdxx.exe 2007-03-15 01:50:12 42,496 ----a-w C:\WINDOWS\system32\ati2edxx.dll 2007-03-15 01:49:59 114,688 ----a-w C:\WINDOWS\system32\ati2evxx.dll 2007-03-15 01:48:39 450,560 ----a-w C:\WINDOWS\system32\ati2evxx.exe 2007-03-15 01:47:52 53,248 ----a-w C:\WINDOWS\system32\ATIDDC.DLL 2007-03-15 01:40:10 2,820,544 ----a-w C:\WINDOWS\system32\ati3duag.dll 2007-03-15 01:29:47 1,315,712 ----a-w C:\WINDOWS\system32\ativvaxx.dll 2007-03-15 01:29:32 3,107,788 ----a-w C:\WINDOWS\system32\ativvaxx.dat 2007-03-15 01:19:32 5,402,624 ----a-w C:\WINDOWS\system32\atioglxx.dll 2007-03-15 01:16:14 258,048 ----a-w C:\WINDOWS\system32\atikvmag.dll 2007-03-15 01:14:43 17,408 ----a-w C:\WINDOWS\system32\atitvo32.dll 2007-03-15 01:10:28 356,352 ----a-w C:\WINDOWS\system32\ati2cqag.dll 2007-03-06 22:04:53 143,676 ----a-w C:\WINDOWS\system32\atiicdxx.dat (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43] "ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:06] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22] "NVMixerTray"="C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [] "SoundMan"="SOUNDMAN.EXE" [] "CARPService"="carpserv.exe" [2003-03-19 02:13 C:\WINDOWS\system32\carpserv.exe] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-02 10:35] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57] "Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-03-30 13:34] "Steam"="c:\programme\valve\steam\steam.exe" [2007-05-08 21:04] "@"="" [] "StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 12:35] "msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 12:55] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce] "ICQ Lite"=C:\Programme\ICQLite\ICQLite.exe -trayboot [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz] nwiz.exe /install [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan] SOUNDMAN.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "TUWinStylerThemeSvc"=2 (0x2) "AntiVirScheduler"=2 (0x2) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.Exe" /background HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost *netsvcs* [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3dc68ec2-ec60-11db-b703-806d6172696f}] AutoRun\command- D:\Setup.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e5a9d1ca-0235-11dc-9d0a-806d6172696f}] AutoRun\command- D:\Atisetup.exe ~ ~ ~ ~ ~ ~ ~ ~ Hijackthis Backups ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ backup-20070507-165819-119 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ backup-20070507-165819-941 F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe, backup-20070507-165802-605 O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll backup-20070507-165731-937 O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) backup-20070507-165731-592 O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll backup-20070507-165731-708 O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll backup-20070506-202554-745 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL backup-20070506-202554-525 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL backup-20070506-202554-828 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL Contents of the 'Scheduled Tasks' folder 2007-05-11 15:56:14 C:\WINDOWS\tasks\1-Klick-Wartung.job ******************************************************************** catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-05-20 18:20:00 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\system32\wsnpoem\audio.dll.cla C:\WINDOWS\system32\wsnpoem\audio.dll C:\WINDOWS\system32\wsnpoem\video.dll C:\WINDOWS\system32\wsnpoem ((((((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) -------\combofix ((((((((((((((((((((((((((((((( Files Created from 2007-04-05 to 2007-05-20 )))))))))))))))))))))))))))))))))) |
|
|
||
Logfile of HijackThis v1.99.1
Scan saved at 11:17:18, on 18.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ICQLite\ICQLite.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O1 - Hosts: localhost 127.0.0.1
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [KillAndClean] "C:\Programme\KillAndClean\KillAndClean.exe"
O4 - HKCU\..\Run: [Steam] "E:\Programme\Steam\Steam.exe" -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{083AB5A8-C54C-4EEF-931F-0CA880BD3B44}: NameServer = 85.255.113.198,85.255.112.138
O17 - HKLM\System\CCS\Services\Tcpip\..\{421B16D9-9B29-4070-BB40-1DAB2778D09C}: NameServer = 85.255.113.198,85.255.112.138
O17 - HKLM\System\CCS\Services\Tcpip\..\{A6AFBEA6-3867-4F30-8C6E-EB4995BE4794}: NameServer = 85.255.113.198,85.255.112.138
O17 - HKLM\System\CCS\Services\Tcpip\..\{EFA25943-932F-45AA-AFB4-CBC172DEE708}: NameServer = 85.255.113.198,85.255.112.138
O17 - HKLM\System\CS1\Services\Tcpip\..\{083AB5A8-C54C-4EEF-931F-0CA880BD3B44}: NameServer = 85.255.113.198,85.255.112.138
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
das ist das hijackthis logfile, ich hoffe damit könnt ihr was anfangen, ich hab da jetzt nichts auffälliges gefunden, aber ich bin ja auch kein spezialist