Trojaner TR/RKDice.A lässt sich nicht löschen |
||
---|---|---|
#0
| ||
20.08.2006, 13:17
Member
Beiträge: 33 |
||
|
||
20.08.2006, 13:26
Moderator
Beiträge: 7805 |
#2
Was du hast, ist eines der fiessesten Rootkits, die es derzeit gibt. Das Rootkit zu deaktivieren ist nicht so das Problem, aber die Datei an sich zu loeschen, ist schwerer.
Gib uns erstmal diese INformationen: http://board.protecus.de/t23188.htm __________ MfG Ralf SEO-Spam Hunter |
|
|
||
20.08.2006, 14:27
Member
Themenstarter Beiträge: 33 |
#3
Logfile of HijackThis v1.99.1
Scan saved at 14:06:25, on 20.08.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\UAService7.exe C:\WINDOWS\System32\WgaTray.exe C:\WINDOWS\Explorer.EXE C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe C:\Programme\iTunes\iTunesHelper.exe E:\Programme\QuickTime\qttask.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ntvdm.exe C:\T-ONLINE\BSW3\ToDuCAlC.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\wuauclt.exe C:\Dokumente und Einstellungen\Leonhard\Desktop\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\Programme\IDM\QUICKfind\PlugIns\IEHelp.dll O2 - BHO: Class - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - C:\Programme\LinkOptimizer\LinkOptimizer.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [rock] rock.exe O4 - HKLM\..\Run: [bbxo17.exe] C:\WINDOWS\Temp\bbxo17.exe O4 - HKLM\..\Run: [ICQ Lite] "D:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [bbxo32.exe] C:\WINDOWS\Temp\bbxo32.exe O4 - HKLM\..\Run: [bbxo33.exe] C:\WINDOWS\Temp\bbxo33.exe O4 - HKLM\..\Run: [bbxo34.exe] C:\WINDOWS\Temp\bbxo34.exe O4 - HKLM\..\Run: [bbxo35.exe] C:\WINDOWS\Temp\bbxo35.exe O4 - HKLM\..\Run: [bbxo36.exe] C:\WINDOWS\Temp\bbxo36.exe O4 - HKLM\..\Run: [bbxo37.exe] C:\WINDOWS\Temp\bbxo37.exe O4 - HKLM\..\Run: [bbxo38.exe] C:\WINDOWS\Temp\bbxo38.exe O4 - HKLM\..\Run: [bbxo39.exe] C:\WINDOWS\Temp\bbxo39.exe O4 - HKLM\..\Run: [bbxo40.exe] C:\WINDOWS\Temp\bbxo40.exe O4 - HKLM\..\Run: [bbxo41.exe] C:\WINDOWS\Temp\bbxo41.exe O4 - HKLM\..\Run: [bbxo42.exe] C:\WINDOWS\Temp\bbxo42.exe O4 - HKLM\..\Run: [bbxo43.exe] C:\WINDOWS\Temp\bbxo43.exe O4 - HKLM\..\Run: [bbxo44.exe] C:\WINDOWS\Temp\bbxo44.exe O4 - HKLM\..\Run: [bbxo45.exe] C:\WINDOWS\Temp\bbxo45.exe O4 - HKLM\..\Run: [bbxo46.exe] C:\WINDOWS\Temp\bbxo46.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Picture Package VCD Maker.lnk = ? O4 - Global Startup: Picture Package Menu.lnk = ? O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{45100E6B-CBB5-4925-869B-BE6598C6B36A}: NameServer = 217.237.151.115 217.237.150.33 O20 - AppInit_DLLs: \\?\C:\WINDOWS\System32\lpt9.fla O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe _______________________________________________________ Ich habe bei CleanUp leider zuerst eine falsche Einstellung gewählt, sorry! _______________________________________________________ 06-08-20 14:14:51,32 ComboFix 06.08.18 - Running from: C:\Dokumente und Einstellungen\Desktop ((((((((((((((((((((((((((((((( Files Created from 2006-07-20 to 2006-08-20 )))))))))))))))))))))))))))))))))) 2006-08-19 16:11 1,003,008 C:\WINDOWS\system32\esent.dll 2006-08-19 14:54 22,752 C:\WINDOWS\system32\spupdsvc.exe 2006-08-19 14:46 7,680 C:\WINDOWS\system32\bitsprx2.dll 2006-08-19 14:46 7,168 C:\WINDOWS\system32\bitsprx3.dll 2006-08-19 14:46 331,776 C:\WINDOWS\system32\winhttp.dll 2006-08-19 14:46 17,408 C:\WINDOWS\system32\qmgrprxy.dll 2006-08-19 00:20 57,384 C:\WINDOWS\system32\avsda.dll 2006-08-18 22:39 967 C:\WINDOWS\system32\SETUP.PIF 2006-08-18 22:39 774,960 C:\WINDOWS\system32\IR41.DLL 2006-08-18 22:39 59 C:\WINDOWS\system32\setup.bat 2006-08-18 22:39 12,800 C:\WINDOWS\system32\ACMCMPRS.DLL (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-08-19 11:19 -------- d-------- C:\Programme\Mozilla Firefox 2006-08-19 11:19 -------- d-------- C:\Dokumente und Einstellungen\Leonhard\Anwendungsdaten\Mozilla 2006-08-19 00:20 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic 2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll 2006-07-18 18:00 172032 --a------ C:\WINDOWS\system32\cncs32.dll 2006-07-13 10:51 612864 --a------ C:\WINDOWS\system32\xpsp2res.dll 2006-06-02 11:04 57384 --a------ C:\WINDOWS\system32\avsda.dll 2006-05-28 16:22 90112 --a------ C:\WINDOWS\system32\CmdLineExt.dll 2006-05-21 10:25 43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AdaptecDirectCD"="\"C:\\Programme\\Adaptec\\Easy CD Creator 5\\DirectCD\\DirectCD.exe\"" "rock"="rock.exe" "bbxo17.exe"="C:\\WINDOWS\\Temp\\bbxo17.exe" "ICQ Lite"="\"D:\\Programme\\ICQLite\\ICQLite.exe\" -minimize" "iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\"" "QuickTime Task"="\"E:\\Programme\\QuickTime\\qttask.exe\" -atboottime" "bbxo32.exe"="C:\\WINDOWS\\Temp\\bbxo32.exe" "bbxo33.exe"="C:\\WINDOWS\\Temp\\bbxo33.exe" "bbxo34.exe"="C:\\WINDOWS\\Temp\\bbxo34.exe" "bbxo35.exe"="C:\\WINDOWS\\Temp\\bbxo35.exe" "bbxo36.exe"="C:\\WINDOWS\\Temp\\bbxo36.exe" "bbxo37.exe"="C:\\WINDOWS\\Temp\\bbxo37.exe" "bbxo38.exe"="C:\\WINDOWS\\Temp\\bbxo38.exe" "bbxo39.exe"="C:\\WINDOWS\\Temp\\bbxo39.exe" "bbxo40.exe"="C:\\WINDOWS\\Temp\\bbxo40.exe" "bbxo41.exe"="C:\\WINDOWS\\Temp\\bbxo41.exe" "bbxo42.exe"="C:\\WINDOWS\\Temp\\bbxo42.exe" "bbxo43.exe"="C:\\WINDOWS\\Temp\\bbxo43.exe" "bbxo44.exe"="C:\\WINDOWS\\Temp\\bbxo44.exe" "bbxo45.exe"="C:\\WINDOWS\\Temp\\bbxo45.exe" "bbxo46.exe"="C:\\WINDOWS\\Temp\\bbxo46.exe" "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce] "ICQ Lite"="D:\\Programme\\ICQLite\\ICQLite.exe -trayboot" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=hex:ff,00,00,00 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000001 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" "Flags"=dword:00000002 "Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,00,03,00,00,00,\ 00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00 "CurrentState"=hex:04,00,00,40 "OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\ ff,ff,04,00,00,00 "RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\ 00,00,01,00,00,00 [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 "CDRAutoRun"=dword:00000000 [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 "CDRAutoRun"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\sharedtaskscheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" Completion time: 20.08.2006 14:16:45.17 ComboFix.txt _____________________________________________________________ Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 4049-1A01 Verzeichnis von C:\ 20.08.2006 14:18 0 sys.txt 20.08.2006 14:18 13.797 system.txt 20.08.2006 14:18 136 systemtemp.txt 20.08.2006 14:17 96.522 system32.txt 20.08.2006 14:12 435.736.576 hiberfil.sys 20.08.2006 14:12 603.979.776 pagefile.sys ---- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 4049-1A01 Verzeichnis von C:\WINDOWS 20.08.2006 14:13 1.780 win.ini 20.08.2006 14:12 0 0.log 20.08.2006 14:12 159 wiadebug.log 20.08.2006 14:12 2.048 bootstat.dat 20.08.2006 14:11 1.373.390 WindowsUpdate.log 20.08.2006 14:11 32.626 SchedLgU.Txt 20.08.2006 14:11 50 wiaservc.log 20.08.2006 12:42 2.151 spupdsvc.log 20.08.2006 12:38 107.152 ntdtcsetup.log 20.08.2006 12:38 74.290 KB922616.log 20.08.2006 12:38 262.119 ocgen.log 20.08.2006 12:38 500.618 FaxSetup.log 20.08.2006 12:38 77.883 iis6.log 20.08.2006 12:38 179.578 comsetup.log 20.08.2006 12:38 17.940 ocmsn.log 20.08.2006 12:38 196.492 tsoc.log 20.08.2006 12:38 25.117 msgsocm.log 20.08.2006 12:38 1.374 imsins.log 20.08.2006 12:38 262.066 setupapi.log 20.08.2006 12:38 39.906 updspapi.log 20.08.2006 12:38 77.224 KB921398.log 20.08.2006 12:38 1.374 imsins.BAK 20.08.2006 12:37 72.014 KB920683.log 20.08.2006 12:36 72.066 KB920670.log 20.08.2006 12:36 71.545 KB917422.log 20.08.2006 12:35 57.779 KB918899-IE6SP1-20060725.123917.log 20.08.2006 12:35 65.870 KB921883.log 20.08.2006 12:34 68.021 KB917159.log 20.08.2006 12:33 68.429 KB914388.log 20.08.2006 12:33 43.742 WgaNotify.log 20.08.2006 12:32 56.183 KB911280.log 20.08.2006 12:32 33.987 KB833407.log 20.08.2006 12:31 46.806 KB917953.log 20.08.2006 12:31 48.630 KB913580.log 20.08.2006 12:30 33.397 KB914798.log 20.08.2006 12:29 47.204 KB917344.log 20.08.2006 12:28 30.258 KB918439-IE6SP1-20060530.145346.log 20.08.2006 12:28 49.205 KB914389.log 20.08.2006 12:26 33.177 KB917734.log 20.08.2006 12:25 50.601 KB908531.log 20.08.2006 12:24 48.313 KB911562.log 20.08.2006 12:24 32.239 KB911567-OE6SP1-20060316.165634.log 20.08.2006 12:23 32.863 KB911564.log 20.08.2006 12:22 48.696 KB911927.log 20.08.2006 12:22 44.779 KB912919.log 20.08.2006 12:21 44.040 KB908519.log 20.08.2006 12:21 33.855 KB910437.log 20.08.2006 12:20 40.558 KB835409.log 20.08.2006 12:20 46.731 KB896424.log 20.08.2006 12:19 45.147 KB900725.log 20.08.2006 12:19 37.015 KB905495.log 20.08.2006 12:18 39.363 KB905749.log 20.08.2006 12:18 25.097 KB904706.log 20.08.2006 12:17 39.232 KB905414.log 20.08.2006 12:17 40.047 KB901017.log 20.08.2006 12:17 42.066 KB902400.log 20.08.2006 12:15 30.281 KB896423.log 20.08.2006 12:14 33.009 KB899587.log 20.08.2006 12:13 31.999 KB899591.log 20.08.2006 12:13 32.165 KB893756.log 20.08.2006 12:12 31.470 KB896358.log 20.08.2006 12:11 30.385 KB890859.log 20.08.2006 12:09 27.074 KB901214.log 20.08.2006 12:09 25.287 KB896428.log 20.08.2006 12:08 27.533 KB890046.log 20.08.2006 12:07 29.511 KB885835.log 20.08.2006 12:05 22.316 KB891781.log 20.08.2006 12:04 21.560 KB888302.log 20.08.2006 12:04 23.458 KB885836.log 20.08.2006 12:03 22.565 KB873339.log 20.08.2006 10:40 212.057 setupact.log 20.08.2006 09:46 14.821 xpsp1hfm.log 20.08.2006 09:46 27.629 KB823980.log 20.08.2006 09:45 629 avmcoins.log 20.08.2006 09:43 2.484 F-Lovsan.log 19.08.2006 23:14 6.739 WGA.log 19.08.2006 14:56 6.395 KB842773.log 19.08.2006 14:55 8.694 KB893803v2.log 19.08.2006 14:54 7.245 KB898461.log 19.08.2006 14:46 3.207 tpl.cfg 19.08.2006 14:46 1.287 ISISAIM.INI 19.08.2006 11:19 0 nsreg.dat 19.08.2006 11:19 2.266 mozver.dat 18.08.2006 23:39 64 wininit.ini 18.08.2006 23:39 840 SIERRA.INI 18.08.2006 22:40 247 system.ini 13.08.2006 13:33 26 ms_shell.ini 05.08.2006 16:16 3.295 tm.ini 21.07.2006 13:19 500 GEARInstall.log 20.07.2006 22:54 4.096 d3dx.dat 18.07.2006 18:00 18 gfact.ini 17.07.2006 14:37 89 vpetting.ini 11.07.2006 18:22 160.265 wmsetup.log 09.07.2006 17:42 300 CDCOPS.XCP 26.06.2006 20:36 479 qtw.ini 20.05.2006 18:32 316.640 WMSysPr9.prx 18.05.2006 16:54 580 CrypTool.INI 24.04.2006 15:49 310 ChssBase.ini 22.04.2006 12:15 52 Flarium24.INI 07.04.2006 14:27 118 tdf.dii ---- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 4049-1A01 Verzeichnis von C:\WINDOWS\system32 20.08.2006 14:13 13.700 wpa.dbl 20.08.2006 12:42 153.976 FNTCACHE.DAT 18.08.2006 23:35 48.354 perfc007.dat 18.08.2006 23:35 723.744 PerfStringBackup.INI 18.08.2006 23:35 311.740 perfh009.dat 18.08.2006 23:35 40.128 perfc009.dat 18.08.2006 23:35 316.924 perfh007.dat 09.08.2006 12:03 8.325.544 MRT.exe 25.07.2006 11:50 463.872 URLMON.DLL 21.07.2006 10:29 72.704 hlink.dll 18.07.2006 19:31 9.557 vgl.log 18.07.2006 18:00 172.032 cncs32.dll 18.07.2006 17:10 917.504 FLASH.OCX 14.07.2006 17:57 307.200 netapi32.dll 14.07.2006 17:36 519.168 hhctrl.ocx 13.07.2006 15:50 8.394.240 shell32.dll 13.07.2006 10:51 612.864 xpsp2res.dll 05.07.2006 12:53 1.002.496 kernel32.dll 30.06.2006 10:51 2.703.872 MSHTML.DLL 26.06.2006 19:47 6.144 rasadhlp.dll 26.06.2006 19:47 140.288 dnsapi.dll 23.06.2006 13:27 582.144 WININET.DLL 22.06.2006 12:59 169.984 rasmans.dll 19.06.2006 16:20 702.768 WgaLogon.dll 19.06.2006 16:19 571.184 LegitCheckControl.dll 19.06.2006 16:19 304.944 WgaTray.exe 13.06.2006 18:08 552 d3d8caps.dat 09.06.2006 14:35 351.744 DXTMSFT.DLL 09.06.2006 14:35 192.512 DXTRANS.DLL 02.06.2006 11:04 57.384 avsda.dll 28.05.2006 16:22 90.112 CmdLineExt.dll 26.05.2006 22:19 163.840 JGDW400.DLL 26.05.2006 15:49 1.339.904 SHDOCVW.DLL 21.05.2006 10:25 43.520 CmdLineExt03.dll 19.05.2006 14:13 13.312 wship6.dll 19.05.2006 14:13 54.272 ipv6mon.dll 19.05.2006 14:13 84.480 iphlpapi.dll 19.05.2006 14:13 70.656 ws2_32.dll 19.05.2006 14:13 31.232 inetmib1.dll 19.05.2006 14:13 95.232 6to4svc.dll 19.05.2006 14:13 104.448 dhcpcsvc.dll 19.05.2006 14:01 48.640 ipv6.exe 19.05.2006 14:01 85.504 netsh.exe 19.05.2006 10:51 184.320 xpob2res.dll 18.05.2006 08:13 458.752 jscript.dll 14.05.2006 11:26 98.816 polstore.dll 14.05.2006 11:26 258.560 oakley.dll 14.05.2006 11:26 29.184 winipsec.dll 14.05.2006 11:26 368.128 ipsmsnap.dll 14.05.2006 11:26 161.280 ipsecsvc.dll 14.05.2006 11:26 346.624 ipsecsnp.dll 07.05.2006 18:24 1.409 tmpC5156.FOT 28.04.2006 10:58 12.288 JSPROXY.DLL 24.04.2006 15:40 4.730.880 wmp.dll 06.04.2006 16:15 27.648 JGPL400.DLL ---- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 4049-1A01 Verzeichnis von C:\DOKUME~1\LOKALE~1\Temp ___________________ Hier also die Daten. Ich habe jeweils nur meinen Namen aus den Pfadangaben gelöscht. Ansonsten alles nach Vorschrift gemacht;-)- außer eben das Clean up, aber die Dateien hier drin sind nach der richtigen Einstellung, die ich "nachgeschoben" habe. Vielen Dank für deine Hilfe! |
|
|
||
20.08.2006, 16:54
Moderator
Beiträge: 7805 |
#4
Du scheinst doch etwas mehr glueck zu haben. Fixe bitte das(anhaken fix checked druecken)
O2 - BHO: Class - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - C:\Programme\LinkOptimizer\LinkOptimizer.dll (file missing) O4 - HKLM\..\Run: [rock] rock.exe O4 - HKLM\..\Run: [bbxo17.exe] C:\WINDOWS\Temp\bbxo17.exe O4 - HKLM\..\Run: [bbxo32.exe] C:\WINDOWS\Temp\bbxo32.exe O4 - HKLM\..\Run: [bbxo33.exe] C:\WINDOWS\Temp\bbxo33.exe O4 - HKLM\..\Run: [bbxo34.exe] C:\WINDOWS\Temp\bbxo34.exe O4 - HKLM\..\Run: [bbxo35.exe] C:\WINDOWS\Temp\bbxo35.exe O4 - HKLM\..\Run: [bbxo36.exe] C:\WINDOWS\Temp\bbxo36.exe O4 - HKLM\..\Run: [bbxo37.exe] C:\WINDOWS\Temp\bbxo37.exe O4 - HKLM\..\Run: [bbxo38.exe] C:\WINDOWS\Temp\bbxo38.exe O4 - HKLM\..\Run: [bbxo39.exe] C:\WINDOWS\Temp\bbxo39.exe O4 - HKLM\..\Run: [bbxo40.exe] C:\WINDOWS\Temp\bbxo40.exe O4 - HKLM\..\Run: [bbxo41.exe] C:\WINDOWS\Temp\bbxo41.exe O4 - HKLM\..\Run: [bbxo42.exe] C:\WINDOWS\Temp\bbxo42.exe O4 - HKLM\..\Run: [bbxo43.exe] C:\WINDOWS\Temp\bbxo43.exe O4 - HKLM\..\Run: [bbxo44.exe] C:\WINDOWS\Temp\bbxo44.exe O4 - HKLM\..\Run: [bbxo45.exe] C:\WINDOWS\Temp\bbxo45.exe O4 - HKLM\..\Run: [bbxo46.exe] C:\WINDOWS\Temp\bbxo46.exe O20 - AppInit_DLLs: \\?\C:\WINDOWS\System32\lpt9.fla Dann bitte neu starten und ein neues Hijackthis log erstellen. Stelle dein Antivir bitte so ein wie hier beschrieben und melde evtl. Heur Meldungen: http://board.protecus.de/t23979.htm __________ MfG Ralf SEO-Spam Hunter |
|
|
||
20.08.2006, 17:28
Member
Themenstarter Beiträge: 33 |
#5
Hallo, da bin ich wieder!
Vielen, vielen Dank bis hierher! Ich habe die betreffenden Dateien gefixt. Da kam dann eine Fehlermeldung mit irgendwas von "unvorhersehbar". Ich habe dann auf OK gedrückt- daraufhin ging das ganz normal weiter, "Bitte alle Fenster schließen", OK, und dann hat er das abgearbeitet. Ich hab dann AntiVirGuard nach dem Neustart wieder genauso eingestellt ( war's eh eigentlich schon;-). Da kam dann ziemlich schnell wieder die Fehlermeldung von dem Trojaner, immer noch die gleiche Datei. Im Logfile steht sie aber nicht mehr, oder? Na, du kennst dich besser aus ;-) Hier ist es, ich habe es gerade erstellt: Logfile of HijackThis v1.99.1 Scan saved at 17:27:59, on 20.08.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\UAService7.exe C:\WINDOWS\Explorer.EXE C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\System32\WgaTray.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\system32\ntvdm.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\T-ONLINE\BSW3\ToDuCAlC.EXE C:\Dokumente und Einstellungen\Leonhard\Eigene Dateien\Virenjagd\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\Programme\IDM\QUICKfind\PlugIns\IEHelp.dll O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [ICQ Lite] "D:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Picture Package VCD Maker.lnk = ? O4 - Global Startup: Picture Package Menu.lnk = ? O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{45100E6B-CBB5-4925-869B-BE6598C6B36A}: NameServer = 217.237.151.115 217.237.150.33 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe |
|
|
||
20.08.2006, 17:50
Moderator
Beiträge: 7805 |
#6
Den Trojaner kann antivir auch nicht loeschen. Das hat etwas mit dem Namen der Datei zu tun, komisch, is aber so!
Du kannst den Rechner dazu am besten im abgesicherten Modus starten, oder aber den Antivirguard deaktivieren. Gebe dann unter start ausfuehren CMD ein und druecke Enter. Dann oeffnet sich ein Dosfenster in diesem Fenster gibst du folgendes ein: del \\?\c:\windows\system32\lpt9.fla wieder enter druecken. Sollte eine Fehlermeldung auftauchen, schreib, welche. Ansonsten musst du diesen Eintrag noch fixen: O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file) und diesen Ordner loeschen: C:\Programme\LinkOptimizer Zuletzt bitte noch via www.windowsupdate.com dein System aktualisieren... __________ MfG Ralf SEO-Spam Hunter |
|
|
||
20.08.2006, 18:22
Member
Themenstarter Beiträge: 33 |
#7
Vielen Dank!
Ich schau mal, was kommt... Ok, die Datei habe ich (oder vielmehr du) löschen können! Das hier allerdings O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file) lässt sich nicht fixen, d.h. es lässt sich schon (keine Fehlermeldung oder so) aber es ist danach immer noch da. Den Ordner "Link Optimizer" gibts gar nicht... seltsam, der ist mir nämlich in der Software-Liste aufgefallen; ich wollte das Teil deinstallieren, da hat sich dann eine Seite geöffntet wo nur ein Button "Uninstall" war, sonst war die Seite leer. Das kam mir dann doch spanisch vor, also hab ich das dann gelassen. Das Windowsupdate mache ich, habe das etwas schleifen lassen;-) Und noch eine Anmerkung: Ist es normal, dass im Taskmanager 5 mal SVCHOST.EXE auftaucht??? Dreimal unter "SYSTEM", einmal unter "LOKALER DIENST" und einmal unter "NETZWERKDIENST". Danke im Voraus! Dieser Beitrag wurde am 20.08.2006 um 20:14 Uhr von Murmeltier I editiert.
|
|
|
||
21.08.2006, 11:10
Moderator
Beiträge: 7805 |
#8
Das mit den svchost Dateien ist normal. Das BHO fixe nochmal. Achte dann bitte darauf, das der internetexplorer geschlossen ist, sonst klappt das nicht...
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
21.08.2006, 11:37
Member
Themenstarter Beiträge: 33 |
#9
Der war eigentlich zu... Ich veruche es heute Abend nochmal (bin grad an nem Unicomputer).
Danke! |
|
|
||
21.08.2006, 11:49
Moderator
Beiträge: 7805 |
#10
Man sollte es auch ueber Den IE selber machen koennen, unter Extras/Addoins Verwalten. Es funktioniert leider nur aktivieren/deaktivieren. Aber HJT sollte es koennen...
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
21.08.2006, 19:21
Member
Themenstarter Beiträge: 33 |
#11
So, da bin ich wieder!
Ich habe es gerade ausprobiert, den einen Eintrag zu fixen, das funktioniert aber tatsächlich nicht, O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file) taucht beim nächsten Scan wieder auf. Mfg Murmeltier |
|
|
||
21.08.2006, 19:29
Moderator
Beiträge: 7805 |
#12
Du kannst es via Extras/ADD ONS Verwalten deaktivieren, oder es mit BHO Deamon machen http://www.definitivesolutions.com/bhodemon.htm
oder toolbarcop http://windowsxp.mvps.org/toolbarcop.htm __________ MfG Ralf SEO-Spam Hunter |
|
|
||
21.08.2006, 22:16
Member
Themenstarter Beiträge: 33 |
#13
Das ist mir jetzt etwas peinlich- aber ich krieg' das nicht gebacken:
1.) Beim Internet Explorer gibt's bei mir keine Rubrik AddOns (kann das daran liegen, dass nicht IE mein Standardbrowser ist, sondern Firefox?) 2.) BHO Deamon lässt sich ohne Probleme installieren, aber wenn ich starten will, kommt, dass ich in der "Administrator Group" sein muss, weil der Einträge braucht, die er nur bekommen kann, wenn ein Administrator das Ganze ausführt. Nun bin ich Admin an meinem Computer, ich bin der einzige Benutzer. 3.) Toolbarcop findet's nicht. Es ist aber immernoch da. MfG Murmeltier |
|
|
||
04.10.2006, 23:41
...neu hier
Beiträge: 8 |
#14
Hallo Leute,
ich schließe mich dem Problem meines Vorgängers an. Ich hoffe mir kann dabei jemand helfen, denn langsam wird es unheimlich. Ich (ein "noch" Modem-Nutzer) habe bemerken müssen, das mich neben diesem Trojaner anschließend noch weitere Trojaner befallen haben. Die haben mich aus dem Netz geschmissen und haben versucht mit dem Modem etwas an zu wählen. Habe das aber mit dem "guten alten" Aus-Schalter verhindern können. Konnte das aber mit AntiVir wieder löschen. Hauptproblem: TR/RKDice.A unter folgendem Verzeichnis: c:\windows\system32\clock$.dop Was kann ich tun, damit das nicht nochmal passieren kann? Ich nutze doch AntiVir und eine Firewall?! Ich danke im Vorraus! Bye Christoph ________________________________________________________________________ Logfile of HijackThis v1.99.1 Scan saved at 00:23:50, on 04.10.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\Temp\qsky1.exe C:\Programme\TechniSat DVB\bin\Server4PC.exe C:\Tools\Palm\HOTSYNC.EXE C:\Programme\SmartNote\SmartNote.exe C:\WINDOWS\system32\rundll32.exe C:\SenseConnect! PRO\sc_pro.exe C:\TOOLS\FIREFOX\FIREFOX.EXE C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: Class - {BFE1C5F3-CF0A-C6AC-7747-04D3BD9AB7F0} - C:\WINDOWS\nboch1.dll (file missing) O3 - Toolbar: Pa&nicware Pop-Up Stopper Pro - {B1E741E7-1E77-40D4-9FD8-51949B9CCBD0} - C:\Tools\Pop-Up Stopper Pro\popuppro.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [qsky1.exe] C:\WINDOWS\Temp\qsky1.exe O4 - Startup: HotSync Manager.lnk = C:\Tools\Palm\HOTSYNC.EXE O4 - Startup: SmartNote.lnk = C:\Programme\SmartNote\SmartNote.exe O4 - Global Startup: Server4PC.lnk = C:\Programme\TechniSat DVB\bin\Server4PC.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101944438218 O17 - HKLM\System\CCS\Services\Tcpip\..\{D2A11F43-E106-491C-95BC-7D537856AF84}: NameServer = 192.168.0.1 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe _____________ Administrator - 06-10-04 0:41:51,68 Service Pack 2 ComboFix 06.09.28 - Running from: "C:\Dokumente und Einstellungen\Administrator\Desktop\Virus" ((((((((((((((((((((((((((((((( Files Created from 2006-09-04 to 2006-10-04 )))))))))))))))))))))))))))))))))) 2006-09-28 13:23 12,288 --a------ C:\WINDOWS\system32\xnaa.dll 2006-09-19 23:19 476,320 --------- C:\WINDOWS\system32\ImagXpr7.dll 2006-09-19 23:19 471,040 --------- C:\WINDOWS\system32\ImagXRA7.dll 2006-09-19 23:19 262,144 --------- C:\WINDOWS\system32\ImagXR7.dll 2006-09-19 23:19 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe 2006-09-19 23:19 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll 2006-09-19 23:19 1,568,768 --------- C:\WINDOWS\system32\ImagX7.dll (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-10-04 00:36 -------- d-------- C:\Programme\Windows NT 2006-09-26 17:19 -------- d-------- C:\Programme\EuroPoker 2006-09-24 23:07 -------- d-------- C:\Programme\SmartNote 2006-09-19 23:21 -------- d-------- C:\Programme\Gemeinsame Dateien\Nero 2006-09-19 23:21 -------- d-------- C:\Programme\Gemeinsame Dateien 2006-09-19 23:21 -------- d-------- C:\Programme\Ahead 2006-09-19 23:19 -------- d-------- C:\Programme\Gemeinsame Dateien\Ahead 2006-08-31 23:56 -------- d--h----- C:\Programme\InstallShield Installation Information 2006-08-31 23:56 -------- d-------- C:\Programme\Windows Media Player 2006-08-29 20:32 -------- d-------- C:\Programme\DivX 2006-08-29 20:28 -------- d-------- C:\Programme\Latinum 2006-08-29 20:25 -------- d-------- C:\Programme\Mozilla Firefox 2006-08-20 19:52 -------- d-------- C:\Programme\Internet Explorer 2006-07-29 18:45 57384 --a------ C:\WINDOWS\system32\avsda.dll 2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll 2006-07-18 17:16 4608 --a------ C:\WINDOWS\system32\w95inf32.dll 2006-07-18 17:16 2272 --a------ C:\WINDOWS\system32\w95inf16.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"="C:\\Programme\\Java\\j2re1.4.2_04\\bin\\jusched.exe" "Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd" "KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\ 65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00 "nwiz"="nwiz.exe /install" "SmcService"="C:\\PROGRA~1\\Sygate\\SPF\\smc.exe -startgui" "NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup" "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe" "NWEReboot"="" "qsky1.exe"="C:\\WINDOWS\\Temp\\qsky1.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000001 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="file:///C:/DOKUME~1/ADMINI~1/LOKALE~1/Temp/msohtml1/01/clip_image002.jpg" "SubscribedURL"="file:///C:/DOKUME~1/ADMINI~1/LOKALE~1/Temp/msohtml1/01/clip_image002.jpg" "FriendlyName"="" "Flags"=dword:00000001 "Position"=hex:2c,00,00,00,9d,00,00,00,95,00,00,00,07,02,00,00,d4,01,00,00,e8,\ 03,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00 "CurrentState"=hex:01,00,00,40 "OriginalStateInfo"=hex:18,00,00,00,9c,03,00,00,83,01,00,00,07,02,00,00,d4,01,\ 00,00,01,00,00,40 "RestoredStateInfo"=hex:dc,ff,d3,01,f3,99,83,7c,70,9a,80,7c,ff,ff,ff,ff,66,9a,\ 80,7c,66,9a,80,7c [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\1] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" "Flags"=dword:00000002 "Position"=hex:2c,00,00,00,e6,00,00,00,00,00,00,00,9a,03,00,00,3e,03,00,00,00,\ 00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00 "CurrentState"=hex:04,00,00,40 "OriginalStateInfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\ 00,00,04,00,00,40 "RestoredStateInfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\ 00,00,01,00,00,00 [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 ______________ Datentr„ger in Laufwerk C: ist Laufwerk Volumeseriennummer: E0D2-768D Verzeichnis von C:\WINDOWS\system32 04.10.2006 00:41 316.924 perfh007.dat 04.10.2006 00:41 40.128 perfc009.dat 04.10.2006 00:41 311.740 perfh009.dat 04.10.2006 00:41 48.354 perfc007.dat 04.10.2006 00:41 723.744 PerfStringBackup.INI 04.10.2006 00:37 3.725 nvapps.xml 02.10.2006 18:48 2.206 wpa.dbl 28.09.2006 17:43 12.288 xnaa.dll 31.08.2006 23:56 16.832 amcompat.tlb 31.08.2006 23:56 23.392 nscompat.tlb 09.08.2006 21:03 8.325.544 MRT.exe 29.07.2006 18:45 57.384 avsda.dll 28.07.2006 13:28 3.075.072 mshtml.dll 25.07.2006 22:33 615.936 urlmon.dll 21.07.2006 10:29 72.704 hlink.dll 18.07.2006 17:16 2.272 w95inf16.dll 18.07.2006 17:16 4.608 w95inf32.dll 14.07.2006 17:38 332.288 netapi32.dll 14.07.2006 17:25 546.304 hhctrl.ocx 13.07.2006 15:34 8.494.592 shell32.dll 05.07.2006 12:55 1.057.792 kernel32.dll 26.06.2006 19:40 148.480 dnsapi.dll 26.06.2006 19:40 8.192 rasadhlp.dll 23.06.2006 13:10 664.576 wininet.dll 23.06.2006 13:10 448.512 mshtmled.dll 23.06.2006 13:10 146.432 msrating.dll 23.06.2006 13:10 474.624 shlwapi.dll 23.06.2006 13:10 39.424 pngfilt.dll 23.06.2006 13:10 532.480 mstime.dll 23.06.2006 13:10 1.494.016 shdocvw.dll 23.06.2006 13:10 205.312 dxtrans.dll 23.06.2006 13:10 55.808 extmgr.dll 23.06.2006 13:10 357.888 dxtmsft.dll 23.06.2006 13:10 251.392 iepeers.dll 23.06.2006 13:10 16.384 jsproxy.dll 23.06.2006 13:10 1.056.256 danim.dll 23.06.2006 13:10 152.064 cdfview.dll 23.06.2006 13:10 96.768 inseng.dll 23.06.2006 13:10 1.022.976 browseui.dll 23.06.2006 10:53 27.136 xpsp3res.dll 01.06.2006 20:47 27.648 jgpl400.dll 01.06.2006 20:47 163.840 jgdw400.dll atentr„ger in Laufwerk C: ist Laufwerk Volumeseriennummer: E0D2-768D Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp 04.10.2006 00:39 512 ~DF7672.tmp 04.10.2006 00:39 512 ~DF5FF5.tmp 04.10.2006 00:37 444 jusched.log 3 Datei(en) 1.468 Bytes 0 Verzeichnis(se), 49.179.574.272 Bytes frei Datentr„ger in Laufwerk C: ist Laufwerk Volumeseriennummer: E0D2-768D Verzeichnis von C:\WINDOWS 04.10.2006 00:46 1.360.772 WindowsUpdate.log 04.10.2006 00:36 0 0.log 04.10.2006 00:35 2.048 bootstat.dat 04.10.2006 00:23 106.948 ModemLog_MicroLink 56k Fun .txt 04.10.2006 00:15 2.841 KB920214.log 04.10.2006 00:14 2.744 KB920685.log 04.10.2006 00:13 3.044 KB920872.log 04.10.2006 00:13 207.186 setupapi.log 04.10.2006 00:08 2.587 KB919007.log 04.10.2006 00:00 32.618 SchedLgU.Txt 03.10.2006 00:36 69 NeroDigital.ini 30.09.2006 03:14 192 winamp.ini 26.09.2006 20:52 36.498.486 Firefox Wallpaper.bmp 26.09.2006 17:00 116.344 ntbtlog.txt 21.09.2006 21:42 6.501 WgaNotify.log 19.09.2006 23:21 28.112 wmsetup.log 19.09.2006 23:21 316.640 WMSysPr9.prx 13.09.2006 01:08 815 win.ini 13.09.2006 01:08 227 system.ini 06.09.2006 23:19 50 wiaservc.log 06.09.2006 23:19 216 wiadebug.log 01.09.2006 13:55 90 wa.INI 29.08.2006 20:25 230 Wininit.ini 21.08.2006 18:21 626.687 iis6.log 21.08.2006 18:21 112.832 ntdtcsetup.log 21.08.2006 18:21 147.317 comsetup.log 21.08.2006 18:21 249.340 tsoc.log 21.08.2006 18:21 25.630 tabletoc.log 21.08.2006 18:21 29.691 ocmsn.log 21.08.2006 18:21 1.374 imsins.log 21.08.2006 18:21 13.299 KB921398.log 21.08.2006 18:21 212.756 ocgen.log 21.08.2006 18:21 26.927 msgsocm.log 21.08.2006 18:21 38.200 medctroc.Log 21.08.2006 18:21 90.641 netfxocm.log 21.08.2006 18:21 519.007 FaxSetup.log 21.08.2006 18:21 171.426 msmqinst.log 21.08.2006 18:21 32.340 updspapi.log 20.08.2006 19:52 1.374 imsins.BAK 20.08.2006 19:52 14.685 KB922616.log 20.08.2006 19:52 18.610 KB918899.log 17.08.2006 20:38 12.404 KB921883.log 17.08.2006 20:37 11.834 KB920670.log 17.08.2006 20:37 11.996 KB917422.log 17.08.2006 20:36 12.649 KB920683.log 05.08.2006 19:43 255 setupact.log 05.08.2006 19:08 10.976 mozver.dat 14.07.2006 12:22 11.839 KB917159.log 14.07.2006 12:22 12.345 KB914388.log 14.07.2006 12:22 10.473 KB916595.log Datentr„ger in Laufwerk C: ist Laufwerk Volumeseriennummer: E0D2-768D Verzeichnis von C:\ 04.10.2006 00:49 0 sys.txt 04.10.2006 00:49 9.955 system.txt 04.10.2006 00:48 388 systemtemp.txt 04.10.2006 00:48 103.194 system32.txt 04.10.2006 00:44 5.857 ComboFix.txt 04.10.2006 00:35 1.560.281.088 pagefile.sys 13.09.2006 01:08 211 boot.ini 16.04.2006 21:25 33 ProgDVB.ini 14.11.2005 03:27 151.719 Standard.mp3 24.11.2004 18:53 47.564 NTDETECT.COM 24.11.2004 18:53 251.184 ntldr 24.11.2004 18:22 0 MSDOS.SYS 24.11.2004 18:22 0 CONFIG.SYS 24.11.2004 18:22 0 AUTOEXEC.BAT 24.11.2004 18:22 0 IO.SYS 23.08.2001 14:00 4.952 bootfont.bin 16 Datei(en) 1.560.856.145 Bytes 0 Verzeichnis(se), 49.179.574.272 Bytes frei |
|
|
||
05.10.2006, 00:54
Ehrenmitglied
Beiträge: 29434 |
#15
ChrisGir112
1. avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein Zitat Files to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten 2. öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat R3 - Default URLSearchHook is missingStart - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung - Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. - Click:Temporäre Dateien, o.k 3. Klicke: Start -Ausfuehren- schreib rein: cmd dann kopiere in das schwarze DOS-Fenster: del %windir%\temp\*.* /f klicke "enter" schreibe Y --------------- 4. scanne und poste den report http://virus-protect.org/a2.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Ist, glaube ich, nichts Neues- ich habe mich schon durch diverse Topics gelesen, die das gleiche Thema haben. Aber die Vorschläge haben alles nichts genützt.
Jedenfalls schlägt mein AntiVir dauernd an, wenn er beim automatischen Suchen auf die Datei C:\WINDOWS\system32\lpt9.fla stößt. Wenn ich löschen will, verschwindet der Hinweis und kommt kurz darauf wieder. Ist aber immer dieselbe Datei, insofern ist es unwahrscheinlich, dass er sich durch Klicken vermehrt.
Wäre nett, wenn ihr mir helfen könntet!
P.S.: Ich bin kein Informatiker...
_________
Es grüßt das Mutmeltier.