Internet trennt sich ständig selber, Neueinwahl erst nach Neustart möglichThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
30.08.2006, 16:50
Member
Beiträge: 11 |
||
|
||
31.08.2006, 00:37
Ehrenmitglied
Beiträge: 29434 |
#2
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten http://www.virustotal.com/flash/index_en.html C:\Programme\DaemonTools_WhenUSaveNow_Installer C:\WINDOWS\system32\psfind.dll C:\WINDOWS\system32\wups2.dll C:\WINDOWS\system32\drivers\dtscsi.sys berichte __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
31.08.2006, 12:24
Member
Themenstarter Beiträge: 11 |
#3
Hi! Danke für die Antwort!
Also "DaemonTools_WhenUSaveNow_Installer" hab ich schon vor einer Woche gekickt. Das ist ja nur noch der Ordner davon. psfind.dll: sauber wups2.dll: sauber dtscsi.sys: scheinbar auch sauber. 0 bytes groß..... Also da war leider nichts dabei. Ansonsten fällt nichts auf? Kann es daran liegen, daß ich die Logs vor dem Vorfall mit dem Internet gemacht habe? Soll ich das ganze mal machen wenn es mich wieder rausgeschmissen hat? Gruß Chris |
|
|
||
31.08.2006, 12:28
Ehrenmitglied
Beiträge: 29434 |
#4
1.
fixe mit dem HijackThis: Zitat O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe"-lang 10332. trenne dich mal vorruebegehend vom FlashGet (fixe auch alles vom Proggie im HijackThis) wenn du wieder eine unterbrochene Verbindung hattest, poste das neue Log vom HijackThis, vielleicht ein bisschen geordneter als das obrige) 3. der Rechner haengt an einem Router ? und eine Firwall hast auch oder nicht ? wahrscheinlich musst du dort einhaken und die Ursache fuer den Fehler suchen __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
31.08.2006, 12:38
Member
Themenstarter Beiträge: 11 |
#5
1. Gesagtm getan
2. Flashget ist jetzt deinstalliert, der war aber eigentlich nie aktiv. Und wegen dem "geordneter", ich hab eigentlich das getan was gesagt wurde(markiert, kopiert, eingefügt). Wo war die Unordnung? Damit ichs später besser mache. 3. Kein Router, keine Firewall. Hatte die Firewall zwischendurch mal testweise an. Half nix. |
|
|
||
31.08.2006, 13:28
Ehrenmitglied
Beiträge: 29434 |
#6
Zitat:
Der Smartsurfer bereitet - nach dem SP2- sehr oft Probleme 1. es kann sein, dass die XP-Firewall, die normalerweise bei SP2 aktiviert ist, in deine Internetverbindung eingreift. man sollte sich die konfigurierung naeher ansehen, leider verstehe ich nicht genug davon, um dir konkrete Anhaltspunkte zu geben 2. Offne einen beliebigen Ordner ==> Extras ==> Ordneroptionen ==> Ansicht: Haken raus bei "Automatisch nach Netzwerkordnern suchen". 3. gehe ins Systemprotrokoll (wenn möglich) -> Start -> Ausführen -> eventvwr.msc Schau nach Fehlern unter System und Anwendung --> berichte 4. nimm mal kurzfristig den Antivrus-Guard aus dem Autostart ---------------------------------------------------------------------- ich verschiebe den Thread. Es findest sich bestimmt noch jemand, der hier weiterhelfen kann __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
31.08.2006, 13:50
Member
Themenstarter Beiträge: 11 |
#7
Wegen dem Smartsurfer: Also nicht der Smartsurfer beendet die Verbindung, sondern er selber teilt mit daß die Internetverbindung ausserhalb von ihm beendet wurde.
1. Die Firewall ist aus(war nur testweise an). 2. Ok, hab ich gemacht. Aber: Der Fehler bestand schon länger. Habe das Häkchen erst vor kurzem bei einer Netzwerksession gesetzt. 3. Ohje, das is ne Menge... muss ich mir mal genauer anschauen. Da kommt noch was. 4. Habe ich auch schon probiert. Problem bestand weiterhin. PS: Also heute hats mich bisher noch nicht rausgehauen, was an einem mittelschweren Wunder grenzt. Vielleicht hab ich das Viech irgendwie doch erwischt. Lasse nämlich gerade die "aggressive" Vorgehensweise des Antivir laufen(Siehe Beitrag des einen Mods). Da hat sich schon einiges mehr als sonst gefunden... |
|
|
||
31.08.2006, 13:56
Ehrenmitglied
Beiträge: 29434 |
||
|
||
31.08.2006, 14:03
Member
Themenstarter Beiträge: 11 |
#9
AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Donnerstag, 31. August 2006 13:02 Es wird nach 483100 Virenstämmen gesucht. Lizenznehmer: AntiVir PersonalEdition Classic Seriennummer: Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Benutzername: Administrator Computername: CHRISTIAN Versionsinformationen: AVSCAN.EXE : 7.0.0.42 557096 21.02.2006 10:33:01 AVSCAN.DLL : 7.0.0.42 57384 21.02.2006 10:33:01 LUKE.DLL : 7.0.0.42 118824 21.02.2006 10:33:01 LUKERES.DLL : 7.0.0.42 32808 21.02.2006 10:33:01 ANTIVIR0.VDF : 6.35.0.1 7371264 21.02.2006 10:33:01 ANTIVIR1.VDF : 6.35.0.168 730112 21.02.2006 10:33:01 ANTIVIR2.VDF : 6.35.1.86 506880 21.02.2006 10:33:01 ANTIVIR3.VDF : 6.35.1.112 56832 21.02.2006 10:33:01 AVEWIN32.DLL : 7.1.1.2 1782272 21.02.2006 10:33:01 AVPREF.DLL : 7.0.0.1 53288 21.02.2006 10:33:01 AVREP.DLL : 6.35.1.100 757800 21.02.2006 10:33:01 AVRPBASE.DLL : 7.0.0.0 2162728 18.08.2006 11:32:43 AVPACK32.DLL : 7.1.0.1 335912 21.02.2006 10:33:01 AVREG.DLL : 6.31.0.90 27688 21.02.2006 10:33:01 NETNT.DLL : 6.32.0.0 6696 21.02.2006 10:33:01 NETNW.DLL : 6.32.0.0 9768 21.02.2006 10:33:01 RCIMAGE.DLL : 7.0.0.71 1642536 21.02.2006 10:33:02 RCTEXT.DLL : 7.0.0.75 77864 21.02.2006 10:33:02 Konfiguration für den aktuellen Suchlauf: Job Name......................: Lokale Laufwerke Konfigurationsdatei...........: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp Bootsektoren..................: C,D,E,H,A,F,I,J Durchsuche Speicher...........: 1 Laufende Programme............: 1 Prüfe alle Dateien............: 1 Durchsuche Archive............: 1 Maximale Rekursionstiefe......: 0 Smart Extensions..............: 1 Auszulassende Archivtypen.....: 1000,1001,1002,1003,1004, Makrovirenheuristik...........: 1 Dateiheuristik................: 3 Primäre Aktion................: 1 Sekundäre Aktion..............: 0 Beginn des Suchlaufs: Donnerstag, 31. August 2006 13:02 Der Suchlauf über gestartete Prozesse wird begonnen: Es wurden 29 Prozesse durchsucht Es wird begonnen die Bootsektoren zu durchsuchen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'D:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'E:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'H:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'A:\' [HINWEIS] Im Laufwerk 'A:\' ist kein Datenträger eingelegt! Scan der Registry auf Verweise zu ausführbaren Dateien. Die Registry wurde durchsucht ( 9 Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Administrator\NTUSER.DAT [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\bjiia595.default\mail\local folders\inbox [0] Archivtyp: Netscape/Mozilla Mailbox --> Mailbox_[From: s.manasse@gmx.net][Subject: Hi, Ich bin's]590.mim [1] Archivtyp: MIME --> Liste.zip [FUND] Enthält Signatur des Droppers DR/Sober.X [2] Archivtyp: ZIP --> Reg-List-Dat_Packer2.exe [FUND] Enthält Signatur des Droppers DR/Sober.X --> Mailbox_[From: Volksbanken Raiffeisenbanken <supprefnum6136063][Subject: ES IST WICHTIG!]634.mim [FUND] Enthält Signatur der Phish-Datei/Email PHISH/VolksBfraud.I [1] Archivtyp: MIME --> file0.html [FUND] Enthält Signatur der Phish-Datei/Email PHISH/VolksBfraud.I --> Mailbox_[From: Deutsche Telekom <Rechnung-Online@t-com.net>][Subject: Telekom Rechnung Online Monat Oktober 2005]822.mim [1] Archivtyp: MIME --> Rechnung.pdf.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Agent.zm --> Mailbox_[From: "VOLKSBANKEN RAIFFEISENBANKEN" <customerssuppor][Subject: Volksbanken Raiffeisenbanken informiert Sie -Fr]3318.mim [1] Archivtyp: MIME --> file0.html [FUND] Enthält Signatur der Phish-Datei/Email PHISH/VolksBkFraud [WARNUNG] Die Datei wurde ignoriert. C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\bjiia595.default\mail\local folders\trash [0] Archivtyp: Netscape/Mozilla Mailbox --> Mailbox_[From: Deutsche Telekom <Rechnung-Online@t-com.net>][Subject: Telekom Rechnung Online Monat Oktober 2005]176.mim [1] Archivtyp: MIME --> Rechnung.pdf.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Agent.zm --> Mailbox_[From: "VOLKSBANKEN RAIFFEISENBANKEN" <customerssuppor][Subject: Volksbanken Raiffeisenbanken informiert Sie -Fr]2632.mim [1] Archivtyp: MIME --> file0.html [FUND] Enthält Signatur der Phish-Datei/Email PHISH/VolksBkFraud [WARNUNG] Die Datei wurde ignoriert. C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\JETE0EE.tmp [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\All Users\Dokumente\setup.exe [FUND] Enthält verdächtigen Code: HEUR/Trojan.Downloader [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '456ac2db.qua' verschoben! C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\default [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\default.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SAM [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SAM.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SECURITY [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SECURITY.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\software [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\software.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\system [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\system.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\dtscsi.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\sptd0013.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\vaxscsi.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! D:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! D:\Programme\Brenner\CureROMLoader_101.rar [0] Archivtyp: RAR --> CureROMLoader.exe [FUND] Enthält verdächtigen Code: HEUR/Crypted.Modified [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4568cb20.qua' verschoben! D:\Programme\Brenner\Alc 1.9.2.2802\Alcohol.120%.v1.9.5.3823.rar [0] Archivtyp: RAR --> war*hier nicht!*-NFO.exe [FUND] Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/MEW). Bitte verifizieren Sie den Ursprung dieser Datei [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4559cb19.qua' verschoben! D:\Programme\Brenner\Alc 1.9.2.2802\war*hier nicht!*-NFO.exe [FUND] Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/MEW). Bitte verifizieren Sie den Ursprung dieser Datei [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4568cb0f.qua' verschoben! D:\Programme\Brenner\Alc 1.9.2.2802\Alcohol.120%.v1.95.3823\Alcohol.120%.v1.95.3823\tft-a1xx.rar [0] Archivtyp: RAR --> tft-alc_kg.exe [FUND] Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/MEW). Bitte verifizieren Sie den Ursprung dieser Datei [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '456acb14.qua' verschoben! D:\Programme\Brenner\Alc 1.9.2.2802\Alcohol.120%.v1.95.3823\Alcohol.120%.v1.95.3823\tft-alc_kg.exe [FUND] Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/MEW). Bitte verifizieren Sie den Ursprung dieser Datei [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '44f82fcd.qua' verschoben! D:\Programme\Spiele\setup.exe [FUND] Enthält verdächtigen Code: HEUR/Trojan.Downloader [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '456acb65.qua' verschoben! H:\games\Alcohol.120%.v1.9.5.3105.rar [0] Archivtyp: RAR --> war*hier nicht!*-NFO.exe [FUND] Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/MEW). Bitte verifizieren Sie den Ursprung dieser Datei [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4559cd77.qua' verschoben! Ende des Suchlaufs: Donnerstag, 31. August 2006 13:52 Benötigte Zeit: 50:16 min Der Suchlauf wurde vollständig durchgeführt. 6932 Verzeichnisse wurden überprüft 364333 Dateien wurden geprüft 16 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 8 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 5633 Archive wurden durchsucht 31 Warnungen 3 Hinweise PS: |
|
|
||
31.08.2006, 14:39
Ehrenmitglied
Beiträge: 29434 |
#10
1.
--> Mailbox_[From: Volksbanken Raiffeisenbanken --> Mailbox_[From: Deutsche Telekom <Rechnung-Online@t-com.net so kann man die Mails restlos aus der Inbox zu entfernen: 1. Mail aus Inbox löschen 2. Mülleimer leeren 3. Inbox komprimieren (Datei-Menü) Hintergrund: Die gesamte Inbox ist auf der Festplatte als eine einzige Datei abgelegt. Darin stehen alle Mails untereinander, und auch die "gelöschten" Mails bleiben stehen (nur sind sie als gelöscht markiert). Erst durch das Komprimieren werden tatsächlich Teile aus der Datei entfernt. ----------------- multiavtool http://virus-protect.org/multiavtool.html * klicke "3" - McAfee -- es erscheint ein leeres DOS-Fenster. bei der Eingabe "3" im MULTIAVTOOL muss eine Internetverbindung vorhanden sein - man muss eingeben, was gescannt werden soll - C:\Windows\System32 -> dann beginnt der Scan, man sollte dann auch scannen lassen: - C:\Windows - C:\ * klicke "6 --> der PC wird neustarten --> suche die 3 Scanreporte in C:\AV-CLS und kopiere sie __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.09.2006, 13:08
Member
Themenstarter Beiträge: 11 |
#11
Vielen Dank für deine Hilfe, aber der letzte Schritt war anscheinend nicht mal mehr nötig.
Ich weiss nicht wieso, weshalb, warum, aber.... der Spuk ist um!(Ich hätt Dichter werden sollen...) Gestern hats mich nicht ein einziges mal rausgehauen, auch heute bisher noch nicht. Glaube nicht, aufgrund wie schnell das sonst teilweise ging, daß es wieder passiert! Jetzt bleibt aber eine Frage offen, die man noch klären könnte. Was war es denn jetzt eigentlich? Ich hab nur das gemacht was du gesagt hast, sonst hab ich keine andren Schritte unternommen. Das letzte mal wo es mich gekostet hat war glaub ich vorgestern nachmittags, vielleicht auch nachts nochmal. Kann es vielleicht die aggressive Suche mit dem Antivir gebracht haben? Weil seit dort ist garantiert nichts mehr passiert. Und das war ja gestern mittag. Findet sich nichts in dem Log? Vielleicht der hier : "Enthält verdächtigen Code: HEUR/Trojan.Downloader"?? Gruß Chris |
|
|
||
01.09.2006, 17:25
Ehrenmitglied
Beiträge: 29434 |
#12
HijackThis und der virenscann habens wahrscheinlich gebracht
vergiss nicht, die infizierten Mails zu loeschen: Zitat --> Mailbox_[From: Volksbanken Raiffeisenbanken __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.09.2006, 00:12
Member
Themenstarter Beiträge: 11 |
#13
Ich finde nirgends in einer Ínbox solche Mails....
Aber ich hab mal diese Datei komprimiert und sie ist jetzt kleiner. Das Zeug wird denk ich mal weg sein. Ich lass es nochmal zur Sicherheit checken! Und nochmals vielen, vielen Dank für deine Mühe! Ich werds in diesem Falle wie in dem Film "Das Glücksprinzip" machen Gruß Chris |
|
|
||
Leider schmeisst es mich seit einiger Zeit in unregelmässigem Abstand aus dem Internet(ISDN, Smartsurfer). Ich kenn mich einigermassen aus mit Windows und habe überall die Einstellungen überprüft und etwaige Programme durchrennen lassen(Antivir, Spybot, Ewido). Ich habe auch gelesen das kann am Kabel liegen, das schliesse ich aber aus. Ca. 15 Sekunden nachdem ich aus dem Internet fliege ändert sich das Windows Design für ca. 5 Sekunden. Es sieht dann uralt aus, dann wird es wieder so wies normalerweise ist. Irgendwas geht da vor sich. Der macht was im hintergrund... aber was? Ein ähnlicher Beitrag hier hat mir nicht geholfen(Windows Worms Doors Cleaner etc.). Habe mal die ganzen Logs erstellt, hoffe es fehlt nix...
Gruß Chris
Logfile of HijackThis v1.99.1
Scan saved at 16:20:49, on 30.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ewido anti-spyware 4.0\ewido.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\WEB.DE\WEB.DE SmartSurfer\SmartSurfer.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\Explorer.EXE
D:\Programme\System Tools\board.protecus.de\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046}
- C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN
Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} -
C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} -
C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} -
C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} -
C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} -
C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA
Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware
4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe"
-lang 1033
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities
2006\MemOptimizer.exe" autostart
O4 - Startup: WEB.DE SmartSurfer.lnk = C:\Programme\WEB.DE\WEB.DE
SmartSurfer\SmartSurfer.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions
present
O8 - Extra context menu item: &ICQ Toolbar Search -
res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Alles mit FlashGet laden -
C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden -
C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} -
C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite -
{B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} -
C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet -
{D6E814A0-E0C5-11d4-8D29-0050BA6940E3} -
C:\PROGRA~1\FlashGet\flashget.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
eb_site.cab?1155676692680
O17 -
HKLM\System\CCS\Services\Tcpip\..\{751CEBDE-784A-4F2E-91F0-3BDC951E561B}:
NameServer = 192.168.120.252,192.168.120.253
O17 -
HKLM\System\CCS\Services\Tcpip\..\{7F4625E6-A0F7-439A-A75A-304B091F511E}:
NameServer = 62.104.191.241 62.104.196.134
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -
"C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH -
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) -
AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. -
C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner -
C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin -
C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development
a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision
Corporation - C:\Programme\Gemeinsame
Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: O&O Defrag - O&O Software GmbH -
C:\WINDOWS\system32\oodag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: RadClock - Unknown owner -
C:\WINDOWS\system32\RadClock.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division
Software - C:\Programme\Alcohol Soft\Alcohol
120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) -
TuneUp Software GmbH - C:\Programme\TuneUp Utilities
2006\WinStylerThemeSvc.exe
Administrator - 06-08-30 16:33:57,66
ComboFix 06.08.27BT - Running from: D:\Programme\System
Tools\board.protecus.de
((((((((((((((((((((((((((((((( Files Created from 2006-07-30 to
2006-08-30 ))))))))))))))))))))))))))))))))))
2006-08-23 13:57 40,960 --a------
C:\WINDOWS\system32\psfind.dll
2006-08-15 23:22 18,200 --a------
C:\WINDOWS\system32\wups2.dll
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report
)))))))))))))))))))))))))))))))))))))))))))))))))))))
2006-08-30 16:32 -------- d-------- C:\Dokumente und
Einstellungen\Administrator\Anwendungsdaten\SmartSurfer
2006-08-30 16:29 -------- d--------
C:\Programme\CleanUp!
2006-08-30 16:27 -------- d--------
C:\Programme\Mozilla Firefox
2006-08-30 16:19 -------- d--------
C:\Programme\WinTV
2006-08-30 14:43 -------- d--------
C:\Programme\PowerStrip
2006-08-30 14:21 -------- d--------
C:\Programme\ewido anti-spyware 4.0
2006-08-28 13:17 -------- d--------
C:\Programme\CureROM
2006-08-28 13:12 -------- d--h-----
C:\Programme\InstallShield Installation Information
2006-08-28 13:12 -------- d-------- C:\Programme\Prey
2006-08-27 17:24 -------- d--------
C:\Programme\WEB.DE
2006-08-24 19:41 -------- d-------- C:\Programme\EA
Games
2006-08-23 21:05 -------- d--------
C:\Programme\DaemonTools_WhenUSaveNow_Installer
2006-08-23 21:05 -------- d--------
C:\Programme\DAEMON Tools
2006-08-23 21:04 223128 --a------
C:\WINDOWS\system32\drivers\dtscsi.sys
2006-08-23 21:02 643072 --a------
C:\WINDOWS\system32\drivers\sptd.sys
2006-08-23 13:53 -------- d-------- C:\Programme\THQ
2006-08-18 13:32 57384 --a------
C:\WINDOWS\system32\avsda.dll
2006-08-18 13:32 -------- d--------
C:\Programme\AntiVir PersonalEdition Classic
2006-08-17 00:58 101376 --a------
C:\WINDOWS\system32\drivers\ACEDRV07.sys
2006-08-17 00:50 -------- d--------
C:\Programme\ASCARON Entertainment
2006-08-16 21:18 -------- d--------
C:\Programme\PeerGuardian2
2006-08-15 23:31 -------- d-------- C:\Programme\MSN
Apps
2006-08-15 23:22 -------- d--h-----
C:\Programme\WindowsUpdate
2006-08-15 23:18 -------- d--------
C:\Programme\ICQToolbar
2006-08-15 18:04 -------- d--------
C:\Programme\PowerPoint Viewer
2006-08-14 14:59 96256 --a------
C:\WINDOWS\system32\drivers\sptd0013.sys
2006-08-08 22:52 -------- d--------
C:\Programme\DOSBox-0.63
2006-08-08 22:22 -------- d--------
C:\Programme\Digital Reality
2006-08-08 22:06 -------- d-------- C:\Dokumente und
Einstellungen\Administrator\Anwendungsdaten\dvdcss
2006-08-06 16:39 -------- d-------- C:\Dokumente und
Einstellungen\Administrator\Anwendungsdaten\DVD Shrink 3.0
2006-08-05 04:06 -------- d--------
C:\Programme\MyTheatre
2006-07-23 15:55 -------- d--------
C:\Programme\WeinkartePro
2006-07-22 20:37 -------- d-------- C:\Programme\XviD
2006-07-22 18:06 -------- d--------
C:\Programme\Avi2Dvd
2006-07-22 18:05 -------- d--------
C:\Programme\AviSynth 2.5
2006-07-16 13:32 -------- d--------
C:\Programme\Badgersoft
2006-07-16 13:30 -------- d---s---- C:\Dokumente und
Einstellungen\Administrator\Anwendungsdaten\Microsoft
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points
))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries are not shown
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NVMixerTray"="\"C:\\Programme\\NVIDIA
Corporation\\NvMixer\\NVMixerTray.exe\""
"AtiPTA"="atiptaxx.exe"
"!ewido"="\"C:\\Programme\\ewido anti-spyware 4.0\\ewido.exe\"
/minimized"
"DAEMON Tools"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Optiona
lComponents]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Optiona
lComponents\IMAIL]
"Installed"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Optiona
lComponents\MAPI]
"NoChange"="1"
"Installed"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Optiona
lComponents\MSFS]
"Installed"="1"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TuneUp MemOptimizer"="\"C:\\Programme\\TuneUp Utilities
2006\\MemOptimizer.exe\" autostart"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\sy
stem]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"NoInternetOpenWith"=dword:00000001
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-]
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search &
Destroy\\TeaTimer.exe"
"MsnMsgr"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background"
"PeerGuardian"="C:\\Programme\\PeerGuardian2\\pg2.exe"
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\exp
lorer]
"NoDriveTypeAutoRun"=dword:00000091
"NoRecentDocsHistory"=dword:00000001
"ClearRecentDocsOnExit"=dword:00000001
"NoTrayItemsDisplay"=hex:00,00,00,00
"CDRAutoRun"=dword:00000001
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\exp
lorer\Run]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet
Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet
Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,de,03,00,0
0,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,f
f,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,f2,01,00,00,23,00,00,00,7c,00,00,00,7
2,00,\
00,00,01,00,00,00
[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
1. Log
Verzeichnis von C:\WINDOWS\system32
30.08.2006 16:36 380.620 perfh009.dat
30.08.2006 16:36 53.034 perfc009.dat
30.08.2006 16:36 391.862 perfh007.dat
30.08.2006 16:36 63.860 perfc007.dat
30.08.2006 16:36 897.954 PerfStringBackup.INI
30.08.2006 16:32 171.108 OODBS.lor
30.08.2006 05:32 2.206 wpa.dbl
25.08.2006 15:15 254.272 FNTCACHE.DAT
18.08.2006 13:32 57.384 avsda.dll
16.08.2006 21:23 5.481.089 IMRPDWF
16.08.2006 17:26 2.114 RootkitReveal.txt
11.08.2006 00:53 546 autoexec2.nt
17.06.2006 18:10 56.337 HCW_ChanDB.LOG
21.05.2006 18:43 98.304 CmdLineExt.dll
17.05.2006 11:23 579.888 LegitCheckControl.dll
08.05.2006 14:42 14.848 BASSMOD.dll
29.04.2006 14:25 40.960 psfind.dll
2. Log
Datentr„ger in Laufwerk C: ist Headquarter
Volumeseriennummer: 4040-C8A4
Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp
30.08.2006 16:37 460 smurfver.xml
23.01.2006 15:36 429 datFind.bat
2 Datei(en) 889 Bytes
0 Verzeichnis(se), 9.275.482.112 Bytes frei
3. Log
Verzeichnis von C:\WINDOWS
30.08.2006 16:33 336.873 WindowsUpdate.log
30.08.2006 16:32 0 0.log
30.08.2006 16:32 159 wiadebug.log
30.08.2006 16:32 50 wiaservc.log
30.08.2006 16:32 2.048 bootstat.dat
30.08.2006 16:30 6.226 SchedLgU.Txt
30.08.2006 15:58 54.156 QTFont.qfn
30.08.2006 15:58 1.409 QTFont.for
30.08.2006 14:18 155 winamp.ini
28.08.2006 19:27 116 NeroDigital.ini
25.08.2006 02:45 55.524 wmsetup.log
24.08.2006 19:46 995 eReg.dat
23.08.2006 21:05 100.612 setupapi.log
23.08.2006 13:57 137.587 DirectX.log
15.08.2006 23:32 8.964 WGA.log
15.08.2006 23:31 111.590 iis6.log
15.08.2006 23:31 27.992 comsetup.log
15.08.2006 23:31 16.200 ntdtcsetup.log
15.08.2006 23:31 29.634 tsoc.log
15.08.2006 23:31 3.318 ocmsn.log
15.08.2006 23:31 8.715 KB898461.log
15.08.2006 23:31 1.994 tabletoc.log
15.08.2006 23:31 1.374 imsins.log
15.08.2006 23:31 38.911 ocgen.log
15.08.2006 23:31 5.026 medctroc.Log
15.08.2006 23:31 6.806 netfxocm.log
15.08.2006 23:31 2.915 msgsocm.log
15.08.2006 23:31 47.300 FaxSetup.log
15.08.2006 23:31 26.460 msmqinst.log
08.08.2006 20:51 23 BlendSettings.ini
26.07.2006 19:54 38 AviSplitter.INI
18.06.2006 23:29 31.482 vtplus32.ini
17.06.2006 18:11 29.731 Irremote.ini
17.06.2006 18:10 10.274 KB896626.log
17.06.2006 18:10 1.962 HCWPNP.INI
17.06.2006 18:10 510 ODBC.INI
17.06.2006 18:10 4.161 ODBCINST.INI
14.06.2006 17:51 1.374 imsins.BAK
14.06.2006 17:51 557 updspapi.log
14.06.2006 15:26 1.086.367 setupapi.log.0.old
26.05.2006 14:57 1.550 DIFx.log
21.05.2006 20:01 237 SIERRA.INI
21.05.2006 18:23 926 kaiser.ini
4. Log
Verzeichnis von C:\
30.08.2006 16:39 0 sys.txt
30.08.2006 16:39 7.845 system.txt
30.08.2006 16:39 343 systemtemp.txt
30.08.2006 16:38 122.004 system32.txt
30.08.2006 16:34 7.831 ComboFix.txt
30.08.2006 16:32 3.145.728.000 pagefile.sys
16.07.2006 15:57 421.950 cock2.jpg
16.07.2006 15:56 1.818.565 UV5.jpg
16.07.2006 15:49 36.864 Cocktailkarte.doc
16.07.2006 15:49 319.728 cock1.jpg
16.07.2006 15:47 1.303.463 UV2.jpg
16.07.2006 15:37 824.778 Geschichte.jpg
16.07.2006 15:31 28.422 drunken-baby.jpg
16.07.2006 15:24 35.941 Cathedral - Father David Poliafico
013 (Small).jpg
16.07.2006 15:18 46.446 08Aug2004a.jpg
16.07.2006 15:14 16.775 urgrossvater.jpg
16.07.2006 14:47 19.406 front.jpg
16.07.2006 13:21 74.274 cocktail-angels-girls.jpg
16.07.2006 13:15 121.429 Cocktailseiten.jpg
16.07.2006 12:53 202.741 Cocktailfront.jpg
16.07.2006 12:40 8.091 cocktail-angels-logo.jpg
17.06.2006 18:01 45.069 hcwclear.txt
14.06.2006 20:39 0 recmng.log
14.06.2006 20:39 39 psiparser.log
14.06.2006 20:39 94 b2c2.log
09.05.2006 18:30 1.049 Crash.log
Edit: Findet sich nichts in den logs....?