TR/vundo.gen löschen??

Thema ist geschlossen!
Thema ist geschlossen!
#0
08.10.2006, 11:41
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#31 sasuke

Log 4, 5 und 6 hier posten ! (aus datfindbat)

_______________________________

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\Mswinmask32.dll

poste den report
___________________________________________________

Avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2DA09D08-2367-4474-A1C0-B53DBAA542FA}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2DA09D08-2367-4474-A1C0-B53DBAA542FA}
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\gebyx
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winfda32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Spooler Service
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Spooler Service
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Spooler Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spooler Service

Files to delete:
C:\WINDOWS\winlogon.exe
C:\WINDOWS\system32\xybeg.tmp2
C:\WINDOWS\system32\xybeg.ini2
C:\WINDOWS\system32\xybeg.bak2
C:\WINDOWS\system32\hqghumea.dll
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\TFTP1224
C:\WINDOWS\system32\qghumeay.dll
C:\WINDOWS\system32\gebyx.dll
C:\WINDOWS\system32\xybeg.tmp
C:\WINDOWS\system32\xybeg.ini
C:\WINDOWS\system32\gshbsitt.exe
C:\WINDOWS\system32\gqosfffl.exe
C:\WINDOWS\system32\wffiblqy.exe
C:\WINDOWS\system32\gnxbgxvm.exe
C:\WINDOWS\system32\eraseme_58207.exe
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\setup_14733.exe
C:\WINDOWS\system32\i
C:\WINDOWS\system32\rwnt.exe

Folders to delete:
C:\Programme\Inetget2
C:\Programme\Gemeinsame Dateien\{B884ED2A-06A4-1031-1016-011018010031}
Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

poste hier das log vom avenger, was nach neustart erscheint

**
lösche das backup vom Avenger unter C:\Avenger\backup.zip


**
scanne mit smitfraudfix
http://virus-protect.org/artikel/tools/smitfrautfix.html - option 1 und 2

**
Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

**
scanne und poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.10.2006, 12:23
...neu hier

Beiträge: 5
#32 also erstma die logs 4, 5 und 6:

Log 4:

Datentr„ger in Laufwerk C: ist XP Pro
Volumeseriennummer: B884-ED2A

Verzeichnis von C:\WINDOWS\Temp

08.10.2006 12:21 0 sqlite_flgILatc6gMgciy
1 Datei(en) 0 Bytes
0 Verzeichnis(se), 7.174.049.792 Bytes frei

log 5:

Datentr„ger in Laufwerk C: ist XP Pro
Volumeseriennummer: B884-ED2A

Verzeichnis von C:\WINDOWS\Downloaded Program Files

13.09.2006 20:47 65 desktop.ini
22.06.2006 11:41 5.032 swflash.inf
30.06.2003 22:41 1.689 WMV9VCM.inf
3 Datei(en) 6.786 Bytes
0 Verzeichnis(se), 7.174.049.792 Bytes frei

log 6.

Datentr„ger in Laufwerk C: ist XP Pro
Volumeseriennummer: B884-ED2A

Verzeichnis von C:\

08.10.2006 12:21 0 sys.txt
08.10.2006 12:21 387 down.txt
08.10.2006 12:21 280 tmp.txt
08.10.2006 12:21 5.535 system.txt
08.10.2006 12:21 528 systemtemp.txt
08.10.2006 12:21 106.887 system32.txt
08.10.2006 10:10 14.245 ComboFix.txt
08.10.2006 10:04 402.186.240 hiberfil.sys
08.10.2006 10:04 603.979.776 pagefile.sys
08.10.2006 10:04 1.074 avenger.txt
06.10.2006 15:39 355 boot.ini
02.10.2006 20:34 4.994 CLDMA.LOG

-----------------------------------------------
ZU virsutotal:
welche datei soll ich reinkopierten?

mfg sasuke
Seitenanfang Seitenende
08.10.2006, 12:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#33 virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\Mswinmask32.dll -> ist nicht zu uebersehen...oder ?? ;)

poste den report
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.10.2006, 13:18
...neu hier

Beiträge: 5
#34 ok der report:

Complete scanning result of "Mswinmask32.dll", received in VirusTotal at 10.08.2006, 12:43:51 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.25 10.06.2006 no virus found
Authentium 4.93.8 10.06.2006 no virus found
Avast 4.7.892.0 10.08.2006 no virus found
AVG 386 10.07.2006 no virus found
BitDefender 7.2 10.08.2006 no virus found
CAT-QuickHeal 8.00 10.07.2006 no virus found
ClamAV devel-20060426 10.08.2006 no virus found
eTrust-InoculateIT 23.73.16 10.07.2006 no virus found
eTrust-Vet 30.3.3118 10.06.2006 no virus found
DrWeb 4.33 10.08.2006 no virus found
Ewido 4.0 10.07.2006 no virus found
Fortinet 2.82.0.0 10.08.2006 no virus found
F-Prot 3.16f 10.06.2006 no virus found
F-Prot4 4.2.1.29 10.06.2006 no virus found
Ikarus 0.2.65.0 10.07.2006 no virus found
Kaspersky 4.0.2.24 10.08.2006 no virus found
McAfee 4868 10.06.2006 no virus found
Microsoft 1.1603 10.08.2006 no virus found
NOD32v2 1.1794 10.06.2006 no virus found
Norman 5.80.02 10.06.2006 no virus found
Panda 9.0.0.4 10.07.2006 no virus found
Sophos 4.10.0 10.05.2006 no virus found
TheHacker 6.0.1.093 10.06.2006 no virus found
UNA 1.83 10.06.2006 no virus found
VBA32 3.11.1 10.08.2006 no virus found
VirusBuster 4.3.7:9 10.07.2006 no virus found

Aditional Information
File size: 259 bytes
MD5: d888cef4be54e75f25464b8e65163816
SHA1: 7b3d82c4cfcc1259b6e06551b7ba52a33ce91e47


der log vom avanger nach dem neustart:

-----------------------------------------------
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\josvkegq

*******************

Script file located at: \??\C:\WINDOWS\System32\rmprpsjm.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Spooler Service not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Spooler Service failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Spooler Service
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Spooler Service not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Spooler Service failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Spooler Service
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Spooler Service not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Spooler Service failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Spooler Service
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spooler Service not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spooler Service failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spooler Service
Status: 0xc0000034



File C:\WINDOWS\winlogon.exe not found!
Deletion of file C:\WINDOWS\winlogon.exe failed!

Could not process line:
C:\WINDOWS\winlogon.exe
Status: 0xc0000034



File C:\WINDOWS\system32\xybeg.tmp2 not found!
Deletion of file C:\WINDOWS\system32\xybeg.tmp2 failed!

Could not process line:
C:\WINDOWS\system32\xybeg.tmp2
Status: 0xc0000034

File C:\WINDOWS\system32\xybeg.ini2 deleted successfully.
File C:\WINDOWS\system32\xybeg.bak2 deleted successfully.
File C:\WINDOWS\system32\hqghumea.dll deleted successfully.
File C:\WINDOWS\system32\ot.ico deleted successfully.
File C:\WINDOWS\system32\ts.ico deleted successfully.
File C:\WINDOWS\system32\TFTP1224 deleted successfully.
File C:\WINDOWS\system32\qghumeay.dll deleted successfully.
File C:\WINDOWS\system32\gebyx.dll deleted successfully.
File C:\WINDOWS\system32\xybeg.tmp deleted successfully.
File C:\WINDOWS\system32\xybeg.ini deleted successfully.
File C:\WINDOWS\system32\gshbsitt.exe deleted successfully.
File C:\WINDOWS\system32\gqosfffl.exe deleted successfully.
File C:\WINDOWS\system32\wffiblqy.exe deleted successfully.
File C:\WINDOWS\system32\gnxbgxvm.exe deleted successfully.
File C:\WINDOWS\system32\eraseme_58207.exe deleted successfully.
File C:\WINDOWS\system32\mcrh.tmp deleted successfully.
File C:\WINDOWS\system32\setup_14733.exe deleted successfully.
File C:\WINDOWS\system32\i deleted successfully.
File C:\WINDOWS\system32\rwnt.exe deleted successfully.


Folder C:\Programme\Inetget2 not found!
Deletion of folder C:\Programme\Inetget2 failed!

Could not process line:
C:\Programme\Inetget2
Status: 0xc0000034



Folder C:\Programme\Gemeinsame Dateien\{B884ED2A-06A4-1031-1016-011018010031} not found!
Deletion of folder C:\Programme\Gemeinsame Dateien\{B884ED2A-06A4-1031-1016-011018010031} failed!

Could not process line:
C:\Programme\Gemeinsame Dateien\{B884ED2A-06A4-1031-1016-011018010031}
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2DA09D08-2367-4474-A1C0-B53DBAA542FA} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2DA09D08-2367-4474-A1C0-B53DBAA542FA} failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2DA09D08-2367-4474-A1C0-B53DBAA542FA} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2DA09D08-2367-4474-A1C0-B53DBAA542FA} failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\gebyx deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winfda32 deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
-------------------------------------------------------------------
Dieser Beitrag wurde am 08.10.2006 um 13:33 Uhr von sasuke editiert.
Seitenanfang Seitenende
08.10.2006, 17:42
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#35 scanne mit smitfraudfix
http://virus-protect.org/artikel/tools/smitfrautfix.html - option 1 und 2

**
Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

**
scanne und poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.10.2006, 19:45
...neu hier

Beiträge: 5
#36 SmitFraudFix v2.105

Scan done at 13:52:09,01, 08.10.2006
Run from C:\Dokumente und Einstellungen\Duc\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\1024\ Deleted
C:\DOKUME~1\Duc\FAVORI~1\Antivirus Test Online.url Deleted
C:\Programme\ZipCodec\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End
Seitenanfang Seitenende
09.10.2006, 19:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#37 sasuke

««
scanne mit vundofix
http://virus-protect.org/artikel/tools/vundofixx.html

««
Klicke: Start -Ausfuehren- schreib rein: cmd
dann kopiere in das schwarze DOS-Fenster:

del %windir%\temp\*.* /f

klicke "enter"
schreibe Y


««
scanne und poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.04.2007, 18:38
...neu hier

Beiträge: 1
#38 hi hab auch son prob mit dem Schei... trojaner


mein datfindbat log




pls um hilfe ;)

Seitenanfang Seitenende
25.09.2007, 06:48
...neu hier

Beiträge: 1
#39 Hi Leute ich weiß zwar das ich der X-te bin der dieses Problem hat würde mich aber sehr über hilfe Freuen. Ich bräuchte nur das Script für Avenger..

Logfile of HijackThis v1.99.1
Scan saved at 06:39:21, on 25.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe
C:\Programme\Trillian\trillian.exe
C:\Dokumente und Einstellungen\Leopold Strauch\Desktop\avenger.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\LEOPOL~1\LOKALE~1\Temp\Rar$EX00.735\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {837B45D6-BF85-457D-AABF-6D2E7815F791} - C:\WINDOWS\system32\byxwtrs.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" autostart
O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe
O8 - Extra context menu item: In 1&&1 SoftPhone wählen - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\1&1\1&1 SoftPhone\ContextMenuHandler.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1179862005506
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1180472873250
O17 - HKLM\System\CCS\Services\Tcpip\..\{8429BB03-98B1-4903-8014-22FB8ABA4E56}: NameServer = 192.168.178.1
O20 - Winlogon Notify: byxwtrs - C:\WINDOWS\SYSTEM32\byxwtrs.dll
O20 - Winlogon Notify: flashdma - flashdma.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O20 - Winlogon Notify: wintuh32 - C:\WINDOWS\
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
Seitenanfang Seitenende
27.09.2007, 10:56
Member
Avatar Chris4You

Beiträge: 694
#40 Hi,

so einfach geht das nicht...
Einiges wie z.B. F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
wird bereits von combofix normalerweise eleminiert,
daher bitte das hier abarbeiten:

http://board.protecus.de/t23188.htm
- Erstellen eines Hijackthis-Logfiles ((http://sicher-ins-netz.info/analyse/hjt.html)
- CleanUp (temporaeren Dateien loeschen)
- Combofix
- Logfiles mittels datfind.bat (alle Files, nur die letzten 3-6 Monate posten)

Chris
Seitenanfang Seitenende
15.04.2008, 17:30
...neu hier

Beiträge: 8
#41 Hi hab auch das Trojaner Problem.
Hab alles nach Anleitung gesäubert und hier is die log-file.
Bitte guck dir das an und schreib was ich zu säubern hab.

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6808-C100

Verzeichnis von c:\

15.04.2008 17:19 0 dirdat.txt
15.04.2008 17:15 536.399.872 hiberfil.sys
15.04.2008 17:15 805.306.368 pagefile.sys
14.04.2008 15:03 45 TEST.XML
14.04.2008 06:17 0 AUTOEXEC.BAT
14.04.2008 06:10 211 boot.ini
28.01.2008 01:06 18.479 MP4debug.log
27.01.2008 03:42 5.889 fw.htm
22.01.2008 16:44 0 CONFIG.SYS
22.01.2008 16:44 0 MSDOS.SYS
22.01.2008 16:44 0 IO.SYS
22.01.2008 16:37 211 BOOT.BKK
04.08.2004 14:00 251.184 ntldr
04.08.2004 14:00 47.564 NTDETECT.COM
04.08.2004 14:00 4.952 bootfont.bin
15 Datei(en) 1.342.034.775 Bytes
0 Verzeichnis(se), 22.275.366.912 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6808-C100

Verzeichnis von C:\WINDOWS\system32

15.04.2008 16:51 6.752 psAGNqru.ini
15.04.2008 16:50 6.752 psAGNqru.ini2

15.04.2008 16:06 2.422 wpa.bak
15.04.2008 16:06 2.422 wpa.dbl
15.04.2008 15:33 0 clkcnt.txt
15.04.2008 15:33 272.384 urqNGAsp.VIR
15.04.2008 15:20 110.592 xudshkzi.exe
15.04.2008 15:20 40.448 vtUNfeBs.dll

15.04.2008 15:12 39.992 perfc009.dat
15.04.2008 15:12 311.604 perfh009.dat
15.04.2008 15:12 48.156 perfc007.dat
15.04.2008 15:12 316.594 perfh007.dat
15.04.2008 15:12 723.744 PerfStringBackup.INI
14.04.2008 07:10 0 h323log.txt
14.04.2008 06:22 90.296 FNTCACHE.DAT
14.04.2008 06:21 261 $winnt$.inf
14.04.2008 06:17 2.951 CONFIG.NT
14.04.2008 06:17 16.832 amcompat.tlb

Verzeichnis von C:\WINDOWS

15.04.2008 17:15 302.071 WindowsUpdate.log
15.04.2008 17:15 2.048 bootstat.dat
15.04.2008 16:58 2.848 SchedLgU.Txt
15.04.2008 15:22 18.250 rs.txt
15.04.2008 11:34 81.920 rtqmekwg.exe
15.04.2008 11:34 151.552 qtvglped.dll
15.04.2008 11:34 94.208 npqtsrak.exe
15.04.2008 11:34 221.184 omlbpkaw.dll
15.04.2008 11:34 172.032 pmsoarbf.dll

14.04.2008 07:00 231 system.ini
14.04.2008 06:23 8.192 REGLOCS.OLD
14.04.2008 06:17 0 control.ini

Verzeichnis von C:\DOKUME~1\Andre\LOKALE~1\Temp

15.04.2008 17:17 83.914 desktop_background.zip
15.04.2008 17:16 0 fmJ6tqVs.exe
2 Datei(en) 83.914 Bytes
0 Verzeichnis(se), 22.275.280.896 Bytes frei

Danke im voraus

MfG Coolkiller
Seitenanfang Seitenende
16.04.2008, 00:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#42 Coolkiller

http://virus-protect.org/artikel/tools/otmoveIt.html
öffne: OTMoveIt.exe

Kopiere rein: im linken Fenster ,wo steht: Paste Standard List of Files/Folders to be Move

Zitat

C:\Dokumente und Einstellungen\Andre\Lokale Einstellungen\Temp\fmJ6tqVs.exe
C:\WINDOWS\rs.txt
C:\WINDOWS\rtqmekwg.exe
C:\WINDOWS\qtvglped.dll
C:\WINDOWS\npqtsrak.exe
C:\WINDOWS\omlbpkaw.dll
C:\WINDOWS\pmsoarbf.dll
C:\WINDOWS\system32\psAGNqru.ini
C:\WINDOWS\system32\psAGNqru.ini2
C:\WINDOWS\system32\clkcnt.txt
C:\WINDOWS\system32\urqNGAsp.VIR
C:\WINDOWS\system32\xudshkzi.exe
C:\WINDOWS\system32\vtUNfeBs.dll
Klicke auf den Roten MoveIt!

------------------------------------------------

2.
wende Combofix an (Warnmeldung wegklicken) + poste hier den report
http://virus-protect.org/artikel/tools/combofix.html

3.
wende HijackThis an, erstelle ein Log + poste es hier
http://virus-protect.org/hjtkurz.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.04.2008, 16:58
...neu hier

Beiträge: 8
#43 HI hier sind die georderten Logs,


ComboFix 08-04-15.4 - Andre 2008-04-16 16:39:52.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.307 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Andre\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Andre\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\Andre\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\Andre\Favoriten\Spyware&Malware Protection.url
C:\Programme\GamesBar\oberontb.dll
C:\WINDOWS\Installer\{6408be9d-4ccc-4dc7-962d-c1a662d1125a}\zip.dll
C:\WINDOWS\system32\vtUNfeBs.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-03-16 bis 2008-04-16 ))))))))))))))))))))))))))))))
.

2008-04-16 16:35 . 2008-04-16 16:35 <DIR> d-------- C:\_OTMoveIt
2008-04-16 06:10 . 2008-04-16 06:28 <DIR> d-------- C:\Programme\Metin2_Germany
2008-04-16 05:45 . 2005-02-25 05:34 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-04-16 05:44 . 2008-04-16 05:49 1,374 --a------ C:\WINDOWS\imsins.BAK
2008-04-16 05:43 . 2008-04-16 05:43 <DIR> d-------- C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\Talkback
2008-04-16 05:43 . 2008-04-16 05:43 0 --a------ C:\WINDOWS\nsreg.dat
2008-04-15 17:08 . 2008-04-15 17:08 <DIR> d-------- C:\Programme\CCleaner
2008-04-15 17:06 . 2008-04-15 17:06 <DIR> d-------- C:\Programme\CleanUp!
2008-04-15 16:41 . 2008-04-16 10:55 <DIR> d-------- C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\TmpRecentIcons
2008-04-15 16:10 . 2008-04-15 16:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira
2008-04-15 16:06 . 2008-04-15 16:06 2,422 --a------ C:\WINDOWS\system32\wpa.bak
2008-04-15 15:46 . 2006-05-05 11:41 453,120 -----c--- C:\WINDOWS\system32\dllcache\mrxsmb.sys
2008-04-15 15:20 . 2008-04-16 15:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\hanmzyhm
2008-04-15 15:09 . 2008-04-16 16:47 <DIR> d-------- C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\OpenOffice.org2
2008-04-14 19:57 . 2008-04-14 19:57 21,275 --a------ C:\WINDOWS\system32\drivers\AegisP.sys
2008-04-14 19:56 . 2006-05-12 10:44 343,168 --a------ C:\WINDOWS\system32\drivers\rt73.sys
2008-04-14 19:56 . 2005-12-15 10:38 315,392 --a------ C:\WINDOWS\system32\AegisI5.exe
2008-04-14 19:56 . 2006-05-15 15:11 303,234 --a------ C:\WINDOWS\system32\Install7x.dll
2008-04-14 19:56 . 2005-11-30 11:33 2,048 --a------ C:\WINDOWS\system32\drivers\rt73.bin
2008-04-14 19:56 . 2006-03-06 15:36 45 --a------ C:\WINDOWS\filespec7x
2008-04-14 16:18 . 2008-04-14 19:29 <DIR> d-------- C:\Programme\Crazy Machines - Neues aus dem Labor
2008-04-14 13:57 . 2008-04-14 13:57 <DIR> d-------- C:\Programme\MediaKey
2008-04-14 13:57 . 1998-11-17 13:44 328,704 --a------ C:\WINDOWS\IsUn0407.exe
2008-04-14 13:57 . 2001-11-21 18:29 11,889 --a------ C:\WINDOWS\system32\drivers\kbfilter.sys
2008-04-14 07:58 . 2008-04-14 06:21 261 --a------ C:\WINDOWS\system32\$winnt$.inf
2008-04-14 07:04 . 2004-08-04 01:40 57,600 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2008-04-14 07:04 . 2001-08-17 14:59 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys
2008-04-14 07:03 . 2004-08-04 01:57 1,888,992 --a------ C:\WINDOWS\system32\ati3duag.dll
2008-04-14 07:03 . 2004-08-04 01:57 870,784 --a------ C:\WINDOWS\system32\ati3d1ag.dll
2008-04-14 07:03 . 2004-08-04 01:38 701,952 --a------ C:\WINDOWS\system32\drivers\ati2mtag.sys
2008-04-14 07:03 . 2004-08-04 01:57 516,768 --a------ C:\WINDOWS\system32\ativvaxx.dll
2008-04-14 07:03 . 2004-08-04 01:57 229,376 --a------ C:\WINDOWS\system32\ati2cqag.dll
2008-04-14 07:03 . 2004-08-04 01:57 201,728 --a------ C:\WINDOWS\system32\ati2dvag.dll
2008-04-14 07:03 . 2004-08-04 00:07 44,672 --a------ C:\WINDOWS\system32\drivers\UAGP35.SYS
2008-04-14 07:00 . 2008-04-14 06:12 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User.WINDOWS\Vorlagen
2008-04-14 07:00 . 2008-04-14 07:00 <DIR> dr------- C:\Dokumente und Einstellungen\Default User.WINDOWS\Startmen
2008-04-14 07:00 . 2008-04-14 07:00 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User.WINDOWS\Netzwerkumgebung
2008-04-14 07:00 . 2008-04-14 07:00 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User.WINDOWS\Lokale Einstellungen
2008-04-14 07:00 . 2008-04-14 07:00 <DIR> d-------- C:\Dokumente und Einstellungen\Default User.WINDOWS\Favoriten
2008-04-14 07:00 . 2008-04-14 07:00 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User.WINDOWS\Druckumgebung
2008-04-14 07:00 . 2008-04-14 07:00 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users.WINDOWS\Vorlagen
2008-04-14 07:00 . 2008-04-15 16:06 <DIR> dr------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmen
2008-04-14 07:00 . 2008-04-14 07:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Favoriten
2008-04-14 07:00 . 2008-04-14 06:13 <DIR> dr------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Dokumente
2008-04-14 06:59 . 2008-04-14 07:00 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User.WINDOWS\Anwendungsdaten
2008-04-14 06:59 . 2008-04-16 16:39 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User.WINDOWS
2008-04-14 06:59 . 2008-04-15 16:10 <DIR> dr-h----- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten
2008-04-14 06:59 . 2008-04-14 06:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS
2008-04-14 06:38 . 2004-08-03 23:15 145,792 --a------ C:\WINDOWS\system32\drivers\portcls.sys
2008-04-14 06:37 . 2001-08-17 12:13 27,165 --a------ C:\WINDOWS\system32\drivers\fetnd5.sys
2008-04-14 06:37 . 2001-08-17 12:13 27,165 --a--c--- C:\WINDOWS\system32\dllcache\fetnd5.sys
2008-04-14 06:24 . 2008-04-14 06:12 <DIR> d--h----- C:\Dokumente und Einstellungen\Andre\Vorlagen
2008-04-14 06:24 . 2008-04-14 19:32 <DIR> dr------- C:\Dokumente und Einstellungen\Andre\Startmen
2008-04-14 06:24 . 2008-04-14 07:00 <DIR> d--h----- C:\Dokumente und Einstellungen\Andre\Netzwerkumgebung
2008-04-14 06:24 . 2008-04-14 07:00 <DIR> d--h----- C:\Dokumente und Einstellungen\Andre\Lokale Einstellungen
2008-04-14 06:24 . 2008-04-16 16:44 <DIR> dr------- C:\Dokumente und Einstellungen\Andre\Favoriten
2008-04-14 06:24 . 2008-04-14 19:32 <DIR> dr------- C:\Dokumente und Einstellungen\Andre\Eigene Dateien
2008-04-14 06:24 . 2008-04-14 07:00 <DIR> d--h----- C:\Dokumente und Einstellungen\Andre\Druckumgebung
2008-04-14 06:24 . 2008-04-16 05:45 <DIR> dr-h----- C:\Dokumente und Einstellungen\Andre\Anwendungsdaten
2008-04-14 06:24 . 2008-04-15 17:18 <DIR> d-------- C:\Dokumente und Einstellungen\Andre
2008-04-14 06:23 . 2008-04-15 16:50 <DIR> d--hs---- C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITŽT
2008-04-14 06:23 . 2008-04-14 06:23 <DIR> d--hs---- C:\Dokumente und Einstellungen\LocalService.NT-AUTORITŽT
2008-04-14 06:23 . 2008-04-14 06:23 8,192 --a------ C:\WINDOWS\REGLOCS.OLD
2008-04-14 06:20 . 2004-08-04 14:00 571,392 --a--c--- C:\WINDOWS\system32\dllcache\tintlgnt.ime
2008-04-14 06:19 . 2004-08-04 14:00 13,463,552 --a--c--- C:\WINDOWS\system32\dllcache\hwxjpn.dll
2008-04-14 06:18 . 2004-08-04 14:00 1,677,824 --a--c--- C:\WINDOWS\system32\dllcache\chsbrkr.dll
2008-04-14 06:17 . 2008-04-14 06:17 316,640 --a------ C:\WINDOWS\WMSysPr9.prx
2008-04-14 06:17 . 2008-04-14 06:17 23,392 --a------ C:\WINDOWS\system32\nscompat.tlb
2008-04-14 06:17 . 2008-04-14 06:17 16,832 --a------ C:\WINDOWS\system32\amcompat.tlb
2008-04-14 06:17 . 2008-04-14 06:17 2,951 --a------ C:\WINDOWS\system32\CONFIG.NT
2008-04-14 06:17 . 2008-04-14 06:17 0 --a------ C:\WINDOWS\control.ini
2008-04-14 06:16 . 2008-04-14 06:17 <DIR> d--hs---- C:\Dokumente und Einstellungen\All Users.WINDOWS\DRM
2008-04-14 06:15 . 2004-08-04 14:00 4,399,505 --a--c--- C:\WINDOWS\system32\dllcache\nls302en.lex
2008-04-14 06:15 . 2008-04-14 06:15 749 -rah----- C:\WINDOWS\WindowsShell.Manifest
2008-04-14 06:15 . 2008-04-14 06:15 749 -rah----- C:\WINDOWS\system32\wuaucpl.cpl.manifest
2008-04-14 06:15 . 2008-04-14 06:15 749 -rah----- C:\WINDOWS\system32\sapi.cpl.manifest
2008-04-14 06:15 . 2008-04-14 06:15 749 -rah----- C:\WINDOWS\system32\nwc.cpl.manifest
2008-04-14 06:15 . 2008-04-14 06:15 749 -rah----- C:\WINDOWS\system32\ncpa.cpl.manifest
2008-04-14 06:15 . 2008-04-14 06:15 749 -rah----- C:\WINDOWS\system32\cdplayer.exe.manifest
2008-04-14 06:15 . 2008-04-14 06:15 488 -rah----- C:\WINDOWS\system32\WindowsLogon.manifest
2008-04-14 06:15 . 2008-04-14 06:15 488 -rah----- C:\WINDOWS\system32\logonui.exe.manifest
2008-04-14 06:13 . 2008-04-14 06:13 21,740 --a------ C:\WINDOWS\system32\emptyregdb.dat
2008-04-14 06:13 . 2008-04-14 06:13 37 --a------ C:\WINDOWS\vbaddin.ini
2008-04-14 06:13 . 2008-04-14 06:13 36 --a------ C:\WINDOWS\vb.ini
2008-04-14 06:11 . 2004-08-03 23:01 196,864 --a------ C:\WINDOWS\system32\drivers\rdpdr.sys
2008-04-14 06:11 . 2004-08-04 00:58 40,840 --a------ C:\WINDOWS\system32\drivers\termdd.sys
2008-04-12 19:09 . 2008-04-12 19:09 <DIR> d-------- C:\Programme\AnmanieSMP
2008-04-11 14:00 . 2008-04-15 19:46 <DIR> d-------- C:\Programme\Metin2.us
2008-04-06 20:13 . 2008-04-06 20:14 <DIR> d-------- C:\Programme\Metin2_France
2008-03-29 09:14 . 2008-03-29 09:14 <DIR> d-------- C:\Programme\Teamspeak2_RC2
2008-03-28 16:16 . 2008-03-28 16:16 <DIR> d-------- C:\Programme\DivX
2008-03-24 06:17 . 2008-03-24 06:17 <DIR> d-------- C:\WINDOWS\Sun
2008-03-24 06:16 . 2008-03-24 06:17 <DIR> d-------- C:\Programme\Java
2008-03-24 06:16 . 2008-03-24 06:16 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-03-20 18:55 . 2008-04-05 13:53 152 --a------ C:\Dokumente und Einstellungen\Andre\brdgInst.bat
2008-03-16 17:25 . 2008-03-16 17:25 <DIR> d--hs---- C:\WINDOWS\ftpcache
2008-03-16 17:24 . 2008-03-16 17:24 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Oberon Media

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-16 14:40 --------- d-----w C:\Programme\GamesBar

2008-04-16 14:34 --------- d-----w C:\Programme\WLAN Monitor
2008-04-14 17:55 --------- d-----w C:\Programme\RALINK
2008-04-14 12:56 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-04-14 12:54 --------- d-----w C:\Programme\WLAN Quick-Starter
2008-04-03 17:24 --------- d-----w C:\Programme\Wisdom-soft AutoScreenRecorder Free
2008-03-17 06:16 --------- d-----w C:\Programme\Cheat Engine
2008-03-16 15:24 --------- d-----w C:\Programme\Gamenext
2008-03-14 15:27 --------- d-----w C:\Programme\Wisdom-soft
2008-03-12 18:42 --------- d-----w C:\Programme\Wisdom-soft ScreenHunter 5 Free
2008-03-04 18:21 --------- d-----w C:\Programme\OpenAL
2008-03-04 18:18 --------- d-----w C:\Programme\NGD Studios
2008-03-04 15:17 --------- d-----w C:\Programme\VIA
2008-02-29 19:22 --------- d-----w C:\Programme\WOW
2008-02-29 19:22 --------- d-----w C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
2008-02-27 20:16 --------- d-----w C:\Programme\Windows Live
2008-02-04 13:45 240,648 ----a-w C:\Programme\make-euros 4.2.1.zip
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{108CE48A-BA10-43C1-A0E7-2A4157A7C1A5}]
C:\WINDOWS\system32\urqNGAsp.dll


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"Versato"="C:\Programme\MediaKey\MagicRun.exe" [2002-02-22 15:30 24576]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"DrvUnknown"= {2554abf4-de85-45e7-98cb-11cfa876e7d0} - C:\WINDOWS\Resources\DrvUnknown.dll [ ]
"omlbpkaw"= {139972D6-9883-4207-B891-1A9A569B2F78} - C:\WINDOWS\omlbpkaw.dll [ ]
"pmsoarbf"= {67A8172A-3B34-4A22-AA5C-BF80F5EE4F50} - C:\WINDOWS\pmsoarbf.dll [ ]


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\WLAN Quick-Starter\\WLAN Quick-Starter.exe"=
"C:\\WINDOWS\\system32\\usmt\\migwiz.exe"=

R1 kbfilter;Keyboard Filter Driver;C:\WINDOWS\system32\drivers\kbfilter.sys [2001-11-21 18:29]

.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-16 16:46:27
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\OpenOffice.org2\.lock 131 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\RALINK\Common\RaUI.exe
C:\Programme\MediaKey\OSD.exe
C:\Programme\MediaKey\Versato.exe

.
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-16 16:50:48 - machine was rebooted
ComboFix-quarantined-files.txt 2008-04-16 14:50:43

8 Verzeichnis(se), 23,058,812,928 Bytes frei
11 Verzeichnis(se), 23,021,039,616 Bytes frei
.
2008-04-16 03:49:59 --- E O F ---

_________________________________________________________________
Und Hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:55:04, on 16.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\RALINK\Common\RaUI.exe
C:\Programme\MediaKey\OSD.EXE
C:\Programme\MediaKey\Versato.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\SoftwareDistribution\Download\649f11bac0638e470b92899236ece22c\update\update.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://board.protecus.de/t25478-3.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: (no name) - {108CE48A-BA10-43C1-A0E7-2A4157A7C1A5} - C:\WINDOWS\system32\urqNGAsp.dll (file missing)
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Versato] C:\Programme\MediaKey\MagicRun.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O21 - SSODL: zip - {6408be9d-4ccc-4dc7-962d-c1a662d1125a} - (no file)
O21 - SSODL: DrvUnknown - {2554abf4-de85-45e7-98cb-11cfa876e7d0} - C:\WINDOWS\Resources\DrvUnknown.dll (file missing)
O21 - SSODL: omlbpkaw - {139972D6-9883-4207-B891-1A9A569B2F78} - C:\WINDOWS\omlbpkaw.dll (file missing)
O21 - SSODL: pmsoarbf - {67A8172A-3B34-4A22-AA5C-BF80F5EE4F50} - C:\WINDOWS\pmsoarbf.dll (file missing)

O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

--
End of file - 3753 bytes




So bitte schreib so schnell wie möglich back
hat beim 1. mal ja auch sehr schnell gefunkt ^^ (GANZ GANZ GROßES LOB)

MfG
Coolkiller
Seitenanfang Seitenende
16.04.2008, 19:32
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#44 da gibt es noch so einiges zu tun ;)
ich habe aber leider keine Zeit jetzt, muss weg...
mal sehen, was der Bitdefender findet inzwischen...scanne + poste den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.04.2008, 21:12
...neu hier

Beiträge: 8
#45 Hi,
ich hab Bitdefender durchlaufen lassen und dann auf "Send Report" geklickt.

-.- Leider weiß ich nich wo die Log-File is.
(Aber der hat min. 10 Dateien gelöscht.)

Und beim 2.ten Durchlauf hört der nich mehr auf zu scannen ?!

MfG
Coolkiller
Dieser Beitrag wurde am 16.04.2008 um 22:32 Uhr von Coolkiller editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »