Home » Viren, Trojaner & Malware Forum » TR/RKit.Nuclear.0.A Gefunden o.O » Themenansicht

TR/RKit.Nuclear.0.A Gefunden o.O
#0
18.11.2006, 14:25
Illumino
...neu hier

Beiträge: 8
#1 Ok, also hier meine Files...

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 13:53:10, on 18.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Silicon Integrated Systems\SiSRaidPackage\SRaid.exe
D:\Spyware\spftray.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Logitech\SetPoint\SetPoint.exe
D:\Spyware\spfprc.exe
C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE
D:\Spyware\SPYWAREfighter.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Azureus\Azureus.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Dokumente und Einstellungen\Erwin\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://cluster1.worldofcrime.de/
F3 - REG:win.ini: run=C:\WINDOWS\scvhost.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - D:\IEFlash.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiSRaid] C:\Programme\Silicon Integrated Systems\SiSRaidPackage\SRaid.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] "C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE"
O4 - HKLM\..\Run: [spywarefighterguard] D:\Spyware\spftray.exe
O4 - HKLM\..\RunOnce: [] C:\WINDOWS\scvhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\FRONTP~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SPYWAREfighterRP - SpamFighter APS - D:\Spyware\spfprc.exe
Cleanup Erstellt

Da is dieses Combofix teil wo ich woanders gelesen hab das man machen soll...


Zitat

Erwin - 06-11-18 14:16:11,26 Service Pack 2
ComboFix 06.11.9 - Running from: "C:\Dokumente und Einstellungen\Erwin\Desktop"

((((((((((((((((((((((((((((((( Files Created from 2006-10-18 to 2006-11-18 ))))))))))))))))))))))))))))))))))


2006-11-18 13:35 28,672 --a------ C:\WINDOWS\system32\drivers\CO_Mon.sys
2006-11-17 15:24 71,168 --a------ C:\WINDOWS\ijl11.dll
2006-11-11 13:39 13,568 --a------ C:\WINDOWS\system32\drivers\L8042Kbd.SYS
2006-11-11 13:38 94,208 --a------ C:\WINDOWS\KHALMNPR.Exe
2006-11-11 13:38 71,936 --a------ C:\WINDOWS\system32\drivers\LMouKE.Sys
2006-11-11 13:38 69,632 --a------ C:\WINDOWS\system32\KemXML.dll
2006-11-11 13:38 55,936 --a------ C:\WINDOWS\system32\drivers\L8042MOU.SYS
2006-11-11 13:38 3,712 --a------ C:\WINDOWS\system32\drivers\LBeepKE.sys
2006-11-11 13:38 155,648 --a------ C:\WINDOWS\system32\kemutb.dll
2006-11-11 13:38 131,072 --a------ C:\WINDOWS\system32\KemUtil.dll
2006-11-11 13:38 110,592 --a------ C:\WINDOWS\system32\KemWnd.dll
2006-11-07 18:21 98,304 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2006-11-02 14:27 1,629,696 --a------ C:\WINDOWS\d3d9.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-18 14:05 -------- d-------- C:\Programme\Mozilla Firefox
2006-11-18 14:03 -------- d-------- C:\Dokumente und Einstellungen\Erwin\Anwendungsdaten\Azureus
2006-11-17 18:30 -------- d-------- C:\Programme\Steam
2006-11-17 17:22 -------- d-------- C:\Dokumente und Einstellungen\Erwin\Anwendungsdaten\Xfire
2006-11-17 17:12 -------- d-------- C:\Dokumente und Einstellungen\Erwin\Anwendungsdaten\teamspeak2
2006-11-17 17:07 -------- d-------- C:\Programme\Gemeinsame Dateien\Application
2006-11-17 17:07 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-11-17 16:34 -------- d-------- C:\Programme\TuneUp Utilities 2006
2006-11-17 16:30 -------- d-------- C:\Programme\Command and Conquer Gener„le
2006-11-11 13:38 -------- d---s---- C:\Dokumente und Einstellungen\Erwin\Anwendungsdaten\Microsoft
2006-11-11 13:38 -------- d-------- C:\Programme\Gemeinsame Dateien\Logitech
2006-11-11 13:34 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-11-10 20:50 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-11-05 19:32 223128 --a------ C:\WINDOWS\system32\drivers\dtscsi.sys
2006-11-04 20:21 -------- d-------- C:\Dokumente und Einstellungen\Erwin\Anwendungsdaten\Hamachi
2006-10-23 15:21 -------- d-------- C:\Dokumente und Einstellungen\Erwin\Anwendungsdaten\Ahead
2006-10-22 18:45 -------- d-------- C:\Programme\Zeugs
2006-10-17 17:13 86016 --a------ C:\WINDOWS\system32\OpenAL32.dll
2006-10-17 17:13 262144 --a------ C:\WINDOWS\system32\wrap_oal.dll
2006-10-14 15:17 -------- d-------- C:\Dokumente und Einstellungen\Erwin\Anwendungsdaten\Lavasoft
2006-10-12 13:42 15440 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2006-10-04 14:17 -------- d-------- C:\Dokumente und Einstellungen\Erwin\Anwendungsdaten\Digital Joy
2006-10-02 17:58 24072 --a------ C:\WINDOWS\system32\uxtuneup.dll
2006-09-28 22:05 2414360 --a------ C:\WINDOWS\system32\d3dx9_31.dll
2006-09-28 15:55 74520 --a------ C:\WINDOWS\DSETUP.dll
2006-09-28 15:55 484632 --a------ C:\WINDOWS\DXSETUP.exe
2006-09-28 15:55 2248984 --a------ C:\WINDOWS\dsetup32.dll
2006-09-25 15:57 -------- d-------- C:\Programme\Apache Software Foundation
2006-09-13 06:02 1084416 --a------ C:\WINDOWS\system32\msxml3.dll
2006-08-25 16:46 617472 --a------ C:\WINDOWS\system32\comctl32.dll
2006-08-21 13:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 10:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"SiSUSBRG"="C:\\WINDOWS\\SiSUSBrg.exe"
"SoundMan"="SOUNDMAN.EXE"
"SiSRaid"="C:\\Programme\\Silicon Integrated Systems\\SiSRaidPackage\\SRaid.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE"
"Logitech Hardware Abstraction Layer"="\"C:\\Programme\\Gemeinsame Dateien\\Logitech\\khalshared\\KHALMNPR.EXE\""
"spywarefighterguard"="D:\\Spyware\\spftray.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonceex]
"msconfig"="C:\\WINDOWS\\scvhost.exe"
"Update Checker"="C:\\WINDOWS\\scvhost.exe"
@="C:\\WINDOWS\\scvhost.exe"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,df,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"NoLowDiskSpaceChecks"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"DisableRegistryTools"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"CDRAutoRun"=dword:00000000

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"CDRAutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"RemoteControl"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"shdef"="C:\\WINDOWS\\shdef.exe"
"Update Checker"="C:\\WINDOWS\\scvhost.exe"
"msconfig"="C:\\WINDOWS\\scvhost.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices-]
"AntiVir"="C:\\WINDOWS\\scvhost.exe"
"icq lite"="C:\\WINDOWS\\scvhost.exe"
"Windows Update"="C:\\WINDOWS\\scvhost.exe"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-11-18 14:16:41.21
C:\ComboFix.txt ... 06-11-18 14:16

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7CF1-EA9D

Verzeichnis von C:\WINDOWS\system32

18.11.2006 14:05 43.573 nvapps.xml
18.11.2006 14:04 13.646 wpa.dbl
18.11.2006 13:42 2.550 Uninstall.ico
18.11.2006 13:42 1.406 Help.ico
18.11.2006 13:42 30.590 pavas.ico
08.11.2006 14:45 121.336 FNTCACHE.DAT
07.11.2006 18:21 98.304 CmdLineExt.dll
29.10.2006 13:26 472.988 perfh009.dat
29.10.2006 13:26 77.200 perfc009.dat
29.10.2006 13:26 493.642 perfh007.dat
29.10.2006 13:26 93.004 perfc007.dat
29.10.2006 13:26 1.151.092 PerfStringBackup.INI
17.10.2006 17:13 262.144 wrap_oal.dll
17.10.2006 17:13 86.016 OpenAL32.dll
04.10.2006 21:03 9.639.336 MRT.exe
02.10.2006 17:58 24.072 uxtuneup.dll
28.09.2006 22:05 2.414.360 d3dx9_31.dll
13.09.2006 06:02 1.084.416 msxml3.dll
04.09.2006 07:12 1.494.016 shdocvw.dll
01.09.2006 10:23 69.632 KemXML.dll
01.09.2006 10:22 155.648 kemutb.dll
01.09.2006 10:21 110.592 KemWnd.dll
01.09.2006 10:20 131.072 KemUtil.dll
25.08.2006 16:46 617.472 comctl32.dll
21.08.2006 13:26 16.896 fltlib.dll
21.08.2006 10:14 23.040 fltmc.exe
16.08.2006 12:58 100.352 6to4svc.dll
07.08.2006 08:50 1.484.592 LegitCheckControl.DLL
28.07.2006 12:28 3.075.072 mshtml.dll
28.07.2006 08:30 236.824 xactengine2_3.dll
28.07.2006 08:30 62.744 xinput1_2.dll
27.07.2006 14:25 679.424 inetcomm.dll
25.07.2006 21:33 615.936 urlmon.dll
21.07.2006 09:29 72.704 hlink.dll
14.07.2006 16:38 332.288 netapi32.dll
14.07.2006 16:25 546.304 hhctrl.ocx
13.07.2006 14:34 8.494.592 shell32.dll
05.07.2006 11:55 1.057.792 kernel32.dll
26.06.2006 18:40 8.192 rasadhlp.dll
26.06.2006 18:40 148.480 dnsapi.dll
23.06.2006 12:10 664.576 wininet.dll
23.06.2006 12:10 448.512 mshtmled.dll
23.06.2006 12:10 39.424 pngfilt.dll
23.06.2006 12:10 146.432 msrating.dll
23.06.2006 12:10 532.480 mstime.dll
23.06.2006 12:10 474.624 shlwapi.dll
23.06.2006 12:10 1.056.256 danim.dll
23.06.2006 12:10 96.768 inseng.dll
23.06.2006 12:10 55.808 extmgr.dll
23.06.2006 12:10 152.064 cdfview.dll
23.06.2006 12:10 16.384 jsproxy.dll
23.06.2006 12:10 205.312 dxtrans.dll
23.06.2006 12:10 357.888 dxtmsft.dll
23.06.2006 12:10 1.022.976 browseui.dll
23.06.2006 12:10 251.392 iepeers.dll
23.06.2006 09:53 27.136 xpsp3res.dll
22.06.2006 11:47 181.248 rasmans.dll
22.06.2006 06:06 1.441.792 query.dll
22.06.2006 06:06 69.120 ciodm.dll

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7CF1-EA9D

Verzeichnis von C:\DOKUME~1\Erwin\LOKALE~1\Temp

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7CF1-EA9D

Verzeichnis von C:\WINDOWS

18.11.2006 13:43 741.171 setupapi.log
18.11.2006 13:10 2.051.114 WindowsUpdate.log
18.11.2006 13:04 18.121 offlog.txt
18.11.2006 13:04 0 0.log
18.11.2006 13:04 159 wiadebug.log
18.11.2006 13:04 50 wiaservc.log
18.11.2006 13:04 2.048 bootstat.dat
17.11.2006 20:17 32.634 SchedLgU.Txt
17.11.2006 16:08 2.359.350 screenshot.bmp
17.11.2006 16:01 19.254 Flyff Wallpaper.jpg.thm
17.11.2006 16:01 19.254 flyff00052.bmp.thm
17.11.2006 16:01 19.254 flyff00051.bmp.thm
17.11.2006 16:01 19.254 Downmeldung 1.bmp.thm
17.11.2006 16:01 19.254 Moa 2mal ! OMFG.bmp.thm
17.11.2006 15:58 19.254 asdfasdfasdfa.bmp.thm
17.11.2006 15:58 19.254 Taktisches Warten.jpg.thm
17.11.2006 15:45 19.254 pwnt.gif.thm
17.11.2006 15:43 19.254 penja.JPG.thm
17.11.2006 15:43 19.254 flyff00007.bmp.thm
17.11.2006 15:24 28.333 screenshot.jpg
17.11.2006 15:24 71.168 ijl11.dll
17.11.2006 15:20 108.336 mswinsck.ocx
17.11.2006 15:07 1.720.179 __delete_on_reboot__s_c_v_h_o_s_t_._e_x_e_
11.11.2006 13:39 86 KE.log
11.11.2006 13:39 182.679 setupact.log
23.10.2006 15:21 116 NeroDigital.ini
22.10.2006 13:53 74.389 iis6.log
22.10.2006 13:53 168.600 comsetup.log
22.10.2006 13:53 100.558 ntdtcsetup.log
22.10.2006 13:53 1.943 imsins.log
22.10.2006 13:53 233.282 ocgen.log
22.10.2006 13:53 23.907 msgsocm.log
22.10.2006 13:53 184.457 tsoc.log
22.10.2006 13:53 26.320 ocmsn.log
22.10.2006 13:53 469.669 FaxSetup.log
11.10.2006 15:06 1.393 imsins.BAK
11.10.2006 15:06 13.874 KB924191.log
11.10.2006 15:04 29.263 updspapi.log
11.10.2006 15:02 13.456 KB922819.log
11.10.2006 14:59 11.645 KB923414.log
11.10.2006 14:53 11.640 KB924496.log
11.10.2006 14:22 8.905 KB923191.log

Verzeichnis von C:\WINDOWS\Temp

18.11.2006 14:04 409 WGANotify.settings
18.11.2006 14:04 255 WGAErrLog.txt
2 Datei(en) 664 Bytes
0 Verzeichnis(se), 4.126.949.376 Bytes frei

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7CF1-EA9D

Verzeichnis von C:\WINDOWS\Downloaded Program Files

08.11.2006 01:00 186.736 tcdefs.dat
08.11.2006 01:00 32 virscant.dat
08.11.2006 01:00 3.831.736 virscan9.dat
08.11.2006 01:00 1.627.496 virscan8.dat
08.11.2006 01:00 4.911.798 virscan7.dat
08.11.2006 01:00 389.838 virscan6.dat
08.11.2006 01:00 2.904.900 virscan5.dat
08.11.2006 01:00 2.504 catalog.dat
08.11.2006 01:00 320.186 virscan4.dat
08.11.2006 01:00 6.899 ecbootil.vxd
08.11.2006 01:00 146.828 virscan3.dat
08.11.2006 01:00 272.040 ecmsvr32.dll
08.11.2006 01:00 569.844 virscan2.dat
08.11.2006 01:00 971.391 virscan1.dat
08.11.2006 01:00 106.244 virscan.inf
08.11.2006 01:00 124.584 naveng32.dll
08.11.2006 01:00 882.344 navex32a.dll
08.11.2006 01:00 2.269 v.sig
08.11.2006 01:00 97.680 scrauth.dat
08.11.2006 01:00 4.778 v.grd
08.11.2006 01:00 9.237 symaveng.cat
08.11.2006 01:00 1.061 symaveng.inf
08.11.2006 01:00 224 zdone.dat
08.11.2006 01:00 1.041.635 tcscan7.dat
08.11.2006 01:00 320.362 tcscan8.dat
08.11.2006 01:00 696.822 tcscan9.dat
08.11.2006 01:00 453 tinf.dat
08.11.2006 01:00 148 tinfidx.dat
08.11.2006 01:00 1.957 tinfl.dat
08.11.2006 01:00 61.669 tscan1.dat
08.11.2006 01:00 3.027 tscan1hd.dat
24.08.2006 08:28 141.424 asinst.dll
22.08.2006 09:06 537 asinst.inf
27.07.2006 12:52 367 LegitCheckControl.inf
17.05.2006 14:32 161.480 rufsi.dll
17.05.2006 14:32 198.304 avsniffdlgs.dll
17.05.2006 14:32 231.072 avsniff.dll
17.05.2006 14:29 241 CabSA.inf
17.05.2006 14:29 878 avsniff.inf
17.05.2006 14:28 6.850 navapi.vxd
17.05.2006 14:28 201.896 navapi32.dll
17.05.2006 14:26 42.112 ecmldr32.dll
17.05.2006 14:26 537.704 AXXPEE.dll
27.02.2006 18:19 65 desktop.ini
02.12.2005 11:55 5.101 swflash.inf
45 Datei(en) 21.024.753 Bytes
0 Verzeichnis(se), 4.126.945.280 Bytes frei

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7CF1-EA9D

Verzeichnis von C:\

18.11.2006 14:06 0 sys.txt
18.11.2006 14:06 2.456 down.txt
18.11.2006 14:06 334 tmp.txt
18.11.2006 14:06 12.278 system.txt
18.11.2006 14:06 133 systemtemp.txt
18.11.2006 14:06 98.014 system32.txt
18.11.2006 13:03 1.610.612.736 pagefile.sys
22.03.2006 14:39 389 boot.ini
28.02.2006 09:44 193 CDSetup.log
27.02.2006 18:20 0 AUTOEXEC.BAT
27.02.2006 18:20 0 MSDOS.SYS
27.02.2006 18:20 0 IO.SYS
27.02.2006 18:20 0 CONFIG.SYS
31.10.2005 16:56 700.416 StubInstaller.exe
04.08.2004 13:00 4.952 bootfont.bin
04.08.2004 13:00 47.564 NTDETECT.COM
04.08.2004 13:00 251.184 ntldr
17 Datei(en) 1.611.730.649 Bytes
0 Verzeichnis(se), 4.126.937.088 Bytes frei
Hoffe ihr könnt mir helfen...
Dieser Beitrag wurde am 18.11.2006 um 14:31 Uhr von Illumino editiert.
Seitenanfang Seitenende
18.11.2006, 16:09
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

scvhost.exe

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

------------------------------------------------------------------------

Gehe in die Registry
Start - Ausfuehren - regdit
oben links - bearbeiten - suchen - eingeben- scvhost.exe

loesche alles von scvhost.exe - was du findest (aufpassen, nicht verwechseln mit svchost.exe !!!!

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices-]
"AntiVir"="C:\\WINDOWS\\scvhost.exe"
"icq lite"="C:\\WINDOWS\\scvhost.exe"
"Windows Update"="C:\\WINDOWS\\scvhost.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonceex]
"msconfig"="C:\\WINDOWS\\scvhost.exe"
"Update Checker"="C:\\WINDOWS\\scvhost.exe"
@="C:\\WINDOWS\\scvhost.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"shdef"="C:\\WINDOWS\\shdef.exe"
"Update Checker"="C:\\WINDOWS\\scvhost.exe"
"msconfig"="C:\\WINDOWS\\scvhost.exe"

«««
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools" - loeschen

____________________________________________________________

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{BA748C00-EBC9-EC30-AAAD-CBD003C09003}

Files to delete:
C:\WINDOWS\shdef.exe
C:\WINDOWS\__delete_on_reboot__s_c_v_h_o_s_t_._e_x_e_
C:\WINDOWS\scvhost.exe
Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste hier das log vom avenger, was nach neustart erscheint


**
scanne und poste den scanreport
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.11.2006, 13:48
Illumino
...neu hier

Themenstarter

Beiträge: 8
#3 REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 20.11.2006 13:46:27 for strings:
; 'scvhost.exe'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{BA748C00-EBC9-EC30-AAAD-CBD003C09003}]
"StubPath"="C:\\WINDOWS\\scvhost.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce-]
"Update Checker"="C:\\WINDOWS\\scvhost.exe"
"msconfig"="C:\\WINDOWS\\scvhost.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]
"msconfig"="C:\\WINDOWS\\scvhost.exe"
"Update Checker"="C:\\WINDOWS\\scvhost.exe"
@="C:\\WINDOWS\\scvhost.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices-]
"AntiVir"="C:\\WINDOWS\\scvhost.exe"
"icq lite"="C:\\WINDOWS\\scvhost.exe"
"Windows Update"="C:\\WINDOWS\\scvhost.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\WINDOWS\\scvhost.exe"="C:\\WINDOWS\\scvhost.exe:*:Enabled:Microsoft Windows"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet007\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\WINDOWS\\scvhost.exe"="C:\\WINDOWS\\scvhost.exe:*:Enabled:Microsoft Windows"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\WINDOWS\\scvhost.exe"="C:\\WINDOWS\\scvhost.exe:*:Enabled:Microsoft Windows"

[HKEY_USERS\S-1-5-21-1220945662-842925246-682003330-1004\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\WINDOWS\\scvhost.exe"="scvhost"

[HKEY_USERS\S-1-5-21-1220945662-842925246-682003330-1004\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"run"="C:\\WINDOWS\\scvhost.exe"

; End Of The Log...
Seitenanfang Seitenende
20.11.2006, 13:59
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Illumino

alles, was ich rot gekennzeichnet habe, aus der registry loeschen , dann wende den avenger an+ Dr.Web

in bearbeiten - suchen eingeben: scvhost.exe

Zitat

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{BA748C00-EBC9-EC30-AAAD-CBD003C09003}]
"StubPath"="C:\\WINDOWS\\scvhost.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce-]
"Update Checker"="C:\\WINDOWS\\scvhost.exe"
"msconfig"="C:\\WINDOWS\\scvhost.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]
"msconfig"="C:\\WINDOWS\\scvhost.exe"
"Update Checker"="C:\\WINDOWS\\scvhost.exe"
@="C:\\WINDOWS\\scvhost.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices-]
"AntiVir"="C:\\WINDOWS\\scvhost.exe"
"icq lite"="C:\\WINDOWS\\scvhost.exe"
"Windows Update"="C:\\WINDOWS\\scvhost.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\WINDOWS\\scvhost.exe"="C:\\WINDOWS\\scvhost.exe:*:Enabled:Microsoft Windows"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet007\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\WINDOWS\\scvhost.exe"="C:\\WINDOWS\\scvhost.exe:*:Enabled:Microsoft Windows"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\WINDOWS\\scvhost.exe"="C:\\WINDOWS\\scvhost.exe:*:Enabled:Microsoft Windows"

[HKEY_USERS\S-1-5-21-1220945662-842925246-682003330-1004\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\WINDOWS\\scvhost.exe"="scvhost"

[HKEY_USERS\S-1-5-21-1220945662-842925246-682003330-1004\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"run"="C:\\WINDOWS\\scvhost.exe"
««
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{BA748C00-EBC9-EC30-AAAD-CBD003C09003}

Files to delete:
C:\WINDOWS\shdef.exe
C:\WINDOWS\__delete_on_reboot__s_c_v_h_o_s_t_._e_x_e_
C:\WINDOWS\scvhost.exe
Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
noch mal mit Registry Search 2.0 arbeiten - scvhost.exe - zur ueberpruefung - poste, was erscheint

___________________________________________________

öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

F3 - REG:win.ini: run=C:\WINDOWS\scvhost.exe

O4 - HKLM\..\RunOnce: [] C:\WINDOWS\scvhost.exe

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.11.2006, 14:05
Illumino
...neu hier

Themenstarter

Beiträge: 8
#5 Jetzt habe ich schon avenger durchlaufen lassen, is das schlimm? o.O

naja hier der log:



Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\qjthxrcp

*******************

Script file located at: \??\C:\WINDOWS\system32\aucbdigw.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\shdef.exe not found!
Deletion of file C:\WINDOWS\shdef.exe failed!

Could not process line:
C:\WINDOWS\shdef.exe
Status: 0xc0000034



File C:\WINDOWS\__delete_on_reboot__s_c_v_h_o_s_t_._e_x_e_ not found!
Deletion of file C:\WINDOWS\__delete_on_reboot__s_c_v_h_o_s_t_._e_x_e_ failed!

Could not process line:
C:\WINDOWS\__delete_on_reboot__s_c_v_h_o_s_t_._e_x_e_
Status: 0xc0000034



File C:\WINDOWS\scvhost.exe not found!
Deletion of file C:\WINDOWS\scvhost.exe failed!

Could not process line:
C:\WINDOWS\scvhost.exe
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.



Nach anweisung diesen Key gelöscht... und hier is der log von RegSearch der verlangt wurde:

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 20.11.2006 14:10:43 for strings:
; 'scvhost.exe'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...
Dieser Beitrag wurde am 20.11.2006 um 14:11 Uhr von Illumino editiert.
Seitenanfang Seitenende
20.11.2006, 14:11
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 keine Ahnung, warum die exe nicht mehr gefunden wurde, wenn du also in der Registry alles aufgeraeumt hast,poste noch mal die logs von datfindbat , so sehe ich, ob die exe noch vorhanden ist.

fixe auch mit hijackThis, was ich angegeben hatte, falls es vorhanden ist.

dann scanne mit dr.web und poste den report
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.11.2006, 14:15
Illumino
...neu hier

Themenstarter

Beiträge: 8
#7 System 32


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7CF1-EA9D

Verzeichnis von C:\WINDOWS\system32

20.11.2006 14:03 13.646 wpa.dbl
20.11.2006 14:03 43.573 nvapps.xml
18.11.2006 13:42 2.550 Uninstall.ico
18.11.2006 13:42 1.406 Help.ico
18.11.2006 13:42 30.590 pavas.ico
16.11.2006 06:20 10.474.920 MRT.exe
08.11.2006 14:45 121.336 FNTCACHE.DAT
07.11.2006 18:21 98.304 CmdLineExt.dll
04.11.2006 14:14 1.245.696 msxml4.dll
29.10.2006 13:26 472.988 perfh009.dat
29.10.2006 13:26 77.200 perfc009.dat
29.10.2006 13:26 493.642 perfh007.dat
29.10.2006 13:26 93.004 perfc007.dat
29.10.2006 13:26 1.151.092 PerfStringBackup.INI
17.10.2006 17:13 262.144 wrap_oal.dll
17.10.2006 17:13 86.016 OpenAL32.dll
16.10.2006 11:40 123.392 xpsp3res.dll
13.10.2006 13:35 146.432 nwprovau.dll
02.10.2006 17:58 24.072 uxtuneup.dll
28.09.2006 22:05 2.414.360 d3dx9_31.dll
14.09.2006 09:39 664.576 wininet.dll
14.09.2006 09:39 615.936 urlmon.dll
14.09.2006 09:39 474.624 shlwapi.dll
14.09.2006 09:39 39.424 pngfilt.dll
14.09.2006 09:39 532.480 mstime.dll
14.09.2006 09:39 146.432 msrating.dll
14.09.2006 09:39 448.512 mshtmled.dll
14.09.2006 09:39 3.075.584 mshtml.dll
14.09.2006 09:39 16.384 jsproxy.dll
14.09.2006 09:39 205.312 dxtrans.dll
14.09.2006 09:39 357.888 dxtmsft.dll
14.09.2006 09:39 96.768 inseng.dll
14.09.2006 09:39 55.808 extmgr.dll
14.09.2006 09:39 251.392 iepeers.dll
14.09.2006 09:39 1.022.976 browseui.dll
14.09.2006 09:39 1.056.256 danim.dll
14.09.2006 09:39 152.064 cdfview.dll
13.09.2006 06:02 1.084.416 msxml3.dll
04.09.2006 07:12 1.494.016 shdocvw.dll
01.09.2006 10:23 69.632 KemXML.dll
01.09.2006 10:22 155.648 kemutb.dll
01.09.2006 10:21 110.592 KemWnd.dll
01.09.2006 10:20 131.072 KemUtil.dll
25.08.2006 16:46 617.472 comctl32.dll
21.08.2006 13:26 16.896 fltlib.dll
21.08.2006 10:14 23.040 fltmc.exe
17.08.2006 13:28 729.600 lsasrv.dll
17.08.2006 13:28 132.096 wkssvc.dll
17.08.2006 13:28 332.288 netapi32.dll
16.08.2006 12:58 100.352 6to4svc.dll
07.08.2006 08:50 1.484.592 LegitCheckControl.DLL

systemtemp

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7CF1-EA9D

Verzeichnis von C:\DOKUME~1\Erwin\LOKALE~1\Temp

18.11.2006 19:17 832 java_install_reg.log
18.11.2006 18:41 24 etherXXXX3ON1IT
05.07.2006 11:55 1.057.792 np38C.tmp
05.07.2006 11:55 1.057.792 np394.tmp
05.07.2006 11:55 1.057.792 np391.tmp
05.07.2006 11:55 1.057.792 np390.tmp
02.03.2005 19:09 578.560 np38D.tmp
02.03.2005 19:09 578.560 np392.tmp
02.03.2005 19:09 578.560 np395.tmp
04.08.2004 13:00 677.888 np393.tmp
04.08.2004 13:00 677.888 np38E.tmp
04.08.2004 13:00 677.888 np396.tmp
04.08.2004 13:00 733.696 np38F.tmp
13 Datei(en) 8.735.064 Bytes
0 Verzeichnis(se), 3.808.395.264 Bytes frei


system

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7CF1-EA9D

Verzeichnis von C:\WINDOWS

20.11.2006 14:03 0 0.log
20.11.2006 14:03 1.058.233 WindowsUpdate.log
20.11.2006 14:03 159 wiadebug.log
20.11.2006 14:03 50 wiaservc.log
20.11.2006 14:03 2.048 bootstat.dat
20.11.2006 14:02 32.634 SchedLgU.Txt
20.11.2006 13:52 193.893 tsoc.log
20.11.2006 13:52 105.528 ntdtcsetup.log
20.11.2006 13:52 176.795 comsetup.log
20.11.2006 13:52 78.418 iis6.log
20.11.2006 13:52 1.393 imsins.log
20.11.2006 13:52 27.688 ocmsn.log
20.11.2006 13:52 244.946 ocgen.log
20.11.2006 13:52 16.418 KB923980.log
20.11.2006 13:52 25.143 msgsocm.log
20.11.2006 13:52 494.400 FaxSetup.log
20.11.2006 13:52 747.725 setupapi.log
20.11.2006 13:52 1.393 imsins.BAK
20.11.2006 13:52 16.437 KB924270.log
20.11.2006 13:52 32.597 updspapi.log
20.11.2006 13:52 15.639 KB920213.log
20.11.2006 13:52 17.627 KB922760.log
18.11.2006 13:04 18.121 offlog.txt
17.11.2006 16:08 2.359.350 screenshot.bmp
17.11.2006 16:01 19.254 Flyff Wallpaper.jpg.thm
17.11.2006 16:01 19.254 flyff00052.bmp.thm
17.11.2006 16:01 19.254 flyff00051.bmp.thm
17.11.2006 16:01 19.254 Downmeldung 1.bmp.thm
17.11.2006 16:01 19.254 Moa 2mal ! OMFG.bmp.thm
17.11.2006 15:58 19.254 asdfasdfasdfa.bmp.thm
17.11.2006 15:58 19.254 Taktisches Warten.jpg.thm
17.11.2006 15:45 19.254 pwnt.gif.thm
17.11.2006 15:43 19.254 penja.JPG.thm
17.11.2006 15:43 19.254 flyff00007.bmp.thm
17.11.2006 15:24 28.333 screenshot.jpg
17.11.2006 15:24 71.168 ijl11.dll
17.11.2006 15:20 108.336 mswinsck.ocx
11.11.2006 13:39 86 KE.log
11.11.2006 13:39 182.679 setupact.log
23.10.2006 15:21 116 NeroDigital.ini
11.10.2006 15:06 13.874 KB924191.log
11.10.2006 15:02 13.456 KB922819.log
11.10.2006 14:59 11.645 KB923414.log
11.10.2006 14:53 11.640 KB924496.log
11.10.2006 14:22 8.905 KB923191.log
07.10.2006 17:21 226.943 DirectX.log



tmp


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7CF1-EA9D

Verzeichnis von C:\WINDOWS\Temp

20.11.2006 14:03 409 WGANotify.settings
20.11.2006 14:03 255 WGAErrLog.txt
18.11.2006 19:36 16.384 Perflib_Perfdata_10c.dat
3 Datei(en) 17.048 Bytes
0 Verzeichnis(se), 3.808.391.168 Bytes frei


down


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7CF1-EA9D

Verzeichnis von C:\WINDOWS\Downloaded Program Files

08.11.2006 01:00 186.736 tcdefs.dat
08.11.2006 01:00 32 virscant.dat
08.11.2006 01:00 3.831.736 virscan9.dat
08.11.2006 01:00 1.627.496 virscan8.dat
08.11.2006 01:00 4.911.798 virscan7.dat
08.11.2006 01:00 389.838 virscan6.dat
08.11.2006 01:00 2.904.900 virscan5.dat
08.11.2006 01:00 2.504 catalog.dat
08.11.2006 01:00 320.186 virscan4.dat
08.11.2006 01:00 6.899 ecbootil.vxd
08.11.2006 01:00 146.828 virscan3.dat
08.11.2006 01:00 272.040 ecmsvr32.dll
08.11.2006 01:00 569.844 virscan2.dat
08.11.2006 01:00 971.391 virscan1.dat
08.11.2006 01:00 106.244 virscan.inf
08.11.2006 01:00 124.584 naveng32.dll
08.11.2006 01:00 882.344 navex32a.dll
08.11.2006 01:00 2.269 v.sig
08.11.2006 01:00 97.680 scrauth.dat
08.11.2006 01:00 4.778 v.grd
08.11.2006 01:00 9.237 symaveng.cat
08.11.2006 01:00 1.061 symaveng.inf
08.11.2006 01:00 224 zdone.dat
08.11.2006 01:00 1.041.635 tcscan7.dat
08.11.2006 01:00 320.362 tcscan8.dat
08.11.2006 01:00 696.822 tcscan9.dat
08.11.2006 01:00 453 tinf.dat
08.11.2006 01:00 148 tinfidx.dat
08.11.2006 01:00 1.957 tinfl.dat
08.11.2006 01:00 61.669 tscan1.dat
08.11.2006 01:00 3.027 tscan1hd.dat
24.08.2006 08:28 141.424 asinst.dll
22.08.2006 09:06 537 asinst.inf
27.07.2006 12:52 367 LegitCheckControl.inf
17.05.2006 14:32 161.480 rufsi.dll
17.05.2006 14:32 198.304 avsniffdlgs.dll
17.05.2006 14:32 231.072 avsniff.dll
17.05.2006 14:29 241 CabSA.inf
17.05.2006 14:29 878 avsniff.inf
17.05.2006 14:28 6.850 navapi.vxd
17.05.2006 14:28 201.896 navapi32.dll
17.05.2006 14:26 42.112 ecmldr32.dll
17.05.2006 14:26 537.704 AXXPEE.dll
27.02.2006 18:19 65 desktop.ini
02.12.2005 11:55 5.101 swflash.inf
45 Datei(en) 21.024.753 Bytes
0 Verzeichnis(se), 3.808.391.168 Bytes frei




sys


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7CF1-EA9D

Verzeichnis von C:\

20.11.2006 14:15 0 sys.txt
20.11.2006 14:15 2.456 down.txt
20.11.2006 14:15 396 tmp.txt
20.11.2006 14:14 12.398 system.txt
20.11.2006 14:14 871 systemtemp.txt
20.11.2006 14:14 98.261 system32.txt
20.11.2006 14:04 268 sqmdata01.sqm
20.11.2006 14:04 244 sqmnoopt01.sqm
20.11.2006 14:03 1.610.612.736 pagefile.sys
20.11.2006 14:03 2.144 avenger.txt
20.11.2006 13:44 244 sqmnoopt00.sqm
20.11.2006 13:44 268 sqmdata00.sqm
18.11.2006 14:16 8.903 ComboFix.txt
18.11.2006 14:08 2 DirDPFCns.txt
18.11.2006 14:08 2.509 DirDPF.txt
22.03.2006 14:39 389 boot.ini
28.02.2006 09:44 193 CDSetup.log
27.02.2006 18:20 0 MSDOS.SYS
27.02.2006 18:20 0 AUTOEXEC.BAT
27.02.2006 18:20 0 IO.SYS
27.02.2006 18:20 0 CONFIG.SYS
31.10.2005 16:56 700.416 StubInstaller.exe
04.08.2004 13:00 4.952 bootfont.bin
04.08.2004 13:00 47.564 NTDETECT.COM
04.08.2004 13:00 251.184 ntldr
25 Datei(en) 1.611.746.398 Bytes
0 Verzeichnis(se), 3.808.391.168 Bytes frei



EDIT: Dr.Web durchlaufen lassen, hat nix gefunden...
Dieser Beitrag wurde am 20.11.2006 um 14:20 Uhr von Illumino editiert.
Seitenanfang Seitenende
20.11.2006, 14:20
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8

Zitat

C:\DOKUME~1\Erwin\LOKALE~1\Temp
18.11.2006 18:41 24 etherXXXX3ON1IT
!!!!
wende Cleanup an
http://virus-protect.org/cleanup.html
+
Rechner neustarten

**
scanne mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html

**
poste das neue log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.11.2006, 14:25
Illumino
...neu hier

Themenstarter

Beiträge: 8
#9 Cleanup gemacht, jetzt restarte ich dann gehe ich weiter vor...Omg was hab ich denn jetzt wieder drauf, dachte das wäre vorbei xD

EDIT: Kaspersky scannt jetzt

Edit nochmal, Was genau soll ich mit kaspersky scannen`?

Wichtige Objekte

Arbeitsplatz

E-Mail

Ordner...

eine Datei untersuchen
Dieser Beitrag wurde am 20.11.2006 um 14:33 Uhr von Illumino editiert.
Seitenanfang Seitenende
20.11.2006, 14:49
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 am besten alles scannen lassen ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.11.2006, 14:53
Illumino
...neu hier

Themenstarter

Beiträge: 8
#11 Also hier Kaspersky bericht für wichtige objekte, danach hat sich mein Pc aufgehangen lol..


PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Montag, 20. November 2006 14:56:12
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 20/11/2006
Anzahl der Einträge in den Antiviren-Datenbanken: 229457
Scan-Einstellungen
Folgende Antiviren-Datenbanken zur Untersuchung verwenden Standard
Archive untersuchen ja
Mail-Datenbanken untersuchen ja
Untersuchungsobjekt Kritische Objekte
C:\WINDOWS
C:\DOKUME~1\Erwin\LOKALE~1\Temp\
Untersuchungsergebnisse
Untersuchte Objekte insgesamt 13193
Viren gefunden 0
Infizierte Objekte gefunden 0 / 0
Verdächtige Objekte gefunden 0
Untersuchungszeit 00:07:43

Name des infizierten Objekts Virusname Letzte Aktion
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\EventCache\{E10928BD-1A0B-421E-8613-F0CEA0AEEBD0}.bin Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\dtscsi.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd8909.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
Die Untersuchung wurde abgeschlossen.

Lasse jetzt nochmal hijack this durchlaufen....


Hier hijack This neuer bericht:



Logfile of HijackThis v1.99.1
Scan saved at 15:05, on 06-11-20
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Silicon Integrated Systems\SiSRaidPackage\SRaid.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Spyware\spftray.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Spyware\spfprc.exe
D:\Logitech\SetPoint\SetPoint.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Erwin\Desktop\trojaner\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://cluster1.worldofcrime.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - D:\IEFlash.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiSRaid] C:\Programme\Silicon Integrated Systems\SiSRaidPackage\SRaid.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] "C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE"
O4 - HKLM\..\Run: [spywarefighterguard] D:\Spyware\spftray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\FRONTP~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SPYWAREfighterRP - SpamFighter APS - D:\Spyware\spfprc.exe
Dieser Beitrag wurde am 20.11.2006 um 15:06 Uhr von Illumino editiert.
Seitenanfang Seitenende
20.11.2006, 15:07
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 kein Problem ;)

gib inzwischen ein in das Regsearchproggie:

shdef.exe

{BA748C00-EBC9-EC30-AAAD-CBD003C09003}

und poste, was erscheint
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.11.2006, 15:11
Illumino
...neu hier

Themenstarter

Beiträge: 8
#13 REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 06-11-20 15:10:15 for strings:
; '{ba748c00-ebc9-ec30-aaad-cbd003c09003}'
; 'shdef.exe'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_USERS\S-1-5-21-1220945662-842925246-682003330-1004\Software\Microsoft\Active Setup\Installed Components\{BA748C00-EBC9-EC30-AAAD-CBD003C09003}]

; End Of The Log...
Seitenanfang Seitenende
20.11.2006, 15:36
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 das muss noch raus !

[HKEY_USERS\S-1-5-21-1220945662-842925246-682003330-1004\Software\Microsoft\Active Setup\Installed Components\{BA748C00-EBC9-EC30-AAAD-CBD003C09003}]
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.11.2006, 15:43
Illumino
...neu hier

Themenstarter

Beiträge: 8
#15

Zitat

Sabina postete
das muss noch raus !

[HKEY_USERS\S-1-5-21-1220945662-842925246-682003330-1004\Software\Microsoft\Active Setup\Installed Components\{BA748C00-EBC9-EC30-AAAD-CBD003C09003}]
gelöscht...

*ironie an*sonst nochn virus oder trojaner auf meinem system? ^^ is ja fast schon langeweilig ohne xD*ironie aus*
Dieser Beitrag wurde am 20.11.2006 um 18:46 Uhr von Illumino editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 12