emails bei startup werden versendet |
||
---|---|---|
#0
| ||
19.11.2006, 12:29
...neu hier
Beiträge: 5 |
||
|
||
19.11.2006, 13:55
Ehrenmitglied
Beiträge: 29434 |
#2
««
stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html «« Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html «« poste dieses log http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.11.2006, 14:20
...neu hier
Themenstarter Beiträge: 5 |
#3
Ok, CleanUp hab ich drüber laufen lassen, hab aber Prefetch dateien auch löschen lassen, ist hoffentlich kein Problem!?
Hier hab ich die Log Files: Combofix: ((((((((((((((((((((((((((((((((((((((((((((( Look2Me's Log )))))))))))))))))))))))))))))))))))))))))))))))))) REGISTRY ENTRIES REMOVED: [HKEY_CLASSES_ROOT\clsid\{B63FCD5A-2396-11D1-B762-00A0C90646A4}] @="" [HKEY_CLASSES_ROOT\clsid\{B63FCD5A-2396-11D1-B762-00A0C90646A4}\InprocServer32] @="C:\\Programme\\CorelDraw8\\programs\\CMFFnd80.dll" "ThreadingModel"="Apartment" * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * Granting sedebugprivilege to Administratoren ... successful ((((((((((((((((((((((((((((((( Files Created from 2006-10-19 to 2006-11-19 )))))))))))))))))))))))))))))))))) 2006-11-19 01:18 51,072 --a------ C:\WINDOWS\system32\drivers\ikhlayer.sys 2006-11-19 01:18 30,592 --a------ C:\WINDOWS\system32\drivers\ikhfile.sys 2006-11-19 01:13 5,632 --a------ C:\WINDOWS\system32\Machnm64.sys 2006-11-19 01:13 2,304 --a------ C:\WINDOWS\system32\Machnm32.sys 2006-11-19 01:13 15,840 --a------ C:\WINDOWS\system32\Machnm1.exe 2006-11-17 00:15 3,584 -r-hs---- C:\msupd017201140.exe 2006-11-17 00:15 28,672 --a------ C:\msupd017238390.exe 2006-11-17 00:15 28,672 --a------ C:\msupd017206890.exe 2006-11-17 00:14 2,560 --a------ C:\36110103225.exe 2006-11-14 20:48 32,256 --a------ C:\msupd02.exe (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-11-19 13:56 -------- d-------- C:\Programme\CleanUp! 2006-11-19 12:10 -------- d-------- C:\Programme\Executive Software 2006-11-19 12:10 -------- d-------- C:\Dokumente und Einstellungen\Schneider\Anwendungsdaten\Leadertech 2006-11-19 01:50 -------- d-------- C:\Programme\Spyware Doctor 2006-11-19 01:18 -------- d-------- C:\Dokumente und Einstellungen\Schneider\Anwendungsdaten\PC Tools 2006-11-19 01:14 -------- d-------- C:\Programme\Defenza 2006-11-19 01:13 -------- d--h----- C:\Programme\InstallShield Installation Information 2006-11-04 15:55 -------- d-------- C:\Dokumente und Einstellungen\Schneider\Anwendungsdaten\Babylon 2006-11-04 14:12 -------- d---s---- C:\Dokumente und Einstellungen\Schneider\Anwendungsdaten\Microsoft 2006-11-04 13:59 -------- d-------- C:\Programme\Babylon 2006-10-13 23:11 -------- d-------- C:\Dokumente und Einstellungen\Schneider\Anwendungsdaten\MyPhoneExplorer 2006-10-09 16:17 -------- d-------- C:\Programme\MyPhoneExplorer 2006-10-08 12:37 -------- d-------- C:\Dokumente und Einstellungen\Schneider\Anwendungsdaten\Adobe 2006-09-24 19:55 -------- d-------- C:\Dokumente und Einstellungen\Schneider\Anwendungsdaten\Opera (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries are not shown [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe" "msnmsgr"="\"C:\\Programme\\MSN Messenger\\msnmsgr.exe\" /background" "Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q" "SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce] "ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd" "NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup" "ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\"" "Gainward"="C:\\WINDOWS\\TBPanel.exe /A" "ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize" "NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit" "Babylon Client"="C:\\Programme\\Babylon\\Babylon-Pro\\Babylon.exe -AutoStart" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "NoChange"="1" "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000001 [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" "Flags"=dword:00000002 "Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e2,03,00,00,00,\ 00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00 "CurrentState"=hex:04,00,00,40 "OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\ ff,ff,04,00,00,00 "RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\ 00,00,01,00,00,00 [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE" "Spyware Doctor"="" [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE" "Spyware Doctor"="" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload] "PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}" "CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}" "WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" "SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Corel MEDIA FOLDERS INDEXER 8.LNK] "path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Corel MEDIA FOLDERS INDEXER 8.LNK" "backup"="C:\\WINDOWS\\pss\\Corel MEDIA FOLDERS INDEXER 8.LNKCommon Startup" "location"="Common Startup" "command"="C:\\PROGRA~1\\CORELD~1\\Programs\\MFINDE~1.EXE " "item"="Corel MEDIA FOLDERS INDEXER 8" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Schneider^Startmenü^Programme^Autostart^Adobe Gamma.lnk] "path"="C:\\Dokumente und Einstellungen\\Schneider\\Startmenü\\Programme\\Autostart\\Adobe Gamma.lnk" "backup"="C:\\WINDOWS\\pss\\Adobe Gamma.lnkStartup" "location"="Startup" "command"="C:\\PROGRA~1\\GEMEIN~1\\Adobe\\CALIBR~1\\ADOBEG~1.EXE " "item"="Adobe Gamma" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="iTunesHelper" "hkey"="HKLM" "command"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\"" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="msmsgs" "hkey"="HKCU" "command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="MsnMsgr" "hkey"="HKCU" "command"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="NeroCheck" "hkey"="HKLM" "command"="C:\\WINDOWS\\system32\\NeroCheck.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="NvMcTray" "hkey"="HKLM" "command"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="nwiz" "hkey"="HKLM" "command"="nwiz.exe /install" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="qttask" "hkey"="HKLM" "command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="Application Launcher" "hkey"="HKLM" "command"="\"C:\\Programme\\Sony Ericsson\\Mobile2\\Application Launcher\\Application Launcher.exe\" /startoptions" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="Steam" "hkey"="HKCU" "command"="C:\\Programme\\Steam\\Steam.exe -silent" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="jusched" "hkey"="HKLM" "command"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Verknüpfung mit der High Definition Audio-Eigenschaftenseite] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="HDAudPropShortcut" "hkey"="HKLM" "command"="HDAudPropShortcut.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zango] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="zango" "hkey"="HKLM" "command"="\"c:\\programme\\zango\\zango.exe\"" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "SandraTheSrv"=dword:00000003 "SandraDataSrv"=dword:00000003 "IDriverT"=dword:00000003 [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" ~ ~ ~ ~ ~ ~ ~ ~ Hijackthis Backups ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ backup-20061119-123534-618 O4 - Startup: PowerReg Scheduler.exe backup-20061119-123534-701 O4 - HKCU\..\Run: [WinMedia] C:\msupd017201140.exe backup-20061119-021104-803 O4 - HKLM\..\Run: [nwiz] nwiz.exe /install backup-20051103-191041-147 O4 - HKLM\..\RunServices: [virtual-ie] winlogi.exe Contents of the 'Scheduled Tasks' folder C:\WINDOWS\tasks\Norton AntiVirus - Vollst„ndige Systemprfung ausfhren - Schneider.job Completion time: 06-11-19 14:05:38.04 C:\ComboFix.txt ... 06-11-19 14:05 DatFindBat: C.txt: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 2471-C0F4 Verzeichnis von C:\ 19.11.2006 14:16 0 sys.txt 19.11.2006 14:16 511 down.txt 19.11.2006 14:15 117 tmp.txt 19.11.2006 14:15 9.658 system.txt 19.11.2006 14:14 783 systemtemp.txt 19.11.2006 14:14 95.747 system32.txt 19.11.2006 14:09 1.610.612.736 pagefile.sys 19.11.2006 14:07 12.026 ComboFix.txt 19.11.2006 02:03 211 boot.ini 17.11.2006 00:15 28.672 msupd017238390.exe 17.11.2006 00:15 28.672 msupd017206890.exe 17.11.2006 00:15 3.584 msupd017201140.exe 17.11.2006 00:14 2.560 36110103225.exe 14.11.2006 20:48 32.256 msupd02.exe 23.01.2006 10:13 90 CDSetup.log 23.01.2006 09:55 0 AUTOEXEC.BAT 23.01.2006 09:55 0 MSDOS.SYS 23.01.2006 09:55 0 CONFIG.SYS 23.01.2006 09:55 0 IO.SYS 04.08.2004 13:00 47.564 NTDETECT.COM 04.08.2004 13:00 4.952 bootfont.bin 04.08.2004 13:00 251.184 ntldr 22 Datei(en) 1.611.131.323 Bytes 0 Verzeichnis(se), 149.579.767.808 Bytes frei Downd.txt: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 2471-C0F4 Verzeichnis von C:\WINDOWS\Downloaded Program Files 17.09.2006 12:11 65 desktop.ini 27.03.2006 12:00 5.019 swflash.inf 10.11.2005 14:05 876 jinstall-1_5_0_06.inf 03.11.2005 20:24 495 LegitCheckControl.inf 26.05.2005 03:19 291 wuweb.inf 5 Datei(en) 6.746 Bytes 0 Verzeichnis(se), 149.580.034.048 Bytes frei System32.txt: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 2471-C0F4 Verzeichnis von C:\WINDOWS\system32 19.11.2006 14:09 43.518 nvapps.xml 19.11.2006 14:09 38.208 ikhcore.log 19.11.2006 01:13 3.120 118290.54 06.11.2006 16:05 13.646 wpa.dbl 29.10.2006 11:45 380.350 perfh009.dat 29.10.2006 11:45 391.000 perfh007.dat 29.10.2006 11:45 52.764 perfc009.dat 29.10.2006 11:45 63.580 perfc007.dat 29.10.2006 11:45 897.954 PerfStringBackup.INI 09.10.2006 12:52 159.544 FNTCACHE.DAT 17.09.2006 12:16 288 $winnt$.inf 17.09.2006 12:13 16.832 amcompat.tlb 17.09.2006 12:13 23.392 nscompat.tlb 17.09.2006 12:11 488 WindowsLogon.manifest 17.09.2006 12:11 488 logonui.exe.manifest 17.09.2006 12:11 749 cdplayer.exe.manifest 17.09.2006 12:11 749 sapi.cpl.manifest 17.09.2006 12:11 749 ncpa.cpl.manifest 17.09.2006 12:11 749 nwc.cpl.manifest 17.09.2006 12:11 749 wuaucpl.cpl.manifest 17.09.2006 12:11 23.552 emptyregdb.dat 11.09.2006 18:37 8.960.936 MRT.exe 03.08.2006 16:34 466.944 capicom.dll Systemtemp.txt: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 2471-C0F4 Verzeichnis von C:\DOKUME~1\SCHNEI~1\LOKALE~1\Temp 19.11.2006 14:10 512 ~DF489E.tmp 19.11.2006 14:10 147.456 ~DF4803.tmp 19.11.2006 14:10 512 ~DF8DC3.tmp 19.11.2006 14:10 163.840 ~DF8D94.tmp 19.11.2006 14:10 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}1871.html 19.11.2006 14:10 16.384 ~DFFC73.tmp 19.11.2006 14:10 512 ~DFC0C7.tmp 19.11.2006 14:10 16.384 ~DFBF9F.tmp 12.11.2006 23:29 145 DFC5A2B2.TMP 30.07.2006 05:44 16.330.024 BIT3.tmp 10 Datei(en) 16.676.752 Bytes 0 Verzeichnis(se), 149.579.902.976 Bytes frei temp.txt: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 2471-C0F4 Verzeichnis von C:\WINDOWS\Temp windows.txt: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 2471-C0F4 Verzeichnis von C:\WINDOWS 19.11.2006 14:10 549.572 WindowsUpdate.log 19.11.2006 14:10 0 0.log 19.11.2006 14:09 2.048 bootstat.dat 19.11.2006 14:08 32.496 SchedLgU.Txt 19.11.2006 13:57 513 DFC.INI 19.11.2006 02:03 227 system.ini 19.11.2006 02:03 594 win.tmp 19.11.2006 02:03 594 win.ini 19.11.2006 02:03 227 system.tmp 19.11.2006 01:13 3.120 118294.78 17.11.2006 00:00 449 wiadebug.log 16.11.2006 22:34 50 wiaservc.log 15.11.2006 22:11 331.869 setupapi.log 13.11.2006 20:15 163.998 wmsetup.log 04.11.2006 12:10 116 NeroDigital.ini 30.10.2006 11:46 0 mngui.INI 05.10.2006 11:00 12.862 EPISMG00.SWB 27.09.2006 20:35 33.993 LUINSTALL.LOG Ich hoffe das passt so alles?! Dieser Beitrag wurde am 19.11.2006 um 14:35 Uhr von obelix88 editiert.
|
|
|
||
19.11.2006, 16:35
Ehrenmitglied
Beiträge: 29434 |
#4
Avenger
http://virus-protect.org/artikel/tools/avenger.html kopiere rein Zitat Files to delete:Klicke die grüne Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ** poste hier das log vom avenger, was nach neustart erscheint ** scanne und poste den scanreport http://virus-protect.org/cureit.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.11.2006, 23:55
...neu hier
Themenstarter Beiträge: 5 |
#5
avenger:
Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\nxbdbjst ******************* Script file located at: \??\C:\kbfxhfhs.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\msupd017201140.exe deleted successfully. File C:\msupd017238390.exe not found! Deletion of file C:\msupd017238390.exe failed! Could not process line: C:\msupd017238390.exe Status: 0xc0000034 File C:\msupd017206890.exe not found! Deletion of file C:\msupd017206890.exe failed! Could not process line: C:\msupd017206890.exe Status: 0xc0000034 File C:\36110103225.exe not found! Deletion of file C:\36110103225.exe failed! Could not process line: C:\36110103225.exe Status: 0xc0000034 File C:\msupd02.exe not found! Deletion of file C:\msupd02.exe failed! Could not process line: C:\msupd02.exe Status: 0xc0000034 File C:\WINDOWS\system32\winlogi.exe not found! Deletion of file C:\WINDOWS\system32\winlogi.exe failed! Could not process line: C:\WINDOWS\system32\winlogi.exe Status: 0xc0000034 File C:\WINDOWS\system32\118290.54 deleted successfully. File C:\WINDOWS\118294.78 deleted successfully. Completed script processing. ******************* Finished! Terminate. [Prüfpfad] C:\ C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT - Lesefehler C:\Dokumente und Einstellungen\LocalService\NTUSER~1.LOG - Lesefehler C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Lesefehler C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\USRCLA~1.LOG - Lesefehler C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT - Lesefehler C:\Dokumente und Einstellungen\NetworkService\NTUSER~1.LOG - Lesefehler C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Lesefehler C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\USRCLA~1.LOG - Lesefehler C:\Dokumente und Einstellungen\Schneider\NTUSER.DAT - Lesefehler C:\Dokumente und Einstellungen\Schneider\NTUSER~1.LOG - Lesefehler C:\Dokumente und Einstellungen\Schneider\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Lesefehler C:\Dokumente und Einstellungen\Schneider\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\USRCLA~1.LOG - Lesefehler C:\Dokumente und Einstellungen\Schneider\Lokale Einstellungen\Temp\PERFLI~1.DAT - Lesefehler C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcrst.dll - Lesefehler C:\Programme\Norton Internet Security\Norton AntiVirus\Savrt\0477NAV~.TMP - Lesefehler C:\Programme\Norton Internet Security\Norton AntiVirus\Savrt\0989NAV~.TMP - Lesefehler >C:\RECYCLER\S-1-5-21-1659004503-1343024091-839522115-1004\Dc6.exe infiziert mit Trojan.Upload - gelöscht >C:\System Volume Information\_restore{09A6B155-24CD-429A-B383-F4A94EBAB4B4}\RP42\A0006087.exe ist ein Adware-Programm Adware.Zango C:\System Volume Information\_restore{09A6B155-24CD-429A-B383-F4A94EBAB4B4}\RP45\A0008412.exe infiziert mit Trojan.DownLoader.14946 - gelöscht >C:\System Volume Information\_restore{09A6B155-24CD-429A-B383-F4A94EBAB4B4}\RP45\A0008418.exe infiziert mit Trojan.Upload - gelöscht C:\WINDOWS\SoftwareDistribution\EventCache\{E3BB0~1.BIN - Lesefehler C:\WINDOWS\SoftwareDistribution\EventCache\{F4702~1.BIN - Lesefehler C:\WINDOWS\system32\config\default - Lesefehler C:\WINDOWS\system32\config\default.LOG - Lesefehler C:\WINDOWS\system32\config\SAM - Lesefehler C:\WINDOWS\system32\config\SAM.LOG - Lesefehler C:\WINDOWS\system32\config\SECURITY - Lesefehler C:\WINDOWS\system32\config\SECURITY.LOG - Lesefehler C:\WINDOWS\system32\config\software - Lesefehler C:\WINDOWS\system32\config\software.LOG - Lesefehler C:\WINDOWS\system32\config\system - Lesefehler C:\WINDOWS\system32\config\system.LOG - Lesefehler [Prüfpfad] F:\ F:\Christian\xampp\apache\bin\pv.exe ist ein Risk-Programm Program.PrcView.3725 F:\S45\Software\Passwort\Hacking- password revealer.exe ist ein Hacktool Tool.Snitch F:\S45\Software\Passwort\Passwort Stealer.exe infiziert mit Trojan.Aimtor.101 - gelöscht F:\System Volume Information\_restore{09A6B155-24CD-429A-B383-F4A94EBAB4B4}\RP45\A0008419.exe infiziert mit Trojan.Aimtor.101 - gelöscht ----------------------------------------------------------------------------- Prüfstatistiken ----------------------------------------------------------------------------- Geprüfte Objekte: 127405 Infizierte Objekte gefunden: 5 Objekte mit Modifikation gefunden: 0 Verdächtige Objekte gefunden: 0 Adware-Programm gefunden: 1 Dialer-Programm gefunden: 0 Scherz-Programm gefunden: 0 Riskware programm gefunden: 1 Hacktool-Programm gefunden: 1 Desinfizierte Objekte: 0 Gelöschte Objekte: 5 Umbenannte Objekte: 0 Verschobene Objekte: 0 Ignorierte Objekte: 0 Leistung:: 375 Kb/s Dauer:: 03:05:16 ----------------------------------------------------------------------------- C:\System Volume Information\_restore{09A6B155-24CD-429A-B383-F4A94EBAB4B4}\RP42\A0006087.exe - nicht desinfizierbar - verschoben F:\Christian\xampp\apache\bin\pv.exe - nicht desinfizierbar - verschoben F:\S45\Software\Passwort\Hacking- password revealer.exe - nicht desinfizierbar - verschoben ============================================================================= Gesamte Sitzungsstatistik ============================================================================= Geprüfte Objekte: 127732 Infizierte Objekte gefunden: 5 Objekte mit Modifikation gefunden: 0 Verdächtige Objekte gefunden: 0 Adware-Programm gefunden: 1 Dialer-Programm gefunden: 0 Scherz-Programm gefunden: 0 Riskware programm gefunden: 1 Hacktool-Programm gefunden: 1 Desinfizierte Objekte: 0 Gelöschte Objekte: 5 Umbenannte Objekte: 0 Verschobene Objekte: 3 Ignorierte Objekte: 0 Leistung:: 8 Kb/s Dauer:: 03:05:28 ============================================================================= So, soweit hab ich bis jetzt alles gemacht. Der Trojaner ist auch nicht mehr offensichtlich, sprich es wird beim PC-Start nicht mehr versucht emails zu verschicken. Passt das jetzt alles wieder auf meinem PC? Vielen vielen Dank schonmal für die Hilfe! Gruß obelix |
|
|
||
20.11.2006, 10:58
Ehrenmitglied
Beiträge: 29434 |
#6
0.
Registry Search Tool http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren Doppelklick:regsrch.vbs reinkopieren: WinMedia Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) ------------------------------------------------------------------------- 1. Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren) 2. mache einen Onlinescan mit kaspersky und poste hier den scanreport (lasse auch die mails mitscannen) http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.11.2006, 19:56
...neu hier
Themenstarter Beiträge: 5 |
#7
No Instance of "WinMedia" found.
------------------------------------------------------------------------------- PROTOKOLL FÜR KASPERSKY ONLINE SCANNER Montag, 20. November 2006 17:40:10 Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600) Version von Kaspersky Online Scanner: 5.0.83.0 Letztes Update der Antiviren-Datenbanken: 20/11/2006 Anzahl der Einträge in den Antiviren-Datenbanken: 229457 ------------------------------------------------------------------------------- Scan-Einstellungen: Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard Archive untersuchen: ja Mail-Datenbanken untersuchen: ja Untersuchungsobjekt - Arbeitsplatz: A:\ C:\ D:\ E:\ F:\ G:\ Untersuchungsergebnisse: Untersuchte Objekte insgesamt: 74173 Viren gefunden: 10 Infizierte Objekte gefunden: 28 / 0 Verdächtige Objekte gefunden: 12 Untersuchungszeit: 01:10:39 Name des infizierten Objekts / Virusname / Letzte Aktion C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\Confid.log Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\Content.log Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\Privacy.log Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\Restrict.log Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\settings.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\WebHist.log Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\HPPAppActivity.log Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\HPPHomePageActivity.log Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\LiveUpdate\2006-11-20_Log.ALUSchedulerSvc.LiveUpdate Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\054D2075.tmp Infizierte Objekte: Trojan-Downloader.Win32.IstBar.er übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\228E4D54.tmp/ist1.exe Infizierte Objekte: Trojan-Downloader.Win32.IstBar.is übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\228E4D54.tmp ZIP: infiziert - 1 übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\228E4D54.tmp CryptFF: infiziert - 1 übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\29962D00.tmp/data0003 Infizierte Objekte: Trojan-Clicker.Win32.VB.ku übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\29962D00.tmp NSIS: infiziert - 1 übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\29962D00.tmp CryptFF: infiziert - 1 übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\332A323A.exe Infizierte Objekte: Trojan-Clicker.Win32.Small.lt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\41411C73.tmp/data0001 Infizierte Objekte: Trojan-Downloader.Win32.IstBar.ja übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\41411C73.tmp/data0003 Infizierte Objekte: Trojan-Downloader.Win32.IstBar.ny übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\41411C73.tmp NSIS: infiziert - 2 übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\41411C73.tmp CryptFF: infiziert - 2 übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\493006C4.tmp/data0001 Infizierte Objekte: Trojan-Downloader.Win32.IstBar.ja übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\493006C4.tmp/data0003 Infizierte Objekte: Trojan-Downloader.Win32.IstBar.ny übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\493006C4.tmp NSIS: infiziert - 2 übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\493006C4.tmp CryptFF: infiziert - 2 übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\66FA6EF9.exe/data0001 Infizierte Objekte: Trojan-Downloader.Win32.IstBar.ja übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\66FA6EF9.exe/data0003 Infizierte Objekte: Trojan-Downloader.Win32.IstBar.ny übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\66FA6EF9.exe NSIS: infiziert - 2 übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\66FA6EF9.exe CryptFF: infiziert - 2 übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\66FA6EF9.htm Infizierte Objekte: Trojan-Downloader.JS.IstBar.j übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\66FD18F5.tmp/data0001 Infizierte Objekte: Trojan-Downloader.Win32.IstBar.ja übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\66FD18F5.tmp/data0003 Infizierte Objekte: Trojan-Downloader.Win32.IstBar.ny übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\66FD18F5.tmp NSIS: infiziert - 2 übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\66FD18F5.tmp CryptFF: infiziert - 2 übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\7046218A.wma Infizierte Objekte: Trojan-Downloader.WMA.Wimad.d übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\71790C38.wma Infizierte Objekte: Trojan-Downloader.WMA.Wimad.d übersprungen C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Schneider\Anwendungsdaten\Babylon\log_file.txt Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Schneider\Anwendungsdaten\Symantec\PendingAlertsQueue.log Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Schneider\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Schneider\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Schneider\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Schneider\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Schneider\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Schneider\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Schneider\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Programme\Alcohol Soft\Alcohol 120\StarWind\logs\starwind.2006-11-20.13-43-25.log Das Objekt ist gesperrt übersprungen C:\Programme\Gemeinsame Dateien\Symantec Shared\AntiSpam\Log\Spam.log Das Objekt ist gesperrt übersprungen C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcrst.dll Das Objekt ist gesperrt übersprungen C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EPERSIST.DAT Das Objekt ist gesperrt übersprungen C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDALRT.log Das Objekt ist gesperrt übersprungen C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDCON.log Das Objekt ist gesperrt übersprungen C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDDBG.log Das Objekt ist gesperrt übersprungen C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDFW.log Das Objekt ist gesperrt übersprungen C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDIDS.log Das Objekt ist gesperrt übersprungen C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSYS.log Das Objekt ist gesperrt übersprungen C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBConfig.log Das Objekt ist gesperrt übersprungen C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBDebug.log Das Objekt ist gesperrt übersprungen C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBDetect.log Das Objekt ist gesperrt übersprungen C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBNotify.log Das Objekt ist gesperrt übersprungen C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBRefr.log Das Objekt ist gesperrt übersprungen C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBSetCfg.log Das Objekt ist gesperrt übersprungen C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBSetCfg2.log Das Objekt ist gesperrt übersprungen C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBSetDev.log Das Objekt ist gesperrt übersprungen C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBSetLoc.log Das Objekt ist gesperrt übersprungen C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBSetUsr.log Das Objekt ist gesperrt übersprungen C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBSMNot.log Das Objekt ist gesperrt übersprungen C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBSMReg.log Das Objekt ist gesperrt übersprungen C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBSMRSt.log Das Objekt ist gesperrt übersprungen C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBStHash.log Das Objekt ist gesperrt übersprungen C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBStMSI.log Das Objekt ist gesperrt übersprungen C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBValid.log Das Objekt ist gesperrt übersprungen C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\SPPolicy.log Das Objekt ist gesperrt übersprungen C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\SPStart.log Das Objekt ist gesperrt übersprungen C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\SPStop.log Das Objekt ist gesperrt übersprungen C:\Programme\Norton Internet Security\Norton AntiVirus\AVApp.log Das Objekt ist gesperrt übersprungen C:\Programme\Norton Internet Security\Norton AntiVirus\AVError.log Das Objekt ist gesperrt übersprungen C:\Programme\Norton Internet Security\Norton AntiVirus\AVVirus.log Das Objekt ist gesperrt übersprungen C:\Programme\Norton Internet Security\Norton AntiVirus\Savrt\0635NAV~.TMP Das Objekt ist gesperrt übersprungen C:\Programme\Norton Internet Security\Norton AntiVirus\Savrt\0789NAV~.TMP Das Objekt ist gesperrt übersprungen C:\RECYCLER\S-1-5-21-1659004503-1343024091-839522115-1004\Dc7.exe Infizierte Objekte: Backdoor.Win32.Small.nk übersprungen C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\SoftwareDistribution\EventCache\{E3BB00F4-886B-4200-98DB-646067CF8FC9}.bin Das Objekt ist gesperrt übersprungen C:\WINDOWS\SoftwareDistribution\EventCache\{F4702C74-75A2-4784-B303-D0CCB825F616}.bin Das Objekt ist gesperrt übersprungen C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\spool\PRINTERS\FP00000.SHD Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\spool\PRINTERS\FP00000.SPL Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen F:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen Die Untersuchung wurde abgeschlossen. sodala, wars das! |
|
|
||
20.11.2006, 23:54
Ehrenmitglied
Beiträge: 29434 |
#8
Avenger
Zitat Files to delete:poste das log vom neustart, damit wie sehen, ob die datei wirklich geloescht wurde __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.11.2006, 09:25
...neu hier
Themenstarter Beiträge: 5 |
#9
Logfile of The Avenger version 1, by Swandog46
Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\vacuieoj ******************* Script file located at: \??\C:\WINDOWS\system32\bojtmlor.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\RECYCLER\S-1-5-21-1659004503-1343024091-839522115-1004\Dc7.exe deleted successfully. Completed script processing. ******************* Finished! Terminate. |
|
|
||
21.11.2006, 09:36
Ehrenmitglied
Beiträge: 29434 |
#10
1.
scanne und posyte das log RootkitRevealer http://www.sysinternals.com/Utilities/RootkitRevealer.html 2. poste dieses log http://virus-protect.org/registry_stuff.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
ich bin ein wenig verzweifelt. Hab seit 2 Tagen ein Problem mit meinem PC: immer wenn ich ihn hochfahre versucht er ca. 50 emails zu versenden. Mein Norton schiest sich immer ab. Hab schon versucht mit Spyware Doctor, Spybot S&D das problem zu lösen, aber es hat alles nix gebracht.
Könnt ihr mir irgendwie bitte helfen?
Ich poste hier mal noch das Reg file von Hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 12:29:28, on 19.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\TBPanel.exe
C:\Programme\Babylon\Babylon-Pro\Babylon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\services.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Executive Software\Diskeeper\DkService.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
F:\Programme\Spyware-Anti\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Babylon Client] C:\Programme\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [WinMedia] C:\msupd017201140.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1146390313093
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Norton Internet Security\comHost.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\Diskeeper\DkService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
Vielen dank schonmal im voraus!
Gruß obelix