TR/Dldr.Swizzor.GenThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
17.03.2007, 13:41
Ehrenmitglied
Beiträge: 29434 |
||
|
||
17.03.2007, 19:06
...neu hier
Beiträge: 3 |
#152
jep, danke, alles erledigt
|
|
|
||
20.03.2007, 18:46
...neu hier
Beiträge: 2 |
#153
Hi, hab hier laut avira antivir auch den TR/dldr.swizzor.gen Trojaner eingefangen.
Hier das Log File von combofix: Zitat "chlini" - 07-03-20 18:25:02 Service Pack 2HijackThis 1.99 Log: Zitat Logfile of HijackThis v1.99.1Hier die 6 Logs von datfind.bat Zitat Datentr„ger in Laufwerk C: ist ACERIch bin für jede Hilfe dankbar! MfG Riedle Dieser Beitrag wurde am 20.03.2007 um 19:17 Uhr von riedle editiert.
|
|
|
||
21.03.2007, 15:05
Ehrenmitglied
Beiträge: 29434 |
#154
riedle
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.03.2007, 18:09
...neu hier
Beiträge: 2 |
#155
listen.bat:
Zitat Datentr„ger in Laufwerk C: ist ACER |
|
|
||
21.03.2007, 18:30
Ehrenmitglied
Beiträge: 29434 |
#156
riedle
den trojaner hast du mit Messenger Plus! geladen «« öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked Zitat O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"Avenger http://virus-protect.org/artikel/tools/avenger.html Input script manually (anhaken) kopiere in: View/edit script Zitat Folders to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten «« http://virus-protect.org/artikel/tools/sdfix.html im Normalmodus RunThis.bat doppelt klicken reinschreiben: 1 1 : es wird a-squared geladen 3. full scan (heuristic/riskware scanning enabled) - SCANNE __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
29.03.2007, 19:53
...neu hier
Beiträge: 6 |
#157
Hallo!
Hab seit heute auch die Meldung über den TR/Dldr.Swizzor.Gen bekommen. Außerdem wurde beim Scan auch noch ....DV gefunden. Hier der Hijackthis log : Logfile of HijackThis v1.99.1 Scan saved at 7:36:23 PM, on 03/29/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\slserv.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Poker Tracker V2\ptrack2.exe C:\Programme\Winamp\winamp.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe C:\Programme\AntiVir PersonalEdition Classic\avscan.exe C:\Programme\Outlook Express\msimn.exe C:\Dokumente und Einstellungen\the_bruno\Desktop\HijackThis.exe R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: (no name) - {D61E827F-AA39-D24B-401F-92ECCB515ED6} - C:\DOKUME~1\THE_BR~1\ANWEND~1\CDROMF~1\Defyonce.exe (file missing) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - C:\Dokumente und Einstellungen\the_bruno\Startmenü\Programme\Absolute Poker\Absolute Poker.lnk O9 - Extra 'Tools' menuitem: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - C:\Dokumente und Einstellungen\the_bruno\Startmenü\Programme\Absolute Poker\Absolute Poker.lnk O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{F9AE813E-26E2-4DD0-9CAF-6758A4CECBFA}: NameServer = 131.188.24.131 O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: PostgreSQL Database Server 8.0 (pgsql-8.0) - PostgreSQL Global Development Group - C:\Programme\PostgreSQL\8.0\bin\pg_ctl.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe |
|
|
||
29.03.2007, 21:27
Ehrenmitglied
Beiträge: 29434 |
#158
ozelot
«« scanne und poste den report http://virus-protect.org/artikel/tools/combofix.html ----------------- «« Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.03.2007, 12:45
...neu hier
Beiträge: 6 |
#159
"the_bruno" - 07-03-30 12:37:43 Service Pack 2
ComboFix 07-03-27.4.2 - Running from: "C:\Dokumente und Einstellungen\the_bruno\Desktop" (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Folders Quarantined: C:\qoobox\purity\DOKUME~1 C:\qoobox\purity\DOKUME~1\THE_BR~1 C:\qoobox\purity\DOKUME~1\THE_BR~1\ANWEND~1 C:\qoobox\purity\DOKUME~1\THE_BR~1\ANWEND~1\from.txt C:\qoobox\purity\DOKUME~1\THE_BR~1\ANWEND~1\ICROSO~1.NET C:\qoobox\purity\WINDOWS\YSTEM~1 ((((((((((((((((((((((((((((((( Files Created from 2007-02-28 to 2007-03-30 )))))))))))))))))))))))))))))))))) 2007-03-30 11:03 <DIR> d-------- C:\Programme\Lavasoft 2007-03-28 16:53 <DIR> d-------- C:\Programme\Infogrames 2007-03-27 20:41 2,560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys 2007-03-27 20:41 2,432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys 2007-03-27 20:41 129,784 --------- C:\WINDOWS\system32\pxafs.dll 2007-03-27 20:41 115,880 --------- C:\WINDOWS\system32\pxinsi64.exe 2007-03-27 20:41 <DIR> d-------- C:\Programme\Winamp 2007-03-09 00:15 253,952 --ah----- C:\DOKUME~1\postgres\NTUSER.DAT 2007-03-09 00:15 <DIR> dr-h----- C:\DOKUME~1\postgres\Anwendungsdaten 2007-03-09 00:15 <DIR> dr------- C:\DOKUME~1\postgres\Startmen 2007-03-09 00:15 <DIR> d--h----- C:\DOKUME~1\postgres\Vorlagen 2007-03-09 00:15 <DIR> d--h----- C:\DOKUME~1\postgres\Netzwerkumgebung 2007-03-09 00:15 <DIR> d--h----- C:\DOKUME~1\postgres\Lokale Einstellungen 2007-03-09 00:15 <DIR> d--h----- C:\DOKUME~1\postgres\Druckumgebung 2007-03-09 00:15 <DIR> d-------- C:\Programme\PostgreSQL 2007-03-09 00:15 <DIR> d-------- C:\DOKUME~1\postgres\Favoriten (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-03-30 12:05 82480 --a------ C:\WINDOWS\system32\perfc007.dat 2007-03-30 12:05 441342 --a------ C:\WINDOWS\system32\perfh007.dat 2007-03-30 11:03 -------- d-------- C:\DOKUME~1\THE_BR~1\ANWEND~1\lavasoft 2007-03-30 09:50 -------- d-------- C:\Programme\icqtoolbar 2007-03-29 19:21 -------- d-------- C:\DOKUME~1\THE_BR~1\ANWEND~1\log meta boob 2007-03-29 15:42 -------- d-------- C:\Programme\pokerstars 2007-03-29 15:42 -------- d-------- C:\Programme\poker tracker v2 2007-03-28 16:53 -------- d--h----- C:\Programme\installshield installation information 2007-03-21 17:45 -------- d-------- C:\Programme\partygaming 2007-03-19 11:01 -------- d-------- C:\Programme\full tilt poker 2007-03-18 14:11 -------- d-------- C:\Programme\poker grapher 2007-03-07 21:21 -------- d-------- C:\Programme\icqlite 2007-03-01 11:29 -------- d-------- C:\Programme\everest poker 2007-02-04 16:33 -------- d-------- C:\Programme\europoker 2007-01-04 16:37 967 --a------ C:\WINDOWS\scunin.pif 2007-01-04 16:37 67584 --a------ C:\WINDOWS\scunin.exe 2007-01-04 16:37 11405 --a------ C:\WINDOWS\scunin.dat (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe" "MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background" "H/PC Connection Agent"="\"C:\\Programme\\Microsoft ActiveSync\\WCESCOMM.EXE\"" "updateMgr"="\"C:\\Programme\\Adobe\\Acrobat 7.0\\Reader\\AdobeUpdateManager.exe\" AcRdB7_0_8" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce] "ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "High Definition Audio Property Page Shortcut"="HDAShCut.exe" "SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe" "RaidTool"="C:\\Programme\\VIA\\RAID\\raid_tool.exe" "ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe" "SynTPLpr"="C:\\Programme\\Synaptics\\SynTP\\SynTPLpr.exe" "SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe" "avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe" "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize" "Adobe Photo Downloader"="\"C:\\Programme\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\apdproxy.exe\"" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] "path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk" "backup"="C:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup" "location"="Common Startup" "command"="C:\\PROGRA~1\\Adobe\\ACROBA~2.0\\Reader\\READER~1.EXE " "item"="Adobe Reader - Schnellstart" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="" "hkey"="HKLM" "command"="" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="apdproxy" "hkey"="HKLM" "command"="\"C:\\Programme\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\apdproxy.exe\"" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="ALCMTR" "hkey"="HKLM" "command"="ALCMTR.EXE" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcWzrd] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="ALCWZRD" "hkey"="HKLM" "command"="ALCWZRD.EXE" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Bags memo 32 bind] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="Second Online" "hkey"="HKLM" "command"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Draw Roam Bags Memo\\Second Online.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="dumprep 0 -k" "hkey"="HKLM" "command"="%systemroot%\\system32\\dumprep 0 -k" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="NeroCheck" "hkey"="HKLM" "command"="C:\\WINDOWS\\system32\\NeroCheck.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ProxyCap] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="ProxyCap" "hkey"="HKCU" "command"="C:\\PROGRA~1\\PROXYL~1\\ProxyCap\\ProxyCap.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="qttask" "hkey"="HKLM" "command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealPlayer] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="realplay" "hkey"="HKCU" "command"="\"C:\\Programme\\Real\\RealOne Player\\realplay.exe\" /RunUPGToolCommandReBoot" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="Application Launcher" "hkey"="HKLM" "command"="\"C:\\Programme\\Sony Ericsson\\Mobile2\\Application Launcher\\Application Launcher.exe\" /startoptions" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="SOUNDMAN" "hkey"="HKLM" "command"="SOUNDMAN.EXE" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="realsched" "hkey"="HKLM" "command"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot" "inimapping"="0" [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost] HTTPFilter REG_MULTI_SZ HTTPFilter\0\0 LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0 NetworkService REG_MULTI_SZ DnsCache\0\0 DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0 rpcss REG_MULTI_SZ RpcSs\0\0 imgsvc REG_MULTI_SZ StiSvc\0\0 termsvcs REG_MULTI_SZ TermService\0\0 [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{48605bd0-61cf-11da-9b6d-806d6172696f}] Shell\AutoRun\command D:\autorun.exe ******************************************************************** catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006 http://www.gmer.net scanning hidden processes ... scanning hidden services ... scanning hidden autostart entries ... HKLM\Software\Microsoft\Windows\CurrentVersion\Run RaidTool = C:\Programme\VIA\RAID\raid_tool.exe? ?? scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 ******************************************************************** Completion time: 07-03-30 12:40:05 C:\ComboFix2.txt ... 07-03-30 10:00 +++++++++++++++++++++ Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 60DC-BFEF Verzeichnis von C:\Programme 03/30/2007 11:50 AM <DIR> . 03/30/2007 11:50 AM <DIR> .. 03/27/2007 09:09 PM <DIR> Adobe 05/13/2006 08:47 PM <DIR> Ahead 12/01/2005 12:45 PM <DIR> Alwil Software 10/06/2006 10:04 PM <DIR> Anti-Leech 03/30/2007 10:12 AM <DIR> AntiVir PersonalEdition Classic 06/29/2006 05:50 PM <DIR> aod 11/30/2005 08:04 PM <DIR> ATI Technologies 03/03/2006 01:37 PM <DIR> AvantGo Connect 08/17/2006 09:59 AM <DIR> AVI to MPEG Converter 09/13/2006 03:25 PM <DIR> Azureus 08/14/2006 09:23 AM <DIR> BearShare 08/31/2006 09:10 PM <DIR> Common Files 11/30/2005 07:42 PM <DIR> ComPlus Applications 07/22/2006 11:51 AM <DIR> eMule 02/04/2007 04:33 PM <DIR> EuroPoker 03/01/2007 11:29 AM <DIR> Everest Poker 01/09/2007 08:28 PM <DIR> Evrsoft First Page 2006 05/24/2006 01:00 PM <DIR> Firebird 03/19/2007 11:01 AM <DIR> Full Tilt Poker 12/29/2006 06:52 PM <DIR> Gemeinsame Dateien 03/07/2007 09:21 PM <DIR> ICQLite 03/30/2007 09:50 AM <DIR> ICQToolbar 03/28/2007 04:53 PM <DIR> Infogrames 11/30/2005 08:03 PM <DIR> Intel 05/12/2006 07:27 PM <DIR> Internet Explorer 02/04/2006 03:15 PM <DIR> Java 03/30/2007 11:03 AM <DIR> Lavasoft 10/19/2006 03:00 PM <DIR> Log Meta Boob 09/27/2006 08:01 AM <DIR> Messenger 10/19/2006 02:17 PM <DIR> Microsoft ActiveSync 11/30/2005 07:47 PM <DIR> microsoft frontpage 07/25/2006 09:09 PM <DIR> Microsoft Office 07/25/2006 09:09 PM <DIR> Microsoft Visual Studio 07/25/2006 09:09 PM <DIR> Microsoft Works 07/25/2006 09:07 PM <DIR> Microsoft.NET 05/12/2006 07:28 PM <DIR> Movie Maker 03/30/2007 12:42 PM <DIR> Mozilla Firefox 11/30/2005 07:41 PM <DIR> MSN 11/30/2005 07:41 PM <DIR> MSN Gaming Zone 11/30/2005 07:42 PM <DIR> NetMeeting 11/30/2005 07:41 PM <DIR> Online Services 11/30/2005 07:43 PM <DIR> Online-Dienste 05/12/2006 07:27 PM <DIR> Outlook Express 03/21/2007 05:45 PM <DIR> PartyGaming 03/18/2007 02:11 PM <DIR> Poker Grapher 03/29/2007 03:42 PM <DIR> Poker Tracker V2 08/26/2006 12:37 AM <DIR> PokerAce Hud 07/01/2006 10:08 AM <DIR> PokerManager 03/29/2007 03:42 PM <DIR> PokerStars 03/09/2007 12:15 AM <DIR> PostgreSQL 10/20/2006 12:18 PM <DIR> QuickTime 05/04/2006 08:35 PM <DIR> R 06/29/2006 05:50 PM <DIR> Real 12/23/2006 02:26 PM <DIR> Realtek 12/29/2006 06:52 PM <DIR> Sony Ericsson 05/12/2006 08:18 PM <DIR> Spybot - Search & Destroy 01/05/2007 03:05 PM <DIR> Starcraft 05/12/2006 07:54 PM <DIR> Steam 11/30/2005 08:05 PM <DIR> Synaptics 05/25/2006 08:44 PM <DIR> Teamspeak2_RC2 11/30/2005 08:02 PM <DIR> VIA 03/27/2007 08:41 PM <DIR> Winamp 05/12/2006 07:28 PM <DIR> Windows Media Player 11/30/2005 07:41 PM <DIR> Windows NT 07/14/2006 02:52 PM <DIR> WinRAR 11/30/2005 07:47 PM <DIR> xerox 07/22/2006 11:55 AM <DIR> Yahoo! 12/14/2006 07:43 PM <DIR> ZAR 0 Datei(en) 0 Bytes 70 Verzeichnis(se), 17,055,051,776 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 60DC-BFEF Verzeichnis von C:\Dokumente und Einstellungen\the_bruno\Lokale Einstellungen\Anwendungsdaten 03/29/2007 05:29 PM <DIR> Adobe 05/14/2006 07:01 PM <DIR> Ahead 07/29/2006 10:31 AM <DIR> Apple Computer 11/20/2006 11:11 AM <DIR> ApplicationHistory 03/26/2007 09:35 PM 175,616 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini 11/20/2006 11:11 AM 142 fusioncache.dat 10/07/2006 06:50 PM <DIR> Gamblers Little Helper 07/25/2006 09:14 PM 66,672 GDIPFONTCACHEV1.DAT 02/07/2006 07:20 PM <DIR> Identities 03/15/2007 07:23 PM <DIR> Michael_K„ser 03/16/2007 03:22 PM <DIR> Microsoft 12/01/2005 12:27 PM <DIR> Mozilla 03/06/2007 04:38 PM <DIR> Poker_Grapher 11/30/2005 07:47 PM <DIR> {3248F0A6-6813-11D6-A77B-00B0D0150000} 3 Datei(en) 242,430 Bytes 11 Verzeichnis(se), 17,055,047,680 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 60DC-BFEF Verzeichnis von C:\Dokumente und Einstellungen\the_bruno\Anwendungsdaten 03/29/2007 05:29 PM <DIR> Adobe 03/27/2007 11:27 AM <DIR> AdobeUM 07/21/2006 12:06 PM <DIR> Apple Computer 08/21/2006 01:07 PM <DIR> Azureus 04/30/2006 11:43 AM <DIR> Brother 11/25/2006 02:29 PM <DIR> cdrom five support 12/01/2005 12:22 PM <DIR> ICQLite 11/30/2005 07:53 PM <DIR> Identities 03/30/2007 11:03 AM <DIR> Lavasoft 07/21/2006 11:50 AM <DIR> Leadertech 03/29/2007 07:21 PM <DIR> Log Meta Boob 02/03/2006 06:49 PM <DIR> Macromedia 12/01/2005 12:27 PM <DIR> Mozilla 10/06/2006 10:05 PM <DIR> NetPumper 12/17/2006 12:01 PM <DIR> ProxyCap 06/29/2006 06:12 PM <DIR> Real 02/03/2006 06:57 PM <DIR> Sun 05/25/2006 08:44 PM <DIR> teamspeak2 12/29/2006 07:17 PM <DIR> Teleca 07/14/2006 02:58 PM <DIR> Template 02/03/2006 06:58 PM <DIR> vlc 07/16/2006 06:07 PM 1,398 wklnhst.dat 1 Datei(en) 1,398 Bytes 21 Verzeichnis(se), 17,055,047,680 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 60DC-BFEF Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten 10/11/2006 10:44 AM 305 addr_file.html 03/27/2007 09:10 PM <DIR> Adobe 05/13/2006 08:45 PM <DIR> Ahead 12/20/2006 03:44 PM <DIR> AntiVir PersonalEdition Classic 07/21/2006 12:04 PM <DIR> Apple Computer 03/29/2007 07:20 PM <DIR> Draw Roam Bags Memo 10/15/2006 10:02 PM 1,338 QTSBandwidthCache 12/29/2006 07:16 PM <DIR> Sony Ericsson 05/12/2006 08:23 PM <DIR> Spybot - Search & Destroy 12/29/2006 06:53 PM <DIR> Teleca 2 Datei(en) 1,643 Bytes 8 Verzeichnis(se), 17,055,047,680 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 60DC-BFEF Verzeichnis von C:\Programme\Gemeinsame Dateien 12/29/2006 06:52 PM <DIR> . 12/29/2006 06:52 PM <DIR> .. 03/27/2007 09:10 PM <DIR> Adobe 05/13/2006 08:45 PM <DIR> Ahead 07/25/2006 09:09 PM <DIR> DESIGNER 11/30/2005 07:42 PM <DIR> Dienste 01/19/2007 02:43 PM <DIR> InstallShield 11/30/2005 07:47 PM <DIR> Java 07/25/2006 09:12 PM <DIR> Microsoft Shared 11/30/2005 07:42 PM <DIR> MSSoap 05/13/2006 08:47 PM <DIR> Nero 11/30/2005 07:38 PM <DIR> ODBC 06/29/2006 05:50 PM <DIR> Real 11/30/2005 07:38 PM <DIR> SpeechEngines 07/25/2006 09:08 PM <DIR> System 12/29/2006 07:16 PM <DIR> Teleca Shared 06/29/2006 05:50 PM <DIR> xing shared 0 Datei(en) 0 Bytes 17 Verzeichnis(se), 17,055,047,680 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 60DC-BFEF Verzeichnis von C:\Windows\tasks |
|
|
||
30.03.2007, 12:56
Ehrenmitglied
Beiträge: 29434 |
#160
ozelot
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked Zitat O2 - BHO: (no name) - {D61E827F-AA39-D24B-401F-92ECCB515ED6} - C:\DOKUME~1\THE_BR~1\ANWEND~1\CDROMF~1\Defyonce.exe (file missing)«« Avenger http://virus-protect.org/artikel/tools/avenger.html Input script manually (anhaken) kopiere in: View/edit script Zitat registry keys to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten «« http://virus-protect.org/artikel/tools/sdfix.html im Normalmodus RunThis.bat doppelt klicken reinschreiben: 1 1 : es wird a-squared geladen 3. full scan (heuristic/riskware scanning enabled) - scanne 4. save quarantine list - poste mit 4 den scanreport hier __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.03.2007, 13:11
...neu hier
Beiträge: 6 |
#161
seh ich das richtig, dass bei delete Folders die kompletten Programme gelöscht werden?
|
|
|
||
30.03.2007, 13:12
Ehrenmitglied
Beiträge: 29434 |
#162
na klar - immer weg mit dem Muell wenn du den Purityscan-Trojaner und Swizzor-Trojnaer vom PC haben willst...
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.03.2007, 13:14
...neu hier
Beiträge: 6 |
#163
C:\Programme\pokerstars
C:\Programme\poker tracker v2 C:\Programme\partygamingauf se die wollt ich eigentlich wohl behalten. da dürfte auch nix böses drin sein... |
|
|
||
30.03.2007, 13:40
Ehrenmitglied
Beiträge: 29434 |
||
|
||
31.03.2007, 16:04
...neu hier
Beiträge: 6 |
#165
So ich hab alles soweit gemacht, wie beschrieben.
Nur hab ich ein Riesenprobnlem mit sdfix. Mir stürzt der Rechner immer während des scannens ab... Schon 5 Versuche gestartet und auch schon mal das Programm deinstalliert und gelöscht bei dem es hängen geblieben ist. sdfix müsste eben fast durchgewesen sein, wahr schon bei C:windows/ Außerdem ist mir aufgefallen dass er bei jedem neuen scan immer weniger Sachen gefunden hat. Jetzt meldet er nur noch ein paar Tracking-cookies. Kann ich die auch erstmal einfach manuell löschen? |
|
|
||
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked
Zitat
-----------------------------------------------------------------------Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script
Zitat
Klicke die gruene Ampeldas Script wird nun ausgeführt, dann wird der PC automatisch neustarten
----
http://virus-protect.org/artikel/tools/sdfix.html
im Normalmodus
RunThis.bat doppelt klicken
reinschreiben: 1
1 : es wird a-squared geladen
3. full scan (heuristic/riskware scanning enabled) - scanne
__________
MfG Sabina
rund um die PC-Sicherheit