Home » Viren, Trojaner & Malware Forum » TR/Dldr.Swizzor.Gen » Themenansicht

TR/Dldr.Swizzor.Gen

Thema ist geschlossen!
Thema ist geschlossen!
#0
06.02.2007, 19:52
leozwerg
...neu hier

Beiträge: 3
#121 hallo.
bei mir auch etwa stündlich der swizzor.gen

Hijack this:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX Firefox\adminsvcff.exe
D:\Programme\AVPersonal\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\AVPersonal\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\rmctrl.exe
D:\Programme\AVPersonal\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
D:\PROGRA~1\TCMCOM~1\MouseDrv.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\Messenger\msmsgs.exe
D:\programme\WCESCOMM.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
D:\Programme\ICQLite\ICQLite.exe
D:\Programme\Mozilla\firefox.exe
D:\Programme\TVFM Tuner\TVFM.exe
D:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://wer-mit-wem.webhop.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://wer-mit-wem.webhop.net/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AVPersonal\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "D:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [LWBMOUSE] D:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TCMKeyboard ] D:\PROGRA~1\TCMCOM~1\PS2USBKBDDrv.exe
O4 - HKLM\..\Run: [TCMMouse ] D:\PROGRA~1\TCMCOM~1\MouseDrv.exe
O4 - HKLM\..\Run: [Window cool sixth inside] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Style Dart Window Cool\compbrowse.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKCU\..\Run: [Skype] "D:\Programme\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\programme\WCESCOMM.EXE"
O4 - HKCU\..\Run: [curb noun] C:\DOKUME~1\Leo\ANWEND~1\FILESE~1\Comp List.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: QuickTV.lnk = D:\Programme\TVFM Tuner\QuickTV.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - d:\programme\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\programme\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\programme\inetrepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - d:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: GMX Firefox Update (AdminSVCff) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX Firefox\adminsvcff.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - D:\Programme\AVPersonal\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - D:\Programme\AVPersonal\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe



schon mal danke im vorraus für die hilfe
Seitenanfang Seitenende
07.02.2007, 00:06
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#122 leozwerg

»»
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html

««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.02.2007, 16:04
leozwerg
...neu hier

Beiträge: 3
#123 COMBOFIX:
"Leo" - 07-02-07 15:48:51 Service Pack 2
ComboFix 07-02-07 - Running from: "D:\Programme\Mozilla"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\SVKP.sys
C:\WINDOWS\system32\vbuzip10.dll


((((((((((((((((((((((((((((((( Files Created from 2007-01-07 to 2007-02-07 ))))))))))))))))))))))))))))))))))


2007-02-06 19:38 <DIR> d-------- C:\Avenger
2007-02-05 23:46 34,308 --a------ C:\BASSMOD.DLL
2007-02-03 23:35 <DIR> d-------- C:\Programme\Save
2007-02-01 01:02 <DIR> d-------- C:\DOKUME~1\Leo\Anwendungsdaten\Lavasoft
2007-01-31 18:37 17,920 --a------ C:\WINDOWS\system32\mdimon.dll
2007-01-31 18:35 <DIR> d-------- C:\WINDOWS\SHELLNEW
2007-01-31 18:35 <DIR> d-------- C:\Programme\Microsoft.NET
2007-01-14 16:55 <DIR> d-------- C:\DOKUME~1\Leo\Anwendungsdaten\foobar2000
2007-01-13 18:01 <DIR> d-------- C:\DOKUME~1\Leo\Anwendungsdaten\ATI
2007-01-13 15:48 520,192 --------- C:\WINDOWS\system32\ati2sgag.exe
2007-01-13 15:47 <DIR> d-------- C:\Programme\ATI Technologies
2007-01-13 15:47 <DIR> d-------- C:\ATI
2007-01-13 13:15 82,432 -ra------ C:\WINDOWS\system32\msxml4r.dll
2007-01-13 13:15 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\GMX Firefox
2007-01-13 13:13 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-01-10 21:10 62,744 --a------ C:\WINDOWS\system32\xinput1_2.dll
2007-01-10 21:10 236,824 --a------ C:\WINDOWS\system32\xactengine2_3.dll
2007-01-10 17:14 98,304 --a------ C:\WINDOWS\system32CmdLineExt.dll
2007-01-09 17:42 168,832 --a------ C:\WINDOWS\system32\drivers\atinavt2.sys
2007-01-09 17:37 307,200 --a------ C:\WINDOWS\system32\atiiiexx.dll
2007-01-09 17:37 142,347 --a------ C:\WINDOWS\system32\atiicdxx.dat


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-02-07 15:23 -------- d-------- C:\DOKUME~1\Leo\Anwendungsdaten\skype
2007-02-05 23:40 -------- d--h----- C:\Programme\installshield installation information
2007-01-31 23:36 -------- d---s---- C:\DOKUME~1\Leo\Anwendungsdaten\microsoft
2007-01-30 20:17 -------- d-------- C:\DOKUME~1\Leo\Anwendungsdaten\file sect second
2007-01-17 06:47 -------- d-------- C:\Programme\Gemeinsame Dateien\blizzard entertainment
2006-12-27 01:44 664 --a------ C:\WINDOWS\system32\d3d9caps.dat
2006-12-18 13:05 34304 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys
2006-12-18 13:05 14848 --a------ C:\WINDOWS\system32\drivers\avgntmgr.sys
2006-12-17 03:50 263168 --a------ C:\WINDOWS\system32\ati2dvag.dll
2006-12-17 03:50 1918464 --a------ C:\WINDOWS\system32\drivers\ati2mtag.sys
2006-12-17 03:44 42496 --a------ C:\WINDOWS\system32\ati2edxx.dll
2006-12-17 03:44 26112 --a------ C:\WINDOWS\system32\ati2mdxx.exe
2006-12-17 03:44 118784 --a------ C:\WINDOWS\system32\atipdlxx.dll
2006-12-17 03:44 110592 --a------ C:\WINDOWS\system32\ati2evxx.dll
2006-12-17 03:44 102400 --a------ C:\WINDOWS\system32\oemdspif.dll
2006-12-17 03:42 53248 --a------ C:\WINDOWS\system32\atiddc.dll
2006-12-17 03:42 434176 --a------ C:\WINDOWS\system32\ati2evxx.exe
2006-12-17 03:35 2676672 --a------ C:\WINDOWS\system32\ati3duag.dll
2006-12-17 03:30 3107788 --a------ C:\WINDOWS\system32\ativvaxx.dat
2006-12-17 03:30 1289472 --a------ C:\WINDOWS\system32\ativvaxx.dll
2006-12-17 03:23 6684672 --a------ C:\WINDOWS\system32\atioglx1.dll
2006-12-17 03:21 5304320 --a------ C:\WINDOWS\system32\atioglxx.dll
2006-12-17 03:17 241664 --a------ C:\WINDOWS\system32\atikvmag.dll
2006-12-17 03:16 303104 --a------ C:\WINDOWS\system32\atidemgr.dll
2006-12-17 03:16 17408 --a------ C:\WINDOWS\system32\atitvo32.dll
2006-12-17 03:10 315392 --a------ C:\WINDOWS\system32\ati2cqag.dll
2006-12-14 12:49 -------- d-------- C:\DOKUME~1\Leo\Anwendungsdaten\divx
2006-11-15 22:01 520192 --a------ C:\WINDOWS\system32\divxsm.exe
2006-11-15 22:01 3596288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2006-11-15 22:01 200704 --a------ C:\WINDOWS\system32\ssldivx.dll
2006-11-15 22:01 116984 --------- C:\WINDOWS\system32\pxinsi64.exe
2006-11-15 22:01 115960 --------- C:\WINDOWS\system32\pxcpyi64.exe
2006-11-15 22:01 1044480 --a------ C:\WINDOWS\system32\libdivx.dll
2006-11-15 21:56 806912 --a------ C:\WINDOWS\system32\divx_xx0c.dll
2006-11-15 21:56 806912 --a------ C:\WINDOWS\system32\divx_xx07.dll
2006-11-15 21:56 790528 --a------ C:\WINDOWS\system32\divx_xx11.dll
2006-11-15 21:56 73728 --a------ C:\WINDOWS\system32\dpl100.dll
2006-11-15 21:56 635486 --a------ C:\WINDOWS\system32\divx.dll
2006-11-15 21:56 593920 --a------ C:\WINDOWS\system32\dpugui11.dll
2006-11-15 21:56 57344 --a------ C:\WINDOWS\system32\dpv11.dll
2006-11-15 21:56 53248 --a------ C:\WINDOWS\system32\dpugui10.dll
2006-11-15 21:56 344064 --a------ C:\WINDOWS\system32\dpus11.dll
2006-11-15 21:56 294912 --a------ C:\WINDOWS\system32\dpu11.dll
2006-11-15 21:56 294912 --a------ C:\WINDOWS\system32\dpu10.dll
2006-11-15 21:56 196608 --a------ C:\WINDOWS\system32\dtu100.dll
2006-11-15 21:36 12288 --a------ C:\WINDOWS\system32\divxwmpexttype.dll
2006-11-15 21:36 118784 --a------ C:\WINDOWS\system32\divxcodecupdatechecker.exe
2006-11-08 17:23 768 --a------ C:\WINDOWS\system32\d3d8caps.dat


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"Skype"="\"D:\\Programme\\Phone\\Skype.exe\" /nosplash /minimized"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"H/PC Connection Agent"="\"D:\\programme\\WCESCOMM.EXE\""
"curb noun"="C:\\DOKUME~1\\Leo\\ANWEND~1\\FILESE~1\\Comp List.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"="D:\\Programme\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"nwiz"="nwiz.exe /install"
"NVMixerTray"="\"C:\\Programme\\NVIDIA Corporation\\NvMixer\\NVMixerTray.exe\""
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"RemoteControl"="C:\\WINDOWS\\system32\\rmctrl.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"avgnt"="\"D:\\Programme\\AVPersonal\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
@=""
"Sony Ericsson PC Suite"="\"D:\\Programme\\Sony Ericsson\\Mobile2\\Application Launcher\\Application Launcher.exe\" /startoptions"
"LWBMOUSE"="D:\\Programme\\Browser Mouse\\Browser Mouse\\1.0\\lwbwheel.exe"
"QuickTime Task"="\"D:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"TCMKeyboard "="D:\\PROGRA~1\\TCMCOM~1\\PS2USBKBDDrv.exe"
"TCMMouse "="D:\\PROGRA~1\\TCMCOM~1\\MouseDrv.exe"
"Window cool sixth inside"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Style Dart Window Cool\\compbrowse.exe"
"ATICCC"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\CLIStart.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"


[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0


[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2135d368-1331-11db-89d4-000124b0407c}]
Shell\AutoRun\command J:\Install.exe

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{36bb4147-5aab-11da-8828-806d6172696f}]
Shell\AutoRun\command J:\Autorun.exe

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{60a61439-56a7-11da-a8fd-000124b0407c}]
Shell\AutoRun\command J:\AutoRun.exe

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{60a6143b-56a7-11da-a8fd-000124b0407c}]
Shell\AutoRun\command L:\Setup\rsrc\autorun.exe
Shell\dinstall\command L:\Directx\dxsetup.exe

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8fee93c2-501a-11da-9a7b-806d6172696f}]
Shell\AutoRun\command E:\scct_launcher.exe

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8fee93c8-501a-11da-9a7b-806d6172696f}]
Shell\AutoRun\command K:\AutoPlay.exe

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9d522347-2e9d-11da-a319-806d6172696f}]
Shell\AutoRun\command J:\AutoPlay.exe

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a1a31142-2db5-11da-ae8f-806d6172696f}]
Shell\AutoRun\command E:\GameStarter.exe

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a76918c2-2dee-11da-b53c-806d6172696f}]
Shell\AutoRun\command E:\GameStarter.exe

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c607af33-4702-11da-a34c-000124b0407c}]
Shell\AutoRun\command J:\AutoRun.exe

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e5699e9d-2df0-11da-b53d-000124b0407c}]
Shell\AutoRun\command J:\launcher.exe

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{eecb1047-50e1-11da-a8ee-806d6172696f}]
Shell\AutoRun\command J:\AutoRun.exe

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{eecb1048-50e1-11da-a8ee-806d6172696f}]
Shell\AutoRun\command K:\AutoPlay.exe

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{eecb1049-50e1-11da-a8ee-806d6172696f}]
Shell\AutoRun\command L:\LaunchBFII.exe


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\B164539497F7CC30.job


********************************************************************

catchme 0.1 W2K/XP - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************

Completion time: 07-02-07 16:03:22


LISTEN.BAT

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: E88D-421A

Verzeichnis von C:\Programme

03.02.2007 23:37 <DIR> .
03.02.2007 23:37 <DIR> ..
08.06.2006 12:22 <DIR> AGEIA Technologies
09.10.2005 09:57 <DIR> Ahead
16.11.2005 14:43 <DIR> Alcohol Soft
27.09.2005 17:41 <DIR> Application X
13.01.2007 15:48 <DIR> ATI Technologies
28.11.2005 12:38 <DIR> Common Files
23.09.2005 17:01 <DIR> ComPlus Applications
05.07.2006 22:07 <DIR> CyberLink
28.11.2005 12:36 <DIR> DigiSoft
05.11.2006 18:57 <DIR> file sect second
31.01.2007 18:35 <DIR> Gemeinsame Dateien
27.04.2006 21:11 <DIR> Google
04.10.2005 14:58 <DIR> IEEE 802.11b WPC Utility(USB)
15.01.2007 15:30 <DIR> Internet Explorer
06.02.2006 17:47 <DIR> Java
25.09.2005 12:17 <DIR> Messenger
23.09.2005 17:04 <DIR> microsoft frontpage
31.01.2007 18:35 <DIR> Microsoft.NET
23.09.2005 17:02 <DIR> Movie Maker
23.09.2005 17:00 <DIR> MSN
23.09.2005 17:00 <DIR> MSN Gaming Zone
05.05.2006 14:14 <DIR> MSN Messenger
30.10.2005 00:26 <DIR> MSXML 4.0
23.09.2005 17:02 <DIR> NetMeeting
23.09.2005 17:56 <DIR> NVIDIA Corporation
23.09.2005 17:01 <DIR> Online Services
23.09.2005 17:02 <DIR> Online-Dienste
15.04.2006 10:34 <DIR> Outlook Express
03.02.2007 23:36 <DIR> Save
09.10.2006 23:38 <DIR> Sony
28.09.2006 17:52 <DIR> Windows Media Player
23.09.2005 17:00 <DIR> Windows NT
23.09.2005 17:04 <DIR> xerox
27.09.2005 17:51 <DIR> Yahoo!
0 Datei(en) 0 Bytes
36 Verzeichnis(se), 2.274.250.752 Bytes frei
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: E88D-421A

Verzeichnis von C:\Dokumente und Einstellungen\Leo\Lokale Einstellungen\Anwendungsdaten

15.10.2005 14:58 <DIR> Ahead
27.09.2005 20:14 <DIR> Apple Computer
07.02.2007 15:22 <DIR> ApplicationHistory
13.01.2007 18:01 <DIR> ATI
04.02.2007 21:34 95.232 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
27.07.2006 10:41 <DIR> Freelancer
20.07.2006 16:03 136 fusioncache.dat
31.01.2007 18:53 21.232 GDIPFONTCACHEV1.DAT
27.04.2006 21:12 <DIR> Google
12.10.2005 13:51 <DIR> Help
23.10.2005 20:44 <DIR> Identities
31.01.2007 18:35 <DIR> Microsoft
13.01.2007 13:15 <DIR> Mozilla
29.03.2006 17:31 <DIR> Oblivion
05.07.2006 17:21 <DIR> PowerCinema
07.10.2005 23:32 <DIR> Ubisoft
3 Datei(en) 116.600 Bytes
13 Verzeichnis(se), 2.274.250.752 Bytes frei
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: E88D-421A

Verzeichnis von C:\Dokumente und Einstellungen\Leo\Anwendungsdaten

01.02.2007 01:02 <DIR> .
01.02.2007 01:02 <DIR> ..
27.09.2005 20:14 <DIR> Apple Computer
13.01.2007 18:01 <DIR> ATI
05.07.2006 17:10 <DIR> CyberLink
14.12.2006 12:49 <DIR> DivX
30.01.2007 20:17 <DIR> file sect second
07.02.2007 15:50 <DIR> foobar2000
27.04.2006 21:11 <DIR> Google
12.10.2005 13:51 <DIR> Help
23.09.2005 17:43 <DIR> ICQLite
23.09.2005 17:07 <DIR> Identities
15.10.2006 18:38 <DIR> InstallShield
01.02.2007 01:02 <DIR> Lavasoft
30.11.2005 20:59 <DIR> Leadertech
25.09.2005 17:33 <DIR> Macromedia
23.09.2005 17:30 <DIR> Mozilla
29.01.2006 00:24 <DIR> My Battle for Middle-earth Files
25.03.2006 14:26 <DIR> My Battle for Middle-earth(tm) II Files
06.11.2006 18:31 <DIR> NetPumper
05.06.2006 21:13 <DIR> Opera
07.02.2006 22:16 <DIR> RCP 4
07.02.2007 15:23 <DIR> Skype
08.10.2005 14:07 <DIR> Sun
16.10.2005 14:14 <DIR> Talkback
14.09.2006 11:22 <DIR> teamspeak2
20.07.2006 16:08 <DIR> Teleca
0 Datei(en) 0 Bytes
27 Verzeichnis(se), 2.274.246.656 Bytes frei
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: E88D-421A

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

24.02.2006 23:51 305 addr_file.html
28.12.2006 22:31 <DIR> AntiVir PersonalEdition Classic
13.03.2006 21:10 <DIR> Apple Computer
05.07.2006 17:15 <DIR> CyberLink
13.01.2007 13:20 <DIR> GMX Firefox
29.10.2005 16:06 <DIR> InstallShield
04.12.2006 23:05 <DIR> Metacafe
03.01.2006 22:29 <DIR> nView_Profiles
07.02.2007 15:40 2.388 QTSBandwidthCache
12.11.2005 08:57 <DIR> Skype
20.07.2006 16:00 <DIR> Sony Ericsson
26.01.2007 19:19 <DIR> Style Dart Window Cool
20.07.2006 16:00 <DIR> Teleca
07.10.2005 23:27 <DIR> Ubisoft
02.06.2006 13:42 <DIR> Windows Genuine Advantage
27.09.2005 17:52 <DIR> Yahoo! Companion
2 Datei(en) 2.693 Bytes
14 Verzeichnis(se), 2.274.246.656 Bytes frei
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: E88D-421A

Verzeichnis von C:\Programme\Gemeinsame Dateien

31.01.2007 18:35 <DIR> .
31.01.2007 18:35 <DIR> ..
23.09.2005 17:17 <DIR> Adobe
09.10.2005 09:57 <DIR> Ahead
17.01.2007 06:47 <DIR> Blizzard Entertainment
31.01.2007 18:35 <DIR> DESIGNER
23.09.2005 17:02 <DIR> Dienste
29.10.2005 16:05 <DIR> InstallShield
25.09.2005 18:34 <DIR> Java
31.01.2007 18:36 <DIR> Microsoft Shared
23.09.2005 17:02 <DIR> MSSoap
23.09.2005 17:56 <DIR> NVIDIA Shared
23.09.2005 17:43 <DIR> ODBC
23.09.2005 17:43 <DIR> SpeechEngines
15.04.2006 10:34 <DIR> System
20.07.2006 16:00 <DIR> Teleca Shared
13.01.2007 13:13 <DIR> Wise Installation Wizard
0 Datei(en) 0 Bytes
17 Verzeichnis(se), 2.274.246.656 Bytes frei
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: E88D-421A

Verzeichnis von C:\Windows\tasks

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: E88D-421A
Dieser Beitrag wurde am 07.02.2007 um 16:09 Uhr von leozwerg editiert.
Seitenanfang Seitenende
07.02.2007, 16:23
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#124 leozwerg

««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen

Zitat

REGEDIT4

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"curb noun"=-
««
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|Window cool sixth inside

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSearc
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WhenUSaveMsg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WhenUSearch
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\savenow

Files to delete:
C:\WINDOWS\tasks\B164539497F7CC30.job
C:\WINDOWS\Downloaded Program Files\WUInst.dll

Folders to delete:
C:\Programme\Save
C:\Programme\file sect second
C:\Dokumente und Einstellungen\Leo\Anwendungsdaten\file sect second
C:\Dokumente und Einstellungen\Leo\Anwendungsdaten\NetPumper
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Style Dart Window Cool
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

««
http://virus-protect.org/artikel/tools/sdfix.html
im Normalmodus

RunThis.bat doppelt klicken
reinschreiben: 3
3 : wird Sophos geladen - waehle 6 - scanne
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.02.2007, 19:43
leozwerg
...neu hier

Beiträge: 3
#125 danke vielmals !! ich hoff damit hat sich dieses lästige kapitel erledigt ;)
Seitenanfang Seitenende
15.02.2007, 11:58
hazzman
Member

Beiträge: 11
#126 Gleiches Problem bitte helft mir !!!

Hier die Daten

Logfile of HijackThis v1.99.1
Scan saved at 11:57:05, on 15.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Gigabyte\ET5\GUI.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\tsnpstd3.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\E_S00RP2.EXE
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\SAgent4.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Gil Grissom.CSIHDGG\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XABFCNME\HijackThis[1].exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.arcor.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: (no name) - {BB36F74A-E53E-A3AF-AAC1-71EB0CBDC770} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0C2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64"
O4 - HKLM\..\Run: [EasyTuneV] C:\Programme\Gigabyte\ET5\GUI.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: CD-MENU.LNK = H:\MENU.exe
O4 - Global Startup: Action Manager 32.lnk = C:\Programme\ScannerU\AM32.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{1D8AEE09-7833-4514-B7DE-B976A7EA3833}: NameServer = 195.50.140.252 195.50.140.114
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Norton Internet Security\comHost.exe
O23 - Service: EPSON V3 Service2(02) (EPSON_PM_RPCV2_02) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\E_S00RP2.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Epson Printer Status Agent4 (StatusAgent4) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\SAgent4.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
Seitenanfang Seitenende
15.02.2007, 12:06
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#127 hazzman

poste dieses log
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.02.2007, 12:08
hazzman
Member

Beiträge: 11
#128 Hi,

diese meldung erscheint:

The tool, ComboFix has been temporarily withdrawn.

The author discovered a rootkit infection that will intefere with ComboFix's running.

This will cause Combofix to be UNSAFE FOR USE on your machine.

Even if you manage to find a mirror for the tool, PLEASE DO NOT RUN THIS TOOL

Apologies for any inconvenience caused
Seitenanfang Seitenende
15.02.2007, 12:10
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#129 ein Rootkit ;)

http://virus-protect.org/artikel/tools/gmer.html
nutze Gmer Starte es und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit nein beantworten, auf den Reiter rootkit gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser beendet, wähle Copy und füge den Bericht ein.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.02.2007, 12:20
hazzman
Member

Beiträge: 11
#130 GMER 1.0.12.12027 - http://www.gmer.net
Rootkit scan 2007-02-15 12:20:14
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.12 ----

SSDT 865A2838 ZwAlertResumeThread
SSDT 865E2BA8 ZwAlertThread
SSDT 865B80E8 ZwAllocateVirtualMemory
SSDT 86674EF0 ZwConnectPort
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS ZwCreateKey
SSDT 8650C948 ZwCreateMutant
SSDT 8650F9A8 ZwCreateThread
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS ZwDeleteKey
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS ZwDeleteValueKey
SSDT 86507120 ZwFreeVirtualMemory
SSDT 8650F950 ZwImpersonateAnonymousToken
SSDT 8650C0A0 ZwImpersonateThread
SSDT 86778FB0 ZwMapViewOfSection
SSDT 8650C048 ZwOpenEvent
SSDT 86509EC8 ZwOpenProcessToken
SSDT 865A9C18 ZwOpenThreadToken
SSDT 85FAF2C0 ZwQueryValueKey
SSDT 864F1C18 ZwResumeThread
SSDT 865B6E30 ZwSetContextThread
SSDT 865A58E0 ZwSetInformationProcess
SSDT 865B9DB0 ZwSetInformationThread
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS ZwSetValueKey
SSDT 8650EE50 ZwSuspendProcess
SSDT 8651D0B0 ZwSuspendThread
SSDT 865C2778 ZwTerminateProcess
SSDT 865B4E48 ZwTerminateThread
SSDT 86506C90 ZwUnmapViewOfSection
SSDT 86097738 ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.12 ----

.text ntkrnlpa.exe!ZwCallbackReturn + 2730 80501434 2 Bytes [ 78, 27 ]
.text ntkrnlpa.exe!ZwCallbackReturn + 2733 80501437 5 Bytes [ 86, 48, 4E, 5B, 86 ]

---- User code sections - GMER 1.0.12 ----

.text C:\Programme\Internet Explorer\iexplore.exe[2248] USER32.dll!DialogBoxParamW 77D2662C 5 Bytes JMP 7E1FF205 C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[2248] USER32.dll!DialogBoxIndirectParamW 77D32043 5 Bytes JMP 7E38FEBF C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[2248] USER32.dll!MessageBoxIndirectA 77D3A05A 5 Bytes JMP 7E38FE40 C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[2248] USER32.dll!DialogBoxParamA 77D3B11C 5 Bytes JMP 7E38FE84 C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[2248] USER32.dll!MessageBoxExW 77D50538 5 Bytes JMP 7E38FDCC C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[2248] USER32.dll!MessageBoxExA 77D5055C 5 Bytes JMP 7E38FE06 C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[2248] USER32.dll!DialogBoxIndirectParamA 77D56CAD 5 Bytes JMP 7E38FEFA C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[2248] USER32.dll!MessageBoxIndirectW 77D66093 5 Bytes JMP 7E2215DA C:\WINDOWS\system32\IEFRAME.dll

---- EOF - GMER 1.0.12 ----
Seitenanfang Seitenende
15.02.2007, 13:10
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#131 http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei - poste sie hier
-------------------

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.02.2007, 14:29
hazzman
Member

Beiträge: 11
#132 Scan Läuft.....
Hazz
Dieser Beitrag wurde am 15.02.2007 um 14:36 Uhr von hazzman editiert.
Seitenanfang Seitenende
15.02.2007, 14:36
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#133 ««

du muesstest nun eine txt-Datei finden , oder im Ordner Blacklight oder auf dem desktop - kopiere sie hier

---------

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.02.2007, 14:38
hazzman
Member

Beiträge: 11
#134 fsbl-Text: (das schreibt das F-Secure)


02/15/07 14:36:37 [Info]: BlackLight Engine 1.0.55 initialized
02/15/07 14:36:37 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/15/07 14:36:37 [Note]: 7019 4
02/15/07 14:36:37 [Note]: 7005 0
02/15/07 14:36:40 [Note]: 7006 0
02/15/07 14:36:40 [Note]: 7011 532
02/15/07 14:36:40 [Note]: 7026 0
02/15/07 14:36:40 [Note]: 7026 0
02/15/07 14:36:43 [Note]: FSRAW library version 1.7.1021
02/15/07 14:42:13 [Note]: 7007 0
Dieser Beitrag wurde am 15.02.2007 um 14:44 Uhr von hazzman editiert.
Seitenanfang Seitenende
15.02.2007, 14:44
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#135 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: