Home » Viren, Trojaner & Malware Forum » TR/RKit.Nuclear.0.A eingefangen was nun? » Themenansicht

TR/RKit.Nuclear.0.A eingefangen was nun?
#0
15.02.2007, 10:44
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 BlackPearl

Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

sysobjectsex

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

scvhost.exe

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

{D5EFDB0E-4F51-414F-B740-54A5C87A8957}


in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

------------

««
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.02.2007, 14:23
BlackPearl
...neu hier

Beiträge: 8
#17 1.
Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.2.0

; Results at 15.02.2007 14:14:07 for strings:
; 'sysobjectsex'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_CURRENT_USER\Software\WinRAR SFX]
"C%%Programme%SysObjectsEX"="C:\\Programme\\SysObjectsEX"

; End Of The Log...

2.
Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.2.0

; Results at 15.02.2007 14:15:46 for strings:
; 'scvhost.exe'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
@="C:\\WINDOWS\\scvhost.exe"

; End Of The Log...

3.
Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.2.0

; Results at 15.02.2007 14:17:01 for strings:
; 'windows registry editor version 5.00

; registry search 2.0 by bobbi flekman © 2005
; version: 2.0.2.0

; results at 15.02.2007 14:15:46 for strings:
; 'scvhost.exe'
; strings excluded from search:
; (none)
; search in:
; registry keys registry values registry data
; hkey_local_machine hkey_users


[hkey_local_machine\software\microsoft\windows\currentversion\run]
@="c:\\windows\\scvhost.exe"

{d5efdb0e-4f51-414f-b740-54a5c87a8957}'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...


mfg BlackPearl
Seitenanfang Seitenende
15.02.2007, 14:42
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18 Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 5 Monate ab) - denn die verseuchung war im november ;(?)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.02.2007, 14:57
BlackPearl
...neu hier

Beiträge: 8
#19 15.02.2007 14:09 3.140 win.ini
15.02.2007 14:09 237 system.ini
15.02.2007 14:05 213.043 setupapi.log
15.02.2007 14:05 0 0.log
15.02.2007 14:05 159 wiadebug.log
15.02.2007 14:05 50 wiaservc.log
15.02.2007 14:04 2.048 bootstat.dat
15.02.2007 00:12 1.702.431 WindowsUpdate.log
14.02.2007 23:11 116 NeroDigital.ini
14.02.2007 00:40 17.572 ESCAN.LOG
14.02.2007 00:38 624 general.log
14.02.2007 00:36 873 frights.log
14.02.2007 00:20 589 MAILINST.LOG
14.02.2007 00:20 17.584 WSSPORD.DAT
14.02.2007 00:19 7.364.468 REGBK00.ZIP
14.02.2007 00:09 23 escan.dbf
14.02.2007 00:09 217 INST_TSP.LOG
14.02.2007 00:09 153.712 winsbak2.reg
14.02.2007 00:09 12.946 winsbak.reg
13.02.2007 17:15 271 wininit.ini
09.02.2007 18:47 66 StationRipper.INI
06.02.2007 20:39 151 PhotoSnapViewer.INI
03.02.2007 00:01 9.316 DPINST.LOG
30.01.2007 16:41 11.194 mozver.dat
28.01.2007 19:15 488 Poolemup.ini
27.01.2007 14:54 1.554 Reason Preferences.prf
27.12.2006 21:56 427.805 DirectX.log
23.12.2006 23:11 3.066 wmsetup.log
19.12.2006 20:39 522 ODBC.INI
19.12.2006 20:39 49 transp.gif
19.12.2006 20:33 2.456 ie7_main.log
17.12.2006 19:02 2.104 cdplayer.ini
17.12.2006 05:02 33.094 tabletoc.log
17.12.2006 05:02 236.728 comsetup.log
17.12.2006 05:02 319.278 tsoc.log
17.12.2006 05:02 38.188 ocmsn.log
17.12.2006 05:02 997.137 iis6.log
17.12.2006 05:02 1.393 imsins.log
17.12.2006 05:02 144.242 ntdtcsetup.log
17.12.2006 05:02 11.183 KB917537.log
17.12.2006 05:02 345.039 ocgen.log
17.12.2006 05:02 49.215 medctroc.Log
17.12.2006 05:02 116.693 netfxocm.log
17.12.2006 05:02 34.284 msgsocm.log
17.12.2006 05:02 671.024 FaxSetup.log
17.12.2006 05:02 224.974 msmqinst.log
16.12.2006 18:56 2.912 COM+.log
1.

16.12.2006 18:56 1.393 imsins.BAK
16.12.2006 18:56 24.287 KB925454.log
16.12.2006 18:56 32.464 updspapi.log
16.12.2006 18:56 12.197 KB925398.log
16.12.2006 18:56 13.498 KB923689.log
16.12.2006 18:55 17.594 KB926255.log
16.12.2006 18:55 18.532 KB923694.log
16.12.2006 01:28 113 test.bat
14.12.2006 21:53 749 WindowsShell.Manifest
26.11.2006 12:57 335 nsreg.dat
19.11.2006 06:04 12.411 KB923980.log
19.11.2006 06:04 15.827 KB924270.log
19.11.2006 06:03 12.663 KB920213.log
19.11.2006 06:02 20.105 KB922760.log
15.11.2006 14:28 379 nsw.log
06.11.2006 14:19 1.233.408 scv.exe

MFG BlackPearl
Seitenanfang Seitenende
15.02.2007, 16:02
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 1.
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked"

Zitat

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://offers.whenu.com/installed.html?app=whenusave&ptr=EEPE1205010001&pds=BearShare&toi=20060421145139

O2 - BHO: (no name) - {1927341C-99F7-7A96-E898-12F3E58CBFD7} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)

O2 - BHO: (no name) - {7632ABCA-B104-4fbc-9C70-419C41470619} - (no file)

O2 - BHO: (no name) - {BBB193E6-5BBE-8C15-C2C4-CA830AB5A2A4} - (no file)
O2 - BHO: (no name) - {D5EFDB0E-4F51-414F-B740-54A5C87A8957} - (no file)

O4 - HKLM\..\Run: [] C:\WINDOWS\scvhost.exe

1.
Gehe in die registry
Start - Ausfuehren - regedit
oben links - bearbeiten - suchen - scvhost.exe + scv.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
@="C:\\WINDOWS\\scvhost.exe" - loeschen

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Registry values to delete:
HKLM\software\microsoft\windows\currentversion\policies\system|DisableRegistryTools
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|mstss
HKEY_CURRENT_USER\Software\WinRAR SFX|C%%Programme%SysObjectsEX

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\slowmeettrustname
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Update
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D5EFDB0E-4F51-414F-B740-54A5C87A8957}
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D5EFDB0E-4F51-414F-B740-54A5C87A8957}

Files to delete:
C:\WINDOWS\system32\f3PSSavr.scr
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\accute.dll
C:\WINDOWS\scv.exe

Folders to delete:
C:\Programme\SysObjectsEX
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

--------------------
««
http://virus-protect.org/artikel/tools/sdfix.html
im Normalmodus
RunThis.bat doppelt klicken

reinschreiben: 3
3 : wird Sophos geladen - waehle 6 - scanne und poste den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.02.2007, 17:18
BlackPearl
...neu hier

Beiträge: 8
#21 schon mal vielen dank mein pc stürtzt zumindest schon mal nicht mehr ab und ich kann etwas besser dran arbeiten (auch wen er scheinbar noch total verseucht ist) ich hoffe du bekommst das hin weill ich hab ehct ncith die zeit und nerven mein widows neu zu machen und alles neu einzurichten

hmm er scant und er scant und er scant ach du scheiße
Dieser Beitrag wurde am 15.02.2007 um 18:13 Uhr von BlackPearl editiert.
Seitenanfang Seitenende
15.02.2007, 18:15
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 ja, das wird ne weile dauern - poste dann den report hier ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.02.2007, 18:39
BlackPearl
...neu hier

Beiträge: 8
#23 jo da ist dein gewünschter report

Sophos Anti-Virus
Version 4.14.0 [Win32/Intel]
Virus data version 4.14, February 2007
Includes detection for 216577 viruses, trojans and worms
Copyright (c) 1989-2007 Sophos Plc, www.sophos.com

System time 17:46:31, System date 15 February 2007
Command line qualifiers are: -f -remove -nc -nb --stop-scan

Password protected file C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Anwendungsdaten\Adobe\Acrobat\7.0\Messages\ENU\read0700win_ENUadbe0700.pdf
Password protected file C:\Dokumente und Einstellungen\Ghost\Anwendungsdaten\Adobe\Acrobat\7.0\Messages\ENU\read0700win_ENUadbe0700.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\ENU\RdrMsgENU.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\ENU\read0600win_ENUyhoo0010.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\RdrMsgSplash.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\WebSearch\WebSearchENU.pdf
>>> Virus 'Troj/Swizzor-LY' found in file C:\System Volume Information\_restore{8187472A-E2A8-412C-8EF7-A75FF6FB1E3C}\RP385\A0074496.exe
Removal successful
Could not open C:\WINDOWS\system32\drivers\sptd.sys
>>> Virus 'Mal/Packer' found in file E:\Images\Doom3\crack\KeyGen\rld-d3kg.exe
Removal successful
>>> Virus 'Mal/Packer' found in file E:\Images\F.E.A.R\RLD-FEARKG.EXE
Removal successful
>>> Virus 'Mal/Packer' found in file E:\System Volume Information\_restore{8187472A-E2A8-412C-8EF7-A75FF6FB1E3C}\RP389\A0083116.exe
Removal successful
>>> Virus 'Mal/Packer' found in file E:\System Volume Information\_restore{8187472A-E2A8-412C-8EF7-A75FF6FB1E3C}\RP389\A0083117.EXE
Removal successful

5 boot sectors swept.
52068 files swept in 57 minutes and 6 seconds.
7 errors were encountered.
5 viruses were discovered.
5 files out of 52068 were infected.
Please send infected samples to Sophos for analysis.
For advice consult www.sophos.com, email support@sophos.com
or telephone +44 1235 559933
6 encrypted files were not checked.
Ending Sophos Anti-Virus.

MFG BlackPearl
Dieser Beitrag wurde am 15.02.2007 um 18:51 Uhr von BlackPearl editiert.
Seitenanfang Seitenende
16.02.2007, 00:28
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#24 im Normalmodus
http://virus-protect.org/artikel/tools/sdfix.html
RunThis.bat doppelt klicken

reinschreiben: 1

1 : es wird a-squared geladen
a-squared

1. update
2. full scan
3. full scan (heuristic/riskware scanning enabled)
4. save quarantine list

klicke 4 - poste den report
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.02.2007, 23:02
BlackPearl
...neu hier

Beiträge: 8
#25 so hier dder scan report

Scan settings:

Objects: Memory, Traces, Cookies, C:
Scan archives: On
Heuristics: On
ADS Scan: On

Scan start: 16.02.2007 18:18:19

C:\Dokumente und Einstellungen\Ghost\Anwendungsdaten\Mozilla\Firefox\Profiles\jq9i3i5c.default\cookies.txt:382 detected: Trace.TrackingCookie
C:\Dokumente und Einstellungen\Ghost\Anwendungsdaten\Mozilla\Firefox\Profiles\jq9i3i5c.default\cookies.txt:388 detected: Trace.TrackingCookie
C:\Dokumente und Einstellungen\Ghost\Anwendungsdaten\Mozilla\Firefox\Profiles\jq9i3i5c.default\cookies.txt:416 detected: Trace.TrackingCookie
C:\Dokumente und Einstellungen\Ghost\Anwendungsdaten\Mozilla\Firefox\Profiles\jq9i3i5c.default\cookies.txt:417 detected: Trace.TrackingCookie
C:\Dokumente und Einstellungen\Ghost\Anwendungsdaten\Mozilla\Firefox\Profiles\jq9i3i5c.default\cookies.txt:501 detected: Trace.TrackingCookie
C:\Dokumente und Einstellungen\Ghost\Anwendungsdaten\Mozilla\Firefox\Profiles\jq9i3i5c.default\cookies.txt:565 detected: Trace.TrackingCookie
C:\Dokumente und Einstellungen\Ghost\Anwendungsdaten\Mozilla\Firefox\Profiles\jq9i3i5c.default\cookies.txt:595 detected: Trace.TrackingCookie
C:\avenger\backup-15.02.2007-17.36.36,28.zip/f3PSSavr.scr detected: Adware.Win32.MyWebSearch
C:\Programme\DAEMON Tools\SetupDTSB.exe detected: Adware.SaveNow.bo

Scanned

Files: 183205
Traces: 78819
Cookies: 654
Processes: 25

Found

Files: 2
Traces: 0
Cookies: 7
Processes: 0

Quarantined

Files: 2
Traces: 0
Cookies: 0
Processes: 0

Scan end: 16.02.2007 20:17:30
Scan time: 01:59:11

MFG BlackPearl
Seitenanfang Seitenende
17.02.2007, 01:49
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#26 sollte wieder alles i.o. sein ;)
du kannst noch Onlinescans machen, wenn du Zeit hast ............
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.02.2007, 01:57
BlackPearl
...neu hier

Beiträge: 8
#27 juhu das ist cool hast du vlt noch nen paar tips für mich wie ich es das nächste mal vlt selsbt hin bekomme und wie ich mein sys vlt besser vor sowas schützen kann?

ähm ja ich hab noch zei für nen onlin scan welchen soll ich da nehmen (kann es sein das diese so tollen online scans nur mit dem IE funktionieren? wen ja ists blöd)?

vielen danke für deine hilfe wat hätte ick nur ohne dir jemacht? ;) noch mals vielen dank für die hilfe auch wen ich nicht immer präziese gearbeitet habe

MFG BlackPearl
Dieser Beitrag wurde am 17.02.2007 um 02:07 Uhr von BlackPearl editiert.
Seitenanfang Seitenende
21.09.2007, 10:39
chrisstine
...neu hier

Beiträge: 10
#28 Logfile of HijackThis v1.99.1
Scan saved at 10:39:00, on 21.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\WINDOWS\system32\gtdetectsc.exe
C:\WINDOWS\system32\GtFlashSwitch.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Media Player\WMPNetwk.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\scvhost.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Elantech\ktp3.exe
C:\Programme\CyberLink\PowerCinema\PCMService.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\MSI\AV Wizard\AVExe.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programme\DeTeMedien\Das Telefonbuch für Deutschland\OMAlarm.exe
C:\Programme\Vodafone\Vodafone Zuhause Easy Box\Vodafone Zuhause Easy Box.exe
C:\Programme\ICQ6\ICQ.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\T-DSL SpeedManager\TSMSvc.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Bino15\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0JQHD74T\HijackThis[1].exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Bino15\Eigene Dateien\HijackThis.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Dokumente und Einstellungen\Bino15\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.handball-world.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.arcor.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [KTPWare] C:\Programme\Elantech\ktp3.exe
O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programme\CA\Etrust Antivirus\Register.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AV Wizard] C:\Programme\MSI\AV Wizard\AVExe.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [ChelloDesktop] C:\Programme\chello\ChelloDesktop.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [shdef] C:\WINDOWS\shdef.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: OfficeManager Terminerinnerung.lnk = ?
O4 - Global Startup: Vodafone Zuhause Easy Box.lnk = C:\Programme\Vodafone\Vodafone Zuhause Easy Box\Vodafone Zuhause Easy Box.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.targa.de
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111292356781
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1123934405015
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: GtDetectSc Service (gtdetectsc) - OptionNV - C:\WINDOWS\system32\gtdetectsc.exe
O23 - Service: GtFlashSwitch Service (GtFlashSwitch) - OptionNV - C:\WINDOWS\system32\GtFlashSwitch.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe
Seitenanfang Seitenende
21.09.2007, 11:29
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#29 @chrisstine

Download ComboFix und speichert es auf den Desktop!
Alle Fenster schliessen und combofix.exe starten
Folge den Instruktionen in das Fenster
Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile(combofix.txt )
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

zusammen mit ein neuen log von HijackThis
__________
MfG Argus
Seitenanfang Seitenende
22.09.2007, 10:24
chrisstine
...neu hier

Beiträge: 10
#30 ComboFix 07-09-21.2 - "Bino15" 2007-09-22 10:11:42.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.630 [GMT 2:00]
* Created a new restore point
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\scvhost.exe
D:\Autorun.inf

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\LEGACY_NPF
-------\NPF


((((((((((((((((((((((( Dateien erstellt von 2007-08-22 bis 2007-09-22 ))))))))))))))))))))))))))))))
.

2007-09-22 10:09 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-19 17:30 71,168 --a------ C:\WINDOWS\ijl11.dll
2007-09-19 17:24 44,544 --------- C:\WINDOWS\nkit.dll
2007-09-17 17:40 <DIR> d-------- C:\Programme\ICQ6
2007-09-17 17:40 <DIR> d-------- C:\DOKUME~1\Bino15\ANWEND~1\ICQ
2007-09-17 17:39 <DIR> d-------- C:\DOKUME~1\Bino15\ANWEND~1\InstallShield

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-17 17:41 --------- d--h----- C:\Programme\InstallShield Installation Information
2007-09-12 14:40 --------- d-------- C:\Programme\LimeWire
2007-09-06 20:03 --------- d-------- C:\Programme\Incomplete
2007-08-18 21:06 --------- d-------- C:\Programme\Option
2007-08-18 16:06 --------- d-------- C:\Programme\Vodafone
2007-08-17 20:36 --------- d-------- C:\DOKUME~1\Bino15\ANWEND~1\Skype
2007-07-22 15:09 --------- d-------- C:\DOKUME~1\Bino15\ANWEND~1\AdobeUM
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-01-12 22:05]
"AGRSMMSG"="AGRSMMSG.exe" [2005-01-17 12:12 C:\WINDOWS\AGRSMMSG.exe]
"KTPWare"="C:\Programme\Elantech\ktp3.exe" [2004-11-17 15:06]
"AntivirusRegistration"="C:\Programme\CA\Etrust Antivirus\Register.exe" [2005-01-31 16:09]
"PCMService"="C:\Programme\CyberLink\PowerCinema\PCMService.exe" [2005-04-11 22:49]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50]
"SoundMan"="SOUNDMAN.EXE" [2005-02-23 19:13 C:\WINDOWS\soundman.exe]
"AV Wizard"="C:\Programme\MSI\AV Wizard\AVExe.exe" [2005-03-03 14:09]
"AOLDialer"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" [2004-02-25 12:21]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2005-03-08 04:01]
"OEM-Reset"="" []
"PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2004-03-10 16:26]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe" [2002-03-18 12:49]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-09-12 10:21]
"T-DSL SpeedMgr"="C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" [2006-02-09 17:15]
"ChelloDesktop"="C:\Programme\chello\ChelloDesktop.exe" []
"Arcor Online"="" []
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 13:03]
"shdef"="C:\WINDOWS\shdef.exe" []

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 09:56]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2005-10-24 15:53]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2007-08-08 17:03]

C:\DOKUME~1\ALLUSE~1\STARTM~1\PROGRA~1\AUTOST~1\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-24 08:05:26]
AOL 9.0 Tray-Symbol.lnk - C:\Programme\AOL 9.0\aoltray.exe [2005-03-08 04:00:09]
BlueSoleil.lnk - C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe [2005-03-20 05:48:47]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 02:01:04]
OfficeManager Terminerinnerung.lnk - C:\Programme\DeTeMedien\Das Telefonbuch fr Deutschland\OMAlarm.exe [2005-03-08 06:45:47]
Vodafone Zuhause Easy Box.lnk - C:\Programme\Vodafone\Vodafone Zuhause Easy Box\Vodafone Zuhause Easy Box.exe [2006-08-31 10:46:16]

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys
R0 rmedia;Ricoh MediaCard Driver;C:\WINDOWS\system32\DRIVERS\rmedia.sys
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys
R2 gtdetectsc;GtDetectSc Service;C:\WINDOWS\system32\gtdetectsc.exe
R2 GtFlashSwitch;GtFlashSwitch Service;C:\WINDOWS\system32\GtFlashSwitch.exe
R3 CB54G3;Wireless CB54G3/MP54G3 Wireless LAN Card Driver;C:\WINDOWS\system32\DRIVERS\i2220ntx.sys
R3 Ktp3;Elantech TouchPad(KTP3);C:\WINDOWS\system32\DRIVERS\Ktp3.sys
R3 TSMPacket;T-DSL SpeedManager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys
S3 GTFFBUS;GT FF BUS;C:\WINDOWS\system32\DRIVERS\gtffbus.sys
S3 GTMMDMUSB;GT M 3G+ USB MDM;C:\WINDOWS\system32\DRIVERS\gtmmdmusb.sys
S3 GTMNDISIRPXP;GT M 3G+ IRP NDIS;C:\WINDOWS\system32\DRIVERS\Gtm51Irp.sys
S3 GTMSERUSB;GT M 3G+ USB SER;C:\WINDOWS\system32\DRIVERS\gtmserusb.sys
S3 GTPTSER;GT PT SER;C:\WINDOWS\system32\DRIVERS\gtptser.sys
S3 GtVUsb;GlobeTrotter Module 3G+ Filter;C:\WINDOWS\system32\Drivers\GtVUsb.sys
S3 LVHybrid;LVHybrid service;C:\WINDOWS\system32\DRIVERS\LVHybrid.sys


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3d4547b4-9584-11d9-9bdb-00038a000015}]
AutoRun\command- D:\Autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{579ea408-9585-11d9-98ca-806d6172696f}]
AutoRun\command- D:\Autorun.exe


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{F061000D-BC00-BC03-E100-C60FD001FB60}]
C:\WINDOWS\scvhost.exe
.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-22 10:16:51
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-09-22 10:18:41 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-09-22 10:18
.
--- E O F ---
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1234