Erst VirusBusters, jetzt SystemcrashThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
12.12.2006, 09:29
Member
Beiträge: 12 |
||
|
||
12.12.2006, 10:22
Member
Beiträge: 1132 |
#2
Hallo Steev,
Du kommst ja in den abgesicherten Modus. Versuche statt dessen den Rechner mit der Option "Letzte funktionierende Konfiguration" hochzufahren. Du hast dann u.U. die Malware wieder auf dem Rechner. Arbeite dann einfach alles ab, was hier angegeben ist: http://board.protecus.de/t23188.htm Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
12.12.2006, 13:39
Ehrenmitglied
Beiträge: 29434 |
#3
poste dann hier die logs, vor allem das von combofix und hijackThis - dann sehen wir weiter
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.12.2006, 10:17
Member
Themenstarter Beiträge: 12 |
#4
Hallo,
vielen Dank für die schnelle Hilfe. Ich konnte das System mit der zuletzt funktionierenden Konfiguration wieder starten, zumindest bis zur Anwendung von Combofix (schon während der Ausführung des Programms kam es zum Reboot, Combofix lief aber nach erneutem Anmelden noch). Ich hab dann Combofix nochmal ausgeführt und das 2. Logfile befindet sich auch unten im Thread. Weitere Versuche mit der letzt funktionierenden Konfiguration wieder zu starten blieben erfolglos und so konnte ich die Log-Files von datfind.bat nur im abgesicherten Modus erstellen (sollte aber nicht stören, hoffe ich). Also nun hier die Log-files. Hijackthis:************************************************ Logfile of HijackThis v1.99.1 Scan saved at 07:32:53, on 13.12.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\brss01a.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\BrmfBAgS.exe C:\WINDOWS\system32\eTSrv.exe C:\Programme\ewido\security suite\ewidoctrl.exe c:\Programme\Norton AntiVirus\SAVScan.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\fxssvc.exe C:\WINDOWS\system32\Ati2evxx.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\WINDOWS\Explorer.EXE c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymSCUI.exe C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\ScanSoft\PaperPort\pptd40nt.exe C:\Programme\Brother\ControlCenter2\brctrcen.exe C:\Programme\QuickTime\qttask.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Gemeinsame Dateien\{78EA2C08-07C5-1031-1125-040410290031}\Update.exe C:\PROGRA~1\COMMON~1\SMANTE~1\dvdplay.exe C:\WINDOWS\system32\??pPatch\?hkntfs.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\SEC\MagicTune 2.5\GammaTray.exe C:\Programme\SEC\Natural Color\NaturalColorLoad.exe C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe c:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Programme\Internet Explorer\IEXPLORE.EXE c:\Programme\Norton AntiVirus\OPScan.exe D:\Eigene Dateien Stephan\Sonstiges\Tools\Hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: (no name) - {8EAD9606-21BA-5219-CA68-78E5561D4093} - C:\WINDOWS\system32\acqeth.dll R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Web Sign On - {46832FF5-95B5-4654-88F4-7F5F37AD1FC2} - C:\Programme\Aladdin\eToken\WSO\eTWSO.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\GEMEIN~1\{38EA2~1\Bar888.dll O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [ccApp] "c:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04g\BrStDvPt.exe O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [Earc] "C:\PROGRA~1\COMMON~1\SMANTE~1\dvdplay.exe" -vt yazb O4 - HKCU\..\Run: [Ucuv] C:\WINDOWS\system32\??pPatch\?hkntfs.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Color Calibration.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: NaturalColorLoad.lnk = ? O4 - Global Startup: T-COM WLAN Manager T-Sinus 154data.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Web Sign On - {1A69BF73-60DD-49b7-9251-F7A7D7070940} - C:\Programme\Aladdin\eToken\WSO\eTWSO.dll O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130605000171 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1144265827890 O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Brother BidiAgent Service for Resource manager (brmfbags) - Brother Industries, Ltd. - C:\WINDOWS\system32\BrmfBAgS.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: eToken Notification Service (ETOKSRV) - Aladdin Knowledge Systems, Ltd. - C:\WINDOWS\system32\eTSrv.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing) O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - c:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - c:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe Combofix #1:************************************************ Stephan - 06-12-13 7:47:59,57 Service Pack 2 ComboFix 06.11.27W - Running from: "D:\Eigene Dateien Stephan\Sonstiges\Tools\Virustools" (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\Programme\Gemeinsame Dateien\Yazzle1162OinAdmin.exe C:\Programme\Gemeinsame Dateien\Yazzle1162OinUninstaller.exe C:\WINDOWS\system32\components C:\Programme\Gemeinsame Dateien\{38EA2C08-07C5-1031-1125-040410290031} C:\Programme\Gemeinsame Dateien\{78EA2C08-07C5-1031-1125-040410290031} ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Folders Quarantined: C:\QooBox\Purity\WINDOWS\system32\PPATCH~1 C:\QooBox\Purity\WINDOWS\system32\PPATCH~1\?hkntfs.exe ((((((((((((((((((((((((((((((( Files Created from 2006-11-13 to 2006-12-13 )))))))))))))))))))))))))))))))))) 2006-12-13 07:41 <DIR> dr-h----- C:\Dokumente und Einstellungen\Stephan\Recent 2006-12-13 07:34 <DIR> d-------- C:\Programme\CleanUp! 2006-12-12 20:29 126,996 --a------ C:\WINDOWS\system32\rubhcngc.dll 2006-12-11 22:08 3,716 --a------ C:\WINDOWS\system32\tmp.reg 2006-12-11 20:32 5,708 --a------ C:\WINDOWS\system32\k9371937.DLL 2006-12-11 20:31 10,000 --a------ C:\WINDOWS\system32\rundll32.exe 2006-12-11 19:49 <DIR> d-------- C:\Programme\RegCure 2006-12-11 19:42 58,880 --a------ C:\WINDOWS\system32\acqeth.dll 2006-12-11 19:42 2 --a------ C:\WINDOWS\system32\wnscpsv.exe 2006-12-11 19:38 72,704 --a------ C:\WINDOWS\system32\drvzog.dll 2006-12-11 19:18 625,768 ---hs---- C:\WINDOWS\system32\kjjlm.bak2 2006-12-10 14:16 594,678 ---hs---- C:\WINDOWS\system32\kjjlm.bak1 2006-12-10 14:16 276,532 ---hs---- C:\WINDOWS\system32\mljjk.dll 2006-12-10 14:16 <DIR> d-------- C:\Programme\VSAdd-in 2006-12-10 14:10 72,704 --a------ C:\WINDOWS\system32\drvwah.dll 2006-12-10 14:10 19,456 --a------ C:\WINDOWS\system32\winzdn32.dll 2006-11-30 22:53 <DIR> d-------- C:\Programme\iTunes 2006-11-30 22:51 <DIR> d-------- C:\Programme\Apple Software Update (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) [color=red]Rootkit driver pe386 is present. A rootkit scan is required[/color] 2006-12-13 07:53 -------- d-------- C:\Programme\Gemeinsame Dateien 2006-12-12 19:56 -------- d-------- C:\Programme\Easy Internet signup 2006-12-11 22:14 -------- d-------- C:\Programme\Mozilla Firefox 2006-12-10 14:11 -------- d-------- C:\Programme\Common Files 2006-11-30 22:53 -------- d-------- C:\Programme\iPod 2006-11-30 22:52 -------- d-------- C:\Programme\QuickTime 2006-10-31 18:51 -------- d-------- C:\Programme\Google 2006-10-14 12:08 -------- d-------- C:\Programme\Java 2006-09-19 15:43 109360 --a------ C:\WINDOWS\system32\GEARAspi.dll 2006-09-15 21:52 91904 --a------ C:\WINDOWS\system32\S32EVNT1.DLL (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries are not shown [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "swg"="C:\\Programme\\Google\\GoogleToolbarNotifier\\1.0.720.3640\\GoogleToolbarNotifier.exe" "Earc"="\"C:\\PROGRA~1\\COMMON~1\\SMANTE~1\\dvdplay.exe\" -vt yazb" "Ucuv"="C:\\WINDOWS\\system32\\??pPatch\\?hkntfs.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "UpdateManager"="\"C:\\Programme\\Gemeinsame Dateien\\Sonic\\Update Manager\\sgtray.exe\" /r" "T-DSL SpeedMgr"="\"C:\\PROGRA~1\\T-DSLS~1\\SpeedMgr.exe\"" "SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe" "ccApp"="\"c:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\"" "ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe" "Symantec NetDriver Monitor"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe /Consumer" "NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe" "KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\ 65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00 "SSBkgdUpdate"="\"C:\\Programme\\Gemeinsame Dateien\\Scansoft Shared\\SSBkgdUpdate\\SSBkgdupdate.exe\" -Embedding -boot" "PaperPort PTD"="C:\\Programme\\ScanSoft\\PaperPort\\pptd40nt.exe" "IndexSearch"="C:\\Programme\\ScanSoft\\PaperPort\\IndexSearch.exe" "SetDefPrt"="C:\\Programme\\Brother\\Brmfl04g\\BrStDvPt.exe" "ControlCenter2.0"="C:\\Programme\\Brother\\ControlCenter2\\brctrcen.exe /autorun" "QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime" "iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\"" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000004 [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE" [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" "{54D9498B-CF93-414F-8984-8CE7FDE0D391}"="ewido shell guard" "{C671A733-A4AA-4B5F-8CEE-006242C457B5}"="" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 "ClearRecentDocsOnExit"=dword:00000001 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload] "PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}" "CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}" "WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" "SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}" "UPnPMonitor"="{e57ce738-33e8-4c51-8354-bb4de9d215d1}" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RunDLL] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="bridge" "hkey"="HKLM" "command"="rundll32.exe \"C:\\WINDOWS\\system32\\bridge.dll\",Load" "inimapping"="0" HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljgdca HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljjk HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winzdn32 [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" Contents of the 'Scheduled Tasks' folder C:\WINDOWS\tasks\AppleSoftwareUpdate.job C:\WINDOWS\tasks\Norton AntiVirus - Meinen Computer prfen - Stephan.job C:\WINDOWS\tasks\RegCure.job C:\WINDOWS\tasks\Symantec NetDetect.job Completion time: 06-12-13 7:53:49.42 C:\ComboFix.txt ... 06-12-13 07:53 Combofix #2:************************************************ Stephan - 06-12-13 7:55:04,40 Service Pack 2 ComboFix 06.11.27W - Running from: "D:\Eigene Dateien Stephan\Sonstiges\Tools\Virustools" (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Folders Quarantined: C:\QooBox\Purity\WINDOWS\system32\PPATCH~1 C:\QooBox\Purity\WINDOWS\system32\PPATCH~1\?hkntfs.exe ((((((((((((((((((((((((((((((( Files Created from 2006-11-13 to 2006-12-13 )))))))))))))))))))))))))))))))))) 2006-12-13 07:41 <DIR> dr-h----- C:\Dokumente und Einstellungen\Stephan\Recent 2006-12-13 07:34 <DIR> d-------- C:\Programme\CleanUp! 2006-12-12 20:29 126,996 --a------ C:\WINDOWS\system32\rubhcngc.dll 2006-12-11 22:08 3,716 --a------ C:\WINDOWS\system32\tmp.reg 2006-12-11 20:32 5,708 --a------ C:\WINDOWS\system32\k9371937.DLL 2006-12-11 20:31 10,000 --a------ C:\WINDOWS\system32\rundll32.exe 2006-12-11 19:49 <DIR> d-------- C:\Programme\RegCure 2006-12-11 19:42 58,880 --a------ C:\WINDOWS\system32\acqeth.dll 2006-12-11 19:42 2 --a------ C:\WINDOWS\system32\wnscpsv.exe 2006-12-11 19:38 72,704 --a------ C:\WINDOWS\system32\drvzog.dll 2006-12-11 19:18 625,768 ---hs---- C:\WINDOWS\system32\kjjlm.bak2 2006-12-10 14:16 594,678 ---hs---- C:\WINDOWS\system32\kjjlm.bak1 2006-12-10 14:16 276,532 ---hs---- C:\WINDOWS\system32\mljjk.dll 2006-12-10 14:16 <DIR> d-------- C:\Programme\VSAdd-in 2006-12-10 14:10 72,704 --a------ C:\WINDOWS\system32\drvwah.dll 2006-12-10 14:10 19,456 --a------ C:\WINDOWS\system32\winzdn32.dll 2006-11-30 22:53 <DIR> d-------- C:\Programme\iTunes 2006-11-30 22:51 <DIR> d-------- C:\Programme\Apple Software Update (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) [color=red]Rootkit driver pe386 is present. A rootkit scan is required[/color] 2006-12-13 07:53 -------- d-------- C:\Programme\Gemeinsame Dateien 2006-12-12 19:56 -------- d-------- C:\Programme\Easy Internet signup 2006-12-11 22:14 -------- d-------- C:\Programme\Mozilla Firefox 2006-12-10 14:11 -------- d-------- C:\Programme\Common Files 2006-11-30 22:53 -------- d-------- C:\Programme\iPod 2006-11-30 22:52 -------- d-------- C:\Programme\QuickTime 2006-10-31 18:51 -------- d-------- C:\Programme\Google 2006-10-14 12:08 -------- d-------- C:\Programme\Java 2006-09-19 15:43 109360 --a------ C:\WINDOWS\system32\GEARAspi.dll 2006-09-15 21:52 91904 --a------ C:\WINDOWS\system32\S32EVNT1.DLL (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries are not shown [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "swg"="C:\\Programme\\Google\\GoogleToolbarNotifier\\1.0.720.3640\\GoogleToolbarNotifier.exe" "Earc"="\"C:\\PROGRA~1\\COMMON~1\\SMANTE~1\\dvdplay.exe\" -vt yazb" "Ucuv"="C:\\WINDOWS\\system32\\??pPatch\\?hkntfs.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "UpdateManager"="\"C:\\Programme\\Gemeinsame Dateien\\Sonic\\Update Manager\\sgtray.exe\" /r" "T-DSL SpeedMgr"="\"C:\\PROGRA~1\\T-DSLS~1\\SpeedMgr.exe\"" "SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe" "ccApp"="\"c:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\"" "ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe" "Symantec NetDriver Monitor"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe /Consumer" "NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe" "KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\ 65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00 "SSBkgdUpdate"="\"C:\\Programme\\Gemeinsame Dateien\\Scansoft Shared\\SSBkgdUpdate\\SSBkgdupdate.exe\" -Embedding -boot" "PaperPort PTD"="C:\\Programme\\ScanSoft\\PaperPort\\pptd40nt.exe" "IndexSearch"="C:\\Programme\\ScanSoft\\PaperPort\\IndexSearch.exe" "SetDefPrt"="C:\\Programme\\Brother\\Brmfl04g\\BrStDvPt.exe" "ControlCenter2.0"="C:\\Programme\\Brother\\ControlCenter2\\brctrcen.exe /autorun" "QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime" "iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\"" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000004 [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE" [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" "{54D9498B-CF93-414F-8984-8CE7FDE0D391}"="ewido shell guard" "{C671A733-A4AA-4B5F-8CEE-006242C457B5}"="" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 "ClearRecentDocsOnExit"=dword:00000001 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload] "PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}" "CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}" "WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" "SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}" "UPnPMonitor"="{e57ce738-33e8-4c51-8354-bb4de9d215d1}" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RunDLL] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="bridge" "hkey"="HKLM" "command"="rundll32.exe \"C:\\WINDOWS\\system32\\bridge.dll\",Load" "inimapping"="0" HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljgdca HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljjk HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winzdn32 [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" Contents of the 'Scheduled Tasks' folder C:\WINDOWS\tasks\AppleSoftwareUpdate.job C:\WINDOWS\tasks\Norton AntiVirus - Meinen Computer prfen - Stephan.job C:\WINDOWS\tasks\RegCure.job C:\WINDOWS\tasks\Symantec NetDetect.job Completion time: 06-12-13 7:55:58.93 C:\ComboFix.txt ... 06-12-13 07:55 C:\ComboFix2.txt ... 06-12-13 07:53 System32:************************************************ Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 78EA-2C08 Verzeichnis von C:\WINDOWS\system32 13.12.2006 08:36 628.747 kjjlm.ini 13.12.2006 07:11 381.828 perfh009.dat 13.12.2006 07:11 53.572 perfc009.dat 13.12.2006 07:11 392.842 perfh007.dat 13.12.2006 07:11 64.650 perfc007.dat 13.12.2006 07:11 902.476 PerfStringBackup.INI 12.12.2006 20:30 2.278 wpa.dbl 12.12.2006 20:30 126.996 rubhcngc.dll 12.12.2006 20:28 625.768 kjjlm.bak2 11.12.2006 22:09 0 tmp.txt 11.12.2006 22:09 3.716 tmp.reg 11.12.2006 19:42 2 wnscpsv.exe 11.12.2006 19:38 72.704 drvzog.dll 11.12.2006 14:46 58.880 acqeth.dll 10.12.2006 14:27 143 mcrh.tmp 10.12.2006 14:16 594.678 kjjlm.bak1 10.12.2006 14:16 276.532 mljjk.dll 10.12.2006 14:10 72.704 drvwah.dll 10.12.2006 14:10 19.456 winzdn32.dll 25.10.2006 19:15 65.536 QuickTimeVR.qtx 25.10.2006 19:15 49.152 QuickTime.qts 14.10.2006 12:08 7.006 jupdate-1.5.0_06-b05.log 19.09.2006 15:43 109.360 GEARAspi.dll 16.09.2006 14:58 5.618 jupdate-1.5.0_05-b05.log 15.09.2006 21:52 91.904 S32EVNT1.DLL 17.06.2006 19:17 65 BD7420.dat 15.06.2006 15:27 156.360 FNTCACHE.DAT 14.02.2006 08:20 550.120 LegitCheckControl.dll 13.02.2006 18:03 8.632 spmsg.dll 10.11.2005 12:03 127.078 javaws.exe 10.11.2005 12:03 49.265 jpicpl32.cpl 10.11.2005 10:27 49.250 javaw.exe 10.11.2005 10:27 49.248 java.exe 16.10.2005 16:43 34.308 BASSMOD.dll 01.10.2005 13:23 29.236 Acrobat Distiller 01.10.2005 11:15 952 KGyGaAvL.sys 10.09.2005 17:56 0 np3vdghs.html 10.09.2005 17:55 3.115 th647si4.ini 10.09.2005 17:37 35.184 9khegdn3.dat 10.09.2005 17:37 188.144 rubi58sl.dat 10.09.2005 15:33 4.240 mam9riji.dat 10.09.2005 15:33 0 gm10isae.dat 10.09.2005 15:33 0 30r47nf0.dat 10.09.2005 15:33 35 2isu38ip.ini 10.09.2005 15:33 35 ee6v2ucg.ini System:************************************************ Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 78EA-2C08 Verzeichnis von C:\WINDOWS 13.12.2006 08:29 777.126 ntbtlog.txt 13.12.2006 08:18 9.492 setupapi.log 13.12.2006 08:16 2.048 bootstat.dat 13.12.2006 08:14 159 wiadebug.log 13.12.2006 08:14 50 wiaservc.log 13.12.2006 07:58 2.448 SchedLgU.Txt 13.12.2006 07:58 10.206 WindowsUpdate.log 13.12.2006 07:53 0 0.log 12.12.2006 20:08 680 MKDEMSG.LOG 12.12.2006 20:08 3.072 MKDEWE.TRN 11.12.2006 22:05 60 setupact.log 11.12.2006 22:05 0 setuperr.log 11.12.2006 19:17 0 Sti_Trace.log 10.12.2006 13:48 386 BrmfBidi.ini 09.12.2006 19:55 48 wpd99.drv 28.11.2006 22:01 69 NeroDigital.ini 15.10.2006 21:36 4.012.815 pfirewall.log.old 14.10.2006 16:12 469 BRWMARK.INI 14.10.2006 11:27 2.904 mozver.dat 24.09.2006 19:23 143 mandant.ini 16.09.2006 14:52 0 batch.INI 16.09.2006 14:09 0 nsreg.dat Sys:************************************************ Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 78EA-2C08 Verzeichnis von C:\ 13.12.2006 08:36 0 sys.txt 13.12.2006 08:36 674 down.txt 13.12.2006 08:36 919 tmp.txt 13.12.2006 08:36 6.502 system.txt 13.12.2006 08:36 282 systemtemp.txt 13.12.2006 08:36 102.383 system32.txt 13.12.2006 08:28 668 datFind.bat 13.12.2006 08:15 805.306.368 pagefile.sys 10.12.2006 14:25 0 2028612616 16.09.2006 15:01 15 mandant.ini 15.03.2006 15:28 40 Auth.prof 12.09.2005 12:56 211 boot.ini 01.06.2005 21:03 130 INSTALL.LOG 06.05.2005 15:03 2.208 myvbs.vbs 25.03.2005 16:58 5.510 data 17.11.2004 01:36 0 CONFIG.SYS 17.11.2004 01:36 0 AUTOEXEC.BAT 17.11.2004 01:36 0 MSDOS.SYS 17.11.2004 01:36 0 IO.SYS Systemtemp:************************************************ Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 78EA-2C08 Verzeichnis von C:\DOKUME~1\Stephan\LOKALE~1\Temp 13.12.2006 08:14 533 pcfA.tmp 1 Datei(en) 533 Bytes 0 Verzeichnis(se), 8.078.471.168 Bytes frei Tmp:************************************************ Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 78EA-2C08 Verzeichnis von C:\WINDOWS\Temp 13.12.2006 08:24 0 winE.tmp 13.12.2006 08:22 0 winD.tmp 13.12.2006 08:20 0 winC.tmp 13.12.2006 08:18 0 winB.tmp 13.12.2006 08:16 0 winA.tmp 13.12.2006 08:13 0 win9.tmp 13.12.2006 08:11 0 win8.tmp 13.12.2006 08:09 0 win6.tmp 13.12.2006 08:05 0 win5.tmp 13.12.2006 08:03 0 win3.tmp 13.12.2006 08:02 0 win2.tmp 13.12.2006 08:01 0 win1.tmp 13.12.2006 07:58 0 T30DebugLogFile.txt 13.12.2006 07:58 0 win7.tmp 13.12.2006 07:56 0 win4.tmp 15 Datei(en) 0 Bytes 0 Verzeichnis(se), 8.078.458.880 Bytes frei Gruß, Steev |
|
|
||
13.12.2006, 12:24
Ehrenmitglied
Beiträge: 29434 |
#5
1.
scanne mit vundofix http://virus-protect.org/artikel/tools/vundofixx.html 2. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat Registry values to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten «« öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat R3 - URLSearchHook: (no name) - {8EAD9606-21BA-5219-CA68-78E5561D4093} - C:\WINDOWS\system32\acqeth.dllPC neustarten »» scanne und poste hier den scanreport http://virus-protect.org/ewido.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.12.2006, 08:12
Member
Themenstarter Beiträge: 12 |
#6
Hallo,
Vundofix hatte beim ersten Run Probleme ein paar Dateien zu löschen. Beim wiederholten ausführen waren diese Dateien aber nichtmehr auffindbar. Mit HijackThis wollte ich folgenden Eintrag nicht entfernen, da er zu einem von mir installierten Securitytool gehört: O3 - Toolbar: Web Sign On - {46832FF5-95B5-4654-88F4-7F5F37AD1FC2} - C:\Programme\Aladdin\eToken\WSO\eTWSO.dll Leider kann ich auch seit längerer Zeit die beiden Einträge O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) nicht loswerden. Hat dazu jemand noch einen guten Tip? Anbei noch der Report der AVG Anti-Spyware. --------------------------------------------------------- AVG Anti-Spyware - Scan-Bericht --------------------------------------------------------- + Erstellt um: 07:17:04 14.12.2006 + Scan-Ergebnis: C:\Dokumente und Einstellungen\Stephan\Cookies\stephan@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Gesäubert. :mozilla.6:C:\Dokumente und Einstellungen\Stephan\Anwendungsdaten\Mozilla\Firefox\Profiles\qwtvbld2.default\cookies.txt -> TrackingCookie.Ivwbox : Gesäubert. C:\Dokumente und Einstellungen\Stephan\Cookies\stephan@ivwbox[2].txt -> TrackingCookie.Ivwbox : Gesäubert. :mozilla.13:C:\Dokumente und Einstellungen\Stephan\Anwendungsdaten\Mozilla\Firefox\Profiles\qwtvbld2.default\cookies.txt -> TrackingCookie.Reliablestats : Gesäubert. :mozilla.14:C:\Dokumente und Einstellungen\Stephan\Anwendungsdaten\Mozilla\Firefox\Profiles\qwtvbld2.default\cookies.txt -> TrackingCookie.Reliablestats : Gesäubert. :mozilla.15:C:\Dokumente und Einstellungen\Stephan\Anwendungsdaten\Mozilla\Firefox\Profiles\qwtvbld2.default\cookies.txt -> TrackingCookie.Reliablestats : Gesäubert. :mozilla.16:C:\Dokumente und Einstellungen\Stephan\Anwendungsdaten\Mozilla\Firefox\Profiles\qwtvbld2.default\cookies.txt -> TrackingCookie.Reliablestats : Gesäubert. C:\Dokumente und Einstellungen\Stephan\Cookies\stephan@serving-sys[2].txt -> TrackingCookie.Serving-sys : Gesäubert. ::Berichtende Steev |
|
|
||
14.12.2006, 09:56
Moderator
Beiträge: 7805 |
#7
Du solltest noch einen neuen Ordner auf Laufwerk c: haben(Avenger) dort befindet sich ein Zip Archiv. Es waere nett, wenn du das an virus@protecus.de schicken koenntest.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
14.12.2006, 10:29
Ehrenmitglied
Beiträge: 29434 |
#8
Steev
1. O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) http://virus-protect.org/artikel/tools/smitfrautfix.html * Optional: Wenn du die Zones und Restricted Zones wiederherstellen willst, gib die 3 ein und drücke auf Enter. Du wirst gefragt: Restore Trusted Zone ? antworte Y (ja) und drücke auf Enter um die Trusted Zones zu löschen. 2. poste noch mal die 6 logs von datfindbat - bis Juli 2006 , vom Datum her __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.12.2006, 09:23
Member
Themenstarter Beiträge: 12 |
#9
Hallo Ralf,
ich hätte Dir das Zip-Archiv gerne geschickt, allerdings hab ich das nach dem Ausführen von Avenger nachhaltig gelöscht :-(. Sorry. Weiterhin gibt's schlechte Nachrichten. Der abgesicherte Modus läuft nicht mehr und das System stürzt während des Anmeldens ab (wie schon vorher im normalen Modus). Einmal konnte ich noch im normalen Betriebsmodus hochfahren, kam aber dann schnell zum Systemstillstand (keine Maus, keine Tastatur, keine Reaktion). In den meisten Fällen bootet das System jetzt gar nicht mehr, der Lüfter läuft auf vollen Touren und der Lautsprecher piept :-(. Ist ja jetzt eh Wochenende und ich hab Zeit das System mit der Recovery-CD wieder flott zu kriegen. Leider hab ich keine reinrassige Windows-XP CD, sondern eben nur die Recovery-CD, die mein System wieder auf den Auslieferungszustand zurückbringt. In Eurer Empfehlung "Den Rechner neu aufsetzen..." empfehlt Ihr natürlich erstmal zu formatieren. Ich hoffe das macht die Recovery-CD ähnlich sauber? Danke nochmals für Eure Hilfe, Steev Dieser Beitrag wurde am 15.12.2006 um 10:10 Uhr von Steev editiert.
|
|
|
||
15.12.2006, 12:21
Ehrenmitglied
Beiträge: 29434 |
#10
wende Recovery-CD an und poste das neue log vom HijackTHis
(allerdings kann auch ein hardware-Fehler vorliegen, es sieht danach aus... wenn also die Rec... nicht funktioniert, musst du den rechner in die Reparatur bringen) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.12.2006, 12:32
Moderator
Beiträge: 7805 |
#11
WindowsXP Cds sind zwar nicht ideal, aber dadurch ist auch keine Malware auf dem Rechner. Man sollte nur sehen, das man dann den unnoetigen "Kram" erst wieder deinstalliert und vor allem alle Updates und Servicepacks installiert.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
16.12.2006, 12:23
Member
Themenstarter Beiträge: 12 |
#12
Hallo,
hab die Recovery-CD angewendet (Startdateien und Treiber wiederherstellen) aber das System nicht komplett platt gemacht. Danach alle obigen Schritte nochmals genauso durchgeführt. Das System scheint jetzt stabiler zu laufen, nur Anwendungen melden noch das Fehlen der rundll32.exe. Hier noch das aktuelle Logfile von Hijackthis und die 6 Dateien von datfind: Hijackthis: Logfile of HijackThis v1.99.1 Scan saved at 12:18:29, on 16.12.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\brss01a.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\BrmfBAgS.exe C:\WINDOWS\system32\eTSrv.exe C:\Programme\ewido\security suite\ewidoctrl.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\fxssvc.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\ScanSoft\PaperPort\pptd40nt.exe C:\Programme\Brother\ControlCenter2\brctrcen.exe C:\Programme\iTunes\iTunesHelper.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymSCUI.exe C:\Programme\SEC\MagicTune 2.5\GammaTray.exe C:\Programme\SEC\Natural Color\NaturalColorLoad.exe C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe C:\Programme\iPod\bin\iPodService.exe D:\Eigene Dateien Stephan\Sonstiges\Tools\Hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {35F7813A-AF74-4474-B1DC-7EE6FB6C43C6} - C:\WINDOWS\system32\awuxbxbb.dll (file missing) O2 - BHO: WSOBHOObj Class - {4D0B671C-7F9A-4516-B4DB-D30F3A12EE26} - C:\Programme\Aladdin\eToken\WSO\eTWSOBHO.dll O2 - BHO: (no name) - {526B6364-8F0D-4F27-B257-C7C31FC0AC8F} - C:\WINDOWS\system32\mljjk.dll (file missing) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: (no name) - {8EAD9606-21BA-5219-CA68-78E5561D4093} - C:\WINDOWS\system32\acqeth.dll (file missing) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Programme\Norton AntiVirus\NavShExt.dll O2 - BHO: (no name) - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - (no file) O2 - BHO: (no name) - {f4d74aaa-a178-4463-846b-b4bc87a024e0} - C:\WINDOWS\system32\ixt0.dll (file missing) O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Web Sign On - {46832FF5-95B5-4654-88F4-7F5F37AD1FC2} - C:\Programme\Aladdin\eToken\WSO\eTWSO.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [ccApp] "c:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04g\BrStDvPt.exe O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [kcvbuswh] C:\araegovw.bat O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Color Calibration.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: NaturalColorLoad.lnk = ? O4 - Global Startup: T-COM WLAN Manager T-Sinus 154data.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Web Sign On - {1A69BF73-60DD-49b7-9251-F7A7D7070940} - C:\Programme\Aladdin\eToken\WSO\eTWSO.dll O14 - IERESET.INF: START_PAGE_URL=http://de8.hpwis.com O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130605000171 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1144265827890 O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Brother BidiAgent Service for Resource manager (brmfbags) - Brother Industries, Ltd. - C:\WINDOWS\system32\BrmfBAgS.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: eToken Notification Service (ETOKSRV) - Aladdin Knowledge Systems, Ltd. - C:\WINDOWS\system32\eTSrv.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing) O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - c:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - c:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe Down: Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 78EA-2C08 Verzeichnis von C:\WINDOWS\Downloaded Program Files 06.10.2005 18:19 168.448 IEAWSDC.DLL 06.10.2005 18:19 452 ieawsdc.inf 29.06.2005 16:17 227 opuc.inf 26.05.2005 03:19 293 muweb.inf 26.05.2005 03:19 291 wuweb.inf 17.11.2004 01:35 65 desktop.ini 16.09.2003 17:05 299.008 isusweb.dll 25.07.2002 16:13 24.576 dwusplay.dll 25.07.2002 16:13 196.608 dwusplay.exe 9 Datei(en) 689.968 Bytes 0 Verzeichnis(se), 8.075.321.344 Bytes frei System: Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 78EA-2C08 Verzeichnis von C:\WINDOWS 16.12.2006 11:18 0 0.log 16.12.2006 11:18 157 wiadebug.log 16.12.2006 11:18 50 wiaservc.log 16.12.2006 11:17 2.048 bootstat.dat 16.12.2006 11:16 20.462 WindowsUpdate.log 16.12.2006 11:14 2.520.268 ntbtlog.txt 15.12.2006 23:34 6.062 SchedLgU.Txt 15.12.2006 23:11 19.524 setupapi.log 15.12.2006 22:35 386 BrmfBidi.ini 12.12.2006 20:08 680 MKDEMSG.LOG 12.12.2006 20:08 3.072 MKDEWE.TRN 11.12.2006 22:05 60 setupact.log 11.12.2006 22:05 0 setuperr.log 11.12.2006 19:17 0 Sti_Trace.log 09.12.2006 19:55 48 wpd99.drv 28.11.2006 22:01 69 NeroDigital.ini 15.10.2006 21:36 4.012.815 pfirewall.log.old 14.10.2006 16:12 469 BRWMARK.INI 14.10.2006 11:27 2.904 mozver.dat 24.09.2006 19:23 143 mandant.ini 16.09.2006 14:52 0 batch.INI 16.09.2006 14:09 0 nsreg.dat System32: Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 78EA-2C08 Verzeichnis von C:\WINDOWS\system32 16.12.2006 11:22 381.828 perfh009.dat 16.12.2006 11:22 53.572 perfc009.dat 16.12.2006 11:22 64.650 perfc007.dat 16.12.2006 11:22 392.842 perfh007.dat 16.12.2006 11:22 902.476 PerfStringBackup.INI 12.12.2006 20:30 2.278 wpa.dbl 25.10.2006 19:15 65.536 QuickTimeVR.qtx 25.10.2006 19:15 49.152 QuickTime.qts 14.10.2006 12:08 7.006 jupdate-1.5.0_06-b05.log 19.09.2006 15:43 109.360 GEARAspi.dll 16.09.2006 14:58 5.618 jupdate-1.5.0_05-b05.log 15.09.2006 21:52 91.904 S32EVNT1.DLL 17.06.2006 19:17 65 BD7420.dat 15.06.2006 15:27 156.360 FNTCACHE.DAT 14.02.2006 08:20 550.120 LegitCheckControl.dll 13.02.2006 18:03 8.632 spmsg.dll 10.11.2005 12:03 127.078 javaws.exe 10.11.2005 12:03 49.265 jpicpl32.cpl 10.11.2005 10:27 49.250 javaw.exe 10.11.2005 10:27 49.248 java.exe 16.10.2005 16:43 34.308 BASSMOD.dll 01.10.2005 13:23 29.236 Acrobat Distiller 01.10.2005 11:15 952 KGyGaAvL.sys 31.08.2005 13:55 1.089.536 WsoDB4.exe 31.08.2005 13:54 86.016 WsoDBPs4.dll Sys: Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 78EA-2C08 Verzeichnis von C:\ 16.12.2006 12:19 0 sys.txt 16.12.2006 12:19 674 down.txt 16.12.2006 12:19 337 tmp.txt 16.12.2006 12:19 6.502 system.txt 16.12.2006 12:19 607 systemtemp.txt 16.12.2006 12:18 101.213 system32.txt 16.12.2006 11:17 805.306.368 pagefile.sys 15.12.2006 23:38 18.852 avenger.txt 13.12.2006 08:28 668 datFind.bat 16.09.2006 15:01 15 mandant.ini 15.03.2006 15:28 40 Auth.prof 01.06.2005 21:03 130 INSTALL.LOG 06.05.2005 15:03 2.208 myvbs.vbs 23.11.2004 19:14 210 boot.ini 17.11.2004 01:36 0 AUTOEXEC.BAT 17.11.2004 01:36 0 MSDOS.SYS 17.11.2004 01:36 0 CONFIG.SYS 17.11.2004 01:36 0 IO.SYS 04.08.2004 12:59 47.564 NTDETECT.COM 04.08.2004 12:59 251.184 ntldr 04.08.2004 12:59 4.952 bootfont.bin 21 Datei(en) 805.741.524 Bytes 0 Verzeichnis(se), 8.075.317.248 Bytes frei Tmp: Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 78EA-2C08 Verzeichnis von C:\WINDOWS\Temp 16.12.2006 11:19 16.384 Perflib_Perfdata_fd8.dat 15.12.2006 23:34 0 T30DebugLogFile.txt 2 Datei(en) 16.384 Bytes 0 Verzeichnis(se), 8.075.321.344 Bytes frei systemtemp: Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 78EA-2C08 Verzeichnis von C:\DOKUME~1\Stephan\LOKALE~1\Temp 16.12.2006 11:28 412 jusched.log 16.12.2006 00:04 533 pcf7.tmp 16.12.2006 00:02 533 pcf6.tmp 16.12.2006 00:00 533 pcf5.tmp 15.12.2006 23:59 533 pcf4.tmp 15.12.2006 23:41 533 pcf3.tmp 15.12.2006 23:40 533 pcf2.tmp 15.12.2006 23:39 533 pcf1.tmp 8 Datei(en) 4.143 Bytes 0 Verzeichnis(se), 8.075.333.632 Bytes frei Sollte das System so weiter stabil bleiben lass ich es erst mal. Nach erneuter gründlicher Sicherung aller Daten wird es wohl besser sein mal komplett neu zu installieren um dann ein sauberes Image zu ziehen. Steev Dieser Beitrag wurde am 16.12.2006 um 12:28 Uhr von Steev editiert.
|
|
|
||
16.12.2006, 12:40
Moderator
Beiträge: 7805 |
#13
Ja, Komplett plattmachen ist besser! Mache ein neues Combofix log! Nur um zu sehen, ob noch Rootkits gemeldet werden!
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
16.12.2006, 12:49
Member
Themenstarter Beiträge: 12 |
#14
Hallo,
hier das aktuelle Combofix log: "iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\"" "kcvbuswh"="C:\\araegovw.bat" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000004 [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE" [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" "{54D9498B-CF93-414F-8984-8CE7FDE0D391}"="ewido shell guard" "{C671A733-A4AA-4B5F-8CEE-006242C457B5}"="" "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 "ClearRecentDocsOnExit"=dword:00000001 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload] "PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}" "CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}" "WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" "SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}" "UPnPMonitor"="{e57ce738-33e8-4c51-8354-bb4de9d215d1}" [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" Contents of the 'Scheduled Tasks' folder C:\WINDOWS\tasks\AppleSoftwareUpdate.job C:\WINDOWS\tasks\Norton AntiVirus - Meinen Computer prfen - Stephan.job C:\WINDOWS\tasks\Symantec NetDetect.job Completion time: 06-12-16 12:56:37.56 C:\ComboFix.txt ... 06-12-16 12:56 Ich hab von der letzten Avenger Anwendung jetzt dieses zip-file noch. Willst Du es noch haben? Steev |
|
|
||
16.12.2006, 13:05
Moderator
Beiträge: 7805 |
#15
Immer her damit, mal schauen, was es ist!
Ist das combofix log komplett __________ MfG Ralf SEO-Spam Hunter |
|
|
||
mein System wurde mit VirusBusters infiziert, was ich versucht habe mit verschiedenen Tools, unter anderm auch Spybot, im abgesicherten Modus zu beheben. Nachdem Spybot beim Systemstart mithochlief, muß wohl irgendeine Systemdatei beschädigt worden sein, da seitdem Windows XP beim erreichen des Anmeldebildschirms abstürzt. Nur im abgesicherten Modus läßt sich XP noch betreiben. Smitfraudfix hab ich auch versucht, hat aber auch nichts mehr geändert.
So wie ich die Lage einschätze, werde ich das System wohl neu installieren müssen. Vorher wollte ich jedoch nochmal nachfragen, ob in diesem Forum jemand einen guten Tip hat um die Neuinstallation zu verhindern.
Vielen Dank schon im voraus,
Steev