Drive Cleaner ... was ist das?Thema ist geschlossen! |
||
|---|---|---|
Thema ist geschlossen! |
||
| #0
| ||
|
30.03.2007, 16:52
Ehrenmitglied
 Beiträge: 29434 |
||
 
|
|
|
|
30.03.2007, 19:15
Member
Beiträge: 22 |
#17
hm also ich hatte das Pop-Up gestern zweimal. Hab natürlich auf abbrechen geklickt, die folgende Weiterleitung wurd glaub von meinem System geblockt.
Seitdem ist dieses Pop-Up auch bisher nicht mehr aufgetaucht. Ewido hab ich durchgeführt. Hab gleich zweimal gescannt, weil ich die Infections entfernt hab ohne nen Report zu speichern, und dann gabs keinen Report mehr. Hier der Report nach dem zweiten Durchlauf. __________________________________________________ ewido anti-spyware online scanner http://www.ewido.net __________________________________________________ Name: Worm.AimVen Path: C:\System Volume Information\_restore{EDC29BC3-B156-46E3-800A-F81C1D182E96}\RP197\A0031319.ocm Risk: High Name: Adware.AdMoke Path: D:\System Volume Information\_restore{EDC29BC3-B156-46E3-800A-F81C1D182E96}\RP197\A0031320.exe Risk: Medium |
|
|
|
|
|
|
30.03.2007, 20:24
Ehrenmitglied
Beiträge: 29434 |
#18
Schraenky
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann gleich wieder aktivieren) dann sollte wieder alles i.o. sein  wenn es noch Probleme gibt - melde dich. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
03.04.2007, 17:36
Member
Beiträge: 31 |
#19
Hallo alle
ok das ist mir jetzt etwas unangenehm aber: Ich hab in diesem Thread die übersicht verloren welche programme ich wann und wie durchlaufen lassen muss usw ... Hab das gleiche problem. Also als erstes Port ich mal diesen Hijacktext: Logfile of HijackThis v1.99.1 Scan saved at 17:14:03, on 03.04.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe C:\Kerio Firewall\Personal Firewall 4\kpf4ss.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\mgabg.exe C:\WINDOWS\vsnpstd.exe C:\WINDOWS\RTHDCPL.EXE C:\ICQLite\ICQLite.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\AVANTB~1\avant.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\system32\svchost.exe C:\Kerio Firewall\Personal Firewall 4\kpf4gui.exe C:\Programme\ATI Technologies\ATI.ACE\CLI.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Avant Browser\avant.exe C:\Kerio Firewall\Personal Firewall 4\kpf4gui.exe C:\Dokumente und Einstellungen\Van Helsing\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com/fsc/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O2 - BHO: Helper Class - {890C7964-9320-4055-BE11-7D7B562A6417} - C:\WINDOWS\system32\mstrans1.dll O4 - HKLM\..\Run: [Winexes] C:\WINDOWS\system32\server.exe O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe O4 - HKLM\..\Run: [svchost] C:\svchost.exe O4 - HKLM\..\Run: [startkey] C:\WINDOWS\system32\server.exe O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ICQ Lite] "C:\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [SoundService] rundll32.exe "C:\WINDOWS\system32\__c003390E.dat",setvm O4 - HKCU\..\Run: [Winexes] C:\WINDOWS\system32\server.exe O4 - HKCU\..\Run: [A00F4E2CB2.exe] C:\DOKUME~1\VANHEL~1\LOKALE~1\Temp\_A00F4E2CB2.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe O4 - Global Startup: Microsoft Office.lnk = C:\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Download by NetAnts - C:\NetAnts\NAGet.htm O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Avant Browser\AddAllToADBlackList.htm O8 - Extra context menu item: Alle Links auf dieser Seite öffnen... - C:\Avant Browser\OpenAllLinks.htm O8 - Extra context menu item: Download &All by NetAnts - C:\NetAnts\NAGetAll.htm O8 - Extra context menu item: Hervorheben - C:\Avant Browser\Highlight.htm O8 - Extra context menu item: In neuer AvantBrowser-Instanz öffnen - C:\Avant Browser\OpenInNewBrowser.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Suchen - C:\Avant Browser\Search.htm O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Avant Browser\AddToADBlackList.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O9 - Extra button: NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\NetAnts\NetAnts.exe O9 - Extra 'Tools' menuitem: &NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\NetAnts\NetAnts.exe O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\ICQLite\ICQLite.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\xp-AntiSpy2\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\xp-AntiSpy2\sponsoring\sponsor.html (HKCU) O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game12.zylom.com/activex/zylomgamesplayer.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: __c0020F7A - C:\WINDOWS\system32\__c0020F7A.dat (file missing) O20 - Winlogon Notify: __c002AD84 - C:\WINDOWS\system32\__c002AD84.dat (file missing) O20 - Winlogon Notify: __c0030E1C - C:\WINDOWS\system32\__c0030E1C.dat (file missing) O20 - Winlogon Notify: __c0034D84 - C:\WINDOWS\system32\__c0034D84.dat (file missing) O20 - Winlogon Notify: __c0046299 - C:\WINDOWS\system32\__c0046299.dat (file missing) O20 - Winlogon Notify: __c0083C6A - C:\WINDOWS\system32\__c0083C6A.dat (file missing) O20 - Winlogon Notify: __c0089C08 - C:\WINDOWS\system32\__c0089C08.dat (file missing) O20 - Winlogon Notify: __c00A6329 - C:\WINDOWS\system32\__c00A6329.dat O20 - Winlogon Notify: __c00AAA5A - C:\WINDOWS\system32\__c00AAA5A.dat (file missing) O20 - Winlogon Notify: __c00C65F8 - C:\WINDOWS\system32\__c00C65F8.dat (file missing) O20 - Winlogon Notify: __c00C8A2E - C:\WINDOWS\system32\__c00C8A2E.dat (file missing) O20 - Winlogon Notify: __c00F3572 - C:\WINDOWS\system32\__c00F3572.dat (file missing) O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Kerio Firewall\Personal Firewall 4\kpf4ss.exe O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\system32\mgabg.exe So das war Hijack! Ich würde mich sehr freuen und dankbar sein wenn man mich jetzt weiter leiten würde was ich zu tun hab  Ich bedanke mich schonmal herzlich: danke! |
|
|
|
|
|
|
03.04.2007, 18:16
Ehrenmitglied
Beiträge: 29434 |
#20
Marci321
« Folgen den Anweisungen unter http://virus-protect.org/cleanup.html und stelle den CleanUp genauso ein, wie dort angegeben, dann den Rechner neustarten (so werden die temporaeren Dateien geloescht) « Combofix - Textdatei im Thead posten http://virus-protect.org/artikel/tools/combofix.html « Logfiles mittels datfind.bat erstellen und posten (abkopieren) Exakte Anleitung unter: http://virus-protect.org/datfindbat.html Kopiere diese 6 erstellten Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere je Logfile nur die letzten 3 Monate ab !) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
03.04.2007, 21:30
Member
Beiträge: 31 |
#21
Gut das werde ich dann gleich mal tun und die entsprechenden logs posten, danke (bin gerade nicht am infiziertem PC)
Aber eine Frage hätte ich noch vorweg: In dem Log den ich gepostet habe, haben Sie Zeilen rot eingefärbt. Soll ich diese Zeilen mit Hijack löschen oder ist das nicht von bedeutung? |
|
|
|
|
|
|
03.04.2007, 21:41
Ehrenmitglied
Beiträge: 29434 |
#22
was rot gekennzeichnet ist - ist fuer mich gedacht
- ich komme dann, wenn ich alle logs habe, darauf zurueck __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
03.04.2007, 22:57
Member
Beiträge: 31 |
#23
CleanUp! ist durchgelaufen!
Combofix: "Van Helsing" - 07-04-03 22:35:56 Service Pack 2 ComboFix 07-04-04 - Running from: "C:\Dokumente und Einstellungen\Van Helsing\Desktop" (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\system32\server.exe ((((((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) -------\nm ((((((((((((((((((((((((((((((( Files Created from 2007-03-03 to 2007-04-03 )))))))))))))))))))))))))))))))))) 2007-04-03 22:15 <DIR> d-------- C:\CleanUp! 2007-04-03 17:30 119,822 --a------ C:\WINDOWS\system32\__c00F64D9.dat 2007-04-03 17:05 <DIR> d-------- C:\avenger 2007-04-03 16:47 10,766 --a------ C:\WINDOWS\system32\__c00A6329.dat 2007-04-02 20:07 <DIR> d-------- C:\Temp 2007-04-02 18:13 <DIR> d-------- C:\AudioCon 2007-04-02 17:49 59,904 --a------ C:\WINDOWS\system32\Mscc2fr.dll 2007-04-02 17:49 32,768 --a------ C:\WINDOWS\system32\CMDLGFR.DLL 2007-04-02 17:49 21,504 --a------ C:\WINDOWS\system32\TABCTFR.DLL 2007-04-02 17:49 15,360 --a------ C:\WINDOWS\system32\inetfr.DLL 2007-04-02 17:49 141,312 --a------ C:\WINDOWS\system32\MSCMCFR.DLL 2007-04-02 17:49 119,568 --a------ C:\WINDOWS\system32\VB6FR.DLL 2007-04-02 17:49 101,888 --a------ C:\WINDOWS\system32\VB6STKIT.DLL 2007-03-30 18:53 45,568 --a------ C:\WINDOWS\system32\mstrans1.dll 2007-03-30 18:38 45,568 --a------ C:\WINDOWS\system32\mstrans.dll 2007-03-30 15:02 <DIR> d--h----- C:\WINDOWS\PIF 2007-03-29 15:00 <DIR> d-------- C:\The Sims Creator 2007-03-29 14:59 <DIR> d-------- C:\Die Sims 2007-03-28 14:32 <DIR> d-------- C:\ClonyXXL 2007-03-23 10:50 <DIR> d-------- C:\Far cry 2007-03-22 23:19 10 --a------ C:\WINDOWS\smdat32m.sys 2007-03-22 23:19 0 --a------ C:\WINDOWS\smdat32a.sys 2007-03-22 22:16 400 --a------ C:\xcrashdump.dat 2007-03-21 17:50 15,374 --a------ C:\windlgs.exe 2007-03-14 17:48 <DIR> d-------- C:\CDex_170b2 2007-03-10 01:27 <DIR> d-------- C:\Cossacks II 2007-03-10 01:22 21,504 --a------ C:\WINDOWS\jestertb.dll (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-04-03 22:28 51733 --a------ C:\WINDOWS\system32\plugin1.dat 2007-04-03 17:30 119822 --a------ C:\WINDOWS\system32\__c00f64d9.dat 2007-04-03 16:47 10766 --a------ C:\WINDOWS\system32\__c00a6329.dat 2007-04-03 00:48 -------- d-------- C:\DOKUME~1\VANHEL~1\ANWEND~1\skype 2007-03-30 19:43 2161 --a------ C:\WINDOWS\ereg.dat 2007-03-25 11:57 71650 --a------ C:\WINDOWS\system32\perfc007.dat 2007-03-25 11:57 406960 --a------ C:\WINDOWS\system32\perfh007.dat 2007-03-09 23:53 -------- d-------- C:\DOKUME~1\VANHEL~1\ANWEND~1\teamspeak2 (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "Winexes"="C:\\WINDOWS\\system32\\server.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "Winexes"="C:\\WINDOWS\\system32\\server.exe" "Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" "svchost"="C:\\svchost.exe" "startkey"="C:\\WINDOWS\\system32\\server.exe" "snpstd"="C:\\WINDOWS\\vsnpstd.exe" "RTHDCPL"="RTHDCPL.EXE" "ICQ Lite"="\"C:\\ICQLite\\ICQLite.exe\" -minimize" "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "ATICCC"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime" "Alcmtr"="ALCMTR.EXE" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "NoChange"="1" "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] "path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk" "backup"="C:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup" "location"="Common Startup" "command"="C:\\PROGRA~1\\Adobe\\ACROBA~1.0\\Reader\\READER~1.EXE " "item"="Adobe Reader - Schnellstart" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Matrox Powerdesk] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="PDesk" "hkey"="HKLM" "command"="C:\\WINDOWS\\system32\\PDesk.exe /Autolaunch" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="msnmsgr" "hkey"="HKCU" "command"="\"C:\\Programme\\MSN Messenger\\msnmsgr.exe\" /background" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="NeroCheck" "hkey"="HKLM" "command"="C:\\WINDOWS\\system32\\NeroCheck.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="PCMService" "hkey"="HKLM" "command"="\"C:\\Program Files\\CyberLink\\PowerCinema\\PCMService.exe\"" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="Steam" "hkey"="HKCU" "command"="\"C:\\Steam\\Steam.exe\" -silent" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="jusched" "hkey"="HKLM" "command"="C:\\Programme\\Java\\jre1.5.0_07\\bin\\jusched.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\{1290A33C-85F5-4164-A1BE-7DD299D4986A}] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="PBKScheduler" "hkey"="HKLM" "command"="\"C:\\Program Files\\CyberLink\\PowerBackup\\PBKScheduler.exe\"" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "RichVideo"=dword:00000002 "LexBceS"=dword:00000002 "HTTPFilter"=dword:00000003 "Browser"=dword:00000002 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "ClearRecentDocsOnExit"=dword:00000001 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run] HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c0020F7A HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c002AD84 HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c0030E1C HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c0034D84 HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c0046299 HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c0083C6A HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c0089C08 HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c00A6329 HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c00AAA5A HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c00C65F8 HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c00C8A2E HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c00F3572 [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa Authentication Packages REG_MULTI_SZ msv1_0\0\0 Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0 Notification Packages REG_MULTI_SZ scecli\0\0 [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost] HTTPFilter REG_MULTI_SZ HTTPFilter\0\0 LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0 NetworkService REG_MULTI_SZ DnsCache\0\0 DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0 rpcss REG_MULTI_SZ RpcSs\0\0 imgsvc REG_MULTI_SZ StiSvc\0\0 termsvcs REG_MULTI_SZ TermService\0\0 [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{85216fab-739f-11da-b175-806d6172696f}] Shell\AutoRun\command D:\AUTORUN.EXE [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b95fe5dc-03e1-11db-bac2-00148562cc18}] Shell\AutoRun\command K:\autorun.exe ******************************************************************** catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006 http://www.gmer.net scanning hidden processes ... scanning hidden services ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 ******************************************************************** Completion time: 07-04-03 22:39:19 C:\ComboFix-quarantined-files.txt ... 07-04-03 22:39 Datfind.bat: System32.txt:------------------------------------ Datentr„ger in Laufwerk C: ist Bananemuh Volumeseriennummer: 6C5D-7F9C Verzeichnis von C:\WINDOWS\system32 03.04.2007 22:29 4.239.494 SysPr.prx 03.04.2007 22:28 303.949 9D46F00c__.ini 03.04.2007 22:28 51.733 plugin1.dat 03.04.2007 17:30 119.822 __c00F64D9.dat 03.04.2007 17:06 294.820 E093300c__.ini 03.04.2007 16:47 10.766 __c00A6329.dat 30.03.2007 18:53 45.568 mstrans1.dll 30.03.2007 18:53 563 helper.xml 30.03.2007 18:38 45.568 mstrans.dll 28.03.2007 21:46 280.223 D47B500c__.ini 27.03.2007 22:43 1.158 wpa.dbl 25.03.2007 11:57 59.404 perfc009.dat 25.03.2007 11:57 393.774 perfh009.dat 25.03.2007 11:57 71.650 perfc007.dat 25.03.2007 11:57 406.960 perfh007.dat 25.03.2007 11:57 942.746 PerfStringBackup.INI Systemtemp.txt:------------------------------------ Datentr„ger in Laufwerk C: ist Bananemuh Volumeseriennummer: 6C5D-7F9C Verzeichnis von C:\DOKUME~1\VANHEL~1\LOKALE~1\Temp 03.04.2007 22:44 15 wnd.tmp 1 Datei(en) 15 Bytes 0 Verzeichnis(se), 59.714.916.352 Bytes frei Windows.txt:----------------------------------------- Datentr„ger in Laufwerk C: ist Bananemuh Volumeseriennummer: 6C5D-7F9C Verzeichnis von C:\WINDOWS 03.04.2007 22:43 122.225 WindowsUpdate.log 03.04.2007 22:43 0 0.log 03.04.2007 22:42 116 NeroDigital.ini 03.04.2007 22:41 50 wiaservc.log 03.04.2007 22:41 159 wiadebug.log 03.04.2007 22:41 2.048 bootstat.dat 03.04.2007 16:54 241.445 setupact.log 03.04.2007 15:05 95 winamp.ini 02.04.2007 20:02 1.179.974 ntbtlog.txt 02.04.2007 17:49 54.552 wmsetup.log 02.04.2007 16:34 277 system.ini 02.04.2007 16:34 582 win.ini 01.04.2007 22:43 1.386.005 setupapi.log 31.03.2007 15:43 180 Clony2.ini 31.03.2007 15:43 61 ClonyCDs.ini 30.03.2007 19:43 2.161 eReg.dat 22.03.2007 23:22 10 smdat32m.sys 22.03.2007 23:19 0 smdat32a.sys 10.03.2007 01:22 21.504 jestertb.dll 18.02.2007 04:32 876 $_hpcst$.hpc 17.02.2007 23:30 262 game.ini 17.02.2007 15:49 893 scummvm.ini 17.02.2007 14:44 295 nsw.log 18.01.2007 14:17 120.734 Directx.log Temp.txt:--------------------------------------- Datentr„ger in Laufwerk C: ist Bananemuh Volumeseriennummer: 6C5D-7F9C Verzeichnis von C:\WINDOWS\Temp 03.04.2007 22:41 0 sqlite_7mRObXYfVp3uX4S 03.04.2007 22:41 0 CLML_AGENT_LOG1.txt 2 Datei(en) 0 Bytes 0 Verzeichnis(se), 59.714.887.680 Bytes frei down.txt ------------------------------------------ Kein Eintrag innerhalb der letzten 3 Monate C.txt:--------------------------------------------- Datentr„ger in Laufwerk C: ist Bananemuh Volumeseriennummer: 6C5D-7F9C Verzeichnis von C:\ 03.04.2007 22:45 0 sys.txt 03.04.2007 22:45 453 down.txt 03.04.2007 22:45 340 tmp.txt 03.04.2007 22:45 10.014 system.txt 03.04.2007 22:45 287 systemtemp.txt 03.04.2007 22:44 97.980 system32.txt 03.04.2007 22:41 1.073.270.784 hiberfil.sys 03.04.2007 22:41 1.610.612.736 pagefile.sys 03.04.2007 22:39 9.788 ComboFix.txt 03.04.2007 22:39 545 ComboFix-quarantined-files.txt 03.04.2007 17:05 18.800 avenger.txt 02.04.2007 17:03 400 xcrashdump.dat 02.04.2007 16:34 211 boot.ini 21.03.2007 17:50 15.374 windlgs.exe 01.02.2006 17:33 27 expand.txt Hoffe das ist jetzt alles was man braucht und nicht zuviel/zuwenig
|
|
|
|
|
|
|
03.04.2007, 23:03
...neu hier
Beiträge: 7 |
#24
Hallo Sabina,
Danke für deine tolle Hilfe! Ich habe nun schon mal die ersten Schritte durchgeführt, hier sind die Protokolle. Combofix - Textdatei: "" - 07-04-03 21:30:05 Service Pack 2 ComboFix 07-04-04 - Running from: "C:\Dokumente und Einstellungen\\Desktop" ((((((((((((((((((((((((((((((( Files Created from 2007-03-03 to 2007-04-03 )))))))))))))))))))))))))))))))))) 2007-04-03 21:25 <DIR> d-------- C:\DOKUME~1\LOCALS~1\ANWEND~1\Help 2007-04-01 19:01 787,989 ---hs---- C:\WINDOWS\system32\pqtwa.ini2 2007-03-28 20:16 818,420 ---hs---- C:\WINDOWS\system32\pqtwa.bak2 2007-03-28 00:33 26,730 --a------ C:\WINDOWS\system32\fccbcaw.dll 2007-03-27 18:20 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe 2007-03-27 17:50 26,730 --a------ C:\WINDOWS\system32\ddcyabc.dll 2007-03-27 13:50 907,120 ---hs---- C:\WINDOWS\system32\pqtwa.bak1 2007-03-27 13:50 48,708 --a------ C:\WINDOWS\system32\wreltdmc.dll 2007-03-27 13:49 280,676 ---hs---- C:\WINDOWS\system32\pmnnk.dll 2007-03-27 13:49 280,676 ---hs---- C:\WINDOWS\system32\awtqp.dll 2007-03-27 13:48 280,676 ---hs---- C:\WINDOWS\system32\mljjk.dll 2007-03-27 13:36 26,697 --a------ C:\WINDOWS\system32\tuvspnm.dll 2007-03-27 13:36 26,697 --a------ C:\WINDOWS\system32\qomlmnl.dll 2007-03-27 13:35 26,697 --a------ C:\WINDOWS\system32\pmnljgg.dll 2007-03-27 13:35 26,697 --a------ C:\WINDOWS\system32\byxvvtu.dll 2007-03-27 13:33 26,697 --a------ C:\WINDOWS\system32\cbxywur.dll (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-04-03 21:32 48708 --a------ C:\WINDOWS\system32\ulhacofn.dll 2007-04-03 21:22 -------- d-------- C:\DOKUME~1\ANDREA~1\ANWEND~1\skype 2007-03-31 11:48 -------- d-------- C:\Programme\Gemeinsame Dateien\symantec shared 2007-03-26 03:29 64994 --a------ C:\WINDOWS\system32\perfc007.dat 2007-03-26 03:29 395074 --a------ C:\WINDOWS\system32\perfh007.dat 2007-03-07 19:33 -------- d-------- C:\Programme\icqlite 2007-02-28 11:13 -------- d-------- C:\Programme\msn messenger 2007-02-25 20:21 -------- d-------- C:\Programme\google 2007-02-25 16:09 -------- d-------- C:\DOKUME~1\ANDREA~1\ANWEND~1\vlc 2007-02-25 16:05 -------- d-------- C:\Programme\videolan 2007-02-25 14:30 -------- d-------- C:\Programme\divx 2007-02-25 13:29 -------- d-------- C:\DOKUME~1\ANDREA~1\ANWEND~1\divx 2007-02-22 01:13 -------- d--h----- C:\Programme\installshield installation information 2007-02-09 20:57 -------- d-------- C:\Programme\itunes 2007-02-09 20:57 -------- d-------- C:\Programme\ipod 2007-02-09 20:56 -------- d-------- C:\Programme\quicktime 2007-01-19 13:53 51056 --a------ C:\WINDOWS\system32\sirenacm.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe" "T-Online_Software_5\\WLAN-Access Finder"="C:\\Programme\\T-Online\\WLAN-Access Finder\\ToWLaAcF.exe /StartMinimized" "freenetMail Sync"="\"C:\\Programme\\freenetMail Desktop Sync\\freenetMail_Desktop_Sync.exe\" -S" "VoipCheap"="\"C:\\programme\\voipcheap\\voipcheap.exe\" -nosplash -minimized" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "igfxtray"="C:\\WINDOWS\\system32\\igfxtray.exe" "igfxhkcmd"="C:\\WINDOWS\\system32\\hkcmd.exe" "igfxpers"="C:\\WINDOWS\\system32\\igfxpers.exe" "High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" "SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_09\\bin\\jusched.exe\"" "HP Software Update"="C:\\Programme\\Hp\\HP Software Update\\HPWuSchd2.exe" "SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe" "hpWirelessAssistant"="C:\\Programme\\hpq\\HP Wireless Assistant\\HP Wireless Assistant.exe" "QPService"="\"C:\\Programme\\HP\\QuickPlay\\QPService.exe\"" "eabconfg.cpl"="C:\\Programme\\HPQ\\Quick Launch Buttons\\EabServr.exe /Start" "Cpqset"="C:\\Programme\\HPQ\\Default Settings\\cpqset.exe" "RecGuard"="C:\\Windows\\SMINST\\RecGuard.exe" "NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe" "PinnacleDriverCheck"="C:\\WINDOWS\\system32\\PSDrvCheck.exe" "REGSHAVE"="C:\\Programme\\REGSHAVE\\REGSHAVE.EXE /AUTORUN" "ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize" "ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\"" "CAP3ON"="C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\CAP3ONN.EXE" "Device Detection"="C:\\Programme\\Schlecker Fotoservice\\dd.exe" "QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime" "iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\"" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices] "DJSNetCN"="C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\DJSNETCN.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{182B90A3-F372-438A-800C-6814B4DE417B}"="" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload] "WPDShServiceObj"="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}" HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtqp HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddcyabc HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fccbcaw [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa Authentication Packages REG_MULTI_SZ msv1_0\0\0 Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0 Notification Packages REG_MULTI_SZ scecli\0\0 [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost] HTTPFilter REG_MULTI_SZ HTTPFilter\0\0 LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0 NetworkService REG_MULTI_SZ DnsCache\0\0 DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0 rpcss REG_MULTI_SZ RpcSs\0\0 imgsvc REG_MULTI_SZ StiSvc\0\0 termsvcs REG_MULTI_SZ TermService\0\0 WudfServiceGroup REG_MULTI_SZ WUDFSvc\0\0 Contents of the 'Scheduled Tasks' folder C:\WINDOWS\tasks\AppleSoftwareUpdate.job C:\WINDOWS\tasks\Norton AntiVirus - Vollst„ndige Systemprfung ausfhren - .job ******************************************************************** catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006 http://www.gmer.net scanning hidden processes ... scanning hidden services ... scanning hidden autostart entries ... HKLM\Software\Microsoft\Windows\CurrentVersion\Run Cpqset = C:\Programme\HPQ\Default Settings\cpqset.exe???????????????????|?????? ???B?????????????hLC???????? scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 ******************************************************************** Completion time: 07-04-03 21:33:02 C:\ComboFix-quarantined-files.txt ... 07-04-03 21:33 _________________________________________________________________ Ich glaube aber, dass datfind bei mir vom falschen Laufwerk zieht (D), die logs sind ja auch alle identisch?! Danke schon mal! |
|
|
|
|
|
|
04.04.2007, 12:42
Ehrenmitglied
Beiträge: 29434 |
#25
Marci321
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked Zitat O2 - BHO: Helper Class - {890C7964-9320-4055-BE11-7D7B562A6417} - C:\WINDOWS\system32\mstrans1.dll-------------------------------------------------------------------------------------------------- Avenger http://virus-protect.org/artikel/tools/avenger.html Input script manually (anhaken) kopiere in: View/edit script Zitat Registry values to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ------------------------------------ «« http://virus-protect.org/artikel/tools/sdfix.html SDFix.zip entpacken es erscheint folgende Meldung: "The SDFix Folder has been extracted to %systemdrive% - Please run from that location. (%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )" unter C:\ findet man nun den SDFix-Ordner boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet) gehe in den Ordner C:\SDFix RunThis.bat doppelt klicken schreibe: Y folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
04.04.2007, 12:45
Ehrenmitglied
Beiträge: 29434 |
#26
andi_81
du musst datfindbat auf C:\ entpacken + anwenden http://virus-protect.org/datfindbat.html + poste auch das log vom hijacktHis http://virus-protect.org/hjtkurz.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
04.04.2007, 18:29
...neu hier
Beiträge: 7 |
#27
Ok, danke!
04.04.2007 17:18 759.580 pqtwa.ini2 04.04.2007 17:08 789.306 pqtwa.bak2 04.04.2007 17:07 1.158 wpa.dbl 04.04.2007 10:31 281.336 FNTCACHE.DAT 03.04.2007 21:32 48.708 ulhacofn.dll 30.03.2007 01:29 1.700.386 agqkyqda.ini 28.03.2007 01:27 943.483 pqtwa.ini 28.03.2007 00:34 937.507 pqtwa.tmp 28.03.2007 00:33 26.730 fccbcaw.dll 27.03.2007 17:50 26.730 ddcyabc.dll 27.03.2007 13:50 48.708 wreltdmc.dll 27.03.2007 13:50 907.120 pqtwa.bak1 27.03.2007 13:49 280.676 awtqp.dll 27.03.2007 13:49 353 knnmp.ini 27.03.2007 13:49 280.676 pmnnk.dll 27.03.2007 13:48 353 kjjlm.ini 27.03.2007 13:48 280.676 mljjk.dll 26.03.2007 03:29 383.588 perfh009.dat 26.03.2007 03:29 53.942 perfc009.dat 26.03.2007 03:29 64.994 perfc007.dat 26.03.2007 03:29 395.074 perfh007.dat 26.03.2007 03:29 906.376 PerfStringBackup.INI 08.03.2007 16:36 579.072 user32.dll 08.03.2007 16:36 281.600 gdi32.dll 08.03.2007 16:36 40.960 mf3216.dll 08.03.2007 16:32 1.843.712 win32k.sys 07.03.2007 21:36 12.619.736 MRT.exe 18.02.2007 01:21 122.142 TZLog.log 15.02.2007 19:01 337.280 WgaTray.exe 15.02.2007 19:01 1.476.992 LegitCheckControl.dll 15.02.2007 19:00 236.928 WgaLogon.dll 30.01.2007 06:03 183.032 PxMas.dll 30.01.2007 06:03 379.640 PxWave.dll 30.01.2007 06:03 502.520 pxdrv.dll 30.01.2007 06:03 1.329.912 PxSFS.DLL 30.01.2007 06:03 527.096 Px.dll 30.01.2007 06:03 39.672 VXBLOCK.dll 29.01.2007 09:58 60.416 tzchange.exe 25.01.2007 13:52 617.472 urlmon.dll 23.01.2007 20:30 546.304 hhctrl.ocx 22.01.2007 14:39 23.392 nscompat.tlb 22.01.2007 14:39 16.832 amcompat.tlb 19.01.2007 13:53 51.056 sirenacm.dll 04.01.2007 14:41 664.576 wininet.dll 04.01.2007 14:41 474.624 shlwapi.dll 04.01.2007 14:41 1.494.528 shdocvw.dll 04.01.2007 14:41 532.480 mstime.dll 04.01.2007 14:41 39.424 pngfilt.dll 04.01.2007 14:40 146.432 msrating.dll 04.01.2007 14:40 448.512 mshtmled.dll 04.01.2007 14:40 3.077.632 mshtml.dll 04.01.2007 14:40 96.768 inseng.dll 04.01.2007 14:40 16.384 jsproxy.dll 04.01.2007 14:40 251.392 iepeers.dll 04.01.2007 14:40 1.056.256 danim.dll 04.01.2007 14:40 55.808 extmgr.dll 04.01.2007 14:40 205.312 dxtrans.dll 04.01.2007 14:40 357.888 dxtmsft.dll 04.01.2007 14:40 152.064 cdfview.dll 04.01.2007 14:40 1.023.488 browseui.dll 04.01.2007 12:52 123.392 xpsp3res.dll -------------------------------------------- 04.04.2007 17:16 512 ~DF1044.tmp 04.04.2007 17:16 512 ~DFBFDD.tmp 04.04.2007 17:13 512 ~DFADAA.tmp 04.04.2007 17:13 131.072 ~DFAB2B.tmp 04.04.2007 17:13 512 ~DF49E9.tmp 04.04.2007 17:13 131.072 ~DF47E6.tmp 04.04.2007 17:12 2.924 jusched.log 04.04.2007 17:09 0 Perflib_Perfdata_e88.dat 04.04.2007 17:09 16.384 ~DF7886.tmp 04.04.2007 17:08 98.304 ~DF20C2.tmp 04.04.2007 17:08 16.384 ~DFB3FD.tmp 04.04.2007 17:08 512 ~DF1258.tmp 04.04.2007 17:08 16.384 ~DF1168.tmp 04.04.2007 17:08 0 JET2919.tmp 04.04.2007 15:03 53.982 CC242.tmp 04.04.2007 14:24 23.427 TFR22D.tmp 04.04.2007 14:24 67.994 TFR229.tmp 04.04.2007 14:24 21.122 TFR228.tmp 04.04.2007 14:24 27.777 TFR227.tmp 04.04.2007 14:24 67.560 TFR225.tmp 04.04.2007 14:24 59.218 TFR223.tmp 04.04.2007 14:24 46.660 TFR221.tmp 04.04.2007 14:24 46.021 TFR220.tmp 04.04.2007 12:55 16.384 ~DF5F7D.tmp 04.04.2007 11:58 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}18093.html 04.04.2007 11:48 16.384 ~DF84C5.tmp 04.04.2007 10:33 16.384 ~DF47A.tmp 04.04.2007 10:33 16.384 ~DFAD7A.tmp 04.04.2007 10:32 98.304 ~DF4EA7.tmp 04.04.2007 10:29 147.456 ~WRF0001.tmp 04.04.2007 09:22 416 java_install_reg.log 04.04.2007 08:24 16.384 ~DFF6A6.tmp 04.04.2007 08:24 98.304 ~DF7F3B.tmp 03.04.2007 23:00 98.304 ~DF5E9A.tmp 03.04.2007 22:52 147.456 ~WRF0000.tmp 03.04.2007 21:25 98.304 ~DF2179.tmp 36 Datei(en) 1.600.287 Bytes 0 Verzeichnis(se), 63.794.966.528 Bytes frei ------------------------------------------------------- 04.04.2007 17:07 0 0.log 04.04.2007 17:06 157 wiadebug.log 04.04.2007 17:06 2.021.061 WindowsUpdate.log 04.04.2007 17:06 50 wiaservc.log 04.04.2007 17:06 2.048 bootstat.dat 04.04.2007 15:04 32.622 SchedLgU.Txt 04.04.2007 12:31 54.156 QTFont.qfn 04.04.2007 12:31 1.409 QTFont.for 04.04.2007 09:08 943.064 setupapi.log 04.04.2007 08:27 115.487 iis6.log 04.04.2007 08:27 254.217 comsetup.log 04.04.2007 08:27 153.306 ntdtcsetup.log 04.04.2007 08:27 286.041 tsoc.log 04.04.2007 08:27 1.355 imsins.log 04.04.2007 08:27 15.198 KB925902.log 04.04.2007 08:27 41.050 ocmsn.log 04.04.2007 08:27 365.846 ocgen.log 04.04.2007 08:27 36.974 msgsocm.log 04.04.2007 08:27 727.433 FaxSetup.log 04.04.2007 08:27 42.957 updspapi.log 01.04.2007 06:45 97.111 wmsetup.log 29.03.2007 08:17 116 NeroDigital.ini 23.03.2007 15:08 3.216 tm.ini 23.03.2007 15:06 124 tdf.dii 17.03.2007 04:02 1.374 imsins.BAK 17.03.2007 04:02 10.014 KB929399.log 17.03.2007 04:01 22.121 KB929338.log 02.03.2007 13:12 39.512 spupdsvc.log 02.03.2007 10:04 19.849 WgaNotify.log 28.02.2007 11:14 6.078 DPINST.LOG 18.02.2007 01:22 22.615 KB927779.log 18.02.2007 01:22 19.629 KB927802.log 18.02.2007 01:22 19.382 KB928255.log 18.02.2007 01:22 11.242 KB923723.log 18.02.2007 01:22 15.817 KB924667.log 18.02.2007 01:22 28.261 KB931836.log 18.02.2007 01:21 18.079 KB926436.log 18.02.2007 01:21 17.787 KB918118.log 18.02.2007 01:21 20.698 KB928090.log 18.02.2007 01:21 10.646 KB928843.log 09.02.2007 20:57 357 GEARInstall.log 22.01.2007 14:42 893 wmsetup10.log 22.01.2007 14:40 6.584 KB926239.log 22.01.2007 14:39 5.009 MSCompPackV1.log 22.01.2007 14:39 20.834 wmp11.log 22.01.2007 14:39 877 win.ini 22.01.2007 14:38 26.759 WMFDist11.log 22.01.2007 14:38 316.640 WMSysPr9.prx 22.01.2007 14:38 11.990 Wudf01000Inst.log 17.01.2007 10:53 26.693 KB929969.log 17.12.2006 10:29 19.564 KB925454.log 17.12.2006 10:28 12.020 KB925398.log 17.12.2006 10:28 13.245 KB923689.log 17.12.2006 10:27 12.110 KB926255.log 17.12.2006 10:26 15.341 KB923694.log 07.12.2006 04:46 1.175 ie7_main.log ------------------------------------------------- Verzeichnis von C:\WINDOWS\temp 04.04.2007 17:07 409 WGANotify.settings 04.04.2007 17:07 255 WGAErrLog.txt 2 Datei(en) 664 Bytes 0 Verzeichnis(se), 63.794.962.432 Bytes frei ------------------------------------------------------- Verzeichnis von C:\WINDOWS\Downloaded Program Files 04.12.2006 16:16 144 QTPlugin.inf 11.07.2006 09:41 345.656 ewidoOnlineScan.dll 07.08.2004 06:12 65 desktop.ini ------------------------------------------------------ Verzeichnis von C:\ 04.04.2007 17:23 0 sys.txt 04.04.2007 17:22 552 down.txt 04.04.2007 17:22 334 tmp.txt 04.04.2007 17:21 11.268 system.txt 04.04.2007 17:20 2.072 systemtemp.txt 04.04.2007 17:18 98.197 system32.txt 04.04.2007 17:18 668 datFind.bat 04.04.2007 17:07 2.124 hpqp.ini 04.04.2007 17:07 40 XP_TV.ini 04.04.2007 17:06 1.063.374.848 hiberfil.sys 04.04.2007 17:06 1.598.029.824 pagefile.sys 03.04.2007 21:45 7.553 ComboFix.txt 03.04.2007 21:33 466 ComboFix-quarantined-files.txt 07.03.2007 20:25 268 sqmdata06.sqm 07.03.2007 20:25 244 sqmnoopt06.sqm 07.03.2007 09:24 232 sqmdata05.sqm 07.03.2007 09:24 244 sqmnoopt05.sqm 06.03.2007 19:43 232 sqmdata04.sqm 06.03.2007 19:43 244 sqmnoopt04.sqm 06.03.2007 10:09 232 sqmdata03.sqm 06.03.2007 10:09 244 sqmnoopt03.sqm 05.03.2007 23:55 232 sqmdata02.sqm 05.03.2007 23:55 244 sqmnoopt02.sqm 05.03.2007 20:05 232 sqmdata01.sqm 05.03.2007 20:05 244 sqmnoopt01.sqm 05.03.2007 15:06 232 sqmdata00.sqm 05.03.2007 15:06 244 sqmnoopt00.sqm 04.03.2007 18:58 232 sqmdata19.sqm 04.03.2007 18:58 244 sqmnoopt19.sqm 04.03.2007 03:06 232 sqmdata18.sqm 04.03.2007 03:06 244 sqmnoopt18.sqm 03.03.2007 21:43 232 sqmdata17.sqm 03.03.2007 21:43 244 sqmnoopt17.sqm 03.03.2007 21:43 232 sqmdata16.sqm 03.03.2007 21:43 244 sqmnoopt16.sqm 03.03.2007 21:42 244 sqmnoopt15.sqm 03.03.2007 21:42 232 sqmdata15.sqm 03.03.2007 21:41 232 sqmdata14.sqm 03.03.2007 21:41 244 sqmnoopt14.sqm 03.03.2007 17:29 232 sqmdata13.sqm 03.03.2007 17:29 244 sqmnoopt13.sqm 03.03.2007 10:57 232 sqmdata12.sqm 03.03.2007 10:57 244 sqmnoopt12.sqm 02.03.2007 22:37 244 sqmnoopt11.sqm 02.03.2007 22:37 268 sqmdata11.sqm 02.03.2007 20:30 232 sqmdata10.sqm 02.03.2007 20:30 244 sqmnoopt10.sqm 02.03.2007 16:13 268 sqmdata09.sqm 02.03.2007 16:13 244 sqmnoopt09.sqm 02.03.2007 13:30 232 sqmdata08.sqm 02.03.2007 13:30 244 sqmnoopt08.sqm 02.03.2007 13:21 232 sqmdata07.sqm 02.03.2007 13:21 244 sqmnoopt07.sqm 04.09.2006 09:49 42.659.502 NIS2006DE_1und1DE.exe Verzeichnis von C:\ 04.04.2007 17:23 0 sys.txt 04.04.2007 17:22 552 down.txt 04.04.2007 17:22 334 tmp.txt 04.04.2007 17:21 11.268 system.txt 04.04.2007 17:20 2.072 systemtemp.txt 04.04.2007 17:18 98.197 system32.txt 04.04.2007 17:18 668 datFind.bat 04.04.2007 17:07 2.124 hpqp.ini 04.04.2007 17:07 40 XP_TV.ini 04.04.2007 17:06 1.063.374.848 hiberfil.sys 04.04.2007 17:06 1.598.029.824 pagefile.sys 03.04.2007 21:45 7.553 ComboFix.txt 03.04.2007 21:33 466 ComboFix-quarantined-files.txt 07.03.2007 20:25 268 sqmdata06.sqm 07.03.2007 20:25 244 sqmnoopt06.sqm 07.03.2007 09:24 232 sqmdata05.sqm 07.03.2007 09:24 244 sqmnoopt05.sqm 06.03.2007 19:43 232 sqmdata04.sqm 06.03.2007 19:43 244 sqmnoopt04.sqm 06.03.2007 10:09 232 sqmdata03.sqm 06.03.2007 10:09 244 sqmnoopt03.sqm 05.03.2007 23:55 232 sqmdata02.sqm 05.03.2007 23:55 244 sqmnoopt02.sqm 05.03.2007 20:05 232 sqmdata01.sqm 05.03.2007 20:05 244 sqmnoopt01.sqm 05.03.2007 15:06 232 sqmdata00.sqm 05.03.2007 15:06 244 sqmnoopt00.sqm 04.03.2007 18:58 232 sqmdata19.sqm 04.03.2007 18:58 244 sqmnoopt19.sqm 04.03.2007 03:06 232 sqmdata18.sqm 04.03.2007 03:06 244 sqmnoopt18.sqm 03.03.2007 21:43 232 sqmdata17.sqm 03.03.2007 21:43 244 sqmnoopt17.sqm 03.03.2007 21:43 232 sqmdata16.sqm 03.03.2007 21:43 244 sqmnoopt16.sqm 03.03.2007 21:42 244 sqmnoopt15.sqm 03.03.2007 21:42 232 sqmdata15.sqm 03.03.2007 21:41 232 sqmdata14.sqm 03.03.2007 21:41 244 sqmnoopt14.sqm 03.03.2007 17:29 232 sqmdata13.sqm 03.03.2007 17:29 244 sqmnoopt13.sqm 03.03.2007 10:57 232 sqmdata12.sqm 03.03.2007 10:57 244 sqmnoopt12.sqm 02.03.2007 22:37 244 sqmnoopt11.sqm 02.03.2007 22:37 268 sqmdata11.sqm 02.03.2007 20:30 232 sqmdata10.sqm 02.03.2007 20:30 244 sqmnoopt10.sqm 02.03.2007 16:13 268 sqmdata09.sqm 02.03.2007 16:13 244 sqmnoopt09.sqm 02.03.2007 13:30 232 sqmdata08.sqm 02.03.2007 13:30 244 sqmnoopt08.sqm 02.03.2007 13:21 232 sqmdata07.sqm 02.03.2007 13:21 244 sqmnoopt07.sqm 04.09.2006 09:49 42.659.502 NIS2006DE_1und1DE.exe -------------------------------------------------------------- Logfile of HijackThis v1.99.1 Scan saved at 17:29:11, on 04.04.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\CAP3RSK.EXE C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\Programme\Java\jre1.5.0_09\bin\jusched.exe C:\Programme\Hp\HP Software Update\HPWuSchd2.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe C:\Programme\HP\QuickPlay\QPService.exe C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Schlecker Fotoservice\dd.exe C:\Programme\QuickTime\qttask.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe C:\Programme\freenetMail Desktop Sync\freenetMail_Desktop_Sync.exe C:\programme\voipcheap\voipcheap.exe C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\ArcSoft\TotalMedia\TMMonitor.exe C:\hardcopy\Hardcopy\hardcopy.exe C:\PROGRA~1\HPQ\SHARED\HPQTOA~1.EXE C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3LAK.EXE C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE C:\Programme\Java\jre1.5.0_09\bin\jucheck.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\Messenger\msmsgs.exe C:\Dokumente und Einstellungen\Andreas Ludwig\Eigene Dateien\Internet Explorer\iexplore.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\WINDOWS\system32\msiexec.exe C:\WINDOWS\explorer.exe C:\DOKUME~1\ANDREA~1\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wiso.uni-erlangen.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe" O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe O4 - HKLM\..\Run: [QPService] "C:\Programme\HP\QuickPlay\QPService.exe" O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [CAP3ON] C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3ONN.EXE O4 - HKLM\..\Run: [Device Detection] C:\Programme\Schlecker Fotoservice\dd.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [T-Online_Software_5\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized O4 - HKCU\..\Run: [freenetMail Sync] "C:\Programme\freenetMail Desktop Sync\freenetMail_Desktop_Sync.exe" -S O4 - HKCU\..\Run: [VoipCheap] "C:\programme\voipcheap\voipcheap.exe" -nosplash -minimized O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: Hardcopy.LNK = C:\hardcopy\Hardcopy\hardcopy.exe O4 - Startup: Microsoft Office Outlook 2003.lnk = ? O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: HP Photosmart Premier – Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe O4 - Global Startup: Statusfenster für Canon LASER SHOT LBP-1120.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3LAK.EXE O4 - Global Startup: TMMonitor.lnk = C:\Programme\ArcSoft\TotalMedia\TMMonitor.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe |
|
|
|
|
|
|
04.04.2007, 19:32
Ehrenmitglied
Beiträge: 29434 |
#28
andi_81
«« scanne mit vundofix http://virus-protect.org/artikel/tools/vundofixx.html «« öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked Zitat R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blankAvenger http://virus-protect.org/artikel/tools/avenger.html Input script manually (anhaken) kopiere in: View/edit script Zitat Registry values to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten »» scanne und poste den report (in Quarantaene) http://virus-protect.org/artikel/tools/superantispyware.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
04.04.2007, 20:24
Member
Beiträge: 31 |
#29
So das sind jetzt glaub ich alle logs die ich senden sollte
wenn etwas fehlt bitte melden Vielen dank Hijack: Es fehlten 2 Pfade die ich ankreuzen sollte, ansonsten hab ich alles gelöscht Avenger:---------------------------- durchgelaufen: Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\yrqbhtjs ******************* Script file located at: \??\C:\Program Files\lmcjnpwn.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\Dokumente und Einstellungen\Van Helsing\Lokale Einstellungen\Temp\_A00F4E2CB2.exe not found! Deletion of file C:\Dokumente und Einstellungen\Van Helsing\Lokale Einstellungen\Temp\_A00F4E2CB2.exe failed! Could not process line: C:\Dokumente und Einstellungen\Van Helsing\Lokale Einstellungen\Temp\_A00F4E2CB2.exe Status: 0xc0000034 File C:\Dokumente und Einstellungen\Van Helsing\Lokale Einstellungen\Temp\wnd.tmp deleted successfully. File C:\WINDOWS\system32\plugin1.dat deleted successfully. File C:\WINDOWS\system32\helper.xml deleted successfully. File C:\WINDOWS\system32\__c003390E.dat not found! Deletion of file C:\WINDOWS\system32\__c003390E.dat failed! Could not process line: C:\WINDOWS\system32\__c003390E.dat Status: 0xc0000034 File C:\WINDOWS\system32\__c00F64D9.dat deleted successfully. File C:\WINDOWS\system32\__c00f64d9.dat not found! Deletion of file C:\WINDOWS\system32\__c00f64d9.dat failed! Could not process line: C:\WINDOWS\system32\__c00f64d9.dat Status: 0xc0000034 File C:\WINDOWS\system32\__c00a6329.dat deleted successfully. File C:\WINDOWS\system32\9D46F00c__.ini deleted successfully. File C:\WINDOWS\system32\E093300c__.ini deleted successfully. File C:\WINDOWS\system32\D47B500c__.ini deleted successfully. File C:\WINDOWS\smdat32m.sys deleted successfully. File C:\WINDOWS\smdat32a.sys deleted successfully. File C:\WINDOWS\system32\server.exe not found! Deletion of file C:\WINDOWS\system32\server.exe failed! Could not process line: C:\WINDOWS\system32\server.exe Status: 0xc0000034 File C:\svchost.exe not found! Deletion of file C:\svchost.exe failed! Could not process line: C:\svchost.exe Status: 0xc0000034 File C:\windlgs.exe deleted successfully. File C:\WINDOWS\system32\mstrans1.dll not found! Deletion of file C:\WINDOWS\system32\mstrans1.dll failed! Could not process line: C:\WINDOWS\system32\mstrans1.dll Status: 0xc0000034 File C:\WINDOWS\system32\mstrans.dll deleted successfully. Could not delete registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|Winexes Deletion of registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|Winexes failed! Status: 0xc0000034 Could not delete registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|svchost Deletion of registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|svchost failed! Status: 0xc0000034 Could not delete registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|startkey Deletion of registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|startkey failed! Status: 0xc0000034 Could not delete registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|SoundService Deletion of registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|SoundService failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c0020F7A not found! Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c0020F7A failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c002AD84 not found! Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c002AD84 failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c0030E1C not found! Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c0030E1C failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c0034D84 not found! Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c0034D84 failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c0046299 not found! Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c0046299 failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c0083C6A not found! Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c0083C6A failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c0089C08 not found! Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c0089C08 failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c00A6329 deleted successfully. Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c00AAA5A not found! Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c00AAA5A failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c00C65F8 not found! Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c00C65F8 failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c00C8A2E not found! Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c00C8A2E failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c00F3572 not found! Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c00F3572 failed! Status: 0xc0000034 Registry key HKLM\SOFTWARE\Classes\CLSID\{890C7964-9320-4055-BE11-7D7B562A6417} not found! Deletion of registry key HKLM\SOFTWARE\Classes\CLSID\{890C7964-9320-4055-BE11-7D7B562A6417} failed! Status: 0xc0000034 Registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{890C7964-9320-4055-BE11-7D7B562A6417} not found! Deletion of registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{890C7964-9320-4055-BE11-7D7B562A6417} failed! Status: 0xc0000034 Completed script processing. ******************* Finished! Terminate. SDfix:-------------------- SDFix: Version 1.76 Run by Van Helsing - 04.04.2007 - 18:05:07,54 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Safe Mode: Checking Services: Restoring Windows Registry Entries Restoring Default Hosts File Rebooting... Normal Mode: Checking Files: Below files will be copied to Backups folder then removed: C:\WINDOWS\system32\SysPr.prx - Deleted ADS Check: C:\WINDOWS\system32 No streams found. Final Check: Remaining Services: ------------------ Authorized Application Key Export: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Kerio Firewall\\Personal Firewall 4\\kpf4gui.exe"="C:\\Kerio Firewall\\Personal Firewall 4\\kpf4gui.exe:*:Enabled:Kerio Personal Firewall 4 - GUI" "C:\\ICQLite\\ICQLite.exe"="C:\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite" "C:\\Skype\\Skype.exe"="C:\\Skype\\Skype.exe:*:Enabled:Skype" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" Remaining Files: --------------- Backups Folder: - C:\SDFix\backups\backups.zip Checking For Files with Hidden Attributes : C:\Dokumente und Einstellungen\Van Helsing\Eigene Dateien\Eigene Musik\Fear Factory\Fear Factory - Demanufacture (Reissue 2005) - Metal [www.torrentazos.com]\Thumbs.db Finished catchme:------------------------------- catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006 http://www.gmer.net scanning hidden processes ... scanning hidden services ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Sophosreport:----------------------------- Sophos Anti-Virus Version 4.16.0 [Win32/Intel] Virus data version 4.16, April 2007 Includes detection for 233337 viruses, trojans and worms Copyright (c) 1989-2007 Sophos Plc, www.sophos.com System time 19:25:31, System date 04 April 2007 Command line qualifiers are: -f -remove -nc -nb --stop-scan >>> Virus 'Mal/NetHelDl-A' found in file C:\Dokumente und Einstellungen\Van Helsing\Desktop\backups\backup-20070404-175228-927.dll Removal successful >>> Virus 'Mal/Packer' found in file C:\Dokumente und Einstellungen\Van Helsing\Eigene Dateien\Key-Gen\Call of Duty 2 Key-Gen.exe Removal successful Could not open C:\hiberfil.sys Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\DEU\RdrMsgDEU.pdf Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\DEU\read0600win_DEUyhoo0010.pdf Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\ENU\RdrMsgENU.pdf Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\ENU\read0600win_ENUyhoo0010.pdf Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\RdrMsgSplash.pdf Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\WebSearch\WebSearchENU.pdf Password protected file C:\recover\Programme\Adobe\Acrobat 7.0\Reader\Messages\DEU\RdrMsgDEU.pdf Password protected file C:\recover\Programme\Adobe\Acrobat 7.0\Reader\Messages\DEU\read0600win_DEUyhoo0010.pdf Password protected file C:\recover\Programme\Adobe\Acrobat 7.0\Reader\Messages\ENU\RdrMsgENU.pdf Password protected file C:\recover\Programme\Adobe\Acrobat 7.0\Reader\Messages\ENU\read0600win_ENUyhoo0010.pdf Password protected file C:\recover\Programme\Adobe\Acrobat 7.0\Reader\Messages\RdrMsgSplash.pdf Password protected file C:\recover\Programme\Adobe\Acrobat 7.0\Reader\WebSearch\WebSearchENU.pdf >>> Virus 'Mal/Packer' found in file C:\StarWars Republic Commando\Star Wars Republic Commando\Keygen\rld-srck.exe Removal successful >>> Virus 'Mal/Behav-101' found in file C:\System Volume Information\_restore{8306AB31-12D5-4479-9491-3157EB4736DA}\RP29\A0033978.exe Removal successful >>> Virus 'Mal/NetHelDl-A' found in file C:\System Volume Information\_restore{8306AB31-12D5-4479-9491-3157EB4736DA}\RP34\A0042517.dll Removal successful >>> Virus 'Mal/NetHelDl-A' found in file C:\System Volume Information\_restore{8306AB31-12D5-4479-9491-3157EB4736DA}\RP34\A0042532.dll Removal successful >>> Virus 'Mal/NetHelDl-A' found in file C:\System Volume Information\_restore{8306AB31-12D5-4479-9491-3157EB4736DA}\RP34\A0042576.dll Removal successful >>> Virus 'Mal/Packer' found in file C:\System Volume Information\_restore{8306AB31-12D5-4479-9491-3157EB4736DA}\RP34\A0042577.exe Removal successful Could not open C:\WINDOWS\system32\drivers\sptd.sys Could not open C:\WINDOWS\Temp\sqlite_6tWxghJMs0GxBNi 1 boot sector swept. 62895 files swept in 34 minutes and 14 seconds. 15 errors were encountered. 8 viruses were discovered. 8 files out of 62895 were infected. Please send infected samples to Sophos for analysis. For advice consult www.sophos.com, email support@sophos.com or telephone +44 1235 559933 12 encrypted files were not checked. Ending Sophos Anti-Virus. |
|
|
|
|
|
|
04.04.2007, 20:28
Ehrenmitglied
Beiträge: 29434 |
#30
Marci321
Key-Gen  - kein Wunder, dass der Rechner so verseucht war « scanne mit kaspersky und poste den report + das neue Log vom HijackThis http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
ich finde nichts...........
scanne mit ewido und poste den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina
rund um die PC-Sicherheit