Mein andere PC kommt nicht mehr ins I-net verdacht auf Virus... |
||
---|---|---|
#0
| ||
26.01.2007, 19:57
Member
Beiträge: 30 |
||
|
||
27.01.2007, 00:46
Ehrenmitglied
Beiträge: 29434 |
#2
[MO]
arbeite das ab und poste die logs http://board.protecus.de/t23188.htm __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
27.01.2007, 12:04
Member
Themenstarter Beiträge: 30 |
#3
Okay ich habe nun alles erledigt
Hier erstmal Hijack this: Logfile of HijackThis v1.99.1 Scan saved at 10:50:43, on 27.01.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0011) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\CA\eTrust Antivirus\InoRpc.exe C:\Programme\CA\eTrust Antivirus\InoRT.exe C:\Programme\CA\eTrust Antivirus\InoTask.exe C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\Dit.exe C:\PROGRA~1\CA\ETRUST~1\realmon.exe C:\WINDOWS\mHotkey.exe C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\system32\PRISMSTA.EXE C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe C:\Programme\TwistUSB\FalStart.exe C:\Dokumente und Einstellungen\Klaus\Desktop\protect\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKCU\..\Run: [Microsoft Update] lssass.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1 O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Lexware Info Service.lnk = C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Start FalCPL.lnk = C:\Programme\TwistUSB\FalStart.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU) O11 - Options group: [INTERNATIONAL] International* O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O17 - HKLM\System\CCS\Services\Tcpip\..\{50BDB36E-0F44-4466-8BE1-EB5C6498189E}: NameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{BF15719E-FFB4-450A-8667-E5A519A9F9EC}: NameServer = 192.168.2.1 O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - C:\WINDOWS\System32\Aeocjm32.dll (file missing) O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe ------------------------------------------------------------ So nun kommt Combofix: Combo fix: "Klaus" - 07-01-27 11:32:36 Service Pack 2 ComboFix 07-01-25 - Running from: "C:\Dokumente und Einstellungen\Klaus\Desktop" ((((((((((((((((((((((((((((((( Files Created from 2006-12-27 to 2007-01-27 )))))))))))))))))))))))))))))))))) 2007-01-26 19:43 <DIR> dr------- C:\DOKUME~1\NETWOR~1\Favoriten 2007-01-26 16:42 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Spybot - Search & Destroy 2007-01-26 16:40 83,096 --a------ C:\WINDOWS\system32\SSSensor.dll 2007-01-26 16:40 60,496 --a------ C:\WINDOWS\system32\drivers\Teefer.sys 2007-01-26 16:40 21,075 --a------ C:\WINDOWS\system32\drivers\wpsdrvnt.sys 2007-01-26 16:40 14,568 --a------ C:\WINDOWS\system32\drivers\wg6n.sys 2007-01-26 16:40 14,568 --a------ C:\WINDOWS\system32\drivers\wg5n.sys 2007-01-26 16:40 14,568 --a------ C:\WINDOWS\system32\drivers\wg4n.sys 2007-01-26 16:40 14,568 --a------ C:\WINDOWS\system32\drivers\wg3n.sys 2007-01-26 16:40 <DIR> d-------- C:\Programme\Sygate 2007-01-26 16:39 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2007-01-13 22:19 <DIR> d-------- C:\WINDOWS\ie7updates (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-01-27 11:31 13440 --a------ C:\WINDOWS\system32\drivers\USBCRFT.SYS 2007-01-27 11:01 41854 --a------ C:\DOKUME~1\Klaus\Anwendungsdaten\wklnhst.dat 2007-01-26 22:48 -------- d-------- C:\Programme\warcraft iii 2007-01-21 15:44 -------- d-------- C:\Programme\mozilla firefox 2007-01-21 13:12 -------- d-------- C:\DOKUME~1\Klaus\Anwendungsdaten\adobeum 2007-01-19 11:52 -------- d-------- C:\Programme\icqtoolbar 2006-12-13 20:45 12400 --a------ C:\WINDOWS\system32\drivers\secdrv.sys 2006-12-07 17:02 2174976 --a------ C:\WINDOWS\system32\wmvcore.dll 2006-11-08 06:06 679424 --a------ C:\WINDOWS\system32\inetcomm.dll 2006-11-07 21:03 6049280 --------- C:\WINDOWS\system32\ieframe.dll 2006-11-07 21:03 50688 --------- C:\WINDOWS\system32\msfeedsbs.dll 2006-11-07 21:03 458752 --------- C:\WINDOWS\system32\msfeeds.dll 2006-11-07 21:03 413696 --a------ C:\WINDOWS\system32\vbscript.dll 2006-11-07 21:03 231424 --a------ C:\WINDOWS\system32\webcheck.dll 2006-11-07 21:03 180736 --------- C:\WINDOWS\system32\ieui.dll 2006-11-07 21:03 156160 --a------ C:\WINDOWS\system32\msls31.dll 2006-11-07 03:27 382976 --a------ C:\WINDOWS\system32\iedkcs32.dll 2006-11-07 03:27 229376 --a------ C:\WINDOWS\system32\ieaksie.dll 2006-11-07 03:26 71680 --a------ C:\WINDOWS\system32\admparse.dll 2006-11-07 03:26 55296 --a------ C:\WINDOWS\system32\iesetup.dll 2006-11-07 03:26 54784 --a------ C:\WINDOWS\system32\ie4uinit.exe 2006-11-07 03:26 43008 --a------ C:\WINDOWS\system32\iernonce.dll 2006-11-07 03:26 152064 --a------ C:\WINDOWS\system32\ieakeng.dll 2006-11-07 03:26 13312 --a------ C:\WINDOWS\system32\ieudinit.exe 2006-11-07 03:26 123904 --a------ C:\WINDOWS\system32\advpack.dll 2006-11-07 03:25 161792 --a------ C:\WINDOWS\system32\ieakui.dll 2006-11-04 14:14 1245696 --a------ C:\WINDOWS\system32\msxml4.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "Microsoft Update"="lssass.exe" "ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe" "updateMgr"="\"C:\\Programme\\Adobe\\Acrobat 7.0\\Reader\\AdobeUpdateManager.exe\" AcRdB7_0_8 -reboot 1" "SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce] "ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd" "Dit"="Dit.exe" "Realtime Monitor"="C:\\PROGRA~1\\CA\\ETRUST~1\\realmon.exe -s" "CHotkey"="mHotkey.exe" "PCMService"="\"C:\\Programme\\Medion Home Cinema XL II\\PowerCinema\\PCMService.exe\"" "ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe" "PRISMSTA.EXE"="PRISMSTA.EXE START" "SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe" "Microsoft Works Update Detection"="C:\\Programme\\Gemeinsame Dateien\\Microsoft Shared\\Works Shared\\WkUFind.exe" "SsAAD.exe"="C:\\PROGRA~1\\Sony\\SONICS~1\\SsAAD.exe" "ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize" "SmcService"="C:\\PROGRA~1\\Sygate\\SPF\\smc.exe -startgui" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload] "Web Event Logger"="{79FEACFF-FFCE-815E-A900-316290B5B738}" "UPnPMonitor"="{e57ce738-33e8-4c51-8354-bb4de9d215d1}" [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost] LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0 NetworkService REG_MULTI_SZ DnsCache\0\0 rpcss REG_MULTI_SZ RpcSs\0\0 imgsvc REG_MULTI_SZ StiSvc\0\0 termsvcs REG_MULTI_SZ TermService\0\0 HTTPFilter REG_MULTI_SZ HTTPFilter\0\0 DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0 Completion time: 07-01-27 11:36:11 --------------------------------------------- So und nun zu allerletzt kommt Datfind.bat:: System32.txt: Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 882C-5933 Verzeichnis von C:\WINDOWS\system32 27.01.2007 11:30 2.206 wpa.dbl 27.01.2007 10:43 4.610 ModemLog_AVM ISDN BTX.txt 27.01.2007 10:43 5.034 ModemLog_AVM ISDN Mailbox (X.75).txt 27.01.2007 10:43 4.660 ModemLog_AVM ISDN Analog Modem (V.32bis).txt 27.01.2007 10:43 4.162 ModemLog_AVM ISDN Custom Config.txt 27.01.2007 10:43 5.022 ModemLog_AVM ISDN FAX (G3).txt 27.01.2007 10:43 5.032 ModemLog_AVM ISDN - ISDN (X.75).txt 27.01.2007 10:43 5.044 ModemLog_AVM ISDN RAS (PPP over ISDN).txt 27.01.2007 10:43 5.074 ModemLog_AVM ISDN SoftCompression X.75-V.42bis.txt 27.01.2007 10:43 5.054 ModemLog_AVM ISDN Internet (PPP over ISDN).txt 03.01.2007 00:19 10.980.776 MRT.exe 07.12.2006 17:02 2.174.976 wmvcore.dll 17.11.2006 18:54 1.040.384 ieframe.dll.mui 17.11.2006 18:53 12.288 advpack.dll.mui 16.11.2006 14:09 15.584 spmsg.dll 08.11.2006 06:06 679.424 inetcomm.dll 07.11.2006 21:03 458.752 msfeeds.dll 07.11.2006 21:03 670.720 mstime.dll 07.11.2006 21:03 131.584 extmgr.dll 07.11.2006 21:03 50.688 msfeedsbs.dll 07.11.2006 21:03 3.577.856 mshtml.dll 07.11.2006 21:03 475.648 mshtmled.dll 07.11.2006 21:03 413.696 vbscript.dll 07.11.2006 21:03 1.162.240 urlmon.dll 07.11.2006 21:03 180.736 ieui.dll 07.11.2006 21:03 191.488 iepeers.dll 07.11.2006 21:03 27.136 jsproxy.dll 07.11.2006 21:03 818.688 wininet.dll 07.11.2006 21:03 231.424 webcheck.dll 07.11.2006 21:03 156.160 msls31.dll 07.11.2006 21:03 6.049.280 ieframe.dll 07.11.2006 03:27 382.976 iedkcs32.dll 07.11.2006 03:27 229.376 ieaksie.dll 07.11.2006 03:26 152.064 ieakeng.dll 07.11.2006 03:26 71.680 admparse.dll 07.11.2006 03:26 55.296 iesetup.dll 07.11.2006 03:26 13.312 ieudinit.exe 07.11.2006 03:26 54.784 ie4uinit.exe 07.11.2006 03:26 43.008 iernonce.dll 07.11.2006 03:26 92.672 inseng.dll 07.11.2006 03:26 123.904 advpack.dll 07.11.2006 03:25 161.792 ieakui.dll 07.11.2006 03:24 56.483 ieuinit.inf 04.11.2006 14:14 1.245.696 msxml4.dll -------------------------------- systemtemp.txt: Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 882C-5933 Verzeichnis von C:\DOKUME~1\Klaus\LOKALE~1\Temp 27.01.2007 11:48 512 ~DF3C46.tmp 27.01.2007 11:48 512 ~DF3C63.tmp 27.01.2007 11:48 21.292 ~WRS0002.tmp 27.01.2007 11:47 16.384 ~WRF0000.tmp 27.01.2007 11:47 512 ~DF6272.tmp 27.01.2007 11:41 206 jusched.log 6 Datei(en) 39.418 Bytes 0 Verzeichnis(se), 25.376.055.296 Bytes frei ----------------------------------- system.txt Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 882C-5933 Verzeichnis von C:\WINDOWS 27.01.2007 10:48 1.405.809 WindowsUpdate.log 27.01.2007 10:44 0 0.log 27.01.2007 10:43 159 wiadebug.log 27.01.2007 10:43 50 wiaservc.log 27.01.2007 10:43 2.048 bootstat.dat 26.01.2007 22:50 32.622 SchedLgU.Txt 25.01.2007 19:34 615.198 setupapi.log 25.01.2007 15:01 1.407 win.ini 23.01.2007 19:46 381.606 wmsetup.log 23.01.2007 16:25 121.157 War3Unin.dat 13.01.2007 22:19 170.361 iis6.log 13.01.2007 22:19 386.603 comsetup.log 13.01.2007 22:19 247.849 ntdtcsetup.log 13.01.2007 22:19 477.467 tsoc.log 13.01.2007 22:19 58.560 ocmsn.log 13.01.2007 22:19 1.374 imsins.log 13.01.2007 22:19 3.612 KB929969.log 13.01.2007 22:19 62.944 msgsocm.log 13.01.2007 22:19 704.765 ocgen.log 13.01.2007 22:19 1.151.539 FaxSetup.log 17.12.2006 03:02 1.393 imsins.BAK 17.12.2006 03:02 10.524 KB925398.log 17.12.2006 03:02 1.277 avmcoins.log 17.12.2006 03:02 11.551 KB923689.log 17.12.2006 03:01 11.106 KB926255.log 17.12.2006 03:01 58.176 updspapi.log 17.12.2006 03:01 10.967 KB923694.log 04.12.2006 18:24 36.396 spupdsvc.log 04.12.2006 18:03 26.140 ie7_main.log 04.12.2006 18:03 51.688 ie7.log 04.12.2006 18:00 10.557 IDNMitigationAPIs.log 04.12.2006 18:00 10.301 NLSDownlevelMapping.log 04.12.2006 18:00 7.320 KB915865.log 04.12.2006 17:59 4.871 KB914440.log 04.12.2006 17:59 20.863 KB920213.log 04.12.2006 17:59 10.717 KB904942.log 16.11.2006 23:08 15.350 KB923980.log 16.11.2006 23:08 15.369 KB924270.log 16.11.2006 23:07 17.355 KB922760.log 05.11.2006 13:13 9.236 MKDEMSG.LOG 05.11.2006 13:12 2.048 MKDEWE.TRN 02.11.2006 23:41 469 BRWMARK.INI ------------------------------ tmp.txt Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 882C-5933 Verzeichnis von C:\WINDOWS\temp ----------------------------------- Down.txt Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 882C-5933 Verzeichnis von C:\WINDOWS\Downloaded Program Files 08.12.2003 12:58 3.759 swflash.inf 20.09.2003 15:49 65 desktop.ini 25.08.2003 17:12 1.096 iuctl.inf 20.01.2000 14:25 1.162 Microsoft XML Parser for Java.osd 14.10.1997 17:52 697 DirectAnimation Java Classes.osd 5 Datei(en) 6.779 Bytes 0 Verzeichnis(se), 25.375.989.760 Bytes frei --------------------------------- sys.txt Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 882C-5933 Verzeichnis von C:\ 27.01.2007 11:52 0 sys.txt 27.01.2007 11:51 524 down.txt 27.01.2007 11:51 108 tmp.txt 27.01.2007 11:51 16.889 system.txt 27.01.2007 11:50 530 systemtemp.txt 27.01.2007 11:49 109.883 system32.txt 27.01.2007 11:36 5.808 ComboFix.txt 27.01.2007 10:43 536.399.872 hiberfil.sys 27.01.2007 10:43 805.306.368 pagefile.sys 29.10.2006 13:05 140 LxDasi.Log So das wars für erste bin bereit für die nächste Anleitung Und Sabina Danke schonmal im voraus |
|
|
||
27.01.2007, 20:56
Ehrenmitglied
Beiträge: 29434 |
#4
[MO]
«« Fixe mit dem HijackThis: Zitat O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL------------------ «« Start -Ausfuehren - regedit oben links - bearbeiten - suchen - lssass.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "Microsoft Update"="lssass.exe"-> loeschen + alless weitere, was die suche ergibt «« C:\WINDOWS\System32\lssass.exe - loeschen, falls du es findest C:\Programme\MyWay - deinstallieren «« arbeite das ab, zuerst im abgesicherten modus - poste den report http://virus-protect.org/artikel/tools/sdfix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.01.2007, 13:10
Member
Themenstarter Beiträge: 30 |
#5
Hey also wenn ich in diesem Regedit menu bin dann gehe uch auf bearbeiten und suche, sobalb ich eingegeben habe was ich suche sagt er mit die regestrierung wird durchsucht, dann kommt die regestrierung ist abgeschlossen und fertig, er zeigt mir keine gefundenen Objekte....
Und wenn ich [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] diesen Pfad dort abgeangen bin dann finde ich nichts mit lssass.exe oder so... Ahja als ich die lssass.exe gesucht habe da habe ich nur eine lsass.exe gefunden... mfg Dieser Beitrag wurde am 28.01.2007 um 13:15 Uhr von [MO] editiert.
|
|
|
||
28.01.2007, 14:18
Ehrenmitglied
Beiträge: 29434 |
#6
SDFix.zip entpacken
http://virus-protect.org/artikel/tools/sdfix.html es erscheint folgende Meldung: "The SDFix Folder has been extracted to %systemdrive% - Please run from that location. (%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )" unter C:\ findet man nun den SDFix-Ordner boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet) gehe in den Ordner C:\SDFix RunThis.bat doppelt klicken schreibe: Y folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag, __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.01.2007, 16:30
Member
Themenstarter Beiträge: 30 |
#7
Also gemacht...
Was ist denn mit den Schritten die du mir davor beschrieben hast, soll ich die vergessen oder wie? Naja hier ist der Log SDFix: Version 1.63 28.01.2007 - 14:50:59,93 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Safe Mode: Checking Services: Name: Path: Restoring Windows Registry Entries Restoring Default Hosts File Rebooting... Normal Mode: Checking Files: Below files will be copied to Backups folder then removed: C:\WINDOWS\system32\NeroCheck.exe - Deleted C:\WINDOWS\system32\TFTP2236 - Deleted C:\WINDOWS\system32\TFTP2444 - Deleted C:\WINDOWS\system32\TFTP2792 - Deleted C:\WINDOWS\system32\TFTP3252 - Deleted C:\WINDOWS\system32\TFTP3328 - Deleted C:\WINDOWS\system32\TFTP3352 - Deleted C:\WINDOWS\system32\TFTP3376 - Deleted C:\WINDOWS\system32\TFTP3404 - Deleted C:\WINDOWS\system32\TFTP3428 - Deleted C:\WINDOWS\system32\TFTP3940 - Deleted C:\WINDOWS\system32\TFTP4144 - Deleted C:\WINDOWS\system32\TFTP420 - Deleted C:\WINDOWS\system32\TFTP4640 - Deleted C:\WINDOWS\system32\TFTP5132 - Deleted C:\WINDOWS\system32\TFTP5164 - Deleted C:\WINDOWS\system32\TFTP608 - Deleted ADS Check: C:\WINDOWS\system32 No streams found. Final Check: Remaining Services: ------------------ Authorized Application Key Export: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite" "C:\\Programme\\EA GAMES\\Die Schlacht um Mittelerde(tm)\\game.dat"="C:\\Programme\\EA GAMES\\Die Schlacht um Mittelerde(tm)\\game.dat:*:Enabledie Schlacht um Mittelerde" "C:\\Programme\\Warcraft III\\Frozen Throne.exe"="C:\\Programme\\Warcraft III\\Frozen Throne.exe:*:Enabled:Warcraft III - The Frozen Throne" "C:\\Programme\\Warcraft III\\Warcraft III.exe"="C:\\Programme\\Warcraft III\\Warcraft III.exe:*:Enabled:Warcraft III" "C:\\Programme\\Valve\\hl.exe"="C:\\Programme\\Valve\\hl.exe:*:Enabled:Half-Life Launcher" "C:\\program files\\mIRC\\mirc.exe"="C:\\program files\\mIRC\\mirc.exe:*:Enabled:mIRC" "C:\\Programme\\Teamspeak2_RC2\\server_windows.exe"="C:\\Programme\\Teamspeak2_RC2\\server_windows.exe:*:Enabled:Server" "C:\\Programme\\EA GAMES\\Command and Conquer Generäle\\patchget.dat"="C:\\Programme\\EA GAMES\\Command and Conquer Generäle\\patchget.dat:*:Enabledatchgrabber" "C:\\Programme\\EA GAMES\\Command and Conquer Generäle\\generals.exe"="C:\\Programme\\EA GAMES\\Command and Conquer Generäle\\generals.exe:*:Enabled:Command & Conquer(TM) Generäle" "C:\\Programme\\THQ\\Dawn Of War\\W40kWA.exe"="C:\\Programme\\THQ\\Dawn Of War\\W40kWA.exe:*:Enabled:W40kWA" "C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" Remaining Files: --------------- Backups Folder: - C:\SDFix\backups\backups.zip Checking For Files with Hidden Attributes : C:\NTDETECT.COM C:\Programme\Gemeinsame Dateien\Adobe\ESD\DLMCleanup.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\THQ\Dawn Of War\Disk1Check.EXE C:\Programme\THQ\Dawn Of War\Disk1CheckW40k.EXE C:\WINDOWS\system32\cdplayer.exe.manifest C:\WINDOWS\system32\logonui.exe.manifest C:\hiberfil.sys C:\IO.SYS C:\MSDOS.SYS C:\pagefile.sys C:\Programme\Common Files\X10\Common\x10prod.sys C:\Programme\Medion Tools\Flashcards\IO.SYS C:\Programme\Medion Tools\Flashcards\MSDOS.SYS C:\Dokumente und Einstellungen\Klaus\Eigene Dateien\Eigene Dateien Wickmann\Dispo2002\~WRL0207.tmp C:\Dokumente und Einstellungen\Klaus\Eigene Dateien\Eigene Dateien Wickmann\Planung2003\WUSA\~WRL0208.tmp C:\Dokumente und Einstellungen\Klaus\Eigene Dateien\Eigene Dateien Wickmann\Planung2003\WUSA\~WRL1848.tmp C:\Dokumente und Einstellungen\Maxi\Anwendungsdaten\Microsoft\Word\~WRL0524.tmp C:\Dokumente und Einstellungen\Maxi\Anwendungsdaten\Microsoft\Word\~WRL3407.tmp C:\Dokumente und Einstellungen\Maxi\Eigene Dateien\~WRL0178.tmp C:\Dokumente und Einstellungen\Maxi\Eigene Dateien\~WRL0724.tmp C:\Dokumente und Einstellungen\Maxi\Eigene Dateien\~WRL0862.tmp C:\Dokumente und Einstellungen\Maxi\Eigene Dateien\~WRL1031.tmp C:\Dokumente und Einstellungen\Maxi\Eigene Dateien\~WRL1290.tmp C:\Dokumente und Einstellungen\Maxi\Eigene Dateien\~WRL1303.tmp C:\Dokumente und Einstellungen\Maxi\Eigene Dateien\~WRL1481.tmp C:\Dokumente und Einstellungen\Maxi\Eigene Dateien\~WRL1499.tmp C:\Dokumente und Einstellungen\Maxi\Eigene Dateien\~WRL1515.tmp C:\Dokumente und Einstellungen\Maxi\Eigene Dateien\~WRL2442.tmp C:\Dokumente und Einstellungen\Maxi\Eigene Dateien\~WRL2785.tmp C:\Dokumente und Einstellungen\Maxi\Eigene Dateien\~WRL2956.tmp C:\Dokumente und Einstellungen\Maxi\Eigene Dateien\~WRL3075.tmp C:\Dokumente und Einstellungen\Maxi\Eigene Dateien\~WRL4006.tmp C:\RECYCLER\S-1-5-21-1906426699-724935401-2243909680-1011\Dc2.tmp C:\RECYCLER\S-1-5-21-1906426699-724935401-2243909680-1011\Dc3.tmp Finished |
|
|
||
28.01.2007, 16:42
Ehrenmitglied
Beiträge: 29434 |
#8
[MO]
Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat Files to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten »» im normalmodus: 3 : wird Sophos geladen scanne mit sophos- option 6 - und poste den report http://virus-protect.org/artikel/tools/sdfix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.01.2007, 16:59
Member
Themenstarter Beiträge: 30 |
#9
Ähm es funktioniert leider nicht so wie es soll.
Es gibt einen Download Fehler wenn ich dieses Sophos starte, denn Sabina beachte der PC hat kein Internet -.- .... Bitte um eine andere Möglichkeit. thx [MO] |
|
|
||
28.01.2007, 17:09
Ehrenmitglied
Beiträge: 29434 |
#10
aehm..ja, ohne Internetverbindung koennen die proggies schlecht updaten
der rechner war/ist voller anonymer FTP-Server, deren besitzer - die sich auf dem rechner besser auskennen als du und alles runterladen, was sie wollen, das vernuenftigste waere, zu formatieren. erstelle wieder eine Internetverbindung versuche es mit dr.web http://virus-protect.org/cureit.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.01.2007, 17:22
Member
Themenstarter Beiträge: 30 |
#11
Nun ja das mit der i-net Verbindung ist ja das Problem...
Die steht eig. laut t-online und ein paar Netzwerk-Admins mit denen ich mich in verbindung gesetzt habe , nur geht weder was raus noch rein.... Ein Arbeitskollege von meinem Vater hatte so einen Virus der das alles blockiert, deswegen will ich das ja hier machen... Der versendet laut dem Kollegen massenhaft e-mails, jedenfalls glauben wir das wir diesen Virus nun auch haben^^ Ebenfalls hätte ich schon längst formatiert, wenn das nicht der Arbeits-PC meines Vaters wäre wo alle Daten usw drauf sind. mfg |
|
|
||
28.01.2007, 18:18
Ehrenmitglied
Beiträge: 29434 |
#12
Zitat C:\WINDOWS\system32\NeroCheck.exe - Deletedalles anonyme FTP-Server, mit denen man vollen Zugriff auf den Rechner hat - und auch umstellen, hochladen usw. kann, was man will du gehst ueber einen Router ins netz ??? O17 - HKLM\System\CCS\Services\Tcpip\..\{50BDB36E-0F44-4466-8BE1-EB5C6498189E}: NameServer = 192.168.2.1 hast du ein Modem oder Adsl ? ** lade das und poste den report http://virus-protect.org/artikel/tools/tcpview.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.01.2007, 20:18
Member
Themenstarter Beiträge: 30 |
#13
Okay hier ist was da stand
alg.exe:204 TCP Arbeitszimmer:1028 Arbeitszimmer:0 LISTENING ibserver.exe:152 TCP Arbeitszimmer:gds_db Arbeitszimmer:0 LISTENING InoRpc.exe:1320 TCP Arbeitszimmer:42510 Arbeitszimmer:0 LISTENING InoRpc.exe:1320 UDP arbeitszimmer:42508 *:* lsass.exe:508 UDP Arbeitszimmer:isakmp *:* lsass.exe:508 UDP Arbeitszimmer:4500 *:* Smc.exe:812 UDP Arbeitszimmer:1030 *:* Smc.exe:812 UDP Arbeitszimmer:1037 *:* svchost.exe:728 TCP Arbeitszimmer:epmap Arbeitszimmer:0 LISTENING svchost.exe:768 UDP Arbeitszimmer:1027 *:* svchost.exe:768 UDP Arbeitszimmer:ntp *:* svchost.exe:768 UDP arbeitszimmer:ntp *:* svchost.exe:836 UDP Arbeitszimmer:1029 *:* svchost.exe:836 UDP Arbeitszimmer:1025 *:* svchost.exe:884 UDP Arbeitszimmer:1900 *:* svchost.exe:884 UDP arbeitszimmer:1900 *:* System:4 TCP Arbeitszimmer:microsoft-ds Arbeitszimmer:0 LISTENING System:4 TCP arbeitszimmer:netbios-ssn Arbeitszimmer:0 LISTENING System:4 UDP Arbeitszimmer:microsoft-ds *:* System:4 UDP arbeitszimmer:netbios-ns *:* System:4 UDP arbeitszimmer:netbios-dgm *:* Ahja Sabina wenn du das hier packst dann gibts auch Belohnung |
|
|
||
28.01.2007, 20:20
Ehrenmitglied
Beiträge: 29434 |
#14
[MO]
du hast mir noch nicht geschrieben, wie du eigentlich ins net kommst (d.h. nicht kommst...) - Router ? modem ? ADSL ??? ----------------- «« Download Registry Search by Bobbi Flekman http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) {79FEACFF-FFCE-815E-A900-316290B5B738} in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. ---------------------- «« poste dieses log http://virus-protect.org/winpfind.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.01.2007, 20:53
Member
Themenstarter Beiträge: 30 |
#15
Ich komme mit nem Router ins inet
ahja zu diesem Winpfind da geht der download link nicht kommt das... 404 Not Found The requested URL '/oldtimer/WinPFind.zip' was not found on this server. so und zu dem Registry kam das raus: Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.2.0 ; Results at 28.01.2007 20:48:44 for strings: ; '{79feacff-ffce-815e-a900-316290b5b738}' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "Web Event Logger"="{79FEACFF-FFCE-815E-A900-316290B5B738}" ; End Of The Log... mfg [MO] |
|
|
||
Ich habe nun schon einiges ausporbiert und mich mit einen Netzwerk Admins in Verbindung gesetzt.
Leider konnte niemand helfen.
Nun habe ich durch einen Kollegen , der das gleiche prob hatte, erfahren das es einen Virus gibt der den Verkehr blockiert indem er un unterbrochen E-mails und ähnliches Versendet.
Nun dachte ich mir ich kenne doch die besten also wieso nicht wieder zu denen
Bitte Sabina hilf mir
Ich hoffe ihr hattet schonmal damit zu tun^^
Die progs kann ich über diesen PC loaden und dann via stick rüber packen, das werde ich genauso mit logs usw machen...
mfg [MO]