Trojaner mit Antivir gefunden |
||
---|---|---|
#0
| ||
04.02.2007, 14:40
...neu hier
Beiträge: 6 |
||
|
||
04.02.2007, 14:43
Ehrenmitglied
Beiträge: 29434 |
#2
Flo_k_88
arbeite das durch und poste alle logs http://board.protecus.de/t23188.htm __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.02.2007, 15:52
...neu hier
Themenstarter Beiträge: 6 |
#3
Hallo, danke für den Verweis auf die Anleitung, das hab ich leider vorher verpeilt...
Also, hoffe ich hab alles richtig gemacht... Hier ist das Hijackthis-Log: Logfile of HijackThis v1.99.1 Scan saved at 15:19:57, on 04.02.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\VIAudioi\SBADeck\ADeck.exe C:\Program Files\CyberLink\PowerCinema\PCMService.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe C:\Programme\Lexmark X1100 Series\lxbkbmon.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\programme\softwin\bitdefender8\bdnagent.exe C:\Programme\Softwin\BitDefender8\bdswitch.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\DOKUME~1\Michael\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bundesliga.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG O1 - Hosts: localhost 127.0.0.1 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1 O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PCMService] "C:\Program Files\CyberLink\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [BDNewsAgent] "c:\programme\softwin\bitdefender8\bdnagent.exe" O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender8\bdswitch.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB002" /M "Stylus DX4200" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [MSMSGS] "c:\PROGRA~1\MESSEN~1\Msmsgs.exe" /background O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O17 - HKLM\System\CCS\Services\Tcpip\..\{66F16E34-C6FF-4BC9-894F-AF4013E6DC33}: NameServer = 85.255.113.107,85.255.112.182 O17 - HKLM\System\CCS\Services\Tcpip\..\{B68440B1-92F8-48D5-A01F-CDD5537DB737}: NameServer = 85.255.113.107,85.255.112.182 O17 - HKLM\System\CCS\Services\Tcpip\..\{B7809544-DD46-477F-9F43-6958B1284863}: NameServer = 85.255.113.107,85.255.112.182 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing) O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing) Hier das Cleanup!-Log: CleanUp! started on 02/04/07 15:23:32. C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MRO7IX0R\_nn[1].htm - deleted C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat currently in use. Will be deleted when Windows is restarted. http://nn.bitdefender.com/_nn.plg?t=2&r=40,80,4,20,2000 - deleted C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Verlauf\History.IE5\index.dat currently in use. Will be deleted when Windows is restarted. C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Verlauf\History.IE5\MSHist012007020420070205\index.dat currently in use. Will be deleted when Windows is restarted. 'Typed URLs' (Internet Explorer) - removed from the registry. Visited: Michael@file:///C:/Dokumente%20und%20Einstellungen/Michael/Desktop/Neu%20Textdokument%20(2).txt - deleted Visited: Michael@file:///C:/Dokumente%20und%20Einstellungen/Michael/Desktop/AVSCAN-20070204-135208-9BB82690.LOG - deleted C:\Dokumente und Einstellungen\Michael\Cookies\index.dat currently in use. Will be deleted when Windows is restarted. C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Mozilla\Firefox\Profiles\dhnp1uxj.default\history.dat - deleted C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Mozilla\Firefox\Profiles\dhnp1uxj.default\cookies.txt.old - deleted C:\Dokumente und Einstellungen\Michael\Recent\AVSCAN-20070204-135208-9BB82690.lnk - deleted C:\Dokumente und Einstellungen\Michael\Recent\Neu Textdokument (2).lnk - deleted C:\DOKUME~1\Michael\LOKALE~1\Temp\ginstall.dll - deleted C:\DOKUME~1\Michael\LOKALE~1\Temp\Gua4.tmp - deleted C:\DOKUME~1\Michael\LOKALE~1\Temp\rtdrvmon.exe - deleted C:\DOKUME~1\Michael\LOKALE~1\Temp\Temporäres Verzeichnis 1 für avenger.zip\avenger.exe - deleted C:\DOKUME~1\Michael\LOKALE~1\Temp\Temporäres Verzeichnis 1 für avenger.zip\ - deleted C:\DOKUME~1\Michael\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\hijackthis.log - deleted C:\DOKUME~1\Michael\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\ - deleted C:\WINDOWS\temp\T30DebugLogFile.txt - deleted C:\WINDOWS\temp\WGAErrLog.txt - deleted C:\WINDOWS\temp\WGANotify.settings - deleted C:\WINDOWS\temp\ZLT038fe.TMP currently in use. Will be deleted when Windows is restarted. C:\WINDOWS\temp\ZLT03915.TMP currently in use. Will be deleted when Windows is restarted. C:\WINDOWS\temp\tmp00002d1b\ - deleted C:\WINDOWS\temp\tmp00003896\tmp00000000 currently in use. Will be deleted when Windows is restarted. C:\Dokumente und Einstellungen\Michael\Cookies\index.dat currently in use. Will be deleted when Windows is restarted. C:\Dokumente und Einstellungen\Michael\Cookies\index.dat currently in use. Will be deleted when Windows is restarted. C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat currently in use. Will be deleted when Windows is restarted. C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat currently in use. Will be deleted when Windows is restarted. C:\WINDOWS\Prefetch\AVCENTER.EXE-37584419.pf - deleted C:\WINDOWS\Prefetch\AVENGER.EXE-0FA8237D.pf - deleted C:\WINDOWS\Prefetch\AVSCAN.EXE-05AECC0E.pf - deleted C:\WINDOWS\Prefetch\BDNEWS.EXE-0E71E1C2.pf - deleted C:\WINDOWS\Prefetch\CLEANUP.EXE-21B56F2B.pf - deleted C:\WINDOWS\Prefetch\CLEANUP452.EXE-045206D6.pf - deleted C:\WINDOWS\Prefetch\FIREFOX.EXE-1D57670A.pf - deleted C:\WINDOWS\Prefetch\HIJACKTHIS.EXE-08662D02.pf - deleted C:\WINDOWS\Prefetch\IMAPI.EXE-0BF740A4.pf - deleted C:\WINDOWS\Prefetch\IPODSERVICE.EXE-233792DA.pf - deleted C:\WINDOWS\Prefetch\LOGONUI.EXE-0AF22957.pf - deleted C:\WINDOWS\Prefetch\NOTEPAD.EXE-336351A9.pf - deleted C:\WINDOWS\Prefetch\NTOSBOOT-B00DFAAD.pf - deleted C:\WINDOWS\Prefetch\UPDCLIENT.EXE-215FC96B.pf - deleted C:\WINDOWS\Prefetch\VERCLSID.EXE-3667BD89.pf - deleted C:\WINDOWS\Prefetch\VSMON.EXE-1609C098.pf - deleted C:\WINDOWS\Prefetch\WGATRAY.EXE-0ED38BED.pf - deleted C:\WINDOWS\Prefetch\WMIADAP.EXE-2DF425B2.pf - deleted C:\WINDOWS\Prefetch\WMIPRVSE.EXE-28F301A9.pf - deleted C:\WINDOWS\Prefetch\WUAUCLT.EXE-399A8E72.pf - deleted Search Assistant MRU list - removed from the registry. Explorer Open/Save MRU list - removed from the registry. Explorer Last Visited MRU list - removed from the registry. Paint Recent File List - removed from the registry. WordPad Recent File List - removed from the registry. Telnet's MRU list - removed from the registry. CleanUp! 4.5.2 recovered 1.5 MB of disk space from 36 files. CleanUp! finished on 02/04/07 15:23:33. Hier ist das Combofix-Log: "Michael" - 07-02-04 15:33:42 Service Pack 2 ComboFix 07.02.04 - Running from: "C:\Dokumente und Einstellungen\Michael\Desktop" ((((((((((((((((((((((((((((((( Files Created from 2007-01-04 to 2007-02-04 )))))))))))))))))))))))))))))))))) No new files created in this timespan (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-02-04 15:29 -------- d-------- C:\Programme\mozilla firefox 2007-02-04 13:03 -------- d-------- C:\Programme\antivir personaledition classic 2007-02-03 14:47 -------- d-------- C:\Programme\bearshare 2007-01-22 16:35 -------- d-------- C:\DOKUME~1\Michael\Anwendungsdaten\adobeum 2007-01-21 19:16 -------- d-------- C:\Programme\tuneup utilities 2004 2007-01-20 00:48 -------- d-a------ C:\Programme\msn messenger 2007-01-06 15:48 -------- d-------- C:\Programme\mein fotobuch 2007-01-01 16:45 -------- d-------- C:\DOKUME~1\Michael\Anwendungsdaten\identities 2006-12-26 22:37 -------- d-------- C:\Programme\microsoft works 2006-12-26 22:36 -------- d-------- C:\Programme\microsoft.net 2006-12-26 22:25 -------- d-------- C:\Programme\Gemeinsame Dateien\teleca shared 2006-12-25 22:39 -------- d-------- C:\Programme\itunes 2006-12-25 22:38 -------- d-------- C:\Programme\ipod 2006-12-25 22:37 -------- d-------- C:\Programme\quicktime 2006-12-25 22:36 -------- d-------- C:\Programme\apple software update 2006-12-15 07:15 34304 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys 2006-12-15 07:15 14848 --a------ C:\WINDOWS\system32\drivers\avgntmgr.sys 2006-12-11 23:10 -------- d-------- C:\DOKUME~1\Michael\Anwendungsdaten\adobe 2006-12-03 17:59 1710 --a------ C:\DOKUME~1\Michael\Anwendungsdaten\wklnhst.dat (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe" "SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe" "MSMSGS"="\"c:\\PROGRA~1\\MESSEN~1\\Msmsgs.exe\" /background" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "ATIPTA"="\"C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe\"" "SynTPLpr"="C:\\Programme\\Synaptics\\SynTP\\SynTPLpr.exe" "SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe" "AudioDeck"="C:\\Programme\\VIAudioi\\SBADeck\\ADeck.exe 1 " "NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe" "PCMService"="\"C:\\Program Files\\CyberLink\\PowerCinema\\PCMService.exe\"" "RemoteControl"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe" "Lexmark X1100 Series"="\"C:\\Programme\\Lexmark X1100 Series\\lxbkbmgr.exe\"" "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "BDNewsAgent"="\"c:\\programme\\softwin\\bitdefender8\\bdnagent.exe\"" "BDSwitchAgent"="C:\\Programme\\Softwin\\BitDefender8\\bdswitch.exe" "Zone Labs Client"="C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe" "EPSON Stylus DX4200 Series"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\E_FATIAEE.EXE /P26 \"EPSON Stylus DX4200 Series\" /O6 \"USB002\" /M \"Stylus DX4200\"" "QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime" "iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\"" "KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\ 65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoBandCustomize"=dword:00000000 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run] [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost] HTTPFilter REG_MULTI_SZ HTTPFilter\0\0 LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0 NetworkService REG_MULTI_SZ DnsCache\0\0 DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0 rpcss REG_MULTI_SZ RpcSs\0\0 imgsvc REG_MULTI_SZ StiSvc\0\0 termsvcs REG_MULTI_SZ TermService\0\0 Contents of the 'Scheduled Tasks' folder C:\WINDOWS\tasks\1-Klick-Wartung.job C:\WINDOWS\tasks\AppleSoftwareUpdate.job ******************************************************************** catchme 0.1 W2K/XP - userland rootkit detector by Gmer, 17 October 2006 http://www.gmer.net scanning hidden processes ... scanning hidden services ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 ******************************************************************** Completion time: 07-02-04 15:35:37 Hier ist der System32-Teil von Datfindbat: Datentr„ger in Laufwerk C: ist 440977 Volumeseriennummer: 14B0-2777 Verzeichnis von C:\WINDOWS\system32 04.02.2007 15:31 72.866 perfc007.dat 04.02.2007 15:31 60.446 perfc009.dat 04.02.2007 15:31 410.704 perfh007.dat 04.02.2007 15:31 396.876 perfh009.dat 04.02.2007 15:31 951.344 PerfStringBackup.INI 04.02.2007 15:29 54.112 vsconfig.xml 04.02.2007 15:28 1.158 wpa.dbl 27.12.2006 06:58 274.168 FNTCACHE.DAT 25.10.2006 19:15 65.536 QuickTimeVR.qtx 25.10.2006 19:15 49.152 QuickTime.qts 04.10.2006 21:03 9.639.336 MRT.exe 01.10.2006 16:48 4.212 zllictbl.dat Hier ist der systemtemp-Teil von Datfindbat: Datentr„ger in Laufwerk C: ist 440977 Volumeseriennummer: 14B0-2777 Verzeichnis von C:\DOKUME~1\Michael\LOKALE~1\Temp 04.02.2007 15:41 289 datFind-1.zip 04.02.2007 15:41 40.960 rtdrvmon.exe 04.02.2007 15:40 289 datFind.zip 3 Datei(en) 41.538 Bytes 0 Verzeichnis(se), 77.362.470.912 Bytes frei Hier ist der system-Teil von Datfindbat: Datentr„ger in Laufwerk C: ist 440977 Volumeseriennummer: 14B0-2777 Verzeichnis von C:\WINDOWS 04.02.2007 15:28 0 0.log 04.02.2007 15:27 4.034 ModemLog_Motorola SM56 Data Fax Modem.txt 04.02.2007 15:27 1.684.044 WindowsUpdate.log 04.02.2007 15:26 159 wiadebug.log 04.02.2007 15:26 50 wiaservc.log 04.02.2007 15:26 2.048 bootstat.dat 04.02.2007 15:25 32.556 SchedLgU.Txt 04.02.2007 13:23 703 win.ini 29.01.2007 20:56 54.156 QTFont.qfn 22.01.2007 00:21 1.409 QTFont.for 20.01.2007 22:14 116 NeroDigital.ini 14.01.2007 12:36 353.805 setupapi.log 31.12.2006 15:46 686 setupact.log 30.12.2006 22:02 121 GEARInstall.log 26.12.2006 23:18 13.714 wmsetup.log 26.12.2006 22:40 400 ODBC.INI 20.11.2006 11:38 465 lexstat.ini 07.11.2006 14:03 30 Iedit.INI 06.11.2006 00:00 12.862 EPISMG00.SWB 30.10.2006 16:05 31 EPSMTL32.TXT 27.10.2006 10:38 379 wmsetup10.log 22.10.2006 00:09 88.179 comsetup.log 22.10.2006 00:09 42.690 iis6.log 22.10.2006 00:09 1.393 imsins.log 22.10.2006 00:09 14.706 ocmsn.log 22.10.2006 00:09 101.437 tsoc.log 22.10.2006 00:09 53.495 ntdtcsetup.log 22.10.2006 00:09 15.574 KB924191.log 22.10.2006 00:09 13.287 msgsocm.log 22.10.2006 00:09 125.388 ocgen.log 22.10.2006 00:09 264.815 FaxSetup.log 22.10.2006 00:09 15.460 updspapi.log 22.10.2006 00:09 1.393 imsins.BAK 22.10.2006 00:09 15.295 KB922819.log 22.10.2006 00:09 13.476 KB923414.log 22.10.2006 00:09 16.048 KB924496.log 22.10.2006 00:06 10.781 KB923191.log 11.10.2006 14:52 358.058 DPINST.LOG 08.10.2006 19:07 32 wininit.ini Hier ist der tmp-Teil von Datfindbat: Datentr„ger in Laufwerk C: ist 440977 Volumeseriennummer: 14B0-2777 Verzeichnis von C:\WINDOWS\Temp 04.02.2007 15:28 256 ZLT00a88.TMP 04.02.2007 15:28 256 ZLT00a50.TMP 2 Datei(en) 512 Bytes 0 Verzeichnis(se), 77.362.458.624 Bytes frei Hier ist der Down-Teil von Datfindbat: Datentr„ger in Laufwerk C: ist 440977 Volumeseriennummer: 14B0-2777 Verzeichnis von C:\WINDOWS\Downloaded Program Files 30.11.2005 07:59 65 desktop.ini 10.11.2005 14:05 876 jinstall-1_5_0_06.inf 25.07.2002 17:13 24.576 dwusplay.dll 25.07.2002 17:13 196.608 dwusplay.exe 25.07.2002 17:05 172.032 isusweb.dll 5 Datei(en) 394.157 Bytes 0 Verzeichnis(se), 77.362.294.784 Bytes frei Hier ist der Sys-Teil von Datfindbat : Datentr„ger in Laufwerk C: ist 440977 Volumeseriennummer: 14B0-2777 Verzeichnis von C:\ 04.02.2007 15:46 0 sys.txt 04.02.2007 15:45 497 down.txt 04.02.2007 15:44 320 tmp.txt 04.02.2007 15:43 7.915 system.txt 04.02.2007 15:43 388 systemtemp.txt 04.02.2007 15:41 99.558 system32.txt 04.02.2007 15:35 5.415 ComboFix.txt 04.02.2007 15:26 1.073.139.712 hiberfil.sys 04.02.2007 15:26 1.610.612.736 pagefile.sys 04.04.2006 20:12 16 mxfilerelatedcache.mxc2 04.04.2006 15:25 1.630 haxfix.txt 04.04.2006 15:23 26 haxdel.txt 04.04.2006 15:23 14 notsub32.txt 04.04.2006 15:20 16 safeserv.txt 04.04.2006 15:20 16 serv.txt 23.03.2006 22:45 12.621 clean.bat 09.01.2006 16:01 27 expand.txt 09.01.2006 16:00 211 boot.ini 30.11.2005 09:40 1.418 868000440977.dat 30.11.2005 08:48 217 via.log 30.11.2005 08:45 185 ati.log 30.11.2005 08:23 251.712 ntldr 30.11.2005 08:01 0 AUTOEXEC.BAT 30.11.2005 08:01 0 MSDOS.SYS 30.11.2005 08:01 0 CONFIG.SYS 30.11.2005 08:01 0 IO.SYS 11.10.2004 06:18 19 LANG.TXT 04.08.2004 13:00 4.952 bootfont.bin 04.08.2004 13:00 2 oem.tag 04.08.2004 13:00 47.564 NTDETECT.COM 11.04.2002 23:00 53.248 gendel32.exe 13.03.2002 13:16 11 Language.txt 32 Datei(en) 2.684.240.446 Bytes 0 Verzeichnis(se), 77.362.290.688 Bytes frei Hoffe die logs sind alle die richtigen und wäre suiper, wenn mir damit geholfen werden könnte. Mfg Flo |
|
|
||
04.02.2007, 16:29
Ehrenmitglied
Beiträge: 29434 |
#4
Flo_k_88
oeffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" Zitat O17 - HKLM\System\CCS\Services\Tcpip\..\{66F16E34-C6FF-4BC9-894F-AF4013E6DC33}: NameServer = 85.255.113.107,85.255.112.182«« scanne und poste den scanreport http://virus-protect.org/artikel/tools/fixwareout.html »» poste das neue log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.02.2007, 19:09
...neu hier
Themenstarter Beiträge: 6 |
#5
hier das fixwareout log
Fixwareout Last edited 1/30/2007 Post this report in the forums please ... Prerun check »»»»» HKLM run and Winlogon System values »»»»» System restarted Reg Entries that were deleted HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "xedocne" HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "gib_ogol" HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "repiwoh" HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "llun" HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "23plhps" HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "mgcppp" HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "tesvaf" HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "32refaselif" ... Random Runs removed from HKLM ... "C:\Dokumente und Einstellungen\All Users\Favoriten\Download Free Spyware Remover.url" Deleted "C:\Dokumente und Einstellungen\All Users\Favoriten\NEW VIAGRA at Half Price!.url" Deleted "C:\Dokumente und Einstellungen\All Users\Favoriten\Online Chat With Nude Girls.url" Deleted "C:\Dokumente und Einstellungen\All Users\Favoriten\Order CIALIS online without leaving home..url" Deleted "C:\Dokumente und Einstellungen\All Users\Favoriten\PC protection in under 2 minutes!.url" Deleted "C:\Dokumente und Einstellungen\All Users\Favoriten\SEX Dating - Real Girls For Real SEX.url" Deleted "C:\Dokumente und Einstellungen\All Users\Favoriten\Stop PopUps On Your Computer.url" Deleted "C:\Dokumente und Einstellungen\All Users\Favoriten\VIAGRA at incredible low price. Bonus Pills!.url" Deleted "C:\Dokumente und Einstellungen\All Users\Favoriten\View ADULT photos of REAL GIRLS!.url" Deleted C:\WINDOWS\RDT.INI Deleted C:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy Deleted C:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating Deleted C:\Dokumente und Einstellungen\All Users\Favoriten\Spyware Uninstall Deleted C:\Dokumente und Einstellungen\Michael\Favoriten\Spyware Uninstall Deleted »»»»» Misc files. »»»»» Checking for older varients. »»»»» Postrun check »»»»» HKLM run »»»»» Winlogon System value "System"="" »»»»» PLEASE NOTE, There CAN be LEGITIMATE FILES LISTED IN THIS SECTION. This WILL/CAN also list Legit Files, Submit them at Virustotal Search five digit cs, dm kd and jb files. »»»»» »»»»» Current runs [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATIPTA"="\"C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe\"" "SynTPLpr"="C:\\Programme\\Synaptics\\SynTP\\SynTPLpr.exe" "SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe" "AudioDeck"="C:\\Programme\\VIAudioi\\SBADeck\\ADeck.exe 1 " "NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe" "PCMService"="\"C:\\Program Files\\CyberLink\\PowerCinema\\PCMService.exe\"" "RemoteControl"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe" "Lexmark X1100 Series"="\"C:\\Programme\\Lexmark X1100 Series\\lxbkbmgr.exe\"" "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "BDNewsAgent"="\"c:\\programme\\softwin\\bitdefender8\\bdnagent.exe\"" "BDSwitchAgent"="C:\\Programme\\Softwin\\BitDefender8\\bdswitch.exe" "Zone Labs Client"="C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe" "EPSON Stylus DX4200 Series"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\E_FATIAEE.EXE /P26 \"EPSON Stylus DX4200 Series\" /O6 \"USB002\" /M \"Stylus DX4200\"" "QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime" "iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\"" "KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\ 65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe" "SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe" "MSMSGS"="\"c:\\PROGRA~1\\MESSEN~1\\Msmsgs.exe\" /background" Hosts file was reset, If you use a custom hosts file please replace it hier hijackthis: Logfile of HijackThis v1.99.1 Scan saved at 19:09:35, on 04.02.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\VIAudioi\SBADeck\ADeck.exe C:\Program Files\CyberLink\PowerCinema\PCMService.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\programme\softwin\bitdefender8\bdnagent.exe C:\Programme\Softwin\BitDefender8\bdswitch.exe C:\Programme\Lexmark X1100 Series\lxbkbmon.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Hijack This\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1 O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PCMService] "C:\Program Files\CyberLink\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [BDNewsAgent] "c:\programme\softwin\bitdefender8\bdnagent.exe" O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender8\bdswitch.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB002" /M "Stylus DX4200" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [MSMSGS] "c:\PROGRA~1\MESSEN~1\Msmsgs.exe" /background O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing) O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing) Hoffe es hilft weiter... |
|
|
||
05.02.2007, 10:17
Ehrenmitglied
Beiträge: 29434 |
#6
Flo_k_88
das problem muesste behoben sein - die Wareout-Verseuchung hat die Internetverbindung auf einen Server in die Ukraine umgeleitet. -------------- «« SDFix.zip entpacken http://virus-protect.org/artikel/tools/sdfix.html es erscheint folgende Meldung: "The SDFix Folder has been extracted to %systemdrive% - Please run from that location. (%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )" unter C:\ findet man nun den SDFix-Ordner boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet) gehe in den Ordner C:\SDFix RunThis.bat doppelt klicken schreibe: Y folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag, __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.02.2007, 15:30
...neu hier
Themenstarter Beiträge: 6 |
#7
Hallo, Ukraine??? hat das irgendwelche schlimmen Auswirkungen auf mein surfen gehabt,oder kann man das nicht sagen? z.B. Online Banking oder so.
Hier ist das SDFIX-Log: SDFix: Version 1.63 05.02.2007 - 15:22:09,82 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Safe Mode: Checking Services: Name: Path: Restoring Windows Registry Entries Restoring Default Hosts File Rebooting... Normal Mode: Checking Files: No Trojan Files Found.. ADS Check: C:\WINDOWS\system32 No streams found. Final Check: Remaining Services: ------------------ Authorized Application Key Export: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\ StandardProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Program Files\\CyberLink\\PowerCinema\\PowerCinema.exe"="C:\\Program Files\\CyberLink\\PowerCinema\\PowerCinema.exe:*:EnabledowerCinema" "C:\\Programme\\Yahoo!\\Messenger\\YPager.exe"="C:\\Programme\\Yahoo!\\Messenger\\YPager.exe:*:Enabled:Yahoo! Messenger" "C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"="C:\\Programme\\Yahoo!\\Messenger\\YServer.exe:*:Enabled:Yahoo! FT Server" "C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite" "C:\\Programme\\Messenger\\Msmsgs.exe"="C:\\Programme\\Messenger\\Msmsgs.exe:*:Enabled:Windows Messenger" "\\??\\C:\\WINDOWS\\system32\\winlogon.exe"="\\??\\C:\\WINDOWS\\system32\\winlogon.exe:*:Enabled:explorer" "C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)" "C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\ AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)" "C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5" Remaining Files: --------------- Backups Folder: - C:\SDFix\backups\backups.zip Checking For Files with Hidden Attributes : C:\Programme\Microsoft Works Suite 2005\Setup\mnyinsta.dll C:\Programme\Microsoft Works Suite 2005\Setup\setuplng.dll C:\Programme\Microsoft Works Suite 2005\Setup\launcher.exe C:\Programme\Microsoft Works Suite 2005\Setup\RmvSuite.exe C:\Programme\Microsoft Works Suite 2005\Setup\unregwtr.exe C:\hiberfil.sys Finished Danke schön schonmal für die Hilfe |
|
|
||
05.02.2007, 15:59
Ehrenmitglied
Beiträge: 29434 |
#8
Flo_k_88
das Surfen wurde beeintraechtigt, denn die Popups, mit denen du belaestigt wurdest, sind gut in den favoriten sichtbar - siehe oben (schon geloescht) Zitat O17 - HKLM\System\CCS\Services\Tcpip\..\{66F16E34-C6FF-4BC9-894F-AF4013E6DC33}: NameServer = 85.255.113.107,85.255.112.182Fuer Onlinebanking ist nichts zu befuerchten ------------------------------------------------------------------ Gehe in die Registry Start - Ausfuehren - regedit klicke durch zum Schluessel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\ AuthorizedApplications\List| \??\C:\WINDOWS\system32\winlogon.exe - loeschen PC neustarten -------------------------------------------------------------------- «« Start > Ausfuehren --> reinschreiben --> cmd und ok. kopiere rein dir /s /a "c:\winlogon*.*" > c:\find.txt & start notepad c:\find.txt und poste alles, was im Texteditor erscheint ---------------------------------------------------------------- «« http://virus-protect.org/artikel/tools/sdfix.html im Normalmodus RunThis.bat doppelt klicken reinschreiben: 3 3 : wird Sophos geladen - waehle 6 - scanne und poste den scanreport __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.02.2007, 20:08
...neu hier
Themenstarter Beiträge: 6 |
#9
Hi,
hier ist der erste Report: Datentr„ger in Laufwerk C: ist 440977 Volumeseriennummer: 14B0-2777 Verzeichnis von c:\WINDOWS\$NtUninstallKB883529$ 04.08.2004 13:00 507.392 winlogon.exe 1 Datei(en) 507.392 Bytes Verzeichnis von c:\WINDOWS\I386 04.08.2004 13:00 261.469 WINLOGON.EX_ 1 Datei(en) 261.469 Bytes Verzeichnis von c:\WINDOWS\system32 25.08.2004 17:59 507.904 winlogon.exe 1 Datei(en) 507.904 Bytes Verzeichnis von c:\WINDOWS\system32\dllcache 25.08.2004 17:59 507.904 winlogon.exe 1 Datei(en) 507.904 Bytes Anzahl der angezeigten Dateien: 4 Datei(en) 1.784.669 Bytes 0 Verzeichnis(se), 77.314.441.216 Bytes frei und hier der zweite: Sophos Anti-Virus Version 4.14.0 [Win32/Intel] Virus data version 4.14, February 2007 Includes detection for 216095 viruses, trojans and worms Copyright (c) 1989-2007 Sophos Plc, www.sophos.com System time 19:40:32, System date 06 February 2007 Command line qualifiers are: -f -remove -nc -nb --stop-scan IDE directory is: C:\SDFix\IDE Password protected file C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Adobe\Acrobat\7.0\Messages\DEU\read0600win_DEUyhoo0010.pdf Password protected file C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Adobe\Acrobat\7.0\Messages\DEU\read0700win_DEUadbe0700.pdf Could not open C:\hiberfil.sys Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\DEU\RdrMsgDEU.pdf Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\DEU\read0600win_DEUyhoo0010.pdf Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\ENU\RdrMsgENU.pdf Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\ENU\read0600win_ENUyhoo0010.pdf Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\RdrMsgSplash.pdf Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\WebSearch\WebSearchENU.pdf Could not open C:\System Volume Information\_restore{FFAC202D-9636-4BE4-AC2F-76EB9D7123E5}\RP73\A0031861.exe Could not open C:\System Volume Information\_restore{FFAC202D-9636-4BE4-AC2F-76EB9D7123E5}\RP96\A0040448.exe 1 boot sector swept. 24005 files swept in 25 minutes and 14 seconds. 11 errors were encountered. No viruses were discovered. 8 encrypted files were not checked. Ending Sophos Anti-Virus. danke für die ganzen tipps |
|
|
||
07.02.2007, 00:04
Ehrenmitglied
Beiträge: 29434 |
#10
es muesste wieder alles i.o. sein
wenn es noch Probleme geben sollte, melde dich. mittlerweile kannst du noch einen onlinscan mit ewido machen http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.02.2007, 15:21
...neu hier
Themenstarter Beiträge: 6 |
#11
Hey,
super, vielen dank für deine Hilfe!!! Wenn noch was sein sollte, melde ich mich, danke danke danke Mfg Flo |
|
|
||
Einige (viele) dieser Trojaner befinden sich bereits in der Quarantäne von Antivir.
Jedoch ploppen immer wieder neue Warnungen auf und ich hätte gerne mein System wieder Trojaner frei. Kann mir da jemand vielleicht helfen?
Mit freundlichem Gruß
Flo
Log-File:
AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Sonntag, 4. Februar 2007 13:52
Es wird nach 662599 Virenstämmen gesucht.
Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: Michael
Computername: FADDER
Versionsinformationen:
BUILD.DAT : 217 12749 Bytes 05.12.2006 16:57:00
AVSCAN.EXE : 7.0.3.5 208936 Bytes 16.01.2007 14:18:35
AVSCAN.DLL : 7.0.3.0 35880 Bytes 15.12.2006 06:15:19
LUKE.DLL : 7.0.3.2 143400 Bytes 15.12.2006 06:15:21
LUKERES.DLL : 7.0.2.0 9256 Bytes 15.12.2006 06:15:21
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 12:54:58
ANTIVIR1.VDF : 6.37.0.153 3131392 Bytes 12.01.2007 20:18:17
ANTIVIR2.VDF : 6.37.0.235 374784 Bytes 29.01.2007 10:06:50
ANTIVIR3.VDF : 6.37.1.27 108544 Bytes 02.02.2007 12:03:27
AVEWIN32.DLL : 7.3.1.34 2290176 Bytes 04.02.2007 12:03:27
AVPREF.DLL : 7.0.2.0 23592 Bytes 15.12.2006 06:15:17
AVREP.DLL : 6.37.1.1 1105960 Bytes 01.02.2007 10:06:51
AVRPBASE.DLL : 7.0.0.0 2162728 Bytes 26.05.2006 18:16:06
AVPACK32.DLL : 7.2.0.5 368680 Bytes 27.10.2006 11:15:33
AVREG.DLL : 7.0.1.2 30760 Bytes 16.01.2007 14:18:35
NETNT.DLL : 6.32.0.0 6696 Bytes 27.09.2005 06:56:48
RCIMAGE.DLL : 7.0.1.3 2097192 Bytes 15.12.2006 06:15:10
RCTEXT.DLL : 7.0.12.0 77864 Bytes 15.12.2006 06:15:10
Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Laufwerke
Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: D:,
Durchsuche Speicher..............: ein
Durchsuche Laufende Programme....: ein
Durchsuche Registrierung.........: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: aus
Erweiterte Sucheinstellungen.....: 0x00007000
Beginn des Suchlaufs: Sonntag, 4. Februar 2007 13:52
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'vsmon.exe' - '0' Module wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'E_FATIAEE.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'zlclient.exe' - '0' Module wurden durchsucht
Durchsuche Prozess 'bdswitch.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'bdnagent.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'lxbkbmon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'lxbkbmgr.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'PCMService.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ADeck.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'SynTPLpr.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'atiptaxx.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'bdss.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'CLSched.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'xcommsvr.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'CLMLService.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'CLMLServer.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'CLCapSvc.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'LEXPPS.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'LEXBCES.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Module wurden durchsucht
Es wurden '48' Prozesse mit '48' Modulen durchsucht
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( 23 Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\' <440977>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\'
Der zu durchsuchende Pfad D:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.
Ende des Suchlaufs: Sonntag, 4. Februar 2007 14:26
Benötigte Zeit: 34:41 min
Der Suchlauf wurde vollständig durchgeführt.
5638 Verzeichnisse wurden überprüft
541171 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
541171 Dateien ohne Befall
7588 Archive wurden durchsucht
2 Warnungen
51 Hinweise