Troger, Smitfraud, PestTrap: Bekomme nichts gelöscht |
||
---|---|---|
#0
| ||
21.03.2007, 12:02
...neu hier
Beiträge: 3 |
||
|
||
21.03.2007, 12:15
Moderator
Beiträge: 7805 |
#2
Du kannst ersteinmal http://siri.geekstogo.com/SmitfraudFix_De.php nutzen, aber das reicht noch nicht. Da sind div. andere Dinge(need2find usw).
Danach aktualisiere Antivir, stelle dein Antivir ein, wie hier beschrieben: http://board.protecus.de/t23979.htm starte im abgesicherten Modus: http://www.bsi.bund.de/av/texte/wiederher.htm Nutze die Datentraegerbereinigung(ausser alte Dateien komprimieren) ZUusaetzlich noch die Systemwiederherstellung uber "weitere Optionen" saeubern. http://support.microsoft.com/default.aspx?scid=kb;de;315246 Lasse Antivir dort deine Festplatten pruefen und alle Funde in die Quarantäne schieben. Dann den Rechner neu starten, poste den Bericht, den Antivir im abgesicherten Modus erstellt hat, den Combofix Report und dazu noch ein aktuelles Hijackthis log(vor dem Start Hijackthis.exe in test.com umbenennen). Dann kann Sabina sich um den Rest kuemmern. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
21.03.2007, 14:14
...neu hier
Themenstarter Beiträge: 3 |
#3
hallo ralf, anbei die gewünschten reports (hijackthis and combofix)
es scheint so, als ob das problem behoben ist. es läuft, zumindest für mich als security-laie, alles wieder normal. antivir im abgesichterten modus läuft bei mir leider nicht. mein spybot - search & destroy berichtet nun auch keine "spione" mehr... gibt es noch probleme gemäss den berichten? wenn nein, dann bedanke ich mich jetzt schon mal recht herzlich für den hinweis. klasse board und toll das es solche profis gibts, die einem unbürokratisch und schnell hilfe leisten. ----------------------------------------------------------------- ogfile of HijackThis v1.99.1 Scan saved at 13:55:41, on 21.03.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Cognos\Cognos Controller\Server\FrangoServerBatchPrc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\PROGRA~1\MI6841~1\MSSQL\binn\sqlservr.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\ltmoh\Ltmoh.exe C:\Programme\Samsung\AVStation premium\bin\AVStation agent.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\ScanSoft\PaperPort\pptd40nt.exe C:\Programme\Brother\ControlCenter2\brctrcen.exe C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe C:\Programme\Java\jre1.5.0_03\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe C:\Softwaree\WinZip\WZQKPICK.EXE C:\WINDOWS\system32\wuauclt.exe C:\Programme\internet explorer\iexplore.exe C:\SOFTWA~1\WINZIP\winzip32.exe C:\Dokumente und Einstellungen\MS\Lokale Einstellungen\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = msbproxy.sulzer.ch:8080 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Programme\Need2Find\bar\1.bin\ND2FNBAR.DLL (file missing) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {A6ACAE64-F798-4930-AD86-BD3FB32038DB} - C:\Programme\Internet Security\isadd.dll (file missing) O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe O4 - HKLM\..\Run: [AVStation premium] "C:\Programme\Samsung\AVStation premium\bin\AVStation agent.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04g\BrStDvPt.exe O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Softwaree\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Frango Batch Server (FrangoServerBatch) - Frango AB - C:\Programme\Cognos\Cognos Controller\Server\FrangoServerBatchPrc.exe O23 - Service: Frango License Server (frLicServer) - Unknown owner - C:\Programme\Cognos\Cognos Controller\Server\frlicserver.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe -------------------------------------------------------------------- "MS" - 07-03-21 14:01:05 Service Pack 2 ComboFix 07-03-21.3 - Running from: "C:\Dokumente und Einstellungen\MS\Desktop" ((((((((((((((((((((((((((((((( Files Created from 2007-02-21 to 2007-03-21 )))))))))))))))))))))))))))))))))) 2007-03-21 12:31 79,360 --a------ C:\WINDOWS\system32\swxcacls.exe 2007-03-21 12:31 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2007-03-21 12:31 4,222 --a------ C:\WINDOWS\system32\tmp.reg 2007-03-21 12:31 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2007-03-21 12:31 135,168 --a------ C:\WINDOWS\system32\swreg.exe 2007-03-20 20:53 814,592 --a------ C:\WINDOWS\is-3OF2R.exe 2007-03-20 20:53 <DIR> d-------- C:\Programme\Registry System Wizard 2007-03-20 20:32 <DIR> d-------- C:\Rustbfix 2007-03-20 20:19 <DIR> d-------- C:\!KillBox 2007-03-20 20:14 90,112 --a------ C:\WINDOWS\system32\RegDACL.exe 2007-03-20 20:14 8,234 --a------ C:\clean.bat 2007-03-20 20:14 53,248 --a------ C:\WINDOWS\system32\process.exe 2007-03-20 20:14 40,960 --a------ C:\WINDOWS\system32\swsc.exe 2007-03-20 20:14 4,096 --a------ C:\WINDOWS\system32\reboot.exe 2007-03-20 20:14 38,400 --a------ C:\WINDOWS\system32\moveex.exe 2007-03-20 12:32 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy 2007-03-20 12:21 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll 2007-03-20 12:21 <DIR> d-------- C:\Programme\Gemeinsame Dateien\PC Tools 2007-03-19 12:32 <DIR> d-------- C:\DOKUME~1\MS\ANWEND~1\SecondLife 2007-03-10 23:44 <DIR> d-------- C:\Programme\Skype 2007-03-08 14:30 <DIR> d-------- C:\DOKUME~1\MS\ANWEND~1\GMX 2007-02-28 08:43 <DIR> d--hs---- C:\WINDOWS\ftpcache (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-03-21 12:38 -------- d-------- C:\Programme\mozilla thunderbird 2007-03-21 12:28 -------- d-------- C:\DOKUME~1\MS\ANWEND~1\apple computer 2007-02-28 08:55 -------- d-------- C:\DOKUME~1\MS\ANWEND~1\u3 2007-02-17 08:00 -------- dr------- C:\DOKUME~1\MS\ANWEND~1\brother 2007-02-11 19:33 3428 --a------ C:\WINDOWS\mozver.dat 2007-02-11 19:33 0 --a------ C:\WINDOWS\nsreg.dat 2007-02-11 19:33 -------- d-------- C:\DOKUME~1\MS\ANWEND~1\thunderbird 2007-02-11 19:33 -------- d-------- C:\DOKUME~1\MS\ANWEND~1\talkback 2007-02-10 11:20 -------- d-------- C:\Programme\limewire 2007-02-10 11:20 -------- d-------- C:\Programme\java 2007-02-10 11:12 -------- d--h----- C:\Programme\installshield installation information 2007-02-10 11:12 -------- d-------- C:\Programme\kazaa 2007-02-10 08:51 10 --a------ C:\WINDOWS\smdat32m.sys 2007-02-03 14:13 65 --a------ C:\WINDOWS\system32\bd7820n.dat 2007-02-03 14:12 -------- d-------- C:\Programme\common files 2007-02-03 14:12 -------- d-------- C:\Programme\brother 2007-01-31 19:15 -------- d-------- C:\Programme\scansoft 2007-01-31 19:15 -------- d-------- C:\Programme\Gemeinsame Dateien\scansoft shared 2007-01-25 17:57 -------- d-------- C:\Programme\winamp (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe" "MsnMsgr"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background" "SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "SoundMAXPnP"="C:\\Programme\\Analog Devices\\SoundMAX\\SMax4PNP.exe" "SoundMAX"="C:\\Programme\\Analog Devices\\SoundMAX\\Smax4.exe /tray" "SynTPLpr"="C:\\Programme\\Synaptics\\SynTP\\SynTPLpr.exe" "SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe" "AGRSMMSG"="AGRSMMSG.exe" "LtMoh"="C:\\Programme\\ltmoh\\Ltmoh.exe" "MagicKeyboard"="C:\\Programme\\SAMSUNG\\MagicKBD\\PreMKBD.exe" "AVStation premium"="\"C:\\Programme\\Samsung\\AVStation premium\\bin\\AVStation agent.exe\"" "NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe" "FreePDF Assistant"="C:\\Programme\\FreePDF_XP\\fpassist.exe" "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\"" "QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime" "Adobe Photo Downloader"="\"C:\\Programme\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\apdproxy.exe\"" "igfxtray"="C:\\WINDOWS\\system32\\igfxtray.exe" "igfxhkcmd"="C:\\WINDOWS\\system32\\hkcmd.exe" "igfxpers"="C:\\WINDOWS\\system32\\igfxpers.exe" "SSBkgdUpdate"="\"C:\\Programme\\Gemeinsame Dateien\\Scansoft Shared\\SSBkgdUpdate\\SSBkgdupdate.exe\" -Embedding -boot" "PaperPort PTD"="C:\\Programme\\ScanSoft\\PaperPort\\pptd40nt.exe" "IndexSearch"="C:\\Programme\\ScanSoft\\PaperPort\\IndexSearch.exe" "SetDefPrt"="C:\\Programme\\Brother\\Brmfl04g\\BrStDvPt.exe" "ControlCenter2.0"="C:\\Programme\\Brother\\ControlCenter2\\brctrcen.exe /autorun" "SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_03\\bin\\jusched.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run] "user32.dll"="C:\\Programme\\Internet Security\\isamntr.exe" "rare"="C:\\Programme\\Internet Security\\pmsnrr.exe" [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost] HTTPFilter REG_MULTI_SZ HTTPFilter\0\0 LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0 NetworkService REG_MULTI_SZ DnsCache\0\0 DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0 rpcss REG_MULTI_SZ RpcSs\0\0 imgsvc REG_MULTI_SZ StiSvc\0\0 termsvcs REG_MULTI_SZ TermService\0\0 [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{427c001c-7d53-11da-ae62-001377033a85}] Shell\AutoRun\command F:\LaunchU3.exe Contents of the 'Scheduled Tasks' folder C:\WINDOWS\tasks\Symantec NetDetect.job ******************************************************************** catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006 http://www.gmer.net scanning hidden processes ... scanning hidden services ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 ******************************************************************** |
|
|
||
21.03.2007, 17:13
Ehrenmitglied
Beiträge: 29434 |
#4
Marcellzg
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.03.2007, 17:41
...neu hier
Themenstarter Beiträge: 3 |
#5
wie gewünscht:-) and now?
was alles auf meinem desktop ist, wollte ich nicht zeigen, wird wohl auch hoffentlich nicht relevant sein. Verzeichnis von C:\Windows\System32\Com 27.11.2006 21:17 <DIR> . 27.11.2006 21:17 <DIR> .. 04.08.2004 13:00 195.584 comadmin.dll 04.08.2004 13:00 61.440 comempty.dat 04.08.2004 13:00 77.348 comexp.msc 04.08.2004 13:00 9.728 comrepl.exe 04.08.2004 13:00 5.120 comrereg.exe 04.08.2004 13:00 19.456 mtsadmin.tlb 6 Datei(en) 368.676 Bytes 2 Verzeichnis(se), 64.098.836.480 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 305B-B3D3 Verzeichnis von C:\Windows\system32\config 21.03.2007 11:31 <DIR> . 21.03.2007 11:31 <DIR> .. 21.03.2007 13:40 524.288 AppEvent.Evt 21.03.2007 13:40 782.336 default 21.03.2007 11:32 786.432 default.bak 27.11.2006 22:09 262.144 default.sav 21.03.2007 13:48 28.672 SAM 21.03.2007 11:32 262.144 SAM.bak 04.01.2006 01:51 65.536 SecEvent.Evt 21.03.2007 13:48 57.344 SECURITY 21.03.2007 11:32 262.144 SECURITY.bak 27.11.2006 20:56 262.144 security.sav 21.03.2007 13:48 28.684.288 software 21.03.2007 11:32 28.835.840 software.bak 27.11.2006 22:09 28.311.552 software.sav 21.03.2007 11:01 524.288 SysEvent.Evt 21.03.2007 13:49 3.932.160 system 21.03.2007 11:32 3.932.160 system.bak 27.11.2006 22:09 3.670.016 system.sav 07.01.2006 08:02 <DIR> systemprofile 27.11.2006 22:09 262.144 userdiff 27.11.2006 21:20 262.144 userdifr 19 Datei(en) 101.707.776 Bytes 3 Verzeichnis(se), 64.098.832.384 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 305B-B3D3 Verzeichnis von C:\WINDOWS\system32 Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 305B-B3D3 Verzeichnis von C:\WINDOWS\Downloaded Program Files 25.07.2002 17:13 24.576 dwusplay.dll 25.07.2002 17:13 196.608 dwusplay.exe 11.03.2006 21:29 243 hyplug.inf 11.03.2006 21:29 454.656 hyplug.ocx 16.09.2003 18:05 299.008 isusweb.dll 30.06.2005 14:19 227 MsnMessengerSetupDownloader.inf 13.08.2005 23:26 113.664 MsnMessengerSetupDownloader.ocx 27.08.2005 13:30 5.065 swflash.inf 8 Datei(en) 1.094.047 Bytes 0 Verzeichnis(se), 64.098.832.384 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 305B-B3D3 Verzeichnis von C:\Programme\Common Files 03.02.2007 14:12 <DIR> . 03.02.2007 14:12 <DIR> .. 03.02.2007 14:12 <DIR> InstallShield 0 Datei(en) 0 Bytes 3 Verzeichnis(se), 64.098.832.384 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 305B-B3D3 Verzeichnis von C:\Dokumente und Einstellungen\MS 21.03.2007 12:33 <DIR> . 21.03.2007 12:33 <DIR> .. 10.02.2007 11:54 <DIR> .limewire 04.01.2006 19:38 <DIR> Application Data 09.08.2006 14:46 28.672 atwbxdet.dll 09.08.2006 14:46 6.624 atwbxdet.tmp 26.06.2006 17:51 <DIR> Contacts 21.03.2007 17:35 <DIR> Desktop 12.03.2007 20:22 <DIR> Eigene Dateien 20.03.2007 20:01 <DIR> Favoriten 09.08.2006 14:47 17.906 gpc2k.php 25.02.2007 16:32 <DIR> Incomplete 06.04.2006 22:51 100 LuResult.txt 26.08.2006 11:16 <DIR> Phone Browser 07.01.2007 00:29 <DIR> Startmen 08.01.2006 09:54 <DIR> TwixTel 09.08.2006 14:47 125 webex.ini 5 Datei(en) 53.427 Bytes 12 Verzeichnis(se), 64.098.832.384 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 305B-B3D3 Verzeichnis von C:\Program Files 09.02.2007 22:58 <DIR> . 09.02.2007 22:58 <DIR> .. 09.08.2006 09:09 <DIR> WebEx 0 Datei(en) 0 Bytes 3 Verzeichnis(se), 64.098.832.384 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 305B-B3D3 Verzeichnis von C:\Dokumente und Einstellungen\MS\Lokale Einstellungen\Temporary Internet Files\Content.IE5 21.03.2007 17:25 7.438.336 index.dat 1 Datei(en) 7.438.336 Bytes 0 Verzeichnis(se), 64.098.832.384 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 305B-B3D3 Verzeichnis von C:\Dokumente und Einstellungen\MS\Lokale Einstellungen\Temp 21.03.2007 17:32 <DIR> . 21.03.2007 17:32 <DIR> .. 21.03.2007 16:15 14.535 Itinerary from BF (without client address).PDF 21.03.2007 14:50 0 JET2A5B.tmp 21.03.2007 13:50 0 JETE38A.tmp 21.03.2007 17:18 <DIR> msohtml 21.03.2007 17:18 <DIR> msohtml1 21.03.2007 16:32 737 TWAIN.LOG 21.03.2007 16:32 3 Twain001.Mtx 21.03.2007 16:32 156 Twunk001.MTX 21.03.2007 16:32 0 Twunk002.MTX 21.03.2007 16:31 16.400 ZTR11.tmp 21.03.2007 16:31 22.600 ZTR15.tmp 21.03.2007 16:31 10.864 ZTR19.tmp 21.03.2007 16:32 24.740 ZTR1D.tmp 21.03.2007 16:32 16.400 ZTR22.tmp 21.03.2007 16:32 22.600 ZTR26.tmp 21.03.2007 16:32 10.864 ZTR2A.tmp 21.03.2007 16:31 24.740 ZTRC.tmp 21.03.2007 17:30 512 ~DF7115.tmp 21.03.2007 17:28 512 ~DF9F8A.tmp 21.03.2007 17:28 512 ~DFA5A2.tmp 21.03.2007 13:50 16.384 ~DFF670.tmp 21.03.2007 17:30 142.848 ~WRC0001.tmp 21.03.2007 17:30 7.680 ~WRS0000.tmp 21 Datei(en) 333.087 Bytes 4 Verzeichnis(se), 64.098.828.288 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 305B-B3D3 Verzeichnis von C:\WINDOWS\Temp 21.03.2007 16:32 <DIR> . 21.03.2007 16:32 <DIR> .. 21.03.2007 17:34 512 err_adm.log 21.03.2007 13:49 16.384 Perflib_Perfdata_194.dat 2 Datei(en) 16.896 Bytes 2 Verzeichnis(se), 64.098.828.288 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 305B-B3D3 Verzeichnis von C:\ Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 305B-B3D3 Verzeichnis von C:\Programme 21.03.2007 12:35 <DIR> . 21.03.2007 12:35 <DIR> .. 18.03.2006 21:25 <DIR> ABViewer 5 31.01.2007 08:19 <DIR> Adobe 07.01.2006 22:13 <DIR> Ahead 04.01.2006 19:15 <DIR> Analog Devices 19.03.2007 23:09 <DIR> AntiVir PersonalEdition Classic 03.02.2007 14:12 <DIR> Brother 12.01.2006 06:12 <DIR> CCleaner 21.03.2007 11:15 <DIR> CleanUp! 04.01.2006 20:18 <DIR> Cognos 03.02.2007 14:12 <DIR> Common Files 04.01.2006 19:01 <DIR> ComPlus Applications 14.12.2006 21:43 <DIR> CrackPw2 08.01.2006 01:07 <DIR> FreePDF_XP 20.03.2007 12:21 <DIR> Gemeinsame Dateien 08.01.2006 01:06 <DIR> gs 20.03.2007 20:17 <DIR> HaxFix 04.01.2006 19:14 <DIR> Intel 27.11.2006 21:18 <DIR> Internet Explorer 20.05.2006 14:06 <DIR> iPod 20.05.2006 14:08 <DIR> iTunes 10.02.2007 11:20 <DIR> Java 10.02.2007 11:12 <DIR> Kazaa 10.02.2007 11:20 <DIR> LimeWire 04.01.2006 19:16 <DIR> ltmoh 09.01.2006 08:36 <DIR> MailOut 07.01.2006 08:06 <DIR> Messenger 28.11.2006 09:33 <DIR> Microsoft ActiveSync 07.01.2007 00:29 <DIR> microsoft frontpage 07.01.2007 00:23 <DIR> Microsoft Office 04.01.2006 19:46 <DIR> Microsoft SQL Server 27.11.2006 22:10 <DIR> Microsoft Visual Studio 04.01.2006 19:36 <DIR> Microsoft Works 04.01.2006 19:36 <DIR> Microsoft.NET 04.01.2006 19:02 <DIR> Movie Maker 21.03.2007 16:31 <DIR> Mozilla Thunderbird 04.01.2006 19:00 <DIR> MSN 04.01.2006 19:00 <DIR> MSN Gaming Zone 04.01.2006 19:21 <DIR> MSXML 4.0 04.01.2006 19:02 <DIR> NetMeeting 06.04.2006 22:47 <DIR> Norton AntiVirus 04.01.2006 19:00 <DIR> Online Services 04.01.2006 19:03 <DIR> Online-Dienste 27.11.2006 21:18 <DIR> Outlook Express 07.01.2006 22:04 <DIR> PIC 20.05.2006 14:09 <DIR> QuickTime 21.03.2007 12:37 <DIR> Registry System Wizard 07.01.2006 22:06 <DIR> Samsung 31.01.2007 19:15 <DIR> ScanSoft 04.01.2006 20:40 <DIR> Seagate Software 12.03.2007 20:22 <DIR> Skype 20.03.2007 12:33 <DIR> Spybot - Search & Destroy 06.04.2006 22:50 <DIR> Symantec 04.01.2006 19:16 <DIR> Synaptics 26.08.2006 10:54 <DIR> Ulead Systems 25.01.2007 17:57 <DIR> Winamp 27.11.2006 21:18 <DIR> Windows Media Player 07.01.2006 22:21 <DIR> Windows Media-Komponenten 04.01.2006 19:00 <DIR> Windows NT 04.01.2006 19:05 <DIR> xerox 0 Datei(en) 0 Bytes 61 Verzeichnis(se), 64.098.824.192 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 305B-B3D3 Verzeichnis von C:\Dokumente und Einstellungen\MS\Lokale Einstellungen\Anwendungsdaten 31.01.2007 08:23 <DIR> Adobe 22.04.2006 11:30 <DIR> Ahead 20.05.2006 14:09 <DIR> Apple Computer 21.08.2006 08:49 <DIR> ApplicationHistory 21.08.2006 08:09 <DIR> assembly 21.03.2007 15:28 194.560 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini 09.01.2006 18:49 135 fusioncache.dat 07.01.2007 18:48 67.072 GDIPFONTCACHEV1.DAT 07.01.2006 22:20 <DIR> Help 06.01.2006 20:50 <DIR> Identities 21.03.2007 14:20 <DIR> Microsoft 14.08.2006 19:04 <DIR> Mindjet 11.02.2007 19:33 <DIR> Thunderbird 20.01.2007 19:15 <DIR> WMTools Downloaded Files 15.03.2006 22:25 <DIR> {7148F0A6-6813-11D6-A77B-00B0D0142000} 3 Datei(en) 261.767 Bytes 12 Verzeichnis(se), 64.098.824.192 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 305B-B3D3 Verzeichnis von C:\Dokumente und Einstellungen\MS\Anwendungsdaten 06.03.2007 14:24 <DIR> Adobe 31.01.2007 08:22 <DIR> AdobeUM 21.03.2007 12:28 <DIR> Apple Computer 17.02.2007 08:00 <DIR> Brother 04.01.2006 20:32 <DIR> Cognos 26.08.2006 11:08 <DIR> DataLayer 08.03.2007 14:30 <DIR> GMX 07.01.2006 22:20 <DIR> Help 04.01.2006 19:10 <DIR> Identities 29.08.2006 19:29 <DIR> Leadertech 30.01.2006 22:03 <DIR> Macromedia 27.11.2006 21:36 <DIR> Microsoft Web Folders 11.02.2007 19:33 <DIR> Mozilla 26.08.2006 11:08 <DIR> Nokia 26.08.2006 11:05 <DIR> PC Suite 19.03.2007 12:34 <DIR> SecondLife 15.03.2006 22:25 <DIR> Sun 04.01.2006 19:30 <DIR> Symantec 11.02.2007 19:33 <DIR> Talkback 11.02.2007 19:33 <DIR> Thunderbird 28.02.2007 08:55 <DIR> U3 07.01.2006 22:22 <DIR> Ulead Systems 06.07.2006 09:23 <DIR> Yahoo! 0 Datei(en) 0 Bytes 23 Verzeichnis(se), 64.098.824.192 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 305B-B3D3 Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten 06.04.2006 23:00 305 addr_file.html 31.01.2007 08:21 <DIR> Adobe 31.12.2006 10:53 <DIR> AntiVir PersonalEdition Classic 20.05.2006 14:08 <DIR> Apple Computer 31.01.2007 19:13 <DIR> Brother 24.11.2006 20:04 <DIR> Downloaded Installations 21.03.2007 12:28 1.755 QTSBandwidthCache 31.01.2007 19:15 <DIR> ScanSoft 20.03.2007 12:47 <DIR> Spybot - Search & Destroy 15.06.2006 06:03 <DIR> Symantec 27.07.2006 07:10 <DIR> TechSmith 26.08.2006 10:54 <DIR> Ulead Systems 08.01.2006 17:32 <DIR> Windows Genuine Advantage 2 Datei(en) 2.060 Bytes 11 Verzeichnis(se), 64.098.824.192 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 305B-B3D3 Verzeichnis von C:\Programme\Gemeinsame Dateien 20.03.2007 12:21 <DIR> . 20.03.2007 12:21 <DIR> .. 06.01.2006 21:47 <DIR> Adobe 07.01.2006 22:16 <DIR> Ahead 08.01.2006 23:47 <DIR> Borland Shared 04.01.2006 19:36 <DIR> DESIGNER 04.01.2006 19:02 <DIR> Dienste 11.03.2006 21:29 <DIR> Hypnotizer 03.02.2007 14:12 <DIR> InstallShield 15.03.2006 22:25 <DIR> Java 07.01.2007 00:29 <DIR> Microsoft Shared 04.01.2006 19:02 <DIR> MSSoap 05.02.2006 18:55 <DIR> NSV 04.01.2006 01:53 <DIR> ODBC 20.03.2007 12:21 <DIR> PC Tools 31.01.2007 19:15 <DIR> ScanSoft Shared 04.01.2006 01:53 <DIR> SpeechEngines 15.06.2006 09:04 <DIR> Symantec Shared 07.01.2007 00:23 <DIR> System 26.08.2006 10:54 <DIR> Ulead Systems 0 Datei(en) 0 Bytes 20 Verzeichnis(se), 64.098.820.096 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 305B-B3D3 Verzeichnis von C:\Windows\tasks 21.03.2007 09:43 342 Symantec NetDetect.job 1 Datei(en) 342 Bytes 0 Verzeichnis(se), 64.098.820.096 Bytes frei |
|
|
||
21.03.2007, 18:40
Ehrenmitglied
Beiträge: 29434 |
#6
««
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked Zitat O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Programme\Need2Find\bar\1.bin\ND2FNBAR.DLL (file missing)Avenger http://virus-protect.org/artikel/tools/avenger.html Input script manually (anhaken) kopiere in: View/edit script Zitat Registry values to delete:Klicke die grüne Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten »» scanne mit ewido und poste hier den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Habe mir gestern einen üblichen Trojaner eingfangen, der sich nicht löschen lässt. Sypboot - Search & Destroy zeigt mir in der Registry einen Smitfraud-C. und einen PestTrap an. Habe die nun öfters gelöscht aber nach einem Reboot kommen sie wieder. (Anmerkung: Es geht um diese "Internet Security" Sache). Habe unter Programme einen neuen Ordner mit diesem Namen und die unkludierten exe.-Files lassen sich nicht löschen. Desweiteren habe ich, wenn ich den IE-Starte, jedesmal anstatt google einen security-site offen. Letztlich habe ich noch unter C:\\Windows\Temp ein File namens: Perfilb_Perfdata_338.dat stehen. Ist das normal?
Links unten öffnen sich alle 2 minuten irgendwelche security meldungen, die vorher noch nie da waren. habe alle meldungen ignoriert und auch nichts installiert.
Ich bitte um Hilfe, da am verzweifeln........Lieben Dank vorab
Anbei die Files und im Anhang noch PrintScreen von der IE-Site.
ogfile of HijackThis v1.99.1
Scan saved at 11:10:00, on 21.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Cognos\Cognos Controller\Server\FrangoServerBatchPrc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\MI6841~1\MSSQL\binn\sqlservr.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet Security\isamntr.exe
C:\Programme\Internet Security\pmsnrr.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\Programme\Samsung\AVStation premium\bin\AVStation agent.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\Programme\Internet Security\pmmnt.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Security\isamini.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Softwaree\WinZip\WZQKPICK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\SOFTWA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\MS\Lokale Einstellungen\Temp\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = msbproxy.sulzer.ch:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Programme\Need2Find\bar\1.bin\ND2FNBAR.DLL (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {A6ACAE64-F798-4930-AD86-BD3FB32038DB} - C:\Programme\Internet Security\isadd.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [AVStation premium] "C:\Programme\Samsung\AVStation premium\bin\AVStation agent.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04g\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Softwaree\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Frango Batch Server (FrangoServerBatch) - Frango AB - C:\Programme\Cognos\Cognos Controller\Server\FrangoServerBatchPrc.exe
O23 - Service: Frango License Server (frLicServer) - Unknown owner - C:\Programme\Cognos\Cognos Controller\Server\frlicserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
-------------------------------------------------------------------
"MS" - 07-03-21 11:29:43 Service Pack 2
ComboFix 07-03-21.3 - Running from: "C:\Dokumente und Einstellungen\MS\Desktop"
(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
C:\Programme\Gemeinsame Dateien\microsoft shared\web folders\ibm00001.dll
((((((((((((((((((((((((((((((( Files Created from 2007-02-21 to 2007-03-21 ))))))))))))))))))))))))))))))))))
2007-03-20 20:53 814,592 --a------ C:\WINDOWS\is-3OF2R.exe
2007-03-20 20:53 <DIR> d-------- C:\Programme\Registry System Wizard
2007-03-20 20:32 <DIR> d-------- C:\Rustbfix
2007-03-20 20:19 <DIR> d-------- C:\!KillBox
2007-03-20 20:14 90,112 --a------ C:\WINDOWS\system32\RegDACL.exe
2007-03-20 20:14 8,234 --a------ C:\clean.bat
2007-03-20 20:14 53,248 --a------ C:\WINDOWS\system32\process.exe
2007-03-20 20:14 40,960 --a------ C:\WINDOWS\system32\swsc.exe
2007-03-20 20:14 4,096 --a------ C:\WINDOWS\system32\reboot.exe
2007-03-20 20:14 38,400 --a------ C:\WINDOWS\system32\moveex.exe
2007-03-20 12:32 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy
2007-03-20 12:21 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-03-20 12:21 <DIR> d-------- C:\Programme\Gemeinsame Dateien\PC Tools
2007-03-20 11:55 <DIR> d-------- C:\Programme\Internet Security
2007-03-19 12:32 <DIR> d-------- C:\DOKUME~1\MS\ANWEND~1\SecondLife
2007-03-10 23:44 <DIR> d-------- C:\Programme\Skype
2007-03-08 14:30 <DIR> d-------- C:\DOKUME~1\MS\ANWEND~1\GMX
2007-02-28 08:43 <DIR> d--hs---- C:\WINDOWS\ftpcache
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-03-20 14:28 -------- d-------- C:\Programme\mozilla thunderbird
2007-03-20 10:28 7168 --a-s---- C:\WINDOWS\system32\onwtj.dll
2007-02-28 08:55 -------- d-------- C:\DOKUME~1\MS\ANWEND~1\u3
2007-02-17 08:00 -------- dr------- C:\DOKUME~1\MS\ANWEND~1\brother
2007-02-11 19:33 3428 --a------ C:\WINDOWS\mozver.dat
2007-02-11 19:33 0 --a------ C:\WINDOWS\nsreg.dat
2007-02-11 19:33 -------- d-------- C:\DOKUME~1\MS\ANWEND~1\thunderbird
2007-02-11 19:33 -------- d-------- C:\DOKUME~1\MS\ANWEND~1\talkback
2007-02-10 11:20 -------- d-------- C:\Programme\limewire
2007-02-10 11:20 -------- d-------- C:\Programme\java
2007-02-10 11:12 -------- d--h----- C:\Programme\installshield installation information
2007-02-10 11:12 -------- d-------- C:\Programme\kazaa
2007-02-10 08:51 10 --a------ C:\WINDOWS\smdat32m.sys
2007-02-03 14:13 65 --a------ C:\WINDOWS\system32\bd7820n.dat
2007-02-03 14:12 -------- d-------- C:\Programme\common files
2007-02-03 14:12 -------- d-------- C:\Programme\brother
2007-01-31 19:15 -------- d-------- C:\Programme\scansoft
2007-01-31 19:15 -------- d-------- C:\Programme\Gemeinsame Dateien\scansoft shared
2007-01-25 17:57 -------- d-------- C:\Programme\winamp
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"MsnMsgr"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background"
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SoundMAXPnP"="C:\\Programme\\Analog Devices\\SoundMAX\\SMax4PNP.exe"
"SoundMAX"="C:\\Programme\\Analog Devices\\SoundMAX\\Smax4.exe /tray"
"SynTPLpr"="C:\\Programme\\Synaptics\\SynTP\\SynTPLpr.exe"
"SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe"
"AGRSMMSG"="AGRSMMSG.exe"
"LtMoh"="C:\\Programme\\ltmoh\\Ltmoh.exe"
"MagicKeyboard"="C:\\Programme\\SAMSUNG\\MagicKBD\\PreMKBD.exe"
"AVStation premium"="\"C:\\Programme\\Samsung\\AVStation premium\\bin\\AVStation agent.exe\""
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"FreePDF Assistant"="C:\\Programme\\FreePDF_XP\\fpassist.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"Adobe Photo Downloader"="\"C:\\Programme\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\apdproxy.exe\""
"igfxtray"="C:\\WINDOWS\\system32\\igfxtray.exe"
"igfxhkcmd"="C:\\WINDOWS\\system32\\hkcmd.exe"
"igfxpers"="C:\\WINDOWS\\system32\\igfxpers.exe"
"SSBkgdUpdate"="\"C:\\Programme\\Gemeinsame Dateien\\Scansoft Shared\\SSBkgdUpdate\\SSBkgdupdate.exe\" -Embedding -boot"
"PaperPort PTD"="C:\\Programme\\ScanSoft\\PaperPort\\pptd40nt.exe"
"IndexSearch"="C:\\Programme\\ScanSoft\\PaperPort\\IndexSearch.exe"
"SetDefPrt"="C:\\Programme\\Brother\\Brmfl04g\\BrStDvPt.exe"
"ControlCenter2.0"="C:\\Programme\\Brother\\ControlCenter2\\brctrcen.exe /autorun"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_03\\bin\\jusched.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{ceca6f2b-247b-4ece-9b7a-d0135c8036fc}"="chitosan"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"user32.dll"="C:\\Programme\\Internet Security\\isamntr.exe"
"rare"="C:\\Programme\\Internet Security\\pmsnrr.exe"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{427c001c-7d53-11da-ae62-001377033a85}]
Shell\AutoRun\command F:\LaunchU3.exe
Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Symantec NetDetect.job
********************************************************************
catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net
scanning hidden processes ...
scanning hidden services ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
********************************************************************
Completion time: 07-03-21 11:35:31
vielen dank vorab
[/u]