Und wieder einmal DriveCleaner&Co |
||
---|---|---|
#0
| ||
22.03.2007, 00:56
...neu hier
Beiträge: 6 |
||
|
||
22.03.2007, 08:40
Member
Beiträge: 694 |
#2
Hallo,Ktharsia
«« wende cleaup an http://virus-protect.org/cleanup.html «« Avenger http://virus-protect.org/artikel/tools/avenger.html Input script manually (anhaken) kopiere in: View/edit script Zitat Registry values to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten «« scanne mit smitfraudfix (option 1 und 2 ) http://virus-protect.org/artikel/tools/smitfraudfix.html Chris |
|
|
||
22.03.2007, 11:31
Ehrenmitglied
Beiträge: 29434 |
#3
Ktharsia
poste das log vom avenger, was nach neustart erscheint, damit wir wissen, dass du das script korrekt angewendet hast __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.03.2007, 12:15
...neu hier
Themenstarter Beiträge: 6 |
#4
Also, Avenger hat mich gefragt, ob ich eine neue Textdatei anlegen will und ich habe nichtsahnend "Ja" geklickt. Das Ergebnis war ein leeres Dokument.
Den Smitfraudfix werde ich nach dem Neustart posten. Soweit die Zwischenergebnisse: - Bis jetzt hat sich kein dubioser Spywareanbieter mehr gemeldelt - PopUps gibt's immernoch - Systemgeschwindigkeit wieder auf fast normalem Stand Okay, soweit der erste Rapport: Zitat SmitFraudFix v2.152 Dieser Beitrag wurde am 22.03.2007 um 12:19 Uhr von Ktharsia editiert.
|
|
|
||
22.03.2007, 12:20
Ehrenmitglied
Beiträge: 29434 |
#5
wende das avengerscript (siehe oben) noch mal an
poste das log nach neustart __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.03.2007, 12:23
...neu hier
Beiträge: 4 |
#6
Hab das gleiche Problem, gestern lief mein Internet noch einwandfrei und seit heute früh kommen die schon beschriebenen Pop-ups. Merkwürdigerweise tritt das Problem nur beim IE und nicht bei Firefox auf.
Außerdem sind mir 6 Dateien im Verzeichnis C:\ aufgefallen mit den eigenartigen Namen gqefdh, hmpoi, tmlkv, uwfqp. Die anderen beiden konnte ich löschen, bloß diese lassen sich nicht entfernen, verschieben, etc., da sie angeblich verwendet werden. Vielleicht haben die was damit zu tun. Wurden alle gestern 15:34 geändert. Hier die Logs: 1) Logfile of HijackThis v1.99.1 Scan saved at 11:26:00, on 22.03.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\Cyberlink\Shared files\RichVideo.exe C:\WINDOWS\system32\svchost.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Samsung\Samsung EDS\EDSAgent.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\Samsung\AVStation Premium 3.75\AVSAgent.exe C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe C:\Programme\Samsung\DisplayManager\DisplayManager.exe C:\Programme\Samsung\DisplayManager\dmhkcore.exe C:\Programme\Werkzeuge\DAEMON Tools\daemon.exe C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe C:\Programme\Musikprogramme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Musikprogramme\iPod\bin\iPodService.exe C:\Programme\Internetprogramme\Sicherheit\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\FRITZ!DSL\FwebProt.exe C:\Dokumente und Einstellungen\Hagbart\Eigene Dateien\für Programme\Mouse-O-Meter\Mousometer.exe C:\Programme\FRITZ!DSL\StCenter.EXE C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Hijack This\HijackThis.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [EDS] C:\Programme\Samsung\Samsung EDS\EDSAgent.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [AVStation Premium 3.75] C:\Programme\Samsung\AVStation Premium 3.75\AVSAgent.exe O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe O4 - HKLM\..\Run: [RestoreIT!] "C:\Programme\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE" VBStart O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe O4 - HKLM\..\Run: [DMHotKey] C:\Programme\Samsung\DisplayManager\DMLoader.exe O4 - HKLM\..\Run: [DisplayManager] C:\Programme\Samsung\DisplayManager\DisplayManager.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\Werkzeuge\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\Musikprogramme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [RemoteControl] G:\Installationen\PowerDVD7\PDVDServ.exe O4 - HKLM\..\Run: [LanguageShortcut] G:\Installationen\PowerDVD7\Language\Language.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Internetprogramme\Sicherheit\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "C:\WINDOWS\system32\nxkqcflt.dll",setvm O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe O4 - Startup: Verknüpfung mit Mousometer.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\Musikprogramme\iPod\bin\iPodService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared files\RichVideo.exe O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe O23 - Service: SNM WLAN Service - Unknown owner - C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe (file missing) O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe 2) CleanUp ausgeführt 3) "Hagbart" - 07-03-22 11:45:52 Service Pack 2 ComboFix 07-03-22.2 - Running from: "C:\Programme\ComboFix" (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\system32\geebx.dll C:\Programme\vsadd-in ((((((((((((((((((((((((((((((( Files Created from 2007-02-22 to 2007-03-22 )))))))))))))))))))))))))))))))))) 2007-03-22 11:31 <DIR> d-------- C:\Programme\CleanUp 2007-03-22 11:05 <DIR> d-------- C:\Programme\Hijack This 2007-03-22 10:43 88,340 --a------ C:\WINDOWS\system32\krkoppfc.exe 2007-03-22 10:43 465,190 ---hs---- C:\WINDOWS\system32\xbadd.bak2 2007-03-21 16:42 88,340 --a------ C:\WINDOWS\system32\wkakxgxt.exe 2007-03-21 16:42 465,246 ---hs---- C:\WINDOWS\system32\xbadd.bak1 2007-03-21 16:42 123,412 --a------ C:\WINDOWS\system32\nxkqcflt.dll 2007-03-21 16:17 75,512 --a------ C:\WINDOWS\zllsputility.exe 2007-03-21 16:17 54,936 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll 2007-03-21 16:17 42,648 --a------ C:\WINDOWS\zllsputility_loc0407.dll 2007-03-21 16:17 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat 2007-03-21 16:17 22,168 --a------ C:\WINDOWS\system32\imsinstall_loc0407.dll 2007-03-21 16:17 18,072 --a------ C:\WINDOWS\system32\imslsp_install_loc0407.dll 2007-03-21 16:16 1,087,216 --a------ C:\WINDOWS\system32\zpeng24.dll 2007-03-21 16:16 <DIR> d-------- C:\WINDOWS\system32\ZoneLabs 2007-03-21 16:15 <DIR> d-------- C:\WINDOWS\Internet Logs 2007-03-21 16:04 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\AntiVir PersonalEdition Classic 2007-03-21 15:40 280,676 ---hs---- C:\WINDOWS\system32\pmnlm.dll 2007-03-21 15:40 280,676 ---hs---- C:\WINDOWS\system32\ddabx.dll 2007-03-21 15:34 0 --a------ C:\xgsljlcc.exe 2007-03-21 15:34 0 --a------ C:\vwws.exe 2007-03-21 15:34 0 --a------ C:\uwfqp.exe 2007-03-21 15:34 0 --a------ C:\tmlkv.exe 2007-03-21 15:34 0 --a------ C:\hmpoi.exe 2007-03-21 15:34 0 --a------ C:\gqefdh.exe 2007-03-21 15:31 26,697 --a------ C:\WINDOWS\system32\khfggde.dll 2007-03-21 15:30 26,697 --a------ C:\WINDOWS\system32\wvutqqn.dll 2007-03-21 15:30 26,697 --a------ C:\WINDOWS\system32\ssqpqqn.dll 2007-03-21 15:28 26,697 --a------ C:\WINDOWS\system32\rqrstur.dll 2007-03-21 13:00 <DIR> d-------- C:\Programme\Craagle 2007-03-21 12:55 <DIR> d-------- C:\Programme\Gemeinsame Dateien\SWF Studio 2007-03-21 12:55 <DIR> d-------- C:\DOKUME~1\Hagbart\ANWEND~1\CDZilla 2007-03-06 20:01 271,360 --a------ C:\WINDOWS\system32\drivers\atksgt.sys 2007-03-06 20:01 18,048 --a------ C:\WINDOWS\system32\drivers\lirsgt.sys 2007-03-06 19:21 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll 2007-03-04 19:19 <DIR> d-------- C:\Programme\Cyberlink (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-03-22 11:36 -------- d-------- C:\DOKUME~1\Hagbart\ANWEND~1\fritz! 2007-03-21 16:16 -------- d-------- C:\Programme\internetprogramme 2007-03-21 16:13 -------- d-------- C:\DOKUME~1\Hagbart\ANWEND~1\vso 2007-03-21 13:05 87608 --a------ C:\DOKUME~1\Hagbart\ANWEND~1\ezpinst.exe 2007-03-21 13:05 7824 --a------ C:\DOKUME~1\Hagbart\ANWEND~1\pcouffin.cat 2007-03-21 13:05 47360 --a------ C:\WINDOWS\system32\drivers\pcouffin.sys 2007-03-21 13:05 47360 --a------ C:\DOKUME~1\Hagbart\ANWEND~1\pcouffin.sys 2007-03-21 13:05 34 --a------ C:\DOKUME~1\Hagbart\ANWEND~1\pcouffin.log 2007-03-21 13:05 1144 --a------ C:\DOKUME~1\Hagbart\ANWEND~1\pcouffin.inf 2007-03-21 12:55 1386496 --a------ C:\WINDOWS\system32\msvbvm60.dll 2007-03-17 19:55 -------- d-------- C:\DOKUME~1\Hagbart\ANWEND~1\chessbase 2007-03-13 10:02 -------- d-------- C:\Programme\mozilla thunderbird 2007-03-06 19:54 -------- d--h----- C:\Programme\installshield installation information 2007-03-06 19:54 -------- d-------- C:\Programme\spiele 2007-03-06 12:38 -------- d-------- C:\Programme\werkzeuge 2007-03-06 12:33 1221 --a------ C:\WINDOWS\ereg.dat 2007-01-31 19:52 -------- d-------- C:\Programme\ubi soft 2007-01-31 16:45 -------- d-------- C:\Programme\quicktime 2007-01-31 16:44 -------- d-------- C:\Programme\musikprogramme 2007-01-31 16:22 -------- d-------- C:\Programme\intel 2007-01-31 16:09 -------- d-------- C:\Programme\grafiksoftware 2007-01-31 16:00 -------- d-------- C:\Programme\sonstiges 2007-01-31 15:39 223128 --a------ C:\WINDOWS\system32\drivers\dtscsi.sys 2007-01-31 14:45 -------- d-------- C:\Programme\filmprogramme 2007-01-26 02:19 524288 --a------ C:\WINDOWS\system32\divxsm.exe 2007-01-26 02:19 36624 --------- C:\WINDOWS\system32\drivers\PxHelp20.sys 2007-01-26 02:19 3596288 --a------ C:\WINDOWS\system32\qt-dx331.dll 2007-01-26 02:19 2560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys 2007-01-26 02:19 2432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys 2007-01-26 02:19 129784 --------- C:\WINDOWS\system32\pxafs.dll 2007-01-26 02:19 118520 --------- C:\WINDOWS\system32\pxinsi64.exe 2007-01-26 02:19 116472 --------- C:\WINDOWS\system32\pxcpyi64.exe 2007-01-26 02:18 200704 --a------ C:\WINDOWS\system32\ssldivx.dll 2007-01-26 02:18 1044480 --a------ C:\WINDOWS\system32\libdivx.dll 2007-01-26 02:13 823296 --a------ C:\WINDOWS\system32\divx_xx0c.dll 2007-01-26 02:13 823296 --a------ C:\WINDOWS\system32\divx_xx07.dll 2007-01-26 02:13 802816 --a------ C:\WINDOWS\system32\divx_xx11.dll 2007-01-26 02:13 738906 --a------ C:\WINDOWS\system32\divx.dll 2007-01-26 02:13 73728 --a------ C:\WINDOWS\system32\dpl100.dll 2007-01-26 02:13 593920 --a------ C:\WINDOWS\system32\dpugui11.dll 2007-01-26 02:13 57344 --a------ C:\WINDOWS\system32\dpv11.dll 2007-01-26 02:13 53248 --a------ C:\WINDOWS\system32\dpugui10.dll 2007-01-26 02:13 344064 --a------ C:\WINDOWS\system32\dpus11.dll 2007-01-26 02:13 294912 --a------ C:\WINDOWS\system32\dpu11.dll 2007-01-26 02:13 294912 --a------ C:\WINDOWS\system32\dpu10.dll 2007-01-26 02:13 196608 --a------ C:\WINDOWS\system32\dtu100.dll 2007-01-25 20:46 -------- d-------- C:\DOKUME~1\Hagbart\ANWEND~1\divx 2007-01-23 10:42 -------- d-------- C:\DOKUME~1\Hagbart\ANWEND~1\kompozer (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe" "MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background" "PowerBar"="" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "ATICCC"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime -Delay" "RTHDCPL"="RTHDCPL.EXE" "Alcmtr"="ALCMTR.EXE" @="" "EDS"="C:\\Programme\\Samsung\\Samsung EDS\\EDSAgent.exe" "SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe" "AGRSMMSG"="AGRSMMSG.exe" "AVStation Premium 3.75"="C:\\Programme\\Samsung\\AVStation Premium 3.75\\AVSAgent.exe" "MagicKeyboard"="C:\\Programme\\SAMSUNG\\MagicKBD\\PreMKBD.exe" "farstone"="" "RestoreIT!"="\"C:\\Programme\\Phoenix Technologies Ltd\\RecoverPro_XP\\VBPTASK.EXE\" VBStart" "BatteryManager"="C:\\Programme\\Samsung\\Samsung Battery Manager\\BatteryManager.exe" "DMHotKey"="C:\\Programme\\Samsung\\DisplayManager\\DMLoader.exe" "DisplayManager"="C:\\Programme\\Samsung\\DisplayManager\\DisplayManager.exe" "NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe" "DAEMON Tools"="\"C:\\Programme\\Werkzeuge\\DAEMON Tools\\daemon.exe\" -lang 1033" "iTunesHelper"="\"C:\\Programme\\Musikprogramme\\iTunes\\iTunesHelper.exe\"" "QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime" "RemoteControl"="G:\\Installationen\\PowerDVD7\\PDVDServ.exe" "LanguageShortcut"="G:\\Installationen\\PowerDVD7\\Language\\Language.exe" "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "ZoneAlarm Client"="\"C:\\Programme\\Internetprogramme\\Sicherheit\\ZoneAlarm\\zlclient.exe\"" "2chkdsk"="rundll32.exe \"C:\\WINDOWS\\system32\\nxkqcflt.dll\",setvm" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "NoChange"="1" "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{88CDD2BC-DC99-4A23-A276-02EF368D3DEB}"="" HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddabx HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rqrstur [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost] HTTPFilter REG_MULTI_SZ HTTPFilter\0\0 LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0 NetworkService REG_MULTI_SZ DnsCache\0\0 DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0 rpcss REG_MULTI_SZ RpcSs\0\0 imgsvc REG_MULTI_SZ StiSvc\0\0 termsvcs REG_MULTI_SZ TermService\0\0 ******************************************************************** catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006 http://www.gmer.net scanning hidden processes ... scanning hidden services ... scanning hidden autostart entries ... HKCU\Software\Microsoft\Windows\CurrentVersion\Run PowerBar = ????????????\?@?\?@?D??????w???????????????w\?@?\?@????? ???????????g??w???w???????w???wx??????????w???????? ??????????????|x???0???????????? kt???w???????????????? ???^???H???????\?@?\?@????????w????d?@?????\?@?(?@?\?@?3??s????????????????????(?@?_??s(?@?(?@ HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run PowerBar = ????????????\?@?\?@?D??????w???????????????w\?@?\?@????? ???????????g??w???w???????w???wx??????????w???????? ??????????????|x???0???????????? kt???w???????????????? ???^???H???????\?@?\?@????????w????d?@?????\?@?(?@?\?@?3??s????????????????????(?@?_??s(?@?(?@ scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 ******************************************************************** Completion time: 07-03-22 11:52:03 |
|
|
||
22.03.2007, 12:24
Ehrenmitglied
Beiträge: 29434 |
#7
Hagbart
«« stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html «« wende vundofix an http://virus-protect.org/artikel/tools/vundofixx.html «« Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.03.2007, 12:33
...neu hier
Themenstarter Beiträge: 6 |
#8
Und hier der zweite Rapport von Smitfraudfix:
Zitat SmitFraudFix v2.152Mir machen irgendwie die letzten Zeilen Sorgen... was kann da dran sein? Symptome: - Im Abgesicherten Modus war wieder eine solche dubiose Virenmeldung zu sehen - Bis jetzt noch kein PopUp, oder keine anderen Meldungen nach dem Reboot - ABER: Verdächtige Einträge jusched.exe und ähnliche noch immer unter "Prozesse" im Menü [Strg-Alt-Entf] zu finden |
|
|
||
22.03.2007, 12:34
Ehrenmitglied
Beiträge: 29434 |
#9
Ktharsia
«« Avenger http://virus-protect.org/artikel/tools/avenger.html Input script manually (anhaken) kopiere in: View/edit script Zitat Registry values to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.03.2007, 12:40
...neu hier
Themenstarter Beiträge: 6 |
#10
Ergebnis ist eine Fehlermeldung:
Zitat Logfile of The Avenger version 1, by Swandog46Ich schalte jetzt mal die Firewall aus, und werde dann in 15 Minuten sehen, was so alles passiert ist. Dieser Beitrag wurde am 22.03.2007 um 12:50 Uhr von Ktharsia editiert.
|
|
|
||
22.03.2007, 12:52
Ehrenmitglied
Beiträge: 29434 |
||
|
||
22.03.2007, 13:09
...neu hier
Themenstarter Beiträge: 6 |
#12
Die Symptome:
- keine weiteren unangenehmen Zwischenfälle auch bei ausgeschalteter Firewall - verdächtige oben genannte Prozesse noch immer im "Affengriff"-Menü edit (Sabina) |
|
|
||
22.03.2007, 13:18
...neu hier
Beiträge: 4 |
#13
1) erledigt
2)vundofix: VundoFix V6.3.17 Checking Java version... Sun Java not detected Scan started at 12:46:50 22.03.2007 Listing files found while scanning.... C:\WINDOWS\system32\ddabx.dll C:\WINDOWS\system32\krkoppfc.exe C:\WINDOWS\system32\wkakxgxt.exe C:\WINDOWS\system32\xbadd.bak1 C:\WINDOWS\system32\xbadd.bak2 C:\WINDOWS\system32\xbadd.ini Beginning removal... Attempting to delete C:\WINDOWS\system32\ddabx.dll C:\WINDOWS\system32\ddabx.dll Could not be deleted. Attempting to delete C:\WINDOWS\system32\krkoppfc.exe C:\WINDOWS\system32\krkoppfc.exe Has been deleted! Attempting to delete C:\WINDOWS\system32\wkakxgxt.exe C:\WINDOWS\system32\wkakxgxt.exe Has been deleted! Attempting to delete C:\WINDOWS\system32\xbadd.bak1 C:\WINDOWS\system32\xbadd.bak1 Has been deleted! Attempting to delete C:\WINDOWS\system32\xbadd.bak2 C:\WINDOWS\system32\xbadd.bak2 Has been deleted! Attempting to delete C:\WINDOWS\system32\xbadd.ini C:\WINDOWS\system32\xbadd.ini Has been deleted! Performing Repairs to the registry. Done! Beginning removal... Attempting to delete C:\WINDOWS\system32\ddabx.dll C:\WINDOWS\system32\ddabx.dll Has been deleted! Performing Repairs to the registry. Done! 3) TEXT1 Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger Volumeseriennummer: 5C1B-E7C5 Verzeichnis von C:\WINDOWS\system32 22.03.2007 13:11 439.028 pqstv.ini 22.03.2007 13:08 88.340 scpyjgko.exe 22.03.2007 13:08 437.107 pqstv.bak1 22.03.2007 13:08 409 kmllm.ini 22.03.2007 13:08 280.676 vtsqp.dll 22.03.2007 13:08 280.676 mllmk.dll 22.03.2007 13:03 1.599.532 tlfcqkxn.ini 22.03.2007 13:01 1.158 wpa.dbl 22.03.2007 13:01 55.081 vsconfig.xml 21.03.2007 16:42 123.412 nxkqcflt.dll 21.03.2007 16:21 4.212 zllictbl.dat 21.03.2007 15:41 353 xbeeg.ini 21.03.2007 15:40 353 mlnmp.ini 21.03.2007 15:40 280.676 pmnlm.dll 21.03.2007 15:31 26.697 khfggde.dll 21.03.2007 15:30 26.697 ssqpqqn.dll 21.03.2007 15:30 26.697 wvutqqn.dll 21.03.2007 15:28 26.697 rqrstur.dll 21.03.2007 12:55 1.386.496 msvbvm60.dll 09.03.2007 00:02 54.936 vsutil_loc0407.dll 09.03.2007 00:02 22.168 imsinstall_loc0407.dll 09.03.2007 00:02 18.072 imslsp_install_loc0407.dll 09.03.2007 00:02 394.192 vsdatant.sys 09.03.2007 00:01 1.087.216 zpeng24.dll 09.03.2007 00:01 71.408 zlcommdb.dll TEXT2 Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger Volumeseriennummer: 5C1B-E7C5 Verzeichnis von C:\DOKUME~1\Hagbart\LOKALE~1\Temp 22.03.2007 13:03 16.384 Perflib_Perfdata_7d4.dat 22.03.2007 13:03 16.384 Perflib_Perfdata_6c8.dat 22.03.2007 13:03 0 JET7620.tmp 22.03.2007 13:03 49.152 ~DF2CFA.tmp 22.03.2007 13:02 16.384 Perflib_Perfdata_a20.dat 22.03.2007 13:02 344.064 ~DF5132.tmp 22.03.2007 12:58 32.768 ~DF4F28.tmp 22.03.2007 12:46 32.768 ~DF606E.tmp 22.03.2007 12:43 16.384 Perflib_Perfdata_e98.dat 22.03.2007 12:43 16.384 Perflib_Perfdata_d6c.dat 22.03.2007 12:43 16.384 Perflib_Perfdata_b1c.dat 22.03.2007 12:43 49.152 ~DFD942.tmp 22.03.2007 12:43 0 JET8C3E.tmp 22.03.2007 12:42 344.064 ~DF12A6.tmp 22.03.2007 12:42 21.562 Finnish.bin 22.03.2007 12:42 20.859 Turkish.bin 22.03.2007 12:42 20.608 Norwegian.bin 22.03.2007 12:42 24.446 Hungarian.bin 22.03.2007 12:42 18.436 Hebrew.bin 22.03.2007 12:42 23.522 Portuguese(Brazil).bin 22.03.2007 12:42 20.733 Thai.bin 22.03.2007 12:42 22.862 Czech.bin 22.03.2007 12:42 22.606 Polish.bin 22.03.2007 12:42 23.467 Greek.bin 22.03.2007 12:42 19.506 Arabic.bin 22.03.2007 12:42 15.534 SimChin.bin 22.03.2007 12:42 21.773 English.bin 22.03.2007 12:42 24.654 Portuguese.bin 22.03.2007 12:42 26.062 Spanish.bin 22.03.2007 12:42 22.684 SWEDISH.bin 22.03.2007 12:42 25.824 Italian.bin 22.03.2007 12:42 24.274 German.bin 22.03.2007 12:42 24.638 Russian.bin 22.03.2007 12:42 25.665 French.bin 22.03.2007 12:42 16.913 TradChin.bin 22.03.2007 12:42 22.856 Danish.bin 22.03.2007 12:42 24.173 Dutch.bin 22.03.2007 12:42 18.978 Korean.bin 22.03.2007 12:42 22.809 Japanese.bin 39 Datei(en) 1.505.716 Bytes 0 Verzeichnis(se), 41.219.215.360 Bytes frei TEXT3 Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger Volumeseriennummer: 5C1B-E7C5 Verzeichnis von C:\WINDOWS 22.03.2007 13:01 0 0.log 22.03.2007 13:01 1.506.783 WindowsUpdate.log 22.03.2007 13:01 159 wiadebug.log 22.03.2007 13:01 50 wiaservc.log 22.03.2007 13:00 2.048 bootstat.dat 22.03.2007 11:57 439 system.ini 22.03.2007 11:36 32.536 SchedLgU.Txt 21.03.2007 18:14 22.131 LUINSTALL.LOG 21.03.2007 15:39 853 win.ini 21.03.2007 14:32 116 NeroDigital.ini 21.03.2007 13:05 926.487 setupapi.log 19.03.2007 13:03 117 vbaddin.ini 18.03.2007 17:00 73.179 wmsetup.log 18.03.2007 15:23 348 ChssBase.ini 14.03.2007 12:19 210.473 comsetup.log 14.03.2007 12:19 96.210 iis6.log 14.03.2007 12:19 234.209 tsoc.log 14.03.2007 12:19 126.005 ntdtcsetup.log 14.03.2007 12:19 33.375 ocmsn.log 14.03.2007 12:19 1.374 imsins.log 14.03.2007 12:19 15.341 KB929338.log 14.03.2007 12:19 291.705 ocgen.log 14.03.2007 12:19 30.226 msgsocm.log 14.03.2007 12:19 598.944 FaxSetup.log 09.03.2007 00:02 42.648 zllsputility_loc0407.dll 09.03.2007 00:02 75.512 zllsputility.exe 06.03.2007 20:01 171.771 Directx.log 06.03.2007 12:33 1.221 eReg.dat 06.03.2007 11:03 139 LODERUNN.INI 03.03.2007 23:50 11 wanpatan.ini 02.03.2007 15:58 173 civ.ini 28.02.2007 06:57 14.343 WgaNotify.log 16.02.2007 15:20 1.374 imsins.BAK 16.02.2007 15:20 20.564 KB927779.log 16.02.2007 15:20 37.020 updspapi.log 16.02.2007 15:20 17.569 KB927802.log 16.02.2007 15:20 17.309 KB928255.log 16.02.2007 15:19 13.972 KB924667.log 16.02.2007 15:19 25.714 KB931836.log 16.02.2007 15:19 15.533 KB926436.log 16.02.2007 15:19 14.928 KB918118.log 16.02.2007 15:18 18.874 KB928090.log 16.02.2007 15:18 11.770 KB928843.log 08.02.2007 18:45 208.625 setupact.log 31.01.2007 16:45 452 GEARInstall.log 31.01.2007 15:29 597 scummvm.ini 10.01.2007 10:47 16.183 KB929969.log 16.12.2006 07:23 10.705 KB923689.log 16.12.2006 07:22 11.051 KB926255.log 16.12.2006 07:22 11.028 KB923694.log 13.12.2006 21:55 17.548 KB925454.log 13.12.2006 21:54 8.886 KB925398.log 12.12.2006 22:19 420.467 KB923980.log 08.12.2006 21:24 1.173 ie7_main.log TEXT4 Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger Volumeseriennummer: 5C1B-E7C5 Verzeichnis von C:\WINDOWS\Temp 22.03.2007 13:01 409 WGANotify.settings 22.03.2007 13:01 255 WGAErrLog.txt 22.03.2007 13:01 256 ZLT023d5.TMP 22.03.2007 13:01 256 ZLT023d2.TMP 22.03.2007 12:58 256 ZLT021ba.TMP 22.03.2007 12:58 256 ZLT021b7.TMP 6 Datei(en) 1.688 Bytes 0 Verzeichnis(se), 41.219.203.072 Bytes frei TEXT5 Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger Volumeseriennummer: 5C1B-E7C5 Verzeichnis von C:\WINDOWS\Downloaded Program Files 13.06.2006 19:13 65 desktop.ini 20.01.2000 14:25 1.162 Microsoft XML Parser for Java.osd 2 Datei(en) 1.227 Bytes 0 Verzeichnis(se), 41.219.203.072 Bytes frei TEXT6 Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger Volumeseriennummer: 5C1B-E7C5 Verzeichnis von C:\ 22.03.2007 13:17 0 sys.txt 22.03.2007 13:17 373 down.txt 22.03.2007 13:17 540 tmp.txt 22.03.2007 13:16 11.757 system.txt 22.03.2007 13:15 2.244 systemtemp.txt 22.03.2007 13:11 111.754 system32.txt 22.03.2007 13:03 73 cj.ini 22.03.2007 13:00 937.603.072 hiberfil.sys 22.03.2007 13:00 1.409.286.144 pagefile.sys 22.03.2007 11:57 0 hmpoi.exe 21.03.2007 15:34 0 tmlkv.exe 21.03.2007 15:34 0 uwfqp.exe 21.03.2007 15:34 0 gqefdh.exe 07.09.2006 21:35 211 boot.ini 13.06.2006 19:14 0 IO.SYS 13.06.2006 19:14 0 MSDOS.SYS 13.06.2006 19:14 0 AUTOEXEC.BAT 13.06.2006 19:14 0 CONFIG.SYS 04.08.2004 13:00 4.952 bootfont.bin 04.08.2004 13:00 47.564 NTDETECT.COM 04.08.2004 13:00 251.184 ntldr 21 Datei(en) 2.347.319.868 Bytes 0 Verzeichnis(se), 41.219.182.592 Bytes frei |
|
|
||
22.03.2007, 14:19
Ehrenmitglied
Beiträge: 29434 |
#14
Ktharsia
avengerscript hat nichts mehr gefunden, weil smitfraudfix schon alles geloescht hat jusched.exe http://www.neuber.com/taskmanager/deutsch/prozess/jusched.exe.html es ist also wieder alles im gruenen bereich wenn es noch Probs geben sollte - melde dich (und aufpassen - keine unbekannten codecs mehr laden! ) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.03.2007, 14:28
Ehrenmitglied
Beiträge: 29434 |
#15
Hagbart
«« Gehe in die registry Start - Ausfuehren - regedit oben links - bearbeiten - suchen - PowerBar HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run PowerBar - loeschen «« Avenger http://virus-protect.org/artikel/tools/avenger.html Input script manually (anhaken) kopiere in: View/edit script Zitat Registry values to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten »» poste noch mal die 6 logs von datfindbat __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Heute hat's mich auch befallen. Ich hab das Forum entdeckt, als ich nach Lösungen zu dem mittlerweile bekannten Problem mit DriveCleaner, den vorgetäuschten IE-Fehlermeldungen und den in die Taskleiste programmierten Virenfehlern gesucht habe (Stichwort: "Malware Wiped"). AntiVir, AdAware und ZoneAlarm konnten dem leider keine Abhilfe verschaffen.
Gibt's mittlerweile 'ne automatische Lösungssoftware? Kann man von den Programmierern der obigen Softwares in einigen Tagen eine Lösung erwarten? (hab ja anhand des Forums gesehen, dass das Problem schon in den letzten beiden Wochen aufgetreten ist)
Wenn nicht, müsstet ihr mir mal helfen, das Problem zu knacken. Symptome:
- unerwünschte PopUps
- Meldungen im IE über die bekannten Sexseitenbesuche etc ("DriveCleaner")
- Meldung von vermeintlichen Viren im System über die Tasleiste ("Pest Capture", "WinAntiVir")
- Meldung von vermeintlichen Trojanern im System ("Malware Viped")
Grüße
- Matthias -
______________________________________
Ich hab mir jetzt den gepinnten Thread durchgelesen und gehe die einzelnen Schritte einfach mal durch.
(1) Zunächst mein HijackFile:
Zitat
(2) CleanUp wurde duchgeführt(3) Und nun die ComboFix-Datei:
Zitat
(4) Und die datFind-Ergebnisse:Zitat
Zitat
Zitat
Zitat
Zitat
Zitat