Trojaner RKIT/Agent.DQ.31.A gefundenThema ist geschlossen! |
||
|---|---|---|
Thema ist geschlossen! |
||
| #0
| ||
|
23.03.2007, 13:32
...neu hier
Beiträge: 5 |
||
 
|
|
|
|
23.03.2007, 15:09
Member
 Beiträge: 694 |
#2
Hi,
auf den ersten Blick finde ich nichts, daher bitte noch folgendes abarbeiten: bitte folgendes abarbeiten: Zitat Zitat:scanne mit sophos und poste den scanreport http://virus-protect.org/multiavtool.html Gruß, Chris Dieser Beitrag wurde am 23.03.2007 um 15:32 Uhr von Chris4You editiert.
|
|
|
|
|
|
|
23.03.2007, 17:41
...neu hier
Themenstarter Beiträge: 5 |
#3
Hi,
vielen dank schonmal für deine mühe  sophos kann ich mir leider nicht runterladen weil die site down ist, aber ich fang schonmal mit dem anderen zeug an. hoffe ich hab das alles richtig gemacht: combofix: "Martin" - 07-03-23 17:12:23 Service Pack 2 ComboFix 07-03-22.2 - Running from: "C:\Dokumente und Einstellungen\Martin\Eigene Dateien" (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\system32\6_exception.nls C:\WINDOWS\NDNuninstall6_38.exe C:\Programme\install.log C:\WINDOWS\system32\wsys.dll C:\as.txt ((((((((((((((((((((((((((((((( Files Created from 2007-02-23 to 2007-03-23 )))))))))))))))))))))))))))))))))) 2007-03-23 17:16 4,736 --a------ C:\WINDOWS\system32\drivers\runtime.sys 2007-03-22 23:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll 2007-03-22 23:29 <DIR> d-------- C:\Programme\Gemeinsame Dateien\PC Tools 2007-03-22 21:15 102,800 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-03-23 17:18 -------- d-------- C:\Programme\icq 2007-03-22 23:50 -------- d-------- C:\Programme\hp share-to-web 2007-03-22 20:47 -------- d-------- C:\Programme\xvid 2007-03-22 20:47 -------- d-------- C:\Programme\winamp 2007-03-22 20:47 -------- d-------- C:\Programme\winace 2007-03-22 20:47 -------- d-------- C:\Programme\quicktime alternative 2007-03-22 20:47 -------- d-------- C:\Programme\nimocodec pack 2007-03-22 20:47 -------- d-------- C:\Programme\movie maker 2007-03-22 20:47 -------- d-------- C:\Programme\messenger 2007-03-22 18:29 -------- d-------- C:\Programme\emule 2007-03-20 17:16 507904 --a------ C:\WINDOWS\system32\winlogon.exe 2007-03-17 12:49 82944 --a------ C:\WINDOWS\system32\ws2_32.dll 2007-02-22 16:03 -------- d-------- C:\Programme\java (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "Skype"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "SystemTray"="SysTray.Exe" "Mirabilis ICQ"="C:\\PROGRA~1\\ICQ\\ICQNet.exe" "UserFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,65,\ 6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,75,00 "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_11\\bin\\jusched.exe\"" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "MaxRecentDocs"=dword:00000009 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run] [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0] Source REG_SZ http://www.mostmuscular.com/2002nationals/namedmengo/martin-burger-05.jpg system 32: Datentr„ger in Laufwerk C: ist Windows XP Prof Volumeseriennummer: 7941-1B1E Verzeichnis von C:\WINDOWS\system32 23.03.2007 17:18 0 3_exception.nls 23.03.2007 17:17 13.002 wpa.dbl 22.03.2007 23:40 8.844 iklog.log 20.03.2007 17:16 507.904 winlogon.exe 17.03.2007 12:49 82.944 ws2_32.dll 07.03.2007 21:36 12.619.736 MRT.exe 22.02.2007 16:03 9.799 jupdate-1.5.0_11-b03.log 15.02.2007 18:01 337.280 WgaTray.exe 15.02.2007 18:01 1.476.992 LegitCheckControl.dll 15.02.2007 18:00 236.928 WgaLogon.dll 13.02.2007 19:16 122.142 TZLog.log 29.01.2007 09:58 60.416 tzchange.exe 25.01.2007 13:52 617.472 urlmon.dll 23.01.2007 20:30 546.304 hhctrl.ocx 22.01.2007 12:42 151.584 FNTCACHE.DAT 04.01.2007 14:41 664.576 wininet.dll 04.01.2007 14:41 474.624 shlwapi.dll 04.01.2007 14:41 1.494.528 shdocvw.dll 04.01.2007 14:41 39.424 pngfilt.dll 04.01.2007 14:41 532.480 mstime.dll 04.01.2007 14:40 146.432 msrating.dll 04.01.2007 14:40 448.512 mshtmled.dll 04.01.2007 14:40 3.077.632 mshtml.dll 04.01.2007 14:40 96.768 inseng.dll 04.01.2007 14:40 16.384 jsproxy.dll 04.01.2007 14:40 251.392 iepeers.dll 04.01.2007 14:40 205.312 dxtrans.dll 04.01.2007 14:40 55.808 extmgr.dll 04.01.2007 14:40 357.888 dxtmsft.dll 04.01.2007 14:40 1.056.256 danim.dll 04.01.2007 14:40 152.064 cdfview.dll 04.01.2007 14:40 1.023.488 browseui.dll 04.01.2007 12:52 123.392 xpsp3res.dll 22.12.2006 14:31 9.074 jupdate-1.5.0_10-b03.log systemtemp Datentr„ger in Laufwerk C: ist Windows XP Prof Volumeseriennummer: 7941-1B1E Verzeichnis von C:\DOKUME~1\Martin\LOKALE~1\Temp 23.03.2007 17:22 173 jusched.log 1 Datei(en) 173 Bytes 0 Verzeichnis(se), 1.471.787.008 Bytes frei windows Datentr„ger in Laufwerk C: ist Windows XP Prof Volumeseriennummer: 7941-1B1E Verzeichnis von C:\WINDOWS 23.03.2007 17:16 626.173 setupapi.log 23.03.2007 17:16 0 0.log 23.03.2007 17:16 159 wiadebug.log 23.03.2007 17:16 1.663.536 WindowsUpdate.log 23.03.2007 17:16 50 wiaservc.log 23.03.2007 17:16 2.048 bootstat.dat 23.03.2007 17:04 32.630 SchedLgU.Txt 23.03.2007 13:20 116 NeroDigital.ini 22.03.2007 23:41 835 SpywareDoctor5Uninstall.log 18.03.2007 18:20 402.832 wmsetup.log 16.03.2007 10:35 1.223.314 iis6.log 16.03.2007 10:35 477.266 tsoc.log 16.03.2007 10:35 351.808 comsetup.log 16.03.2007 10:35 213.584 ntdtcsetup.log 16.03.2007 10:35 51.153 ocmsn.log 16.03.2007 10:35 35.893 tabletoc.log 16.03.2007 10:35 1.374 imsins.log 16.03.2007 10:35 12.087 KB929338.log 16.03.2007 10:35 484.375 ocgen.log 16.03.2007 10:35 126.380 netfxocm.log 16.03.2007 10:35 51.620 medctroc.Log 16.03.2007 10:35 51.860 msgsocm.log 16.03.2007 10:35 1.019.780 FaxSetup.log 16.03.2007 10:35 323.790 msmqinst.log 09.03.2007 22:00 1.125 winamp.ini 01.03.2007 08:31 33.074 spupdsvc.log 28.02.2007 13:37 15.208 WgaNotify.log 28.02.2007 13:36 49.847 updspapi.log 28.02.2007 13:36 1.278 avmcoins.log 13.02.2007 19:17 1.374 imsins.BAK 13.02.2007 19:17 19.595 KB927779.log 13.02.2007 19:17 16.594 KB927802.log 13.02.2007 19:17 16.352 KB928255.log 13.02.2007 19:16 12.789 KB924667.log 13.02.2007 19:16 25.230 KB931836.log 13.02.2007 19:16 14.731 KB926436.log 13.02.2007 19:16 15.255 KB918118.log 13.02.2007 19:16 18.622 KB928090.log 13.02.2007 19:16 10.636 KB928843.log 13.02.2007 00:02 155.076 setupact.log 10.01.2007 10:11 10.548 KB929969.log 13.12.2006 13:27 19.524 KB925454.log temp Datentr„ger in Laufwerk C: ist Windows XP Prof Volumeseriennummer: 7941-1B1E Verzeichnis von C:\WINDOWS\Temp down Datentr„ger in Laufwerk C: ist Windows XP Prof Volumeseriennummer: 7941-1B1E Verzeichnis von C:\WINDOWS\Downloaded Program Files 09.02.2005 15:54 1.271 erma.inf 23.02.2004 18:27 65 desktop.ini 19.12.2003 14:43 241 popcaploader.inf 08.12.2003 13:58 3.759 swflash.inf 05.11.2003 06:04 228 odyssey_webmoo.inf 09.10.2003 09:32 144 QTPlugin.inf 27.10.2002 19:32 3.036 wmv9dmo.inf 17.04.2000 13:04 3.072 voxacm.inf 8 Datei(en) 11.816 Bytes 0 Verzeichnis(se), 1.471.766.528 Bytes frei c Datentr„ger in Laufwerk C: ist Windows XP Prof Volumeseriennummer: 7941-1B1E Verzeichnis von C:\ 23.03.2007 17:27 0 sys.txt 23.03.2007 17:27 650 down.txt 23.03.2007 17:26 119 tmp.txt 23.03.2007 17:25 14.124 system.txt 23.03.2007 17:24 295 systemtemp.txt 23.03.2007 17:22 108.452 system32.txt 23.03.2007 17:19 4.585 ComboFix.txt 23.03.2007 17:19 9 as.txt 23.03.2007 17:16 402.653.184 pagefile.sys 29.06.2006 21:02 389 boot.ini 08.10.2004 13:28 47.564 NTDETECT.COM 08.10.2004 13:28 251.184 ntldr 23.02.2004 18:29 0 AUTOEXEC.BAT 23.02.2004 18:29 0 CONFIG.SYS 26.03.2002 13:58 0 IO.SYS 26.03.2002 13:58 0 MSDOS.SYS 18.08.2001 13:00 4.952 bootfont.bin 17 Datei(en) 403.085.507 Bytes 0 Verzeichnis(se), 1.471.762.432 Bytes frei und hier nochmal der hijackthis log: Logfile of HijackThis v1.99.1 Scan saved at 17:49:45, on 23.03.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.5.0_11\bin\jusched.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Ausgezeichnet O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - E:\PROGRA~1\FlashGet\jccatch.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\PROGRA~1\FlashGet\fgiebar.dll O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe" O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Download All by FlashGet - E:\PROGRA~1\FlashGet\jc_all.htm O8 - Extra context menu item: Download using FlashGet - E:\PROGRA~1\FlashGet\jc_link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\PROGRA~1\FlashGet\flashget.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://arcade.icq.com/multiplayer/odyssey_web8.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Progr werd das mit dem sophos gleich nochmal probieren. die infezierten dateien hab ich beim systemstart jetz einfach mal in quarantäne verschoben, aber bringt bestimmt genauso wenig wie löschen, oder ? Dieser Beitrag wurde am 23.03.2007 um 17:51 Uhr von Django editiert.
|
|
|
|
|
|
|
23.03.2007, 20:37
Ehrenmitglied
 Beiträge: 29434 |
#4
Django
1. Start > Ausfuehren --> reinschreiben --> cmd und ok. kopiere rein dir /s /a "c:\winlogon*.*" > c:\find.txt & start notepad c:\find.txt poste, was im texteditor erscheint --- 2. poste beide logs, die erstellt werden - ComboScan.txt + Supplementary.txt http://virus-protect.org/artikel/tools/comboscan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
23.03.2007, 21:12
...neu hier
Themenstarter Beiträge: 5 |
#5
hallo sabina
also zu erstens: Datentr„ger in Laufwerk C: ist Windows XP Prof Volumeseriennummer: 7941-1B1E Verzeichnis von c:\WINDOWS\$NtServicePackUninstall$ 18.08.2001 13:00 435.200 winlogon.exe 1 Datei(en) 435.200 Bytes Verzeichnis von c:\WINDOWS\ServicePackFiles\i386 04.08.2004 08:58 507.392 winlogon.exe 1 Datei(en) 507.392 Bytes Verzeichnis von c:\WINDOWS\system32 20.03.2007 17:16 507.904 winlogon.exe 1 Datei(en) 507.904 Bytes Anzahl der angezeigten Dateien: 3 Datei(en) 1.450.496 Bytes 0 Verzeichnis(se), 1.442.430.976 Bytes frei und zu zweitens: combo scan ComboScan v20070306.20 run by Martin on 2007-03-23 at 21:07:26 Computer is in Normal Mode. -------------------------------------------------------------------------------- -- System Restore -------------------------------------------------------------- Successfully created ComboScan Restore Point. -- Last 5 Restore Point(s) -- 28: 2007-03-23 20:07:34 UTC - RP583 - ComboScan Restore Point 27: 2007-03-23 13:42:20 UTC - RP582 - Systemprüfpunkt 26: 2007-03-21 20:31:35 UTC - RP581 - Systemprüfpunkt 25: 2007-03-20 19:38:19 UTC - RP580 - Systemprüfpunkt 24: 2007-03-19 14:57:16 UTC - RP579 - Systemprüfpunkt -- First Restore Point -- 1: 2007-02-20 08:09:41 UTC - RP556 - Systemprüfpunkt Performed disk cleanup. -- HijackThis (run as Martin.exe) ---------------------------------------------- Logfile of HijackThis v1.99.1 Scan saved at 21:07:38, on 23.03.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.5.0_11\bin\jusched.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\ICQ\Icq.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Martin\Eigene Dateien\comboscan.exe C:\PROGRA~1\HIJACK~1\Martin.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Ausgezeichnet O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - E:\PROGRA~1\FlashGet\jccatch.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\PROGRA~1\FlashGet\fgiebar.dll O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe" O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Download All by FlashGet - E:\PROGRA~1\FlashGet\jc_all.htm O8 - Extra context menu item: Download using FlashGet - E:\PROGRA~1\FlashGet\jc_link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\PROGRA~1\FlashGet\flashget.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://arcade.icq.com/multiplayer/odyssey_web8.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe -- File Associations ----------------------------------------------------------- .bat - batfile - "%1" %* .chm - chm.file - "C:\WINDOWS\hh.exe" %1 .cmd - cmdfile - "%1" %* .com - comfile - "%1" %* .exe - exefile - "%1" %* .hlp - hlpfile - %SystemRoot%\System32\winhlp32.exe %1 .inf - inffile - %SystemRoot%\System32\NOTEPAD.EXE %1 .ini - inifile - %SystemRoot%\System32\NOTEPAD.EXE %1 [COLOR=red].js - JSFile - unable to read value[/COLOR] .lnk - lnkfile - {00021401-0000-0000-C000-000000000046} .pif - piffile - "%1" %* .reg - regfile - regedit.exe "%1" .scr - scrfile - "%1" /S .txt - txtfile - %SystemRoot%\system32\NOTEPAD.EXE %1 .vbs - VBSFile - %SystemRoot%\System32\WScript.exe "%1" %* -- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------- 3S 61883 (61883-Einheitsgerät) - C:\WINDOWS\system32\drivers\61883.sys 3R Arp1394 (1394-ARP-Clientprotokoll) - C:\WINDOWS\system32\drivers\arp1394.sys 3S Avc (AVC-Gerät) - C:\WINDOWS\system32\drivers\avc.sys 1R avgntdd - C:\WINDOWS\system32\drivers\avgntdd.sys 0R avgntmgr - C:\WINDOWS\system32\drivers\avgntmgr.sys 3R AVMCOWAN - C:\WINDOWS\system32\drivers\avmcowan.sys 3S AVMWAN (AVM NDIS WAN CAPI-Treiber) - C:\WINDOWS\system32\drivers\avmwan.sys 3S CCDECODE (Untertiteldecoder) - C:\WINDOWS\system32\drivers\CCDECODE.sys 0R d347bus - C:\WINDOWS\system32\drivers\d347bus.sys 0R d347prt - C:\WINDOWS\system32\drivers\d347prt.sys 3R ElbyCDFL - C:\WINDOWS\system32\drivers\ElbyCDFL.sys 2R ElbyCDIO (ElbyCDIO Driver) - C:\WINDOWS\system32\drivers\ElbyCDIO.sys 3R fpcibase (FRITZ!Card PCI) - C:\WINDOWS\system32\drivers\fpcibase.sys 3S gameport (512i digital PCI Joystick) - C:\WINDOWS\system32\drivers\fmjoy.sys 3R GEARAspiWDM (GEAR CDRom Filter) - C:\WINDOWS\system32\drivers\GEARAspiWDM.sys 3R HidUsb (Microsoft HID Class-Treiber) - C:\WINDOWS\system32\drivers\hidusb.sys 3R mouhid (Maus-HID-Treiber) - C:\WINDOWS\system32\drivers\mouhid.sys 3S MSDV (Microsoft DV Camera and VCR) - C:\WINDOWS\system32\drivers\msdv.sys 3S MSTEE (Microsoft Streaming Tee/Sink-to-Sink-Konvertierung) - C:\WINDOWS\system32\drivers\MSTEE.sys 3S NABTSFEC (NABTS/FEC VBI-Codec) - C:\WINDOWS\system32\drivers\NABTSFEC.sys 3S NdisIP (Microsoft TV-/Videoverbindung) - C:\WINDOWS\system32\drivers\NdisIP.sys 3R NIC1394 (1394-Netzwerktreiber) - C:\WINDOWS\system32\drivers\nic1394.sys 3R nv - C:\WINDOWS\system32\drivers\nv4_mini.sys 0R ohci1394 (VIA OHCI-konformer IEEE 1394-Hostcontroller) - C:\WINDOWS\system32\drivers\ohci1394.sys 2S PfModNT - C:\WINDOWS\system32\drivers\PfModNT.sys (not found) 0R PxHelp20 - C:\WINDOWS\system32\drivers\pxhelp20.sys 3R rtl8139 (NT-Treiber für Realtek RTL8139(A/B/C)-basierten PCI-Fast Ethernetadapter) - C:\WINDOWS\system32\drivers\rtl8139.sys 3S SLIP (BDA Slip De-Framer) - C:\WINDOWS\system32\drivers\SLIP.sys 3S streamip (BDA-IPSink) - C:\WINDOWS\system32\drivers\StreamIP.sys 3R USBSTOR (USB-Massenspeichertreiber) - C:\WINDOWS\system32\drivers\usbstor.sys 3R wdm_fm801 (512i digital PCI Audio (WDM)) - C:\WINDOWS\system32\drivers\fm801.sys 4S WS2IFSL (Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung) - C:\WINDOWS\system32\drivers\ws2ifsl.sys 3S WSTCODEC (World Standard Teletext-Codec) - C:\WINDOWS\system32\drivers\WSTCODEC.SYS -- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled -------------------- 3S Adobe LM Service - "C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe" 2R AntiVirScheduler (AntiVir Scheduler) - C:\Programme\AntiVir PersonalEdition Classic\sched.exe 2R AntiVirService (AntiVir PersonalEdition Classic Service) - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe 3S IDriverT (InstallDriver Table Manager) - "C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe" 3R iPodService - C:\Programme\iPod\bin\iPodService.exe 3S ose (Office Source Engine) - "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE" 2R UMWdf (Windows User Mode Driver Framework) - C:\WINDOWS\system32\wdfmgr.exe 2R UxTuneUp (TuneUp Designerweiterung) - C:\WINDOWS\System32\svchost.exe -k netsvcs 2R WMDM PMSP Service - C:\WINDOWS\system32\MsPMSPSv.exe -- Scheduled Tasks ------------------------------------------------------------- 2007-03-21 16:27:16 398 --a------ C:\WINDOWS\Tasks\1-Klick-Wartung.job<1-KLIC~1.JOB> -- Files created between 2007-02-23 and 2007-03-23 ----------------------------- 2007-03-23 17:15:26 0 d-------- C:\WINDOWS\erdnt 2007-03-22 23:30:26 0 d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Application Data\PC Tools<PCTOOL~1> 2007-03-22 23:29:52 0 d-------- C:\Programme\Gemeinsame Dateien\PC Tools<PCTOOL~1> 2007-03-22 23:29:05 626688 --a------ C:\WINDOWS\system32\msvcr80.dll 2007-03-22 21:15:45 102800 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys -- Find3M Report --------------------------------------------------------------- 2007-03-23 20:53:40 0 d-------- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\Skype 2007-03-23 17:18:00 0 d-------- C:\Programme\ICQ 2007-03-23 14:06:07 0 d-------- C:\Programme\Mozilla Firefox<MOZILL~1> 2007-03-22 23:50:57 0 d-------- C:\Programme\HP Share-to-Web<HPSHAR~1> 2007-03-22 23:29:52 0 d-------- C:\Programme\Gemeinsame Dateien<GEMEIN~1> 2007-03-22 20:47:06 0 d-------- C:\Programme\XviD 2007-03-22 20:47:06 0 d-------- C:\Programme\Winamp 2007-03-22 20:47:06 0 d-------- C:\Programme\WinAce 2007-03-22 20:47:03 0 d-------- C:\Programme\QuickTime Alternative<QUICKT~2> 2007-03-22 20:47:02 0 d-------- C:\Programme\NimoCodec Pack<NIMOCO~1> 2007-03-22 20:47:02 0 d-------- C:\Programme\Movie Maker<MOVIEM~1> 2007-03-22 20:47:00 0 d-------- C:\Programme\Messenger<MESSEN~1> 2007-03-22 20:45:12 0 d-------- C:\Programme\AntiVir PersonalEdition Classic<ANTIVI~1> 2007-03-22 20:45:10 0 d-------- C:\Programme\AC3Filter<AC3FIL~1> 2007-03-22 18:29:27 0 d-------- C:\Programme\eMule 2007-03-20 17:16:46 507904 --a------ C:\WINDOWS\system32\winlogon.exe 2007-03-17 12:49:05 82944 --a------ C:\WINDOWS\system32\ws2_32.dll 2007-02-22 16:03:18 0 d-------- C:\Programme\Java 2007-01-29 09:58:06 60416 -----n--- C:\WINDOWS\system32\tzchange.exe -- Registry Dump --------------------------------------------------------------- [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "Skype"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "SystemTray"="SysTray.Exe" "Mirabilis ICQ"="C:\\PROGRA~1\\ICQ\\ICQNet.exe" "UserFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,65,\ 6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,75,00 "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_11\\bin\\jusched.exe\"" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "MaxRecentDocs"=dword:00000009 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run] [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0] Source REG_SZ http://www.mostmuscular.com/2002nationals/namedmengo/martin-burger-05.jpg [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost] LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0 NetworkService REG_MULTI_SZ DnsCache\0\0 rpcss REG_MULTI_SZ RpcSs\0\0 imgsvc REG_MULTI_SZ StiSvc\0\0 termsvcs REG_MULTI_SZ TermService\0\0 HTTPFilter REG_MULTI_SZ HTTPFilter\0\0 DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0 HKLM\software\Microsoft\Windows NT\CurrentVersion\Svchost *netsvcs* UxTuneUp -- End of ComboScan: finished at 2007-03-23 at 21:08:31 ------------------------ supplementary ComboScan v20070306.20 run by Martin on 2007-03-23 at 21:07:26 Supplementary logfile - please post this as an attachment with your post. -------------------------------------------------------------------------------- -- System Information ---------------------------------------------------------- Microsoft Windows XP Professional (build 2600) SP 2.0 Architecture: X86; Language: German CPU 0: Intel(R) Pentium(R) 4 CPU 1.60GHz Percentage of Memory in Use: 42% Physical Memory (total/avail): 767.47 MiB / 441.41 MiB Pagefile Memory (total/avail): 1109.72 MiB / 829.08 MiB Virtual Memory (total/avail): 2047.88 MiB / 1997.3 MiB A: is Removable (No Media) C: is Fixed (NTFS) - 11.72 GiB total, 1.34 GiB free. D: is Fixed (NTFS) - 13.31 GiB total, 4.19 GiB free. E: is Fixed (NTFS) - 13.31 GiB total, 1.81 GiB free. F: is CDROM (No Media) G: is CDROM (No Media) H: is CDROM (No Media) K: is Fixed (NTFS) - 232.88 GiB total, 203.28 GiB free. -- Security Center ------------------------------------------------------------- AUOptions is set to notify before install. Windows Internal Firewall is enabled. AntivirusOverride is set. AV: AntiVir PersonalEdition Classic Virenschutz v0.0.0.0 (AntiVir PersonalProducts GmbH) [COLOR=RED]Outdated[/COLOR] AV: AntiVir PersonalEdition Classic Virenschutz v0.0.0.0 (AntiVir PersonalProducts GmbH) -- User Profiles --------------------------------------------------------------- Martin (admin) -- Add/Remove Programs --------------------------------------------------------- --> C:\Programme\DivX\ConverterUninstall.exe /CONVERTER --> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf 512i digital ControlPanel (remove only) --> "C:\Programme\512i digital\uninst.exe" AC3Filter (remove only) --> C:\Programme\AC3Filter\uninstall.exe Ad-aware 6 Personal --> C:\PROGRA~1\Lavasoft\AD-AWA~1\UNWISE.EXE C:\PROGRA~1\Lavasoft\AD-AWA~1\INSTALL.LOG Adobe After Effects 6.5 --> MsiExec.exe /I{61CEB2D7-8D3B-4247-B75E-A95F6699B90A} Adobe Bridge 1.0 --> MsiExec.exe /I{AE3D38A6-13B1-40B3-9423-D1FA9982FB6A} Adobe Common File Installer --> MsiExec.exe /I{8EDBA74D-0686-4C99-BFDD-F894678E5102} Adobe Encore DVD 2.0 --> msiexec /I {2ECE7ECE-D15B-4999-8B8D-01C998F489D5} Adobe Help Center 2.0 --> MsiExec.exe /I{8FFC924C-ED06-44CB-8867-3CA778ECE903} Adobe Photoshop 7.0 --> C:\WINDOWS\ISUNINST.EXE -f"C:\Programme\Adobe\Photoshop 7.0\Uninst.isu" -c"C:\Programme\Adobe\Photoshop 7.0\Uninst.dll" Adobe Premiere Pro 2.0 --> msiexec /I {FA17A726-B229-4116-B793-A2AB1A4EAE2E} Adobe Shockwave Player --> C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log Adobe Stock Photos 1.0 --> MsiExec.exe /I{786C5747-1437-443D-B06E-79A00FE45110} Adobe SVG Viewer --> C:\WINDOWS\IsUn0407.exe -f"C:\WINDOWS\System32\Adobe\SVG Viewer\Uninst.isu" Advanced RealMedia Export Plug-in for Premiere 6.0 --> C:\Programme\Adobe\Premiere 6.5\Plug-ins\RNCompiler\rnuninst.exe RealNetworks|RNCompiler|6.0 Avira AntiVir PersonalEdition Classic --> C:\Programme\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE Azureus --> D:\Programme\Azureus\Uninstall.exe Blender (remove only) --> "C:\Programme\Blender Foundation\Blender\uninstall.exe" CleanUp! --> C:\Programme\CleanUp!\uninstall.exe CloneCD --> "C:\Programme\SlySoft\CloneCD\ccd-uninst.exe" /D="C:\Programme\SlySoft\CloneCD" DAEMON Tools --> MsiExec.exe /I{3DED3A72-61A8-4B87-98A5-EF0BC8038AA0} DivX --> C:\Programme\DivX\DivXCodecUninstall.exe /CODEC DivX Converter --> C:\Programme\DivX\ConverterUninstall.exe /CONVERTER DivX Player --> C:\Programme\DivX\DivXPlayerUninstall.exe /PLAYER DVD Shrink 3.2 --> "C:\Programme\DVD Shrink\unins000.exe" eMule --> "C:\Programme\eMule\Uninstall.exe" FlashGet(JetCar) --> E:\PROGRA~1\FlashGet\UNWISE.EXE E:\PROGRA~1\FlashGet\INSTALL.LOG HijackThis 1.99.1 --> C:\Programme\hijackthis\HijackThis.exe /uninstall ICQ --> C:\PROGRA~1\ICQ\ICQUninstall.EXE ICQ 5.1 --> C:\Programme\ICQLite\ICQLiteUninstall.EXE ImageSorter 1.01 --> "C:\Programme\ImageSorter\unins000.exe" iTunes --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe /M{54C0D94A-F467-4ABC-9D02-6E58748668D4} /l1031 J2SE Development Kit 5.0 Update 5 --> MsiExec.exe /I{32A3A4F4-B792-11D6-A78A-00B0D0150050} J2SE Runtime Environment 5.0 Update 10 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150100} J2SE Runtime Environment 5.0 Update 11 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150110} J2SE Runtime Environment 5.0 Update 5 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150050} J2SE Runtime Environment 5.0 Update 6 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150060} J2SE Runtime Environment 5.0 Update 9 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150090} Java 2 Runtime Environment Standard Edition 1.3.1_09 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{70F80C1E-5F26-11D7-88D1-0050DA21757E}\Setup.exe" -uninst Kazaa Lite K++ v2.4.1 --> "E:\Kazaa Lite K++\unins000.exe" Macromedia Dreamweaver 8 --> MsiExec.exe /I{44025BD7-AD10-4769-99AE-6378FD0303D6} Macromedia Extension Manager --> MsiExec.exe /I{0F022A2E-7022-497D-90A5-0F46746D8275} MAX+plus II 10.2 BASELINE --> C:\WINDOWS\IsUninst.exe -f"d:\programme\maxplus 2\Uninst.isu" Microsoft Data Access Components KB870669 --> C:\WINDOWS\muninst.exe C:\WINDOWS\INF\KB870669.inf Microsoft Office FrontPage 2003 --> MsiExec.exe /I{90170409-6000-11D3-8CFE-0150048383C9} Microsoft Office XP Professional --> MsiExec.exe /I{91110407-6000-11D3-8CFE-0050048383C9} mIRC --> "C:\Program Files\mIRC\mirc.exe" -uninstall Mozilla Firefox (2.0.0.3) --> C:\Programme\Mozilla Firefox\uninstall\helper.exe Nero OEM --> C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL NeroVision Express 3 --> C:\WINDOWS\UNNeroVision.exe /UNINSTALL Nimo Codecs Pack v5.0 (Remove Only) --> "C:\Programme\NimoCodec Pack\uninstall.exe" NVIDIA Display Driver --> C:\WINDOWS\System32\nvudisp.exe Uninstall C:\WINDOWS\System32\nvdisp.nvu,NVIDIA Display Driver NVIDIA Drivers --> C:\WINDOWS\system32\nvudisp.exe UninstallGUI PokerStars --> E:\Programme\PokerStars\Uninstall.EXE /u:"PokerStars" QuickTime Alternative 1.76 --> "C:\Programme\QuickTime Alternative\unins000.exe" Sicherheitsupdate für Windows XP (KB883939) --> "C:\WINDOWS\$NtUninstallKB883939$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB890046) --> "C:\WINDOWS\$NtUninstallKB890046$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB893756) --> "C:\WINDOWS\$NtUninstallKB893756$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB896358) --> "C:\WINDOWS\$NtUninstallKB896358$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB896422) --> "C:\WINDOWS\$NtUninstallKB896422$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB896423) --> "C:\WINDOWS\$NtUninstallKB896423$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB896424) --> "C:\WINDOWS\$NtUninstallKB896424$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB896428) --> "C:\WINDOWS\$NtUninstallKB896428$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB896688) --> "C:\WINDOWS\$NtUninstallKB896688$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB899587) --> "C:\WINDOWS\$NtUninstallKB899587$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB899588) --> "C:\WINDOWS\$NtUninstallKB899588$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB899589) --> "C:\WINDOWS\$NtUninstallKB899589$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB899591) --> "C:\WINDOWS\$NtUninstallKB899591$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB900725) --> "C:\WINDOWS\$NtUninstallKB900725$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB901017) --> "C:\WINDOWS\$NtUninstallKB901017$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB901190) --> "C:\WINDOWS\$NtUninstallKB901190$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB901214) --> "C:\WINDOWS\$NtUninstallKB901214$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB902400) --> "C:\WINDOWS\$NtUninstallKB902400$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB903235) --> "C:\WINDOWS\$NtUninstallKB903235$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB904706) --> "C:\WINDOWS\$NtUninstallKB904706$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB905414) --> "C:\WINDOWS\$NtUninstallKB905414$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB905749) --> "C:\WINDOWS\$NtUninstallKB905749$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB905915) --> "C:\WINDOWS\$NtUninstallKB905915$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB908519) --> "C:\WINDOWS\$NtUninstallKB908519$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB908531) --> "C:\WINDOWS\$NtUninstallKB908531$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB911280) --> "C:\WINDOWS\$NtUninstallKB911280$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB911562) --> "C:\WINDOWS\$NtUninstallKB911562$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB911567) --> "C:\WINDOWS\$NtUninstallKB911567$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB911927) --> "C:\WINDOWS\$NtUninstallKB911927$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB912812) --> "C:\WINDOWS\$NtUninstallKB912812$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB912919) --> "C:\WINDOWS\$NtUninstallKB912919$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB913446) --> "C:\WINDOWS\$NtUninstallKB913446$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB913580) --> "C:\WINDOWS\$NtUninstallKB913580$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB914388) --> "C:\WINDOWS\$NtUninstallKB914388$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB914389) --> "C:\WINDOWS\$NtUninstallKB914389$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB916281) --> "C:\WINDOWS\$NtUninstallKB916281$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB917159) --> "C:\WINDOWS\$NtUninstallKB917159$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB917344) --> "C:\WINDOWS\$NtUninstallKB917344$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB917422) --> "C:\WINDOWS\$NtUninstallKB917422$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB917953) --> "C:\WINDOWS\$NtUninstallKB917953$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB918118) --> "C:\WINDOWS\$NtUninstallKB918118$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB918439) --> "C:\WINDOWS\$NtUninstallKB918439$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB918899) --> "C:\WINDOWS\$NtUninstallKB918899$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB919007) --> "C:\WINDOWS\$NtUninstallKB919007$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB920213) --> "C:\WINDOWS\$NtUninstallKB920213$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB920214) --> "C:\WINDOWS\$NtUninstallKB920214$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB920670) --> "C:\WINDOWS\$NtUninstallKB920670$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB920683) --> "C:\WINDOWS\$NtUninstallKB920683$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB920685) --> "C:\WINDOWS\$NtUninstallKB920685$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB921398) --> "C:\WINDOWS\$NtUninstallKB921398$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB921883) --> "C:\WINDOWS\$NtUninstallKB921883$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB922616) --> "C:\WINDOWS\$NtUninstallKB922616$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB922760) --> "C:\WINDOWS\$NtUninstallKB922760$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB922819) --> "C:\WINDOWS\$NtUninstallKB922819$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB923191) --> "C:\WINDOWS\$NtUninstallKB923191$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB923414) --> "C:\WINDOWS\$NtUninstallKB923414$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB923689) --> "C:\WINDOWS\$NtUninstallKB923689$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB923694) --> "C:\WINDOWS\$NtUninstallKB923694$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB923980) --> "C:\WINDOWS\$NtUninstallKB923980$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB924191) --> "C:\WINDOWS\$NtUninstallKB924191$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB924270) --> "C:\WINDOWS\$NtUninstallKB924270$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB924496) --> "C:\WINDOWS\$NtUninstallKB924496$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB924667) --> "C:\WINDOWS\$NtUninstallKB924667$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB925454) --> "C:\WINDOWS\$NtUninstallKB925454$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB925486) --> "C:\WINDOWS\$NtUninstallKB925486$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB926255) --> "C:\WINDOWS\$NtUninstallKB926255$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB926436) --> "C:\WINDOWS\$NtUninstallKB926436$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB927779) --> "C:\WINDOWS\$NtUninstallKB927779$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB927802) --> "C:\WINDOWS\$NtUninstallKB927802$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB928090) --> "C:\WINDOWS\$NtUninstallKB928090$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB928255) --> "C:\WINDOWS\$NtUninstallKB928255$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB928843) --> "C:\WINDOWS\$NtUninstallKB928843$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB929969) --> "C:\WINDOWS\$NtUninstallKB929969$\spuninst\spuninst.exe" Skype 2.5 --> "C:\Programme\Skype\Phone\unins000.exe" Soulseek Client 152 --> C:\WINDOWS\UnGins.exe "C:\Programme\Soulseek\install.log" SoulSeek Client 156b --> "C:\Programme\Soulseek\uninstall.exe" SUPER © Version 2006.19 (FIX) --> C:\PROGRA~1\ERIGHT~1\SUPER\Setup.exe /remove /q0 syn Version 2.1.0.46 --> D:\Programme\Java\syn\unins000.exe TuneUp Utilities 2006 --> MsiExec.exe /I{868D7896-99D4-4513-BC62-2B3AD3E24926} Update für Windows XP (KB894391) --> "C:\WINDOWS\$NtUninstallKB894391$\spuninst\spuninst.exe" Update für Windows XP (KB896727) --> "C:\WINDOWS\$NtUninstallKB896727$\spuninst\spuninst.exe" Update für Windows XP (KB898461) --> "C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe" Update für Windows XP (KB900485) --> "C:\WINDOWS\$NtUninstallKB900485$\spuninst\spuninst.exe" Update für Windows XP (KB910437) --> "C:\WINDOWS\$NtUninstallKB910437$\spuninst\spuninst.exe" Update für Windows XP (KB916595) --> "C:\WINDOWS\$NtUninstallKB916595$\spuninst\spuninst.exe" Update für Windows XP (KB920872) --> "C:\WINDOWS\$NtUninstallKB920872$\spuninst\spuninst.exe" Update für Windows XP (KB922582) --> "C:\WINDOWS\$NtUninstallKB922582$\spuninst\spuninst.exe" Update für Windows XP (KB929338) --> "C:\WINDOWS\$NtUninstallKB929338$\spuninst\spuninst.exe" Update für Windows XP (KB931836) --> "C:\WINDOWS\$NtUninstallKB931836$\spuninst\spuninst.exe" Winamp (remove only) --> "C:\Programme\Winamp\UninstWA.exe" Windows XP-Hotfix - KB834707 --> C:\WINDOWS\$NtUninstallKB834707$\spuninst\spuninst.exe Windows XP-Hotfix - KB867282 --> C:\WINDOWS\$NtUninstallKB867282$\spuninst\spuninst.exe Windows XP-Hotfix - KB873333 --> C:\WINDOWS\$NtUninstallKB873333$\spuninst\spuninst.exe Windows XP-Hotfix - KB873339 --> C:\WINDOWS\$NtUninstallKB873339$\spuninst\spuninst.exe Windows XP-Hotfix - KB885250 --> C:\WINDOWS\$NtUninstallKB885250$\spuninst\spuninst.exe Windows XP-Hotfix - KB885835 --> C:\WINDOWS\$NtUninstallKB885835$\spuninst\spuninst.exe Windows XP-Hotfix - KB885836 --> C:\WINDOWS\$NtUninstallKB885836$\spuninst\spuninst.exe Windows XP-Hotfix - KB885884 --> C:\WINDOWS\$NtUninstallKB885884$\spuninst\spuninst.exe Windows XP-Hotfix - KB886185 --> C:\WINDOWS\$NtUninstallKB886185$\spuninst\spuninst.exe Windows XP-Hotfix - KB887472 --> C:\WINDOWS\$NtUninstallKB887472$\spuninst\spuninst.exe Windows XP-Hotfix - KB887742 --> C:\WINDOWS\$NtUninstallKB887742$\spuninst\spuninst.exe Windows XP-Hotfix - KB888113 --> C:\WINDOWS\$NtUninstallKB888113$\spuninst\spuninst.exe Windows XP-Hotfix - KB888302 --> C:\WINDOWS\$NtUninstallKB888302$\spuninst\spuninst.exe Windows XP-Hotfix - KB890047 --> C:\WINDOWS\$NtUninstallKB890047$\spuninst\spuninst.exe Windows XP-Hotfix - KB890175 --> C:\WINDOWS\$NtUninstallKB890175$\spuninst\spuninst.exe Windows XP-Hotfix - KB890859 --> "C:\WINDOWS\$NtUninstallKB890859$\spuninst\spuninst.exe" Windows XP-Hotfix - KB890923 --> "C:\WINDOWS\$NtUninstallKB890923$\spuninst\spuninst.exe" Windows XP-Hotfix - KB891781 --> C:\WINDOWS\$NtUninstallKB891781$\spuninst\spuninst.exe Windows XP-Hotfix - KB893066 --> "C:\WINDOWS\$NtUninstallKB893066$\spuninst\spuninst.exe" Windows XP-Hotfix - KB893086 --> "C:\WINDOWS\$NtUninstallKB893086$\spuninst\spuninst.exe" WinFunktion Mathematik + 16 --> MsiExec.exe /I{213B996A-A55B-4F9F-B897-2F8C4397EF97} -- End of ComboScan: finished at 2007-03-23 at 21:08:31 ------------------------ |
|
|
|
|
|
|
23.03.2007, 21:23
Ehrenmitglied
Beiträge: 29434 |
#6
1.
Start > Ausführen --> reinschreiben: cmd und ok. kopiere rein Zitat expand c:\WINDOWS\ServicePackFiles\i386\winlogon.exe c:\WINDOWS\system32\winlogon.exemit Yes bestaetigen, dass die winlogon.exe expandiert wird. (berichte, ob es geklappt hat) «« Avenger http://virus-protect.org/artikel/tools/avenger.html Input script manually (anhaken) kopiere in: View/edit script Zitat registry keys to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten -------- «« http://virus-protect.org/artikel/tools/sdfix.html SDFix.zip entpacken es erscheint folgende Meldung: "The SDFix Folder has been extracted to %systemdrive% - Please run from that location. (%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )" unter C:\ findet man nun den SDFix-Ordner boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet) gehe in den Ordner C:\SDFix RunThis.bat doppelt klicken schreibe: Y folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag, __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
25.03.2007, 16:23
...neu hier
Themenstarter Beiträge: 5 |
#7
hallo,
also das mit dem expandieren hat glaub ich nicht geklappt. da stand jedenfalls "fehler beim öffnen der Datei winlogon.exe" und irgendwas bestätigen musste ich auch nicht avenger scheint auch nicht wirklich geklappt zu haben: ////////////////////////////////////////// Avenger Pre-Processor log ////////////////////////////////////////// Syntax error in line --- no registry value to delete found. Line will be ignored. Error code: 0 Line: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Runtime Syntax error in line --- no registry value to delete found. Line will be ignored. Error code: 0 Line: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Runtime Syntax error in line --- no registry value to delete found. Line will be ignored. Error code: 0 Line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Runtime Syntax error in line --- no registry value to delete found. Line will be ignored. Error code: 0 Line: HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\LEGACY_RUNTIME Syntax error in line --- no registry value to delete found. Line will be ignored. Error code: 0 Line: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\enum\root\LEGACY_RUNTIME Syntax error in line --- no registry value to delete found. Line will be ignored. Error code: 0 Line: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RUNTIME ////////////////////////////////////////// Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\wheaprfo ******************* Script file located at: \??\C:\Program Files\jfmmxoxp.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Driver runtime unloaded successfully. File C:\WINDOWS\system32\wsys.dll not found! Deletion of file C:\WINDOWS\system32\wsys.dll failed! Could not process line: C:\WINDOWS\system32\wsys.dll Status: 0xc0000034 File C:\WINDOWS\system32\main.sys not found! Deletion of file C:\WINDOWS\system32\main.sys failed! Could not process line: C:\WINDOWS\system32\main.sys Status: 0xc0000034 File C:\WINDOWS\System32\drivers\ip6fw.sys deleted successfully. File C:\WINDOWS\System32\drivers\runtime.sys not found! Deletion of file C:\WINDOWS\System32\drivers\runtime.sys failed! Could not process line: C:\WINDOWS\System32\drivers\runtime.sys Status: 0xc0000034 Completed script processing. ******************* und hier der text von sdfix: SDFix: Version 1.74 Run by Martin - 25.03.2007 - 16:11:11,45 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Safe Mode: Checking Services: Name: EXAMPLE Runtime ImagePath: \??\C:\WINDOWS\system32\main.sys \??\C:\WINDOWS\System32\drivers\runtime.sys EXAMPLE Deleted Runtime Deleted Restoring Windows Registry Entries Restoring Default Hosts File Rebooting... Normal Mode: Checking Files: Below files will be copied to Backups folder then removed: Could Not Remove C:\as.txt ADS Check: C:\WINDOWS\system32 No streams found. Final Check: Remaining Services: ------------------ EXAMPLE Runtime Authorized Application Key Export: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\ICQ\\Icq.exe"="C:\\Programme\\ICQ\\Icq.exe:*:Enabled:ICQ" "E:\\Kazaa Lite K++\\Kazaa.kpp"="E:\\Kazaa Lite K++\\Kazaa.kpp:*:Enabled:Kazaa" "C:\\Programme\\Shareaza\\Shareaza.exe"="C:\\Programme\\Shareaza\\Shareaza.exe:*:Enabled:Shareaza Ultimate File Sharing" "C:\\Programme\\eMule\\emule.exe"="C:\\Programme\\eMule\\emule.exe:*:Enabled:eMule" "C:\\Programme\\Real\\RealOne Player\\realplay.exe"="C:\\Programme\\Real\\RealOne Player\\realplay.exe:*  isabled:RealOne Player""C:\\Dokumente und Einstellungen\\Martin\\Desktop\\soulseek.exe"="C:\\Dokumente und Einstellungen\\Martin\\Desktop\\soulseek.exe:*:Enabled:SoulSeek" "C:\\Programme\\Soulseek\\slsk.exe"="C:\\Programme\\Soulseek\\slsk.exe:*:Enabled:SoulSeek" "C:\\Program Files\\mIRC\\mirc.exe"="C:\\Program Files\\mIRC\\mirc.exe:*:Enabled:mIRC" "C:\\Dokumente und Einstellungen\\Martin\\Desktop\\slsk.exe"="C:\\Dokumente und Einstellungen\\Martin\\Desktop\\slsk.exe:*:Enabled:SoulSeek" "E:\\Programme\\Steam.exe"="E:\\Programme\\Steam.exe:*:Enabled:Steam" "E:\\Programme\\SteamApps\\muskelbiber81\\half-life 2 deathmatch\\hl2.exe"="E:\\Programme\\SteamApps\\muskelbiber81\\half-life 2 deathmatch\\hl2.exe:*:Enabled:hl2" "C:\\Dokumente und Einstellungen\\Martin\\Eigene Dateien\\eMule0.47a\\eMule0.47a\\emule.exe"="C:\\Dokumente und Einstellungen\\Martin\\Eigene Dateien\\eMule0.47a\\eMule0.47a\\emule.exe:*:Enabled:eMule" "C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes" "D:\\Programme\\Azureus\\Azureus.exe"="D:\\Programme\\Azureus\\Azureus.exe:*:Enabled:Azureus" "C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite" "C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" Remaining Files: --------------- C:\as.txt Found Backups Folder: - C:\SDFix\backups\backups.zip Checking For Files with Hidden Attributes : C:\Programme\eRightSoft\SUPER\_Setup.dll C:\Programme\eRightSoft\SUPER\mencoder\14_43260.dll C:\Programme\eRightSoft\SUPER\mencoder\28_83260.dll C:\Programme\eRightSoft\SUPER\mencoder\atrc3260.dll C:\Programme\eRightSoft\SUPER\mencoder\cook3260.dll C:\Programme\eRightSoft\SUPER\mencoder\dnet3260.dll C:\Programme\eRightSoft\SUPER\mencoder\drv23260.dll C:\Programme\eRightSoft\SUPER\mencoder\drv33260.dll C:\Programme\eRightSoft\SUPER\mencoder\drv43260.dll C:\Programme\eRightSoft\SUPER\mencoder\ivvideo.dll C:\Programme\eRightSoft\SUPER\mencoder\qtmlClient.dll C:\Programme\eRightSoft\SUPER\mencoder\raac.dll C:\Programme\eRightSoft\SUPER\mencoder\sipr3260.dll C:\WINDOWS\system32\avisynth.dll C:\WINDOWS\system32\AVSredirect.dll C:\WINDOWS\system32\cygwin1.dll C:\WINDOWS\system32\cygz.dll C:\WINDOWS\system32\i420vfw.dll C:\WINDOWS\system32\Smab.dll C:\WINDOWS\system32\yv12vfw.dll C:\Programme\eRightSoft\SUPER\Setup.exe C:\WINDOWS\meta4.exe C:\WINDOWS\MOTA113.exe C:\WINDOWS\x2.64.exe C:\WINDOWS\system32\x.264.exe C:\WINDOWS\system32\config\default.tmp.LOG C:\WINDOWS\system32\config\SAM.tmp.LOG C:\WINDOWS\system32\config\SECURITY.tmp.LOG C:\WINDOWS\system32\config\software.tmp.LOG C:\WINDOWS\system32\config\system.tmp.LOG Finished virusmeldung kommt immernoch 
|
|
|
|
|
|
|
25.03.2007, 17:59
Ehrenmitglied
Beiträge: 29434 |
#8
Django
c:\WINDOWS\system32\winlogon.exe - ist verseucht (darf/kann aber nicht geloescht werden) also: versuchen die winlogon.exe in old umzubenennen, dann die winlogon.exe aus ServicePackFiles\i386 in den c:\WINDOWS\system32\ kopieren du musst sie ersetzen durch diese: c:\WINDOWS\ServicePackFiles\i386\winlogon.exe pC neustarten und sehen, ob es funktioniert hat........ oder< «« Die Winlogon.exe muss man durch eine saubere Version ersetzen. Das ginge am einfachsten mit einer BartPE CD http://pebuilder.de/ oder einer Knoppix liveCD http://www.knopper.net/knoppix-mirrors --------------------------- allerdings empfehle ich dir, bei so schwerem Befall /Rootkits... usw - zu fomatieren __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
25.03.2007, 19:23
...neu hier
Themenstarter Beiträge: 5 |
||
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
hab grad ziemliche Probs hier. Also mir wurde letztens schonmal der Internetzugang von meinem Anbieter gesperrt weil von meiner IP-Adresse angeblich irgendwelche Spam-Mails oder sonstwas verschickt wird. Hab dann mit AntiVir mein System gecheckt und nix gefunden.
Gestern krieg ich dann auf einmal eine Virusmeldung nach der anderen:
In der Datei 'C:\WINDOWS\System32\drivers\runtime.sys'
wurde ein Virus oder unerwünschtes Programm 'TR/RKit.Agent.DW.2' [TR/RKit.Agent.DW.2] gefunden.
In der Datei 'C:\WINDOWS\System32\drivers\ip6fw.sys'
wurde ein Virus oder unerwünschtes Programm 'RKIT/Agent.DQ.31.A' [RKIT/Agent.DQ.31.A] gefunden.
In der Datei 'C:\WINDOWS\system32\main.sys'
wurde ein Virus oder unerwünschtes Programm 'Rkit/Agent.ady' [RKIT/Agent.ady] gefunden.
bzw. kamen die nacheinader nachdem ich versucht hatte den ersten zu löschen.
mein Internet-Zugang wurde dann natürlich auch gleich wieder gesperrt. Beim nächsten Mal muss ich 15 euro zahlen o_0
also hoffe ihr könnt mir da helfen. hier mal meinen hijackthis log:
Logfile of HijackThis v1.99.1
Scan saved at 13:20:55, on 23.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Ausgezeichnet
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - E:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Download All by FlashGet - E:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - E:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://arcade.icq.com/multiplayer/odyssey_web8.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
und diesen rootkitbuster hab ich auch mal gestartet, falls euch das hilft:
+----------------------------------------------------
| Trend Micro RootkitBuster 1.6 Beta.
| Module version: 1.6.0.1052
+----------------------------------------------------
--== Dump Hidden File on C:\ ==--
No hidden files found.
--== Dump Hidden Registry Value on HKLM ==--
[HIDDEN_REGISTRY][Hidden Reg Value]:
KeyPath : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf41
Root : 0
SubKey : 0Jf41
ValueName : khjeh
Data : 20 02 00 00 02 3F 54 81 ...
ValueType : 3
AccessType: 0
FullLength: 0x46
DataSize : 0x220
[HIDDEN_REGISTRY][Hidden Reg Value]:
KeyPath : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf42
Root : 0
SubKey : 0Jf42
ValueName : khjeh
Data : 20 02 00 00 8C 3D 54 81 ...
ValueType : 3
AccessType: 0
FullLength: 0x46
DataSize : 0x220
[HIDDEN_REGISTRY][Hidden Reg Value]:
KeyPath : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf43
Root : 0
SubKey : 0Jf43
ValueName : khjeh
Data : 20 02 00 00 B2 3C 54 81 ...
ValueType : 3
AccessType: 0
FullLength: 0x46
DataSize : 0x220
3 hidden registry entries found.
--== Dump Hidden Process ==--
No hidden processes found.
--== Dump Hidden Driver ==--
No hidden drivers found.
hoffe ihr könnt was damit anfangen und mir irgendwie helfen. hab jetz allerdings net sooo die ahnung von comps, also wenns geht schritt für schritt erklären. vielen dank schonmal !!!