Hijackthis+Combofix+datfind-Logfiles mit der Bitte um Durchsicht |
||
---|---|---|
#0
| ||
24.03.2007, 11:53
Member
Beiträge: 12 |
||
|
||
25.03.2007, 12:38
Ehrenmitglied
Beiträge: 29434 |
#2
stevenm
1. Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. 2. im Normalmodus http://virus-protect.org/artikel/tools/sdfix.html RunThis.bat doppelt klicken reinschreiben: 3 3 : wird Sophos geladen -waehle 6 - scanne und poste hier den report __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.03.2007, 13:06
Member
Themenstarter Beiträge: 12 |
#3
Hallo Sabina,
habe folgende Fehlermeldung To run the SDFix tool please reboot to Safe Mode (Reboot, tap the F8 Key and choose Safe Mode from the Advanced Menu) 1. Download/Run a-squared (EMSI Software - 10.5 MB) 2. Download/Run NGenFix (Norman - 2.3 MB) 3. Download/Run SAV32CLI (Sophos - 10.1 MB) S. Save Add/Remove programs List U. Download latest version of SDFix E. EXIT (Active Internet Connection Required To Download Files) Type S,U,1,2,3 or E to Exit....3 Downloading Definition File from Sophos... Sophos Anti-Virus - http://www.sophos.com/ Ein Unterverzeichnis oder eine Datei mit dem Namen "C:\sdfix\SDFix\IDE" existier t bereits. File Downloader - Version 1.01 (build 7.4) Downloads a file from a HTTP or a FTP server. Copyright (c) 2004, Noel Danjou <webmaster@noeld.com>. Server: www.sophos.com Port: 80 Protocol: HTTP 415_ides.zip: Download failure: Der Servername oder die Serveradresse konnte nicht verarbeitet werden. Archive: 415_ides.zip End-of-central-directory signature not found. Either this file is not a zipfile, or it constitutes one disk of a multi-part archive. In the latter case the central directory and zipfile comment will be found on the last disk(s) of this archive. unzip: cannot find zipfile directory in 415_ides.zip, and cannot find 415_ides.zip.zip, period. Dateiname existiert bereits, oder die Datei konnte nicht gefunden werden. Downloading SAV32CLI from Sophos... Sophos Anti-Virus - http://www.sophos.com/ File Downloader - Version 1.01 (build 7.4) Downloads a file from a HTTP or a FTP server. Copyright (c) 2004, Noel Danjou <webmaster@noeld.com>. Server: www.sophos.com Port: 80 Protocol: HTTP sav32sfx.exe: Download failure: Der Servername oder die Serveradresse konnte nicht verarbeitet werden. Drücken Sie eine beliebige Taste . . . Gruß Klaus sorry - lade Datei jetzt direkt von sophos runter - melde mich wieder Klaus Dieser Beitrag wurde am 25.03.2007 um 13:09 Uhr von stevenm editiert.
|
|
|
||
25.03.2007, 14:32
Ehrenmitglied
Beiträge: 29434 |
#4
vielleicht eine anomalie bei sophos ?? keine Ahnung.
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.03.2007, 19:07
Member
Themenstarter Beiträge: 12 |
#5
Hallo Sabina,
scan hat etwas gedauert - tausende Bilder auf der Maschine. Anbei der Sophos-report Sophos Anti-Virus Version 4.16.0 [Win32/Intel] Virus data version 4.16, April 2007 Includes detection for 231548 viruses, trojans and worms Copyright (c) 1989-2007 Sophos Plc, www.sophos.com System time 17:23:50, System date 25 March 2007 Command line qualifiers are: -f -remove -nc -nb --stop-scan Full Scanning Could not open C:\hiberfil.sys Aborted checking C:\Patches\ArmaDemo103Setup.exe - appears to be a 'zip bomb' Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\DEU\RdrMsgDEU.pdf Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\ENU\RdrMsgENU.pdf Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\RdrMsgSplash.pdf Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\WebSearch\WebSearchENU.pdf Could not check C:\WINDOWS\$hf_mig$\KB919007\SP2QFE\rmcast.sys (virus scan failed) Could not check C:\WINDOWS\system32\dllcache\rmcast.sys (virus scan failed) Could not check C:\WINDOWS\system32\drivers\rmcast.sys (virus scan failed) Could not open C:\WINDOWS\system32\drivers\sptd.sys Aborted checking G:\Birgit\NWH\NWH 1-4\NWH 1-4_12.exe - appears to be a 'zip bomb' Aborted checking G:\Birgit\NWH\NWH_1-4\NWH 1-4_12.exe - appears to be a 'zip bomb' 2 boot sectors swept. 35728 files swept in 1 hour, 1 minute and 36 seconds. 12 errors were encountered. No viruses were discovered. 4 encrypted files were not checked. Ending Sophos Anti-Virus. Gruß Klaus |
|
|
||
25.03.2007, 19:52
Ehrenmitglied
Beiträge: 29434 |
#6
aktiviere wieder die systemwiederherstellung und scanne noch mal mit antivirus (im abges.Modus)
+ berichte (falls die systemauslastung zu hoch wird - deinstalliere den sophos wieder) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
27.03.2007, 19:49
Member
Themenstarter Beiträge: 12 |
#7
Hallo Sabina,
sorry die späte Rückmeldung - gestern keine Zeit. Alles wie beschrieben durchgeführt: "aktiviere wieder die systemwiederherstellung und scanne noch mal mit antivirus (im abges.Modus)" Report vom Antivir: AntiVir PersonalEdition Classic Erstellungsdatum der Reportdatei: Dienstag, 27. März 2007 17:22 Es wird nach 713545 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Benutzername: LSBBK Computername: STEFFEN Versionsinformationen: BUILD.DAT : 217 12749 Bytes 05.12.2006 16:57:00 AVSCAN.EXE : 7.0.3.5 208936 Bytes 18.03.2007 13:40:58 AVSCAN.DLL : 7.0.3.0 35880 Bytes 26.10.2006 19:54:37 LUKE.DLL : 7.0.3.2 143400 Bytes 31.10.2006 16:07:43 LUKERES.DLL : 7.0.2.0 9256 Bytes 19.10.2006 08:27:59 ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 08:15:44 ANTIVIR1.VDF : 6.37.1.151 4303360 Bytes 23.02.2007 13:40:59 ANTIVIR2.VDF : 6.38.0.111 406528 Bytes 23.03.2007 10:02:32 ANTIVIR3.VDF : 6.38.0.119 30208 Bytes 26.03.2007 17:14:45 AVEWIN32.DLL : 7.3.1.44 2363904 Bytes 24.03.2007 10:02:32 AVPREF.DLL : 7.0.2.0 23592 Bytes 03.11.2006 09:56:47 AVREP.DLL : 6.38.0.90 1204264 Bytes 24.03.2007 10:02:32 AVRPBASE.DLL : 7.0.0.0 2162728 Bytes 30.03.2006 08:43:10 AVPACK32.DLL : 7.3.0.6 360488 Bytes 24.03.2007 10:02:32 AVREG.DLL : 7.0.1.2 30760 Bytes 18.03.2007 13:40:58 NETNT.DLL : Keine Information! RCIMAGE.DLL : 7.0.1.3 2097192 Bytes 08.11.2006 12:26:22 RCTEXT.DLL : 7.0.12.0 77864 Bytes 22.11.2006 13:17:43 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Lokale Laufwerke Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp Protokollierung..................: niedrig Primäre Aktion...................: quarantäne Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: aus Durchsuche Bootsektoren..........: ein Bootsektoren.....................: E:, Durchsuche Speicher..............: ein Durchsuche Laufende Programme....: ein Durchsuche Registrierung.........: ein Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Abweichende Archivtypen..........: BSD Mailbox, Netscape/Mozilla Mailbox, Eudora Mailbox, Squid cache, Pegasus Mailbox, MS Outlook Mailbox, Makrovirenheuristik..............: ein Dateiheuristik...................: hoch Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR, Erweiterte Sucheinstellungen.....: 0x00007000 Beginn des Suchlaufs: Dienstag, 27. März 2007 17:22 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Module wurden durchsucht Es wurden '11' Prozesse mit '11' Modulen durchsucht Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'G:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'A:\' [HINWEIS] Im Laufwerk 'A:\' ist kein Datenträger eingelegt! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( 24 Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <53_01_02> C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'G:\' <Video> Beginne mit der Suche in 'A:\' Der zu durchsuchende Pfad A:\ konnte nicht gefunden werden! Das Gerät ist nicht bereit. Beginne mit der Suche in 'D:\' Der zu durchsuchende Pfad D:\ konnte nicht gefunden werden! Das Gerät ist nicht bereit. Beginne mit der Suche in 'E:\' Der zu durchsuchende Pfad E:\ konnte nicht gefunden werden! Das Gerät ist nicht bereit. Ende des Suchlaufs: Dienstag, 27. März 2007 19:28 Benötigte Zeit: 2:06:10 min Der Suchlauf wurde vollständig durchgeführt. 6639 Verzeichnisse wurden überprüft 311441 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 311441 Dateien ohne Befall 9617 Archive wurden durchsucht 2 Warnungen 37 Hinweise Sieht nicht ganz schlecht aus oder ??? Gruß Klaus |
|
|
||
27.03.2007, 19:51
Ehrenmitglied
Beiträge: 29434 |
||
|
||
muß mal wieder den PC meines Sohnes desinfizieren oder am besten sterilisieren.
Habe jetzt erst nachfolgende Virenmeldungen gesehen.
AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Donnerstag, 14. Dezember 2006 18:00
C:\apache\php\sapi\php4nsapi.dll
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[INFO] Eine Sicherungskopie wurde unter dem Namen b3b5f3d4.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\All Users\Dokumente\Gemeinsame Downloads\Sonstiges\star_wars_battlefront_2_plus_9_trainer.zip
[0] Archivtyp: ZIP
--> pztrain.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[INFO] Eine Sicherungskopie wurde unter dem Namen a4f3e6b2.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\LSBBK.NAME-A4Q2WBFMJG\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für star_wars_battlefront_2_plus_9_trainer.zip\pztrain.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[INFO] Eine Sicherungskopie wurde unter dem Namen a6f3ffe0.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{FDF03599-CBA3-40FC-B3C6-D10BAC516646}\RP688\A0250574.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[INFO] Eine Sicherungskopie wurde unter dem Namen 75b6c6a1.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{FDF03599-CBA3-40FC-B3C6-D10BAC516646}\RP695\A0254838.dll
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[INFO] Eine Sicherungskopie wurde unter dem Namen 79b6c6c1.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
04.09.06
C:\System Volume Information\_restore{FDF03599-CBA3-40FC-B3C6-D10BAC516646}\RP598\A0233231.exe
[0] Archivtyp: RAR SFX (self extracting)
--> ARTMONEY.DLL
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Eine Sicherungskopie wurde unter dem Namen 782e4d29.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
Habe jetzt alle Maßnahmen durchgeführt wird im Forum beschrieben:
1. Hijackthis
2. cleanup
3. combofix
4 datfindbat
und habe die Logs angehängt mit der Bitte um Durchsicht und freue mich auf gute Ratschläge wie ich die Kiste wieder sauber bekomme.
Es freut sich ein PC-gestreßter Dadddy
Klaus
hijackthis - Logfile
Logfile of HijackThis v1.99.1
Scan saved at 11:14:47, on 24.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.5.0_08\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\ClamWin\bin\ClamTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Jana Server\JanaAdmin.exe
C:\Programme\KWorld Multimedia\PVR-TV 713X Utilities\P3XRCtl.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\_Virus\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.0.5:3128;gopher=192.168.0.5:3128;http=192.168.0.5:3128;https=192.168.0.5:3128;socks=192.168.0.5:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.0.5;127.0.0.1;localhost
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ClamWin] "C:\Programme\ClamWin\bin\ClamTray.exe" --logon
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: JanaAdmin.exe.lnk = C:\Programme\Jana Server\JanaAdmin.exe
O4 - Global Startup: Remote Control.lnk = C:\Programme\KWorld Multimedia\PVR-TV 713X Utilities\P3XRCtl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\RealVNC\WinVNC\WinVNC.exe" -service (file missing)
Combofix-Logfile
"LSBBK" - 07-03-24 11:30:03 Service Pack 2
ComboFix 07-03-23 - Running from: "C:\_Virus\combofix"
(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
C:\install.log
((((((((((((((((((((((((((((((( Files Created from 2007-02-24 to 2007-03-24 ))))))))))))))))))))))))))))))))))
2007-03-22 15:09 <DIR> d-------- C:\Programme\Audacity 1.3 Beta
2007-03-21 13:49 87,608 --a------ C:\DOKUME~1\LSBBK~1.NAM\ANWEND~1\ezpinst.exe
2007-03-21 13:49 47,360 --a------ C:\WINDOWS\system32\drivers\pcouffin.sys
2007-03-21 13:49 47,360 --a------ C:\DOKUME~1\LSBBK~1.NAM\ANWEND~1\pcouffin.sys
2007-03-21 13:49 <DIR> d-------- C:\DOKUME~1\LSBBK~1.NAM\ANWEND~1\Vso
2007-03-21 13:41 414,272 --a------ C:\WINDOWS\system32\DivXc32f.dll
2007-03-21 13:41 414,272 --a------ C:\WINDOWS\system32\DivXc32.dll
2007-03-21 13:34 <DIR> d-------- C:\Programme\Player
2007-03-18 14:36 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\AntiVir PersonalEdition Classic
2007-03-18 12:47 <DIR> d-------- C:\Programme\ClamWin
2007-03-18 12:47 <DIR> d-------- C:\DOKUME~1\LSBBK~1.NAM\ANWEND~1\.clamwin
2007-03-18 12:47 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\.clamwin
2007-03-18 12:45 <DIR> d-------- C:\_Virus
2007-03-16 16:56 <DIR> d-------- C:\Programme\Rockstar Games
2007-03-14 17:51 <DIR> d-------- C:\DOKUME~1\LSBBK~1.NAM\ANWEND~1\Anvil Studio
2007-03-13 15:04 880,128 --a------ C:\WINDOWS\system32\ECMM.scr
2007-03-13 15:04 <DIR> d-------- C:\CSOFT
2007-03-07 16:55 198,144 --------- C:\WINDOWS\system32\_psisdecd.dll
2007-03-02 23:58 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\CyberLink
2007-03-02 23:56 44,544 --a------ C:\WINDOWS\system32\msxml4a.dll
2007-03-01 19:06 868,352 --------- C:\WINDOWS\system32\sys_kernel.dll
2007-03-01 19:06 4,413,952 --------- C:\WINDOWS\system32\step2.dll
2007-03-01 19:06 371,200 ---h----- C:\WINDOWS\system32\libmplayer.dll
2007-03-01 19:06 2,696,192 ---h----- C:\WINDOWS\system32\libavcodec.dll
2007-03-01 19:06 <DIR> d-------- C:\WINDOWS\ehome
2007-03-01 19:04 83,968 --a------ C:\WINDOWS\UnGins.exe
2007-02-26 16:00 646,392 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2007-02-26 15:48 <DIR> d-------- C:\Programme\Xilisoft
2007-02-26 15:20 <DIR> d-------- C:\Programme\MP3 Player Utilities 4.09
2007-02-25 19:15 <DIR> d-------- C:\Programme\PM
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-03-23 17:51 -------- d-------- C:\Programme\mozilla thunderbird
2007-03-21 16:37 -------- d-------- C:\Programme\recuva
2007-03-21 14:19 33 --a------ C:\DOKUME~1\LSBBK~1.NAM\ANWEND~1\pcouffin.log
2007-03-21 14:19 1144 --a------ C:\DOKUME~1\LSBBK~1.NAM\ANWEND~1\pcouffin.inf
2007-03-21 14:19 1074 --a------ C:\DOKUME~1\LSBBK~1.NAM\ANWEND~1\pcouffin.cat
2007-03-18 19:08 -------- d-------- C:\Programme\McAfee
2007-03-18 14:11 -------- d-------- C:\DOKUME~1\LSBBK~1.NAM\ANWEND~1\phonostar-player
2007-03-18 13:55 -------- d--h----- C:\Programme\installshield installation information
2007-03-18 12:37 -------- d-------- C:\Programme\elaborate bytes
2007-03-05 16:53 -------- d-------- C:\DOKUME~1\LSBBK~1.NAM\ANWEND~1\help
2007-02-26 15:23 -------- d-------- C:\Programme\avsmedia
2007-02-24 18:59 -------- d-------- C:\DOKUME~1\LSBBK~1.NAM\ANWEND~1\avsmedia
2007-02-21 15:56 1461 --a------ C:\WINDOWS\ereg.dat
2007-02-21 15:55 737280 --a------ C:\WINDOWS\iun6002.exe
2007-02-21 15:53 -------- d-------- C:\Programme\ea games
2007-02-18 18:30 -------- d-------- C:\Programme\counter-strike 1.6
2007-02-09 19:44 59528 --a------ C:\DOKUME~1\LSBBK~1.NAM\ANWEND~1\gdipfontcachev1.dat
2007-02-09 19:29 -------- d-------- C:\Programme\illustrate
2007-02-09 19:18 -------- d-------- C:\Programme\free video to mp3 converter
2007-02-09 12:44 4103032 --a------ C:\WINDOWS\system32\spoonuninstall.exe
2007-02-08 22:40 271360 --a------ C:\WINDOWS\system32\drivers\atksgt.sys
2007-02-08 22:40 18048 --a------ C:\WINDOWS\system32\drivers\lirsgt.sys
2007-02-07 15:11 -------- d-------- C:\Programme\electronic arts
2007-02-01 19:25 -------- d-------- C:\Programme\divx
2007-02-01 17:26 -------- d-------- C:\Programme\sixteen tons entertainment
2007-02-01 13:32 -------- d-------- C:\DOKUME~1\LSBBK~1.NAM\ANWEND~1\skype
2007-01-27 11:40 -------- d-------- C:\Programme\red kawa
2007-01-05 20:05 108144 --a------ C:\WINDOWS\system32\cmdlineext.dll
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"LogitechSoftwareUpdate"="C:\\Programme\\Logitech\\Video\\ManifestEngine.exe boot"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Wizard"=hex(2):00
"SoundMan"="SOUNDMAN.EXE"
"NeroCheck"="C:\\WINDOWS\\System32\\\\NeroCheck.exe"
"WinVNC"="\"C:\\Programme\\RealVNC\\WinVNC\\WinVNC.exe\" -servicehelper"
"LVCOMSX"="C:\\WINDOWS\\system32\\LVCOMSX.EXE"
"LogitechVideoRepair"="C:\\Programme\\Logitech\\Video\\ISStart.exe"
"LogitechVideoTray"="C:\\Programme\\Logitech\\Video\\LogiTray.exe"
"Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\""
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_08\\bin\\jusched.exe\""
@=""
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"ClamWin"="\"C:\\Programme\\ClamWin\\bin\\ClamTray.exe\" --logon"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"WPDShServiceObj"="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"SSS6_Suite"="\"C:\\Programme\\Steganos Security Suite 6\\sss.exe\" /booting"
"SSS6_SAFE"="\"C:\\Programme\\Steganos Security Suite 6\\safe.exe\" /booting"
"SSS6_SPM"="\"C:\\Programme\\Steganos Security Suite 6\\spm.exe\" /booting"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
WudfServiceGroup REG_MULTI_SZ WUDFSvc\0\0
********************************************************************
catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net
scanning hidden processes ...
scanning hidden services ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
********************************************************************
Completion time: 07-03-24 11:35:16
Datfind - Logfiles
System32.txt
Datentr„ger in Laufwerk C: ist 53_01_02
Volumeseriennummer: 8895-01EA
Verzeichnis von C:\WINDOWS\system32
24.03.2007 11:25 17.774 LVCOMSX.LOG
22.03.2007 13:30 54.112 vsconfig.xml
14.03.2007 15:11 233.576 FNTCACHE.DAT
13.03.2007 15:04 1.799 daoSetup.log
05.03.2007 19:14 34.308 BASSMOD.dll
26.02.2007 15:19 1.158 wpa.dbl
09.02.2007 12:44 4.103.032 SpoonUninstall.exe
08.01.2007 12:12 868.352 sys_kernel.dll
05.01.2007 20:05 108.144 CmdLineExt.dll
14.12.2006 14:42 122.880 MakayamaMobileTVCenter.ocx
11.12.2006 13:54 4.413.952 step2.dll
25.11.2006 09:44 16.832 amcompat.tlb
25.11.2006 09:44 23.392 nscompat.tlb
24.11.2006 17:05 312.946 perfh009.dat
24.11.2006 17:05 40.664 perfc009.dat
24.11.2006 17:05 318.106 perfh007.dat
24.11.2006 17:05 49.028 perfc007.dat
24.11.2006 17:05 728.094 PerfStringBackup.INI
08.11.2006 12:36 44.544 msxml4a.dll
08.11.2006 12:36 198.144 _psisdecd.dll
06.11.2006 23:39 132.096 gc.dll
systemtemp.txt
Datentr„ger in Laufwerk C: ist 53_01_02
Volumeseriennummer: 8895-01EA
Verzeichnis von C:\DOKUME~1\LSBBK~1.NAM\LOKALE~1\Temp
24.03.2007 11:27 251 ClamWin1.log
1 Datei(en) 251 Bytes
0 Verzeichnis(se), 15.935.033.344 Bytes frei
system.txt
Datentr„ger in Laufwerk C: ist 53_01_02
Volumeseriennummer: 8895-01EA
Verzeichnis von C:\WINDOWS
23.03.2007 23:56 1.880.627 WindowsUpdate.log
22.03.2007 13:31 0 0.log
22.03.2007 13:30 159 wiadebug.log
22.03.2007 13:30 50 wiaservc.log
22.03.2007 13:30 2.048 bootstat.dat
21.03.2007 19:14 32.332 SchedLgU.Txt
21.03.2007 14:29 518 canopus.ini
21.03.2007 14:19 245.873 setupapi.log
21.03.2007 13:47 39.260 wmsetup.log
18.03.2007 14:51 375 setupact.log
16.03.2007 17:08 166.621 DirectX.log
11.03.2007 15:30 1.915 Ultra EDIT.INI
06.03.2007 17:48 1.204 win.ini
21.02.2007 19:52 1.782 Battlefield Mod Development Toolkit - 3ds max tools Setup Log.txt
21.02.2007 15:56 1.461 eReg.dat
21.02.2007 15:55 737.280 iun6002.exe
21.02.2007 15:55 22.922 Battlecraft 1942 Setup Log.txt
05.02.2007 23:10 8.192 LSBBK.pcb
04.02.2007 19:47 1.164 datawriter.log
04.02.2007 19:47 4.152 coredw.log
26.01.2007 22:34 27 DVCONFIG.INI
22.01.2007 21:27 646 GEARInstall.log
17.12.2006 14:51 115.819 iis6.log
17.12.2006 14:51 19.367 comsetup.log
17.12.2006 14:51 334.752 tsoc.log
17.12.2006 14:51 1.943 imsins.log
17.12.2006 14:51 173.530 ntdtcsetup.log
17.12.2006 14:51 42.978 ocmsn.log
17.12.2006 14:51 40.047 ocgen.log
17.12.2006 14:51 42.198 msgsocm.log
17.12.2006 14:51 807.148 FaxSetup.log
tmp.txt
Datentr„ger in Laufwerk C: ist 53_01_02
Volumeseriennummer: 8895-01EA
Verzeichnis von C:\WINDOWS\Temp
22.03.2007 13:30 256 ZLT03a55.TMP
22.03.2007 13:30 256 ZLT03a52.TMP
2 Datei(en) 512 Bytes
0 Verzeichnis(se), 15.935.008.768 Bytes frei
down.txt
Datentr„ger in Laufwerk C: ist 53_01_02
Volumeseriennummer: 8895-01EA
Verzeichnis von C:\WINDOWS\Downloaded Program Files
20.03.2003 14:04 65 desktop.ini
20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
14.10.1997 18:52 697 DirectAnimation Java Classes.osd
3 Datei(en) 1.924 Bytes
0 Verzeichnis(se), 15.935.008.768 Bytes frei
sys.txt
Datentr„ger in Laufwerk C: ist 53_01_02
Volumeseriennummer: 8895-01EA
Verzeichnis von C:\
24.03.2007 11:47 0 sys.txt
24.03.2007 11:46 432 down.txt
24.03.2007 11:46 322 tmp.txt
24.03.2007 11:45 13.658 system.txt
24.03.2007 11:44 294 systemtemp.txt
24.03.2007 11:41 110.879 system32.txt
24.03.2007 11:35 7.881 ComboFix.txt
22.03.2007 13:30 804.835.328 hiberfil.sys
22.03.2007 13:30 402.653.184 pagefile.sys
18.03.2007 14:47 211 boot.ini
18.03.2007 13:45 9.427 ps_system_Zeit.txt
29.01.2007 21:43 226.695 Installer.log
29.01.2007 21:43 0 Debug.QC6
20.09.2006 15:22 22.863.524 debug.log
29.06.2006 14:58 50 AUTOEXEC.BAT
04.05.2006 18:15 38.684 EasyShare.dmp
16.02.2006 17:08 56 dhnp.ist
01.11.2005 14:02 183 LogiSetup.log
03.02.2005 15:45 47.564 NTDETECT.COM
03.02.2005 15:45 251.184 ntldr
23.12.2003 19:21 98.304 ffastunT.ffl
21.12.2003 13:09 4.917 ffastun.ffa
21.12.2003 13:09 192.512 ffastun.ffo
21.12.2003 13:09 516.096 ffastun.ffl
21.12.2003 13:09 1.323.008 ffastun0.ffx
23.06.2003 16:33 79 Desktop anzeigen.scf
20.03.2003 14:37 26 fastboot.txt
20.03.2003 14:32 326 DRVlog.dat
20.03.2003 14:06 0 IO.SYS
20.03.2003 14:06 0 MSDOS.SYS
20.03.2003 14:06 0 CONFIG.SYS
29.08.2002 13:00 4.952 bootfont.bin
18.08.2001 13:00 2 oem.tag
24.05.2001 11:59 162.304 UNWISE.EXE
34 Datei(en) 1.233.362.082 Bytes
0 Verzeichnis(se), 15.935.004.672 Bytes frei