Trojaner Uvnx in System 32 |
||
---|---|---|
#0
| ||
04.04.2007, 14:51
Member
Beiträge: 20 |
||
|
||
04.04.2007, 15:02
Ehrenmitglied
Beiträge: 29434 |
#2
rrain
« stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html « Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html « poste dieses log http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.04.2007, 15:17
Member
Themenstarter Beiträge: 20 |
#3
Schritt Nummer 2 verstehe ich nicht. Der PC wurde gerade erst neu formatiert, deshalb steht wahrscheinlich nicht viel in dem Log, oder ich habe irgendetwas falsch gemacht.
Volume in Laufwerk D: hat keine Bezeichnung. Volumeseriennummer: 2083-ADCB Verzeichnis von D:\ 04.04.2007 15:09 289 datFind.zip 04.04.2007 15:05 339.257 CleanUp452.exe 04.04.2007 14:38 212.849 hijackthis.zip 21.03.2007 16:38 5.473.872 msjavx86.exe 23.12.2006 13:46 89.037.338 PSP8.zip 5 Datei(en) 95.063.605 Bytes 0 Verzeichnis(se), 26.898.100.224 Bytes frei Schritt 3 ist mir ebenfalls nicht möglich, da jedes mal eine Fehlermeldung herausgegeben wird und "Combofix" damit geschlossen wird. Ich krieg ne Krise. |
|
|
||
04.04.2007, 15:17
Ehrenmitglied
Beiträge: 29434 |
||
|
||
04.04.2007, 15:25
Member
Themenstarter Beiträge: 20 |
#5
Uah, ich Trottel, entschuldigung.
Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 3C8D-2B7B Verzeichnis von C:\WINDOWS\system32 04.04.2007 15:18 8.487 form.txt 04.04.2007 14:28 1.080 settingsbkup.sfm 04.04.2007 14:28 11.564 DVCState-{00000001-00000000-00000008-00001102-00000004-20021102}.rfx 04.04.2007 14:28 1.080 settings.sfm 04.04.2007 14:28 32.088 BMXCtrlState-{00000001-00000000-00000008-00001102-00000004-20021102}.rfx 04.04.2007 14:28 32.592 BMXStateBkp-{00000001-00000000-00000008-00001102-00000004-20021102}.rfx 04.04.2007 14:28 32.592 BMXState-{00000001-00000000-00000008-00001102-00000004-20021102}.rfx 04.04.2007 14:28 32.088 BMXBkpCtrlState-{00000001-00000000-00000008-00001102-00000004-20021102}.rfx 04.04.2007 14:11 23.040 crypts.dll 04.04.2007 13:33 1.836 cahoot_logo_small.gif 04.04.2007 13:33 3.550 logo_rbs_2006.gif 04.04.2007 13:33 2.620 ind_homelogo_gen.gif 04.04.2007 13:33 3.443 barclays_logo.gif 04.04.2007 13:10 63.192 ipv6monl.dll 04.04.2007 13:10 30.720 rpcc.dll 04.04.2007 13:10 23.040 uvnx.exe 04.04.2007 13:10 46.176 ipv6mons.dll 26.03.2007 14:26 2.206 wpa.dbl 25.03.2007 10:49 392.296 perfh009.dat 25.03.2007 10:49 58.596 perfc009.dat 25.03.2007 10:49 405.118 perfh007.dat 25.03.2007 10:49 70.580 perfc007.dat 25.03.2007 10:49 938.224 PerfStringBackup.INI 24.03.2007 12:41 139.264 hpzjrd01.dll 24.03.2007 11:38 292.480 FNTCACHE.DAT 23.03.2007 11:54 409.600 wrap_oal.dll 23.03.2007 11:54 86.016 OpenAL32.dll 23.03.2007 11:37 9.857 jupdate-1.5.0_11-b03.log 22.03.2007 20:15 184 e000001.dat ----------------------------------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 3C8D-2B7B Verzeichnis von C:\WINDOWS 04.04.2007 15:15 4.958.588 {00000001-00000000-00000008-00001102-00000004-20021102}.CDF 04.04.2007 15:15 70.710 WindowsUpdate.log 04.04.2007 15:15 4.958.588 {00000001-00000000-00000008-00001102-00000004-20021102}.BAK 04.04.2007 14:30 0 0.log 04.04.2007 14:30 159 wiadebug.log 04.04.2007 14:30 50 wiaservc.log 04.04.2007 14:29 2.048 bootstat.dat 04.04.2007 14:28 7.632 SchedLgU.Txt 04.04.2007 14:25 118.266 pxinstall_log.txt 04.04.2007 14:25 13.918 pxdrvinstall.log 04.04.2007 14:25 289.594 setupapi.log 04.04.2007 14:20 77.312 ua2.dll 04.04.2007 14:11 39.936 tbt.exe 04.04.2007 13:33 0 winhp32.exe 04.04.2007 13:10 36.352 newset2.exe 04.04.2007 10:18 54.156 QTFont.qfn 30.03.2007 20:26 2.359.352 blixawallp.bmp 30.03.2007 18:06 2.669 wmsetup.log ----------------------------------------------------- Temp und Cookies sind leer. ----------------------------------------------------- Edit: Hatte außerdem gerade eine "57E6.tmp" im Taskmanager bei den Prozessen. Sieht alles irgendwie garnicht so gut aus. :/ Habe die Dateien mit dem Regcleaner versucht zu entfernen, die erste kommt jedoch immer wieder. ----------------------------------------------------- REGEDIT4 [HKEY_CURRENT_USER\Software\Reknu\Uvnx\main] "cid"="CE412D6F20E345888EAB338B9517D69E" "term"=dword:00000001 [HKEY_CURRENT_USER\Software\Reknu\Uvnx] [HKEY_CURRENT_USER\Software\Reknu] ----------------------------------------------------- REGEDIT4 [HKEY_CURRENT_USER\Software\Reknu\D2\main] "cid"="FFA102236AB14257BE241A6A0106A27B" [HKEY_CURRENT_USER\Software\Reknu\D2] Dieser Beitrag wurde am 04.04.2007 um 16:04 Uhr von rrain editiert.
|
|
|
||
04.04.2007, 16:42
Ehrenmitglied
Beiträge: 29434 |
#6
rrain
------------------------------------------------------------- Avenger http://virus-protect.org/artikel/tools/avenger.html Input script manually (anhaken) kopiere in: View/edit script Zitat Registry values to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ------------ «« http://virus-protect.org/artikel/tools/sdfix.html SDFix.zip entpacken es erscheint folgende Meldung: "The SDFix Folder has been extracted to %systemdrive% - Please run from that location. (%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )" unter C:\ findet man nun den SDFix-Ordner boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet) gehe in den Ordner C:\SDFix RunThis.bat doppelt klicken schreibe: Y folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag ---------- poste noch mal die 6 logs von datfindbat (C:\ nicht vergessen !!! ) - ist das letzte der 6 logs « __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.04.2007, 17:24
Member
Themenstarter Beiträge: 20 |
#7
Kommw irgendwie bgrundsätzlich mit meinem Pc nicht in den abgesicherten Modus, deshalb habe ich es im normalen Modus gemacht, wie auf der Seite beschrieben. Im Asquared-Report steht:
Scan start: 04.04.2007 17:09:10 C:\avenger\backup.zip/ipv6monl.dll detected: Trojan-Spy.Win32.BZub.ic C:\SDFix\apps\Process.exe detected: Riskware.RiskTool.Win32.Processor.20 C:\WINDOWS\Temp\E5B3.tmp detected: Trojan-Proxy.Win32.Agent.ls ----------------------------------------------------- Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\nlvlnltt ******************* Script file located at: \??\C:\Program Files\wjycpfay.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\crypts.dll deleted successfully. File C:\WINDOWS\system32\cahoot_logo_small.gif deleted successfully. File C:\WINDOWS\system32\logo_rbs_2006.gif deleted successfully. File C:\WINDOWS\system32\ind_homelogo_gen.gif deleted successfully. File C:\WINDOWS\system32\barclays_logo.gif deleted successfully. File C:\WINDOWS\system32\ipv6monl.dll deleted successfully. File C:\WINDOWS\system32\rpcc.dll deleted successfully. File C:\WINDOWS\system32\uvnx.exe deleted successfully. File C:\WINDOWS\system32\ipv6mons.dll deleted successfully. File C:\WINDOWS\ua2.dll deleted successfully. File C:\WINDOWS\tbt.exe deleted successfully. File C:\WINDOWS\winhp32.exe deleted successfully. File C:\WINDOWS\newset2.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|uvnx deleted successfully. Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rpcc deleted successfully. Registry key HKLM\SOFTWARE\Classes\CLSID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87} deleted successfully. Registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{36DBC179-A19F-48F2-B16A-6A3E19B42A87} not found! Deletion of registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{36DBC179-A19F-48F2-B16A-6A3E19B42A87} failed! Status: 0xc0000034 Registry key HKLM\SOFTWARE\Classes\CLSID\{73364D99-1240-4dff-B12A-67E448373148} deleted successfully. Registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{73364D99-1240-4dff-B12A-67E448373148} not found! Deletion of registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{73364D99-1240-4dff-B12A-67E448373148} failed! Status: 0xc0000034 Completed script processing. ******************* ----------------------------------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 3C8D-2B7B Verzeichnis von C:\WINDOWS\system32 04.04.2007 17:00 1.080 settingsbkup.sfm 04.04.2007 17:00 11.564 DVCState-{00000001-00000000-00000008-00001102-00000004-20021102}.rfx 04.04.2007 17:00 1.080 settings.sfm 04.04.2007 17:00 32.088 BMXCtrlState-{00000001-00000000-00000008-00001102-00000004-20021102}.rfx 04.04.2007 17:00 32.088 BMXBkpCtrlState-{00000001-00000000-00000008-00001102-00000004-20021102}.rfx 04.04.2007 17:00 32.592 BMXState-{00000001-00000000-00000008-00001102-00000004-20021102}.rfx 04.04.2007 17:00 32.592 BMXStateBkp-{00000001-00000000-00000008-00001102-00000004-20021102}.rfx 04.04.2007 16:42 10.931 form.txt 26.03.2007 14:26 2.206 wpa.dbl 25.03.2007 10:49 392.296 perfh009.dat 25.03.2007 10:49 58.596 perfc009.dat 25.03.2007 10:49 405.118 perfh007.dat 25.03.2007 10:49 70.580 perfc007.dat 25.03.2007 10:49 938.224 PerfStringBackup.INI 24.03.2007 12:41 139.264 hpzjrd01.dll 24.03.2007 11:38 292.480 FNTCACHE.DAT 23.03.2007 11:54 409.600 wrap_oal.dll 23.03.2007 11:54 86.016 OpenAL32.dll 23.03.2007 11:37 9.857 jupdate-1.5.0_11-b03.log 22.03.2007 20:15 184 e000001.dat 22.03.2007 19:36 261 $winnt$.inf ----------------------------------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 3C8D-2B7B Verzeichnis von C:\WINDOWS 04.04.2007 17:10 79.493 WindowsUpdate.log 04.04.2007 17:04 0 0.log 04.04.2007 17:04 159 wiadebug.log 04.04.2007 17:04 50 wiaservc.log 04.04.2007 17:04 4.958.588 {00000001-00000000-00000008-00001102-00000004-20021102}.CDF 04.04.2007 17:03 2.048 bootstat.dat 04.04.2007 17:00 8.496 SchedLgU.Txt 04.04.2007 17:00 4.958.588 {00000001-00000000-00000008-00001102-00000004-20021102}.BAK 04.04.2007 14:25 118.266 pxinstall_log.txt 04.04.2007 14:25 13.918 pxdrvinstall.log 04.04.2007 14:25 289.594 setupapi.log 04.04.2007 10:18 54.156 QTFont.qfn 30.03.2007 20:26 2.359.352 blixawallp.bmp 30.03.2007 18:06 2.669 wmsetup.log 26.03.2007 20:16 69 NeroDigital.ini 24.03.2007 12:45 214 HP_48BitScanUpdatePatch.ini 24.03.2007 12:42 221 HP_RedboxHprblog_HPSU.ini 23.03.2007 15:34 400 ODBC.INI ----------------------------------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 3C8D-2B7B Verzeichnis von C:\ 04.04.2007 17:24 0 sys.txt 04.04.2007 17:24 391 down.txt 04.04.2007 17:24 321 tmp.txt 04.04.2007 17:24 5.751 system.txt 04.04.2007 17:24 135 systemtemp.txt 04.04.2007 17:23 98.660 system32.txt 04.04.2007 17:03 1.073.270.784 hiberfil.sys 04.04.2007 17:03 1.610.612.736 pagefile.sys 04.04.2007 16:49 4.546 avenger.txt 04.04.2007 15:09 289 datFind.zip 03.04.2007 13:54 1.627 ads_err.dbf 22.03.2007 19:33 0 IO.SYS 22.03.2007 19:33 0 MSDOS.SYS 22.03.2007 19:33 0 AUTOEXEC.BAT 22.03.2007 19:33 0 CONFIG.SYS 22.03.2007 19:29 211 boot.ini 03.08.2004 22:59 251.184 ntldr 03.08.2004 22:38 47.564 NTDETECT.COM 18.08.2001 13:00 4.952 bootfont.bin 19 Datei(en) 2.684.299.151 Bytes 0 Verzeichnis(se), 20.617.596.928 Bytes frei Muss ich den Avenger Backup löschen? Dieser Beitrag wurde am 04.04.2007 um 17:28 Uhr von rrain editiert.
|
|
|
||
04.04.2007, 17:26
Ehrenmitglied
Beiträge: 29434 |
#8
rrain
«« Avenger Backup - loschen + papierkorb leeren »» loeschen C:\WINDOWS\Temp\E5B3.tmp »» scanne und poste den scanreport http://virus-protect.org/cureit.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.04.2007, 18:32
Member
Themenstarter Beiträge: 20 |
#9
Habe den Avenger Backup gelöscht, die "E5B3.tmp" lies sich allerdings nicht finden. Bin auch nochmal per Windowssuche durchgegangen, es wurde jedoch auch dort nichts gefunden.
Wie ist das mit den SDFix Sachen? Kann ich den ganzen Ordner löschen, wenn alles wieder in Ordnung sein sollte? Dieser Dr. Web hat nichts gefunden. |
|
|
||
04.04.2007, 19:50
Ehrenmitglied
Beiträge: 29434 |
#10
rrain
loesche in der registry: [HKEY_CURRENT_USER\Software\Reknu PC neustarten »» scanne mit kaspersky und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.04.2007, 20:19
Member
Themenstarter Beiträge: 20 |
#11
Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard Archive untersuchen: ja Mail-Datenbanken untersuchen: ja Untersuchungsobjekt - Kritische Objekte: C:\WINDOWS C:\DOKUME~1\(name)\LOKALE~1\Temp\ Untersuchungsergebnisse: Untersuchte Objekte insgesamt: 10648 Viren gefunden: 0 Infizierte Objekte gefunden: 0 / 0 Verdächtige Objekte gefunden: 0 Untersuchungszeit: 00:05:24 Name des infizierten Objekts / Virusname / Letzte Aktion C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\ACEEvent.evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\{00000001-00000000-00000008-00001102-00000004-20021102}.CDF Das Objekt ist gesperrt übersprungen Die Untersuchung wurde abgeschlossen. ----------------------------------------------------- Reknu ist in der Registry nicht zu finden. |
|
|
||
04.04.2007, 20:21
Ehrenmitglied
Beiträge: 29434 |
#12
poste das neue log vom Hijackthis +
das neue log von combofix __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.04.2007, 11:20
Member
Themenstarter Beiträge: 20 |
#13
Running processes:
C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\WINDOWS\CTHELPER.EXE C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\WINDOWS\system32\CTsvcCDA.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\wuauclt.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\(name)\LOKALE~1\Temp\Rar$EX00.125\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://freenet.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.freenet.de/ O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - (no file) O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - (no file) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe ----------------------------------------------------- Combofix funktioniert im Moment nicht. |
|
|
||
05.04.2007, 12:09
Ehrenmitglied
Beiträge: 29434 |
#14
««
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - (no file)PC neustarten »» http://virus-protect.org/artikel/tools/sdfix.html im Normalmodus RunThis.bat doppelt klicken reinschreiben: 3 3 : wird Sophos geladen - waehle 6 -scanne und poste den report __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.04.2007, 11:12
Member
Themenstarter Beiträge: 20 |
#15
Full Scanning
Could not open C:\hiberfil.sys 6 boot sectors swept. 16043 files swept in 9 minutes and 56 seconds. 1 error was encountered. No viruses were discovered. Ending Sophos Anti-Virus. ----------------------------------------------------- Mehr erscheint dort nicht. Dieser Beitrag wurde am 06.04.2007 um 12:48 Uhr von rrain editiert.
|
|
|
||
Ich hoffe das hier ist im richtigen Forum. Ich wäre sehr dankbar, wenn jemand mal den Log durchsehen und mir beim möglichen Entfernen behilflich sein könnte.
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\CTHELPER.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\(name)\LOKALE~1\Temp\Rar$EX00.031\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.freenet.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\system32\ipv6monl.dll
O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - C:\WINDOWS\system32\ipv6mons.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [uvnx] c:\windows\system32\uvnx.exe
O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
(Warum ist mein Log so kurz?)