Home » Viren, Trojaner & Malware Forum » Drive Cleaner, auch ich bin betroffen... » Themenansicht

Drive Cleaner, auch ich bin betroffen...
#0
19.04.2007, 16:25
mmemichi
...neu hier

Beiträge: 6
#1 Hallo zusammen,

Mich stört es in letzter Zeit sehr, dass imer ein Fenster aufgeht und dieses Drivecleanerzeug kommt.
In diesem Thread: http://board.protecus.de/t27847.htm wird das ja schon beschrieben, aber wie, dass ich das Zeug wegkriege, weiss ich trotzdem nicht.
Ich hoffe jemand kann mir helfen.

gruss,
mmemichi
Seitenanfang Seitenende
19.04.2007, 16:33
raman
Moderator

Beiträge: 7805
#2 Bitte versorge uns mit diesen Informatioenen:
http://board.protecus.de/t23188.htm
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
19.04.2007, 16:43
mmemichi
...neu hier

Themenstarter

Beiträge: 6
#3 Hier mal der hijackthis-Log:

Zitat

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 16:28:13, on 19.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\xampp\xampp\apache\bin\apache.exe
C:\Programme\xampp\xampp\filezillaftp\filezillaserver.exe
C:\Programme\xampp\xampp\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\pctspk.exe
C:\Programme\xampp\xampp\apache\bin\apache.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Programme\xampp\xampp\mysql\bin\winmysqladmin.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programme\Mozilla Firefox2\firefox.exe
C:\DOKUME~1\admin\LOKALE~1\Temp\Temporäres Verzeichnis 1 für HiJackThis_v2.zip\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: (no name) - {70A5CF26-C5AB-4B4F-81BE-380CA621AABB} - C:\WINDOWS\system32\jkkhgff.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {A35924DB-D554-4223-BF4B-252160200ADA} - C:\WINDOWS\system32\pmkjk.dll
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [System Files Updater] C:\WINDOWS\FlyakiteOSX\Tools\System Files Updater.exe /S
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [WinFlyer32.dll] "rundll32.exe" C:\WINDOWS\system32\WinFlyer32.dll,Run
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKCU\..\Run: [ObjectDock] C:\Programme\ObjectDock\ObjectDock.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-1606980848-115176313-682003330-1004\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime (User 'Michael')
O4 - HKUS\S-1-5-21-1606980848-115176313-682003330-1004\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background (User 'Michael')
O4 - HKUS\S-1-5-21-1606980848-115176313-682003330-1004\..\Run: [PrintDrive] rundll32.exe "C:\DOKUME~1\Michael\LOKALE~1\Temp\bgkbofdm.dll",setvm (User 'Michael')
O4 - HKUS\S-1-5-21-1606980848-115176313-682003330-1004\..\Run: [cmds] rundll32.exe C:\WINDOWS\system32\gebcd.dll,CreateProtectProc (User 'Michael')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-1606980848-115176313-682003330-1004 Startup: Verknüpfung mit procexp.lnk = C:\Programme\Process Explorer\procexp.exe (User 'Michael')
O4 - Startup: WinMySQLadmin.lnk = C:\Programme\xampp\xampp\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {C45B1500-7B63-47C2-AB25-C28CB46AFDEE} (od2music Music Manager) - http://img.od2.com/Installation/PluginName/MusicManager/MusicManagerPlugin.CAB
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: jkkhgff - C:\WINDOWS\SYSTEM32\jkkhgff.dll
O20 - Winlogon Notify: pmkjk - C:\WINDOWS\system32\pmkjk.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2.2 - Apache Software Foundation - C:\Programme\xampp\xampp\apache\bin\apache.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Programme\xampp\xampp\filezillaftp\filezillaserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: mysql - Unknown owner - C:\Programme\xampp\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe

--
End of file - 8504 bytes
greez,
mmemichi
Seitenanfang Seitenende
19.04.2007, 16:54
raman
Moderator

Beiträge: 7805
#4 Biite noch Combofix und Vundofix nutzen und die Ergebnisse posten:
http://virus-protect.org/artikel/tools/vundofixx.html
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
19.04.2007, 17:10
mmemichi
...neu hier

Themenstarter

Beiträge: 6
#5 datFind.bat spuckt dies aus (ca. 3 monate):

Zitat

07-04-19 17:05 522,161 kjkmp.ini
07-04-19 16:02 502,431 kjkmp.bak1
07-04-19 16:02 281,172 pmkjk.dll
07-04-19 15:04 281,172 gebcd.dll
07-04-19 11:39 281,172 jkhhf.dll
07-04-19 10:13 281,172 mlljj.dll
07-04-19 08:25 281,172 mljji.dll
07-04-19 07:34 134,872 FNTCACHE.DAT
07-04-18 21:56 281,172 gebcy.dll
07-04-18 20:56 281,172 ssqpp.dll
07-04-18 19:06 281,172 awvvs.dll
07-04-18 10:29 281,172 gebcb.dll
07-04-18 09:06 2,206 wpa.dbl
07-04-17 18:12 281,172 vtsts.dll
07-04-17 16:53 281,172 vtutq.dll
07-04-17 14:27 280,676 awtss.dll
07-04-17 11:47 280,676 awtqo.dll
07-04-16 16:15 280,676 mljjk.dll
07-04-16 16:14 202,240 Coke-screensaver.scr
07-04-16 16:13 532,480 DoggySaver.scr
07-04-16 16:11 532,480 MoodSaver.scr
07-04-16 15:07 280,676 awtqr.dll
07-04-16 11:10 280,676 jkhhg.dll
07-04-16 10:07 280,676 vtstr.dll
07-04-15 14:14 280,676 awvvt.dll
07-04-15 09:53 280,676 ddayv.dll
07-04-14 17:53 280,676 mljgd.dll
07-04-14 14:20 280,676 ddabb.dll
07-04-13 15:56 4,254 jupdate-1.6.0_01-b06.log
07-04-13 15:50 2,140,288 ntoskrnl.exe
07-04-13 15:50 2,017,536 ntkrnlpa.exe
07-04-13 13:45 280,676 ddayy.dll
07-04-13 10:01 280,676 jkklj.dll
07-04-13 08:35 280,676 geede.dll
07-04-12 21:03 280,676 vturo.dll
07-04-12 16:39 280,676 gebyv.dll
07-04-12 13:17 280,676 mljgg.dll
07-04-12 09:49 280,676 vturp.dll
07-04-12 08:49 280,676 ssqpn.dll
07-04-11 10:49 280,676 vturq.dll
07-04-11 09:43 280,676 gebcc.dll
07-04-10 20:05 280,676 awtqq.dll
07-04-10 18:17 280,676 mlljg.dll
07-04-10 16:54 280,676 mllji.dll
07-04-09 20:02 280,676 vtstt.dll
07-04-09 14:41 280,676 geeda.dll
07-04-06 20:07 280,676 ssqrr.dll
07-04-06 19:02 280,676 ddcya.dll
07-04-06 08:33 280,676 pmnnk.dll
07-04-05 18:54 280,676 sstqr.dll
07-04-01 12:04 26,694 jkkhgff.dll
07-03-25 08:39 392,296 perfh009.dat
07-03-25 08:39 58,596 perfc009.dat
07-03-25 08:39 405,118 perfh007.dat
07-03-25 08:39 70,580 perfc007.dat
07-03-25 08:39 938,224 PerfStringBackup.INI
07-03-17 15:44 293,376 winsrv.dll
07-03-14 02:04 69,632 javacpl.cpl
07-03-14 02:04 139,264 javaws.exe
07-03-14 00:31 135,168 javaw.exe
07-03-14 00:31 135,168 java.exe
07-03-09 12:24 123,392 xpsp3res.dll
07-03-08 17:36 579,072 user32.dll
07-03-08 17:36 40,960 mf3216.dll
07-03-08 17:36 281,600 gdi32.dll
07-03-08 17:32 1,843,712 win32k.sys
07-02-19 21:41 9,857 jupdate-1.5.0_11-b03.log
07-02-18 16:50 122,142 TZLog.log
07-02-16 11:54 65,536 QuickTimeVR.qtx
07-02-16 11:54 49,152 QuickTime.qts
07-02-07 22:20 16,832 amcompat.tlb
07-02-07 22:20 23,392 nscompat.tlb
07-02-07 20:46 249 spupdwxp.log
07-02-05 22:18 185,856 upnphost.dll
07-01-29 10:58 60,416 tzchange.exe
07-01-25 14:52 617,472 urlmon.dll
07-01-23 21:30 546,304 hhctrl.ocx
07-01-04 15:41 664,576 wininet.dll
07-01-04 15:41 474,624 shlwapi.dll
07-01-04 15:41 1,494,528 shdocvw.dll
07-01-04 15:41 532,480 mstime.dll
07-01-04 15:41 39,424 pngfilt.dll
07-01-04 15:40 146,432 msrating.dll
07-01-04 15:40 448,512 mshtmled.dll
07-01-04 15:40 3,077,632 mshtml.dll
07-01-04 15:40 16,384 jsproxy.dll
07-01-04 15:40 96,768 inseng.dll
07-01-04 15:40 251,392 iepeers.dll
07-01-04 15:40 1,056,256 danim.dll
07-01-04 15:40 55,808 extmgr.dll
07-01-04 15:40 205,312 dxtrans.dll
07-01-04 15:40 357,888 dxtmsft.dll
07-01-04 15:40 152,064 cdfview.dll
07-01-04 15:40 1,023,488 browseui.dll
Das andere Zeug läuft noch!

greez,
mmemichi

EDIT (ComboFix):

Zitat

"admin" - 07-04-19 16:56:49 Service Pack 2
ComboFix 07-04-19.2V - Running from: C:\Dokumente und Einstellungen\admin\


(((((((((((((((((((((((((((((((((((((((((((((((((( V Log )))))))))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\awtqo.dll
C:\WINDOWS\system32\awtss.dll
C:\WINDOWS\system32\awvvs.dll
C:\WINDOWS\system32\ddabb.dll
C:\WINDOWS\system32\ddayy.dll
C:\WINDOWS\system32\gebcc.dll
C:\WINDOWS\system32\gebcy.dll
C:\WINDOWS\system32\geeda.dll
C:\WINDOWS\system32\mllji.dll
C:\WINDOWS\system32\ssqrr.dll
C:\WINDOWS\system32\vtsts.dll
C:\WINDOWS\system32\vturq.dll
C:\WINDOWS\system32\vtutq.dll
C:\WINDOWS\system32\awtqq.dll
C:\WINDOWS\system32\awtqr.dll
C:\WINDOWS\system32\awvvt.dll
C:\WINDOWS\system32\ddayv.dll
C:\WINDOWS\system32\ddcya.dll
C:\WINDOWS\system32\gebcb.dll
C:\WINDOWS\system32\gebcd.dll
C:\WINDOWS\system32\gebyv.dll
C:\WINDOWS\system32\geede.dll
C:\WINDOWS\system32\jkhhf.dll
C:\WINDOWS\system32\jkhhg.dll
C:\WINDOWS\system32\jkklj.dll
C:\WINDOWS\system32\mljgd.dll
C:\WINDOWS\system32\mljgg.dll
C:\WINDOWS\system32\mljji.dll
C:\WINDOWS\system32\mljjk.dll
C:\WINDOWS\system32\mlljg.dll
C:\WINDOWS\system32\mlljj.dll
C:\WINDOWS\system32\pmnnk.dll
C:\WINDOWS\system32\ssqpn.dll
C:\WINDOWS\system32\ssqpp.dll
C:\WINDOWS\system32\sstqr.dll
C:\WINDOWS\system32\vtstr.dll
C:\WINDOWS\system32\vtstt.dll
C:\WINDOWS\system32\vturo.dll
C:\WINDOWS\system32\vturp.dll
C:\WINDOWS\system32\kjkmp.bak1
C:\WINDOWS\system32\kjkmp.ini
C:\WINDOWS\system32\kjkmp.tmp
C:\WINDOWS\system32\pmkjk.dll
C:\WINDOWS\system32\jkkhgff.dll


* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *



((((((((((((((((((((((((((((((( Files Created from 2007-03-19 to 2007-04-19 ))))))))))))))))))))))))))))))))))


2007-04-19 17:08 <DIR> d-------- C:\VundoFix Backups
2007-04-19 15:00 <DIR> d-------- C:\Programme\Lavalys
2007-04-18 18:49 328,704 --a------ C:\WINDOWS\IsUn0407.exe
2007-04-16 16:14 202,240 --a------ C:\WINDOWS\system32\Coke-screensaver.scr
2007-04-16 16:14 <DIR> d-------- C:\WINDOWS\system32\Coke-screensaver dir
2007-04-16 16:13 532,480 --a------ C:\WINDOWS\system32\DoggySaver.scr
2007-04-16 16:13 <DIR> d-------- C:\WINDOWS\system32\DoggySaver dir
2007-04-16 16:11 532,480 --a------ C:\WINDOWS\system32\MoodSaver.scr
2007-04-16 16:11 <DIR> d-------- C:\WINDOWS\system32\MoodSaver dir
2007-04-13 09:11 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\AntiVir PersonalEdition Classic
2007-04-10 16:52 <DIR> d-------- C:\Programme\xampp
2007-04-06 20:03 <DIR> d-------- C:\Programme\IrfanView
2007-04-06 19:21 <DIR> d-------- C:\DOKUME~1\LOCALS~1\ANWEND~1\CyberLink
2007-04-06 19:06 <DIR> d-------- C:\WINDOWS\system32\Quicktime
2007-04-06 19:05 <DIR> d-------- C:\Programme\SmartSound Software
2007-04-06 19:05 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\SmartSound Software Inc
2007-04-01 12:11 <DIR> d--hs---- C:\DOKUME~1\Michael\Complete
2007-03-30 17:27 <DIR> d-------- C:\DOKUME~1\Esther\ANWEND~1\OpenOffice.org2
2007-03-28 12:33 <DIR> d-------- C:\DOKUME~1\admin\ANWEND~1\OpenOffice.org2
2007-03-24 12:05 8,704 --a------ C:\WINDOWS\system32\kbdjpn.dll
2007-03-24 12:05 8,192 --a------ C:\WINDOWS\system32\kbdkor.dll
2007-03-24 12:05 6,144 --a------ C:\WINDOWS\system32\kbd106.dll
2007-03-24 12:05 6,144 --a------ C:\WINDOWS\system32\kbd101c.dll
2007-03-24 12:05 6,144 --a------ C:\WINDOWS\system32\kbd101b.dll
2007-03-24 12:05 5,632 --a------ C:\WINDOWS\system32\kbd103.dll
2007-03-21 19:17 <DIR> d-------- C:\Programme\iPod
2007-03-21 19:14 <DIR> d-------- C:\Programme\Apple Software Update


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-04-19 15:28 -------- d-------- C:\Programme\mozilla thunderbird
2007-04-13 15:59 -------- d--h----- C:\Programme\installshield installation information
2007-04-13 15:56 -------- d-------- C:\Programme\java
2007-04-06 19:07 -------- d-------- C:\Programme\cyberlink
2007-03-25 08:39 70580 --a------ C:\WINDOWS\system32\perfc007.dat
2007-03-25 08:39 405118 --a------ C:\WINDOWS\system32\perfh007.dat
2007-03-21 19:17 -------- d-------- C:\Programme\itunes
2007-03-21 19:16 -------- d-------- C:\Programme\quicktime
2007-03-18 17:19 -------- d-------- C:\Programme\microsoft visual studio 8
2007-03-18 17:13 -------- d-------- C:\Programme\microsoft.net
2007-03-17 15:44 293376 --a------ C:\WINDOWS\system32\winsrv.dll
2007-03-14 19:01 -------- d-------- C:\Programme\cdburnerxp pro 3
2007-03-11 11:13 -------- d-------- C:\DOKUME~1\admin\ANWEND~1\smartftp
2007-03-10 17:54 -------- d-------- C:\Programme\swissmediaportal.ch
2007-03-08 17:36 579072 --a------ C:\WINDOWS\system32\user32.dll
2007-03-08 17:36 40960 --a------ C:\WINDOWS\system32\mf3216.dll
2007-03-08 17:36 281600 --a------ C:\WINDOWS\system32\gdi32.dll
2007-03-08 17:32 1843712 --a------ C:\WINDOWS\system32\win32k.sys
2007-03-03 19:53 -------- d-------- C:\Programme\notepadpp
2007-02-25 12:16 -------- d-------- C:\Programme\athtmled32
2007-02-19 20:37 -------- d-------- C:\Programme\theme multipatcher 3.0.4
2007-02-07 19:30 4906 --a------ C:\WINDOWS\mozver.dat
2007-02-07 14:18 23336 --a------ C:\DOKUME~1\admin\ANWEND~1\gdipfontcachev1.dat
2007-02-05 22:18 185856 --a------ C:\WINDOWS\system32\upnphost.dll
2007-01-17 22:06 64 --a------ C:\DOKUME~1\admin\ANWEND~1\dm.ini


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{5CA3D70E-1895-11CF-8E15-001234567890} C:\WINDOWS\System32\DLA\DLASHX_W.DLL
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} C:\Programme\Java\jre1.6.0_01\bin\ssv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"PRONoMgr.exe"="C:\\Programme\\Intel\\NCS\\PROSet\\PRONoMgr.exe"
"IgfxTray"="C:\\WINDOWS\\System32\\igfxtray.exe"
"HotKeysCmds"="C:\\WINDOWS\\System32\\hkcmd.exe"
"DLA"="C:\\WINDOWS\\System32\\DLA\\DLACTRLW.EXE"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.6.0_01\\bin\\jusched.exe\""
"Picasa Media Detector"="C:\\Programme\\Picasa2\\PicasaMediaDetector.exe"
"Adobe Photo Downloader"="\"C:\\Programme\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\apdproxy.exe\""
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"RemoteControl"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"MessengerPlus3"="\"C:\\Programme\\MessengerPlus! 3\\MsgPlus.exe\""
"DAEMON Tools"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033"
"System Files Updater"="C:\\WINDOWS\\FlyakiteOSX\\Tools\\System Files Updater.exe /S"
"CloneCDTray"="\"C:\\Programme\\SlySoft\\CloneCD\\CloneCDTray.exe\" /s"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"Skype"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"
"SsAAD.exe"="C:\\PROGRA~1\\Sony\\SONICS~1\\SsAAD.exe"
"ObjectDock"="C:\\Programme\\ObjectDock\\ObjectDock.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoCDBurning"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Authentication Packages REG_MULTI_SZ msv1_0\0\0
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0
Notification Packages REG_MULTI_SZ scecli\0\0


[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
WudfServiceGroup REG_MULTI_SZ WUDFSvc\0\0


[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\F]
Shell\AutoRun\command F:\autorun.exe


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\AppleSoftwareUpdate.job

********************************************************************

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************

Completion time: 07-04-19 17:40:52 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 07-04-19 17:40
Dieser Beitrag wurde am 19.04.2007 um 17:44 Uhr von mmemichi editiert.
Seitenanfang Seitenende
19.04.2007, 17:58
raman
Moderator

Beiträge: 7805
#6 So dann zum naechsten:

Aktualisiere Antivir, stelle dein Antivir ein, wie hier beschrieben:
http://board.protecus.de/t23979.htm

starte im abgesicherten Modus:
http://www.bsi.bund.de/av/texte/wiederher.htm

Nutze die Datentraegerbereinigung(ausser alte Dateien komprimieren) Zusaetzlich noch die Systemwiederherstellung uber "weitere Optionen" saeubern.
http://support.microsoft.com/default.aspx?scid=kb;de;315246

Lasse Antivir dort deine Festplatten pruefen und alle Funde in die Quarantäne schieben.

Zusaetzlich bitte noch Cureit nutzen Anleitung: http://virus-protect.org/cureit.html
Aber bitte den Download von hier nutzen http://freedrweb.com/?lng=de


Dann den Rechner neu starten, poste den Bericht, den Antivir und Cureit im abgesicherten Modus erstellt haben, dazu noch ein aktuelles Hijackthis log(vor dem Start Hijackthis.exe in test.com umbenennen) und eine neue Dafindliste
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
19.04.2007, 21:07
mmemichi
...neu hier

Themenstarter

Beiträge: 6
#7 Also, dann wollen wir mal:
Cureit fand nichts,
AntiVir:

Zitat

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Donnerstag, 19. April 2007 18:23

Es wird nach 743345 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: admin
Computername: DELL2

Versionsinformationen:
BUILD.DAT : 217 12749 Bytes 05.12.2006 16:57:00
AVSCAN.EXE : 7.0.3.5 208936 Bytes 13.04.2007 07:13:56
AVSCAN.DLL : 7.0.3.0 35880 Bytes 26.10.2006 18:54:37
LUKE.DLL : 7.0.3.2 143400 Bytes 31.10.2006 15:07:43
LUKERES.DLL : 7.0.2.0 9256 Bytes 19.10.2006 07:27:59
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 07:15:44
ANTIVIR1.VDF : 6.37.1.151 4303360 Bytes 23.02.2007 07:13:57
ANTIVIR2.VDF : 6.38.1.1 798720 Bytes 17.04.2007 09:41:23
ANTIVIR3.VDF : 6.38.1.6 14336 Bytes 18.04.2007 09:41:23
AVEWIN32.DLL : 7.3.1.53 2404864 Bytes 18.04.2007 09:41:23
AVPREF.DLL : 7.0.2.0 23592 Bytes 03.11.2006 08:56:47
AVREP.DLL : 6.38.0.210 1232936 Bytes 13.04.2007 07:13:57
AVRPBASE.DLL : 7.0.0.0 2162728 Bytes 30.03.2006 07:43:10
AVPACK32.DLL : 7.3.0.8 360488 Bytes 13.04.2007 07:13:58
AVREG.DLL : 7.0.1.2 30760 Bytes 13.04.2007 07:13:56
NETNT.DLL : Keine Information!
RCIMAGE.DLL : 7.0.1.3 2097192 Bytes 08.11.2006 11:26:22
RCTEXT.DLL : 7.0.12.0 77864 Bytes 22.11.2006 12:17:43

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Festplatten
Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldiscs.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: D:,
Durchsuche Speicher..............: ein
Durchsuche Laufende Programme....: ein
Durchsuche Registrierung.........: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: BSD Mailbox, Netscape/Mozilla Mailbox, Eudora Mailbox, Squid cache, Pegasus Mailbox, MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR,
Erweiterte Sucheinstellungen.....: 0x00001000

Beginn des Suchlaufs: Donnerstag, 19. April 2007 18:23

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Module wurden durchsucht
Es wurden '11' Prozesse mit '11' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( 23 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Esther\Anwendungsdaten\Thunderbird\Profiles\lf5sa609.default\Mail\Local Folders\Inbox
[0] Archivtyp: Netscape/Mozilla Mailbox
--> Mailbox_[From: Info@solnet.ch][Subject: Account Information][Message-ID: <287a36be.d0fac49@solnet.ch>]52.mim
[1] Archivtyp: MIME
--> solnet-TextInfo.zip
[FUND] Enthält Signatur des Wurmes WORM/Sober.Y
[2] Archivtyp: ZIP
--> File-packed_dataInfo.exe
[FUND] Enthält Signatur des Wurmes WORM/Sober.Y
[3] Archivtyp: ZIP SFX (self extracting)
--> Mailbox_[From: RTL-TV@RTLWorld.de][Subject: RTL:_Wer_wird_Millionaer][Message-ID: <5f0a.ac716b08a1700@RTLWorld.de>]54.mim
[1] Archivtyp: MIME
--> RTL-TV_Text.zip
[FUND] Enthält Signatur des Wurmes WORM/Sober.Y
[2] Archivtyp: ZIP
--> File-packed_dataInfo.exe
[FUND] Enthält Signatur des Wurmes WORM/Sober.Y
[3] Archivtyp: ZIP SFX (self extracting)
--> Mailbox_[From: Info@westerland-auf-sylt.de][Subject: Ihr Passwort][Message-ID: <9edeb3.5e3cfbfa2@westerland-auf-sylt.de>]56.mim
[1] Archivtyp: MIME
--> westerland-auf-sylt-TextInfo.zip
[FUND] Enthält Signatur des Wurmes WORM/Sober.Y
[2] Archivtyp: ZIP
--> File-packed_dataInfo.exe
[FUND] Enthält Signatur des Wurmes WORM/Sober.Y
[3] Archivtyp: ZIP SFX (self extracting)
--> Mailbox_[From: Admin@mhs.fhz.ch][Subject: Ihr Passwort][Message-ID: <068d467492015df53c5b@mhs.fhz.ch>]72.mim
[1] Archivtyp: MIME
--> mhs-TextInfo.zip
[FUND] Enthält Signatur des Wurmes WORM/Sober.Y
[2] Archivtyp: ZIP
--> File-packed_dataInfo.exe
[FUND] Enthält Signatur des Wurmes WORM/Sober.Y
[3] Archivtyp: ZIP SFX (self extracting)
--> Mailbox_[From: Info@jecklin.ch][Subject: Mailzustellung_wurde_unterbrochen][Message-ID: <5be2ed8a.35be0cf6faa@jecklin.ch>]74.mim
[1] Archivtyp: MIME
--> Email_text.zip
[FUND] Enthält Signatur des Wurmes WORM/Sober.Y
[2] Archivtyp: ZIP
--> File-packed_dataInfo.exe
[FUND] Enthält Signatur des Wurmes WORM/Sober.Y
[3] Archivtyp: ZIP SFX (self extracting)
--> Mailbox_[From: Info@netwings.ch][Subject: SMTP Mail gescheitert][Message-ID: <0d5884cecd3bfd096bb4@netwings.ch>]76.mim
[1] Archivtyp: MIME
--> Email.zip
[FUND] Enthält Signatur des Wurmes WORM/Sober.Y
[2] Archivtyp: ZIP
--> File-packed_dataInfo.exe
[FUND] Enthält Signatur des Wurmes WORM/Sober.Y
[3] Archivtyp: ZIP SFX (self extracting)
--> Mailbox_[From: Postman@ks-schoerke.de][Subject: Account Information][Message-ID: <dfefbbc44f27034c2@ks-schoerke.de>]80.mim
[1] Archivtyp: MIME
--> ks-schoerke-TextInfo.zip
[FUND] Enthält Signatur des Wurmes WORM/Sober.Y
[2] Archivtyp: ZIP
--> File-packed_dataInfo.exe
[FUND] Enthält Signatur des Wurmes WORM/Sober.Y
[3] Archivtyp: ZIP SFX (self extracting)
--> Mailbox_[From: Postmaster@bluewin.ch][Subject: Account Information][Message-ID: <1c59666b38ea6e258b3f@gmx.ch>]82.mim
[1] Archivtyp: MIME
--> bluewin-TextInfo.zip
[FUND] Enthält Signatur des Wurmes WORM/Sober.Y
[2] Archivtyp: ZIP
--> File-packed_dataInfo.exe
[FUND] Enthält Signatur des Wurmes WORM/Sober.Y
[3] Archivtyp: ZIP SFX (self extracting)
[WARNUNG] Die Datei wurde ignoriert.
C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Thunderbird\Profiles\7629tw3g.default\Mail\pop.gmx-1.net\Inbox
[0] Archivtyp: Netscape/Mozilla Mailbox
--> Mailbox_[Subject: Verify your account information][From: accounts@us.citibank.co][Message-ID: <E1HbzHd-0000FE-8e@cpanel3.techwayhosting.com>]5160.mim
[FUND] Enthält Signatur der Phish-Datei/Email PHISH/CitiBKfrau.BG
[1] Archivtyp: MIME
--> file0.html
[FUND] Enthält Signatur der Phish-Datei/Email PHISH/CitiBKfrau.BG
--> Mailbox_[Subject: Verify your account information][From: accounts@us.citibank][Message-ID: <E1HeVyK-0007vy-LR@cpanel3.techwayhosting.com>]7182.mim
[FUND] Enthält Signatur der Phish-Datei/Email PHISH/CitiBKfrau.BG
[1] Archivtyp: MIME
--> file0.html
[FUND] Enthält Signatur der Phish-Datei/Email PHISH/CitiBKfrau.BG
[WARNUNG] Die Datei wurde ignoriert.
C:\Dokumente und Einstellungen\Michael\Eigene Dateien\Meine empfangenen Dateien\lustiger-fehler(1).zip
[0] Archivtyp: ZIP
--> lustiger-fehler.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '469aa0a6.qua' verschoben!
C:\Dokumente und Einstellungen\Michael\Eigene Dateien\Meine empfangenen Dateien\lustiger-fehler.zip
[0] Archivtyp: ZIP
--> lustiger-fehler.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '469aa0a7.qua' verschoben!
C:\Dokumente und Einstellungen\Michael\Eigene Dateien\Meine empfangenen Dateien\lustiger-fehler\lustiger-fehler.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '469aa0a8.qua' verschoben!
C:\Dokumente und Einstellungen\Michael\Eigene Dateien\Meine empfangenen Dateien\lustiger-fehler(1)\lustiger-fehler.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '469aa0a9.qua' verschoben!
C:\QooBox\Quarantine\C\WINDOWS\system32\jkkhgff.dll.vir
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4692a907.qua' verschoben!
C:\WINDOWS\FlyakiteOSX\Tools\wfpdisable.exe
[FUND] Enthält Signatur des SPR/WFPDis.A-Programmes
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4697ab27.qua' verschoben!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\'
D:\BACKUP\Firefox\Admini\LokaleEinstellung_Anwendungsdaten\Mozilla\Firefox\Profiles\b49adqxe.default\Cache\3AEBB6C5d01
[FUND] Enthält verdächtigen Code: HEUR/Exploit.HTML
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '466cad73.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 19. April 2007 20:13
Benötigte Zeit: 1:49:45 min

Der Suchlauf wurde vollständig durchgeführt.

18152 Verzeichnisse wurden überprüft
513156 Dateien wurden geprüft
27 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
7 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
513129 Dateien ohne Befall
12752 Archive wurden durchsucht
4 Warnungen
8 Hinweise
Und nun das aktuelle Hijackthis:

Zitat

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20:48:33, on 19.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\zabkat\xplorer2_lite\xplorer2.exe
D:\Michael\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [System Files Updater] C:\WINDOWS\FlyakiteOSX\Tools\System Files Updater.exe /S
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKCU\..\Run: [ObjectDock] C:\Programme\ObjectDock\ObjectDock.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {C45B1500-7B63-47C2-AB25-C28CB46AFDEE} (od2music Music Manager) - http://img.od2.com/Installation/PluginName/MusicManager/MusicManagerPlugin.CAB
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2.2 - Apache Software Foundation - C:\Programme\xampp\xampp\apache\bin\apache.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Programme\xampp\xampp\filezillaftp\filezillaserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: mysql - Unknown owner - C:\Programme\xampp\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe

--
End of file - 5802 bytes
Seitenanfang Seitenende
19.04.2007, 21:16
Gastaccount
Passwort: gast
Avatar Gastaccount

Beiträge: 0
#8 Poste bitte eine neue aktuelle datfindbat liste
Seitenanfang Seitenende
19.04.2007, 21:21
mmemichi
...neu hier

Themenstarter

Beiträge: 6
#9 ok hier ;)

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2869-449F

Verzeichnis von C:\WINDOWS\system32

19.04.2007 07:34 134'872 FNTCACHE.DAT
18.04.2007 09:06 2'206 wpa.dbl
16.04.2007 16:14 202'240 Coke-screensaver.scr
16.04.2007 16:13 532'480 DoggySaver.scr
16.04.2007 16:11 532'480 MoodSaver.scr
13.04.2007 15:56 4'254 jupdate-1.6.0_01-b06.log
13.04.2007 15:50 2'140'288 ntoskrnl.exe
13.04.2007 15:50 2'017'536 ntkrnlpa.exe
25.03.2007 08:39 392'296 perfh009.dat
25.03.2007 08:39 58'596 perfc009.dat
25.03.2007 08:39 405'118 perfh007.dat
25.03.2007 08:39 70'580 perfc007.dat
25.03.2007 08:39 938'224 PerfStringBackup.INI
17.03.2007 15:44 293'376 winsrv.dll
14.03.2007 02:04 139'264 javaws.exe
14.03.2007 02:04 69'632 javacpl.cpl
14.03.2007 00:31 135'168 javaw.exe
14.03.2007 00:31 135'168 java.exe
09.03.2007 12:24 123'392 xpsp3res.dll
08.03.2007 17:36 579'072 user32.dll
08.03.2007 17:36 40'960 mf3216.dll
08.03.2007 17:36 281'600 gdi32.dll
08.03.2007 17:32 1'843'712 win32k.sys
19.02.2007 21:41 9'857 jupdate-1.5.0_11-b03.log
18.02.2007 16:50 122'142 TZLog.log
16.02.2007 11:54 65'536 QuickTimeVR.qtx
16.02.2007 11:54 49'152 QuickTime.qts
07.02.2007 22:20 16'832 amcompat.tlb
07.02.2007 22:20 23'392 nscompat.tlb
07.02.2007 20:46 249 spupdwxp.log
05.02.2007 22:18 185'856 upnphost.dll
29.01.2007 10:58 60'416 tzchange.exe
25.01.2007 14:52 617'472 urlmon.dll
23.01.2007 21:30 546'304 hhctrl.ocx
04.01.2007 15:41 664'576 wininet.dll
04.01.2007 15:41 474'624 shlwapi.dll
04.01.2007 15:41 1'494'528 shdocvw.dll
04.01.2007 15:41 39'424 pngfilt.dll
04.01.2007 15:41 532'480 mstime.dll
04.01.2007 15:40 146'432 msrating.dll
04.01.2007 15:40 448'512 mshtmled.dll
04.01.2007 15:40 3'077'632 mshtml.dll
04.01.2007 15:40 96'768 inseng.dll
04.01.2007 15:40 16'384 jsproxy.dll
04.01.2007 15:40 251'392 iepeers.dll
04.01.2007 15:40 205'312 dxtrans.dll
04.01.2007 15:40 357'888 dxtmsft.dll
04.01.2007 15:40 1'056'256 danim.dll
04.01.2007 15:40 55'808 extmgr.dll
04.01.2007 15:40 152'064 cdfview.dll
04.01.2007 15:40 1'023'488 browseui.dll
27.12.2006 22:01 9'132 jupdate-1.5.0_10-b03.log
27.12.2006 21:09 98'304 CmdLineExt.dll
22.12.2006 18:53 53'248 pxhpinst.exe
22.12.2006 18:43 82'432 msxml4r.dll
19.12.2006 23:49 135'168 shsvcs.dll
19.12.2006 23:49 8'494'592 shell32.dll
19.12.2006 20:17 334'336 wiaservc.dll
13.12.2006 22:24 89'296 ElbyCDIO.dll
10.12.2006 16:16 14 getfile.dat
10.12.2006 16:16 0 x_dtrace_log
10.12.2006 16:09 185'952 rmoc3260.dll
10.12.2006 16:09 5'632 pndx5032.dll
10.12.2006 16:09 6'656 pndx5016.dll
10.12.2006 16:09 278'528 pncrt.dll
09.12.2006 23:08 8'891 jupdate-1.5.0_09-b03.log
09.12.2006 21:56 25'065 wmpscheme.xml
09.12.2006 21:13 261 $winnt$.inf
09.12.2006 21:11 2'951 CONFIG.NT
09.12.2006 21:10 488 logonui.exe.manifest
09.12.2006 21:10 488 WindowsLogon.manifest
09.12.2006 21:10 749 cdplayer.exe.manifest
09.12.2006 21:10 749 ncpa.cpl.manifest
09.12.2006 21:10 749 wuaucpl.cpl.manifest
09.12.2006 21:10 749 nwc.cpl.manifest
09.12.2006 21:10 749 sapi.cpl.manifest
09.12.2006 21:08 21'740 emptyregdb.dat
09.12.2006 21:07 0 h323log.txt
04.12.2006 16:21 414'720 msscp.dll
Seitenanfang Seitenende
19.04.2007, 21:45
raman
Moderator

Beiträge: 7805
#10 Das sieht eigenltich recht ordentlich aus. Gibt es noch Probleme?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
20.04.2007, 08:36
mmemichi
...neu hier

Themenstarter

Beiträge: 6
#11

Zitat

raman postete
Das sieht eigenltich recht ordentlich aus. Gibt es noch Probleme?
Im Moment nicht, aber was soll ich mit den Dateien machen, die AntiVir in die
Quarantäne verschoben hat?

greez,
mmemichi
Seitenanfang Seitenende
25.04.2007, 01:03
babslfabsl
...neu hier

Beiträge: 2
#12 ...auch mich hat's erwischt.
habe grad den hijack durchgeführt mit folgenden ergebnissen. wäre dankbar wenn mir jemand helfen könnte.

Logfile of HijackThis v1.99.1
Scan saved at 00:35:58, on 25.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\system32\DVDRAMSV.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\Toshiba\Windows Utilities\Hotkey.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\system32\igfxext.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\Steganos Safe Home\SteganosHotKeyService.exe
C:\Programme\Steganos Safe Home\SteganosAgent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Creative\MediaSource\Detector\CTDetect.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Dokumente und Einstellungen\Barbara Eberhardt\Lokale Einstellungen\Temporary Internet Files\Content.IE5\28K2DW51\HijackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmail.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali
O2 - BHO: (no name) - ? 78D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - H? ¨ 0-B101-42AD-A544-FADC6B084872} - (no file)
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.3558\swg.dll
O2 - BHO: (no name) - ˜? 3D70E-1895-11CF-8E15-001234567890} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PadTouch] C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [Toshiba Hotkey Utility] "C:\Programme\Toshiba\Windows Utilities\Hotkey.exe" /lang DE
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [SAFEHOME HotKeys] C:\Programme\Steganos Safe Home\SteganosHotKeyService.exe
O4 - HKLM\..\Run: [SAFEHOME Agent] C:\Programme\Steganos Safe Home\SteganosAgent.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Exif Launcher.lnk = ?
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {9E958ACA-8CB9-414B-B5C6-2F044D71F7B2} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1161418301496
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~2.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
Seitenanfang Seitenende
25.04.2007, 05:25
raman
Moderator

Beiträge: 7805
#13 Ein combofix Report fehlt! http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
25.04.2007, 10:19
babslfabsl
...neu hier

Beiträge: 2
#14 "Barbara Eberhardt" - 07-04-25 10:11:06 Service Pack 2
ComboFix 07-04-25.4V - Running from: "C:\Dokumente und Einstellungen\Barbara Eberhardt\Desktop\"


(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\install.log


((((((((((((((((((((((((((((((( Files Created from 2007-03-25 to 2007-04-25 ))))))))))))))))))))))))))))))))))


2007-04-25 10:12 <DIR> d-------- C:\WINDOWS\LastGood
2007-04-25 00:43 <DIR> d-------- C:\Avenger
2007-04-14 21:36 <DIR> d-------- C:\Programme\Steganos Safe Home


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-04-24 19:09 -------- d-------- C:\DOKUME~1\BARBAR~1\ANWEND~1\skype
2007-04-22 19:18 -------- d-------- C:\Programme\picasa2
2007-04-06 11:59 -------- d--h----- C:\Programme\installshield installation information
2007-03-25 13:51 64994 --a------ C:\WINDOWS\system32\perfc007.dat
2007-03-25 13:51 395074 --a------ C:\WINDOWS\system32\perfh007.dat
2007-03-24 13:01 -------- d-------- C:\Programme\google
2007-03-23 21:25 -------- d-------- C:\Programme\skype
2007-03-18 11:18 0 --a------ C:\WINDOWS\nsreg.dat
2007-03-17 15:44 293376 --a------ C:\WINDOWS\system32\winsrv.dll
2007-03-16 11:38 -------- d-------- C:\Programme\yahoo!
2007-03-10 17:56 -------- d-------- C:\DOKUME~1\BARBAR~1\ANWEND~1\yahoo!
2007-03-08 17:36 579072 --a------ C:\WINDOWS\system32\user32.dll
2007-03-08 17:36 40960 --a------ C:\WINDOWS\system32\mf3216.dll
2007-03-08 17:36 281600 --a------ C:\WINDOWS\system32\gdi32.dll
2007-03-08 17:32 1843712 --a------ C:\WINDOWS\system32\win32k.sys
2007-02-05 22:18 185856 --a------ C:\WINDOWS\system32\upnphost.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{22BF413B-C6D2-4d91-82A9-A0F997BA588C} C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
{AA58ED58-01DD-4d91-8333-CF10577473F7} c:\programme\google\googletoolbar2.dll
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} C:\Programme\Google\GoogleToolbarNotifier\2.0.301.3558\swg.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"IgfxTray"="C:\\WINDOWS\\system32\\igfxtray.exe"
"HotKeysCmds"="C:\\WINDOWS\\system32\\hkcmd.exe"
"SynTPLpr"="C:\\Programme\\Synaptics\\SynTP\\SynTPLpr.exe"
"SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe"
"PadTouch"="C:\\Programme\\TOSHIBA\\Touch and Launch\\PadExe.exe"
"SmoothView"="C:\\Programme\\TOSHIBA\\TOSHIBA Zoom-Dienstprogramm\\SmoothView.exe"
"NDSTray.exe"="NDSTray.exe"
"Toshiba Hotkey Utility"="\"C:\\Programme\\Toshiba\\Windows Utilities\\Hotkey.exe\" /lang DE"
"dla"="C:\\WINDOWS\\system32\\dla\\tfswctrl.exe"
"REGSHAVE"="C:\\Programme\\REGSHAVE\\REGSHAVE.EXE /AUTORUN"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"HPDJ Taskbar Utility"="C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\hpztsb09.exe"
"WinampAgent"="C:\\Programme\\Winamp\\winampa.exe"
"ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"Symantec NetDriver Monitor"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe /Consumer"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_11\\bin\\jusched.exe\""
"SAFEHOME HotKeys"="C:\\Programme\\Steganos Safe Home\\SteganosHotKeyService.exe"
"SAFEHOME Agent"="C:\\Programme\\Steganos Safe Home\\SteganosAgent.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"TOSCDSPD"="C:\\Programme\\TOSHIBA\\TOSCDSPD\\toscdspd.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"Creative Detector"="C:\\Programme\\Creative\\MediaSource\\Detector\\CTDetect.exe /R"
"MsnMsgr"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background"
"Skype"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"
"swg"="C:\\Programme\\Google\\GoogleToolbarNotifier\\GoogleToolbarNotifier.exe"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Authentication Packages REG_MULTI_SZ msv1_0\0\0
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0
Notification Packages REG_MULTI_SZ scecli\0\0


[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
WudfServiceGroup REG_MULTI_SZ WUDFSvc\0\0



Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Norton AntiVirus - Meinen Computer prfen - Barbara Eberhardt.job

********************************************************************

catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-04-25 10:16:48
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


********************************************************************

Completion time: 07-04-25 10:17:11
C:\ComboFix-quarantined-files.txt ... 07-04-25 10:17
Seitenanfang Seitenende
25.04.2007, 12:07
raman
Moderator

Beiträge: 7805
#15

Zitat

Im Moment nicht, aber was soll ich mit den Dateien machen, die AntiVir in die Quarantäne verschoben hat?
Die kannst du loeschen, wenn du willst...
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 12