Drivecleaner ProblemThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
21.04.2007, 12:29
...neu hier
Beiträge: 4 |
||
|
||
21.04.2007, 12:36
Moderator
Beiträge: 7805 |
#2
Du brauchstr einmal das: http://siri.geekstogo.com/SmitfraudFix_De.php
Danach bitte das machen. Die AV-Reporte sind wichtig. sowie die Logs, die du vorhin schon gepostet hast( Natuerlich aktuell nach der ganzen aktion die du gleich machen musst. Aktualisiere Antivir, stelle dein Antivir ein, wie hier beschrieben: http://board.protecus.de/t23979.htm starte im abgesicherten Modus: http://www.bsi.bund.de/av/texte/wiederher.htm Nutze die Datentraegerbereinigung(ausser alte Dateien komprimieren) Zusaetzlich noch die Systemwiederherstellung uber "weitere Optionen" saeubern. http://support.microsoft.com/default.aspx?scid=kb;de;315246 Lasse Antivir dort deine Festplatten pruefen und alle Funde in die Quarantäne schieben. Zusaetzlich bitte noch Cureit nutzen Anleitung: http://virus-protect.org/cureit.html Aber bitte den Download von hier nutzen http://freedrweb.com/?lng=de Dann den Rechner neu starten, poste den Bericht, den Antivir und Cureit im abgesicherten Modus erstellt hat und dazu noch ein aktuelles Hijackthis log(vor dem Start Hijackthis.exe in test.com umbenennen) und die Logs von oben. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
21.04.2007, 15:45
...neu hier
Themenstarter Beiträge: 4 |
#3
Danke für die schnelle Antwort,
bloß eines ist mir noch unklar.... was soll ich mit SmitfraudFix machen? Einfach nur auslesen lassen? MfG, Marc |
|
|
||
21.04.2007, 15:48
Moderator
Beiträge: 7805 |
#4
Nein, mit Hilfe der Anleitung "clean"en. Also den Punkt Reinigung abarbeiten
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
26.04.2007, 21:12
...neu hier
Themenstarter Beiträge: 4 |
#5
Sodale, hab jetzt mal alles nach Anleitung abgearbeitet. Ging leider nicht schneller, da ich am Sonntag mal spontan wegen nem Pneumothorax im Krankenhaus gelandet bin. Da sieht man mal wie einem so'n Virus zu schaffen macht ;-)
Hab auch mal Spybot drüberlaufen lassen, hat aber leider nichts gebracht! Hier mal die Log's AntiVir PersonalEdition Classic Erstellungsdatum der Reportdatei: Dienstag, 24. April 2007 19:55 Es wird nach 748776 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Benutzername: Admin Computername: ZETT Versionsinformationen: BUILD.DAT : 244 14437 Bytes 16.04.2007 16:03:00 AVSCAN.EXE : 7.0.4.15 282664 Bytes 21.04.2007 06:13:45 AVSCAN.DLL : 7.0.4.0 41000 Bytes 21.04.2007 06:13:45 LUKE.DLL : 7.0.4.11 143400 Bytes 21.04.2007 06:13:46 LUKERES.DLL : 7.0.4.0 10792 Bytes 21.04.2007 06:13:46 ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 10:21:48 ANTIVIR1.VDF : 6.37.1.151 4303360 Bytes 23.02.2007 09:01:52 ANTIVIR2.VDF : 6.38.1.1 798720 Bytes 17.04.2007 16:39:50 ANTIVIR3.VDF : 6.38.1.33 112128 Bytes 24.04.2007 17:50:00 AVEWIN32.DLL : 7.4.0.15 2421248 Bytes 24.04.2007 17:50:00 AVWINLL.DLL : 1.0.0.7 14376 Bytes 21.04.2007 06:13:45 AVPREF.DLL : 7.0.2.1 24616 Bytes 21.04.2007 06:13:45 AVREP.DLL : 7.0.0.1 155688 Bytes 21.04.2007 06:13:47 AVPACK32.DLL : 7.3.0.8 360488 Bytes 03.04.2007 17:39:01 AVREG.DLL : 7.0.1.2 31784 Bytes 21.04.2007 06:13:45 AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 21.04.2007 06:13:44 AVARKT.DLL : 1.0.0.12 274472 Bytes 21.04.2007 06:13:43 NETNT.DLL : 7.0.0.0 7720 Bytes 21.04.2007 06:13:46 RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 21.04.2007 06:13:39 RCTEXT.DLL : 7.0.45.0 86056 Bytes 21.04.2007 06:13:39 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Manuelle Auswahl Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\PROFILES\folder.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, Durchsuche Speicher..............: ein Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: ein Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: aus Archiv Smart Extensions..........: ein Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, Makrovirenheuristik..............: ein Dateiheuristik...................: hoch Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Dienstag, 24. April 2007 19:55 Der Suchlauf nach versteckten Objekten wird begonnen. Der Treiber konnte nicht initialisiert werden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '11' Prozesse mit '11' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [HINWEIS] Es wurde kein Virus gefunden! Masterbootsektor HD1 [HINWEIS] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '10' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\SmitfraudFix.exe [0] Archivtyp: RAR SFX (self extracting) --> SmitfraudFix\Reboot.exe [FUND] Enthält Signatur des SPR/Tool.Reboot.C-Programmes --> SmitfraudFix\restart.exe [FUND] Enthält Signatur des SPR/Tool.Hardoff.A-Programmes [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46974510.qua' verschoben! C:\Programme\T-DSL SpeedManager\Pcandis5.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\SmitfraudFix\Reboot.exe [FUND] Enthält Signatur des SPR/Tool.Reboot.C-Programmes [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '469047d7.qua' verschoben! C:\SmitfraudFix\restart.exe [FUND] Enthält Signatur des SPR/Tool.Hardoff.A-Programmes [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46a147d9.qua' verschoben! Ende des Suchlaufs: Dienstag, 24. April 2007 20:19 Benötigte Zeit: 23:48 min Der Suchlauf wurde vollständig durchgeführt. 3085 Verzeichnisse wurden überprüft 144463 Dateien wurden geprüft 4 Viren bzw. unerwünschte Programme wurden gefunden 0 davon wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 3 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 144459 Dateien ohne Befall 725 Archive wurden durchsucht 2 Warnungen 0 Hinweise 0 Versteckte Objekte wurden gefunden ----------------------------------------------------------- Logfile of HijackThis v1.99.1 Scan saved at 20:38:23, on 26.04.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\ICO.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\System32\DeltTray.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\Pelmiced.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\VMware\VMware Workstation\vmware-authd.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\WINDOWS\explorer.exe C:\Logfiles\test.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: MSDNS System - {5574E139-F59C-4bee-9A61-150B0D3A16C7} - C:\WINDOWS\service.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [M-Audio Delta Taskbar Icon] C:\WINDOWS\System32\DeltTray.exe O4 - HKLM\..\Run: [DeltTray] DeltTray.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{734E9490-6DC4-4507-8DC8-FF30C18106AB}: NameServer = 192.168.11.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{D794DD8F-9F05-4A2F-A313-C34199FB011E}: NameServer = 192.168.11.1 O21 - SSODL: msie - {0B29B98E-1A40-4FD4-BFA9-FBFC6CB44997} - C:\WINDOWS\msie.dll O21 - SSODL: ieproxy - {4FB7C314-77E6-42F5-9635-610B3B53A44E} - C:\WINDOWS\ieproxy.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing) O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe ------------------------------------------------------------------ "Admin" - 07-04-26 20:39:32 Service Pack 2 ComboFix 07-04-20.3V - Running from: D:\ ((((((((((((((((((((((((((((((( Files Created from 2007-03-26 to 2007-04-26 )))))))))))))))))))))))))))))))))) 2007-04-26 20:32 872,930 --a------ C:\SmitfraudFix(2).exe 2007-04-26 20:32 53,248 --a------ C:\WINDOWS\system32\Process.exe 2007-04-26 20:32 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2007-04-26 20:32 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2007-04-26 18:54 <DIR> d-------- C:\WINDOWS\system32\LogFiles 2007-04-26 18:48 <DIR> d-------- C:\Programme\Lavasoft 2007-04-26 18:48 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2007-04-26 18:48 <DIR> d-------- C:\DOKUME~1\Admin\ANWEND~1\Lavasoft 2007-04-26 10:19 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy 2007-04-24 20:43 6,247,712 --a------ C:\cureit.exe 2007-04-24 18:13 <DIR> d-------- C:\SmitfraudFix 2007-04-21 16:22 <DIR> d-------- C:\DOKUME~1\Admin\DoctorWeb 2007-04-21 16:09 <DIR> d-------- C:\Logfiles 2007-04-21 13:40 1,654 --a------ C:\WINDOWS\system32\tmp.reg 2007-04-21 09:17 80,896 --a------ C:\WINDOWS\ieproxy.dll 2007-04-21 09:17 76,800 --a------ C:\WINDOWS\browsers.dll 2007-04-21 09:17 69,632 --a------ C:\WINDOWS\msie.dll 2007-04-21 09:17 68,608 --a------ C:\WINDOWS\service.dll 2007-04-21 08:13 43,584 --a------ C:\WINDOWS\system32\drivers\avipbb.sys 2007-04-21 08:13 28,352 --a------ C:\WINDOWS\system32\drivers\ssmdrv.sys 2007-04-20 19:31 <DIR> d-------- C:\Programme\Native Instruments 2007-04-09 16:00 <DIR> d-------- C:\Programme\Torbutton 2007-04-09 15:45 <DIR> d-------- C:\Programme\MultiProxy (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-04-20 19:19 -------- d-------- C:\DOKUME~1\Admin\ANWEND~1\utorrent 2007-04-12 22:23 -------- d-------- C:\Programme\tunebite 2007-03-25 21:10 125 ---hs---- C:\DOKUME~1\Admin\ANWEND~1\.zreglib 2007-03-25 15:47 50384 --a------ C:\WINDOWS\system32\perfc007.dat 2007-03-25 15:47 322778 --a------ C:\WINDOWS\system32\perfh007.dat 2007-03-20 00:32 -------- d-------- C:\Programme\t-dsl speedmanager 2007-03-19 22:50 -------- d-------- C:\DOKUME~1\Admin\ANWEND~1\t-dsl speedmanager 2007-03-19 22:47 -------- d--h----- C:\Programme\installshield installation information 2007-03-14 14:13 13840 --a------ C:\WINDOWS\system32\wnaspi32.dll 2007-03-10 11:05 -------- d-------- C:\Programme\fritz!dsl 2007-02-26 22:56 -------- d-------- C:\DOKUME~1\Admin\ANWEND~1\vmware (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx {53707962-6F74-2D53-2644-206D7942484F} C:\PROGRA~1\SPYBOT~1\SDHelper.dll {5574E139-F59C-4bee-9A61-150B0D3A16C7} C:\WINDOWS\service.dll {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} C:\Programme\Java\jre1.5.0_06\bin\ssv.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "Mouse Suite 98 Daemon"="ICO.EXE" "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "M-Audio Delta Taskbar Icon"="C:\\WINDOWS\\System32\\DeltTray.exe" "DeltTray"="DeltTray.exe" "QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe" "SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload] "msie"="{0B29B98E-1A40-4FD4-BFA9-FBFC6CB44997}" "ieproxy"="{4FB7C314-77E6-42F5-9635-610B3B53A44E}" HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa Authentication Packages REG_MULTI_SZ msv1_0\0\0 Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0 Notification Packages REG_MULTI_SZ scecli\0\0 [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.exe.lnk] "path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Gamma Loader.exe.lnk" "backup"="C:\\WINDOWS\\pss\\Adobe Gamma Loader.exe.lnkCommon Startup" "location"="Common Startup" "command"="C:\\PROGRA~1\\GEMEIN~1\\Adobe\\CALIBR~1\\ADOBEG~1.EXE " "item"="Adobe Gamma Loader.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] "path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Microsoft Office.lnk" "backup"="C:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup" "location"="Common Startup" "command"="C:\\PROGRA~1\\MICROS~2\\Office\\OSA9.EXE -b -l" "item"="Microsoft Office" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Privoxy.lnk] "path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Privoxy.lnk" "backup"="C:\\WINDOWS\\pss\\Privoxy.lnkCommon Startup" "location"="Common Startup" "command"="C:\\Programme\\Privoxy\\privoxy.exe " "item"="Privoxy" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="atiptaxx" "hkey"="HKLM" "command"="\"C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe\"" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DeltTray] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="DeltTray" "hkey"="HKLM" "command"="DeltTray.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPDJ Taskbar Utility] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="hpztsb06" "hkey"="HKLM" "command"="C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\hpztsb06.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="iTunesHelper" "hkey"="HKLM" "command"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\"" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="msmsgs" "hkey"="HKCU" "command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="NeroCheck" "hkey"="HKLM" "command"="C:\\WINDOWS\\system32\\NeroCheck.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="qttask" "hkey"="HKLM" "command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="PDVDServ" "hkey"="HKLM" "command"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="realsched" "hkey"="HKLM" "command"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\winlogons.exe] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="winlogons" "hkey"="HKLM" "command"="C:\\Programme\\Free KGB Key Logger\\winlogons.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "WZCSVC"=dword:00000002 "wuauserv"=dword:00000002 "Pctspk"=dword:00000002 "ATI Smart"=dword:00000002 "Ati HotKey Poller"=dword:00000002 "rpcapd"=dword:00000003 "ose"=dword:00000003 "iPod Service"=dword:00000003 "IDriverT"=dword:00000003 [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost] LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0 NetworkService REG_MULTI_SZ DnsCache\0\0 rpcss REG_MULTI_SZ RpcSs\0\0 imgsvc REG_MULTI_SZ StiSvc\0\0 termsvcs REG_MULTI_SZ TermService\0\0 HTTPFilter REG_MULTI_SZ HTTPFilter\0\0 DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0 ******************************************************************** catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006 http://www.gmer.net scanning hidden processes ... scanning hidden services ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 ******************************************************************** Completion time: 07-04-26 20:40:12 C:\ComboFix-quarantined-files.txt ... 07-04-26 20:40 ------------------------------------------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 9CC8-3F7E Verzeichnis von C:\WINDOWS\Downloaded Program Files 2 Datei(en) 1.858 Bytes 0 Verzeichnis(se), 6.653.001.728 Bytes frei --------------------------------------------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 9CC8-3F7E Verzeichnis von C:\ 26.04.2007 20:44 0 sys.txt 26.04.2007 20:44 342 down.txt 26.04.2007 20:44 289 tmp.txt 26.04.2007 20:43 5.540 system.txt 26.04.2007 20:43 133 systemtemp.txt 26.04.2007 20:41 97.661 system32.txt 26.04.2007 20:40 9.652 ComboFix.txt 26.04.2007 20:40 675 ComboFix-quarantined-files.txt 26.04.2007 20:33 2.107 rapport.txt 26.04.2007 20:31 872.930 SmitfraudFix(2).exe 26.04.2007 19:03 1.610.612.736 pagefile.sys 25.04.2007 08:22 1.231 hpfr5550.log 21.04.2007 13:10 6.247.712 cureit.exe 21.04.2007 10:11 12.247 files.txt 21.04.2007 09:31 211 boot.ini 19.03.2007 20:06 29 serial.txt 32 Datei(en) 1.620.683.284 Bytes 0 Verzeichnis(se), 6.652.997.632 Bytes frei ---------------------------------------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 9CC8-3F7E Verzeichnis von C:\WINDOWS\system32 26.04.2007 20:32 0 tmp.txt 26.04.2007 20:32 1.654 tmp.reg 26.04.2007 08:54 2.206 wpa.dbl 25.03.2007 15:47 317.192 perfh009.dat 25.03.2007 15:47 42.046 perfc009.dat 25.03.2007 15:47 322.778 perfh007.dat 25.03.2007 15:47 50.384 perfc007.dat 25.03.2007 15:47 740.284 PerfStringBackup.INI 22.03.2007 21:44 494 $winnt$.inf 14.03.2007 14:13 13.840 wnaspi32.dll 22.02.2007 11:39 190.592 FNTCACHE.DAT 2001 Datei(en) 358.481.672 Bytes 0 Verzeichnis(se), 6.652.997.632 Bytes frei ------------------------------------------------------------ Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 9CC8-3F7E Verzeichnis von C:\WINDOWS 26.04.2007 20:33 183.167 setupact.log 26.04.2007 19:09 101.931 WindowsUpdate.log 26.04.2007 19:03 0 0.log 26.04.2007 19:03 2.048 bootstat.dat 26.04.2007 19:02 32.618 SchedLgU.Txt 26.04.2007 10:38 1.091.330 ntbtlog.txt 26.04.2007 09:15 116 NeroDigital.ini 25.04.2007 08:07 54.156 QTFont.qfn 21.04.2007 13:05 797.601 setupapi.log 21.04.2007 09:48 1.409 QTFont.for 21.04.2007 09:31 227 system.ini 21.04.2007 09:31 732 win.ini 20.04.2007 16:59 76.800 browsers.dll 20.04.2007 16:59 69.632 msie.dll 20.04.2007 16:59 68.608 service.dll 20.04.2007 16:59 80.896 ieproxy.dll 22.03.2007 21:46 2.890 OEWABLog.txt 22.03.2007 21:46 25.436 wmsetup.log 22.03.2007 21:44 18.106 setuplog.txt 22.03.2007 21:43 2.006 setuperr.log 22.03.2007 21:43 37.112 tsoc.log 22.03.2007 21:43 8.726 sessmgr.setup.log 22.03.2007 21:43 140.621 iis6.log 22.03.2007 21:43 2.392 DtcInstall.log 22.03.2007 21:43 11.280 regopt.log 22.03.2007 20:34 2.908 COM+.log 20.03.2007 00:33 604 uiminstall.log 20.03.2007 00:33 79 hotcore3.log 19.03.2007 22:17 61 smscfg.ini 10.03.2007 22:18 3.200 tm.ini 05.03.2007 00:42 411 wiadebug.log 05.03.2007 00:00 50 wiaservc.log 21.02.2007 16:38 400 ODBC.INI 16.02.2007 10:25 0 PROTOCOL.INI 12.02.2007 22:34 124 tdf.dii 107 Datei(en) 8.230.051 Bytes 0 Verzeichnis(se), 6.653.005.824 Bytes frei ----------------------------------------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 9CC8-3F7E Verzeichnis von C:\DOKUME~1\Admin\LOKALE~1\Temp -------------------------------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 9CC8-3F7E Verzeichnis von C:\WINDOWS\Temp 21.04.2007 12:58 16.384 Perflib_Perfdata_14c.dat 1 Datei(en) 16.384 Bytes 0 Verzeichnis(se), 6.653.001.728 Bytes frei ------------------------------------------------------ SmitFraudFix v2.171 Scan done at 19:53:25,03, 24.04.2007 Run from C:\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files C:\DOKUME~1\Admin\Desktop\Error Cleaner.url Deleted C:\DOKUME~1\Admin\Desktop\Privacy Protector.url Deleted C:\DOKUME~1\Admin\Desktop\Spyware?Malware Protection.url Deleted »»»»»»»»»»»»»»»»»»»»»»»» DNS HKLM\SYSTEM\CCS\Services\Tcpip\..\{734E9490-6DC4-4507-8DC8-FF30C18106AB}: NameServer=192.168.11.1 HKLM\SYSTEM\CCS\Services\Tcpip\..\{D794DD8F-9F05-4A2F-A313-C34199FB011E}: NameServer=192.168.11.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{734E9490-6DC4-4507-8DC8-FF30C18106AB}: NameServer=192.168.11.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{D794DD8F-9F05-4A2F-A313-C34199FB011E}: NameServer=192.168.11.1 HKLM\SYSTEM\CS3\Services\Tcpip\..\{734E9490-6DC4-4507-8DC8-FF30C18106AB}: NameServer=192.168.11.1 HKLM\SYSTEM\CS3\Services\Tcpip\..\{D794DD8F-9F05-4A2F-A313-C34199FB011E}: NameServer=192.168.11.1 »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End Grüsse, Marc PS: Cureit csv ist im Anhang! Anhang: DrWeb.csv
|
|
|
||
26.04.2007, 21:27
Moderator
Beiträge: 7805 |
#6
Das sind die "boesen" Dateien
C:\WINDOWS\ieproxy.dll C:\WINDOWS\browsers.dll C:\WINDOWS\msie.dll C:\WINDOWS\service.dll Packe diese bitte und schicke sie an virus@protecus.de Dann folgende Dinge anhaken und fix checked druecken: O2 - BHO: MSDNS System - {5574E139-F59C-4bee-9A61-150B0D3A16C7} - C:\WINDOWS\service.dll O21 - SSODL: msie - {0B29B98E-1A40-4FD4-BFA9-FBFC6CB44997} - C:\WINDOWS\msie.dll O21 - SSODL: ieproxy - {4FB7C314-77E6-42F5-9635-610B3B53A44E} - C:\WINDOWS\ieproxy.dll Warum hast du vmware installiert? __________ MfG Ralf SEO-Spam Hunter |
|
|
||
26.04.2007, 22:18
...neu hier
Themenstarter Beiträge: 4 |
#7
Hi Ralf,
waren die richtigen bösen.... wieder alles im Lot. Vielen Dank mit Zucker oben drauf. Hab VM-Ware drauf da ich nen Server2003 Kurs mit schwerpunkt Benutzerverwaltung belegt habe und damals noch keine zweite Kiste hatte. Ihr seid ja anscheinend auch nie am schlafen. Tolle Sache wenn sich Leutz wie Ihr so viel Zeit nehmen. Mfg, Marc Achso: Warum erkennen AntiVir & Co diese eigentlich nicht??? |
|
|
||
27.04.2007, 05:36
Moderator
Beiträge: 7805 |
#8
Antivir erkennt 3 der 4 Dateien. Leider nur mit der Premiumversion, das sie alle als Adware gemeldet werden. Du kannst einen Kontrollscan mit Cureit machen http://freedrweb.com/?lng=de und nutze Ewido micro: http://www.ewido.net/de/onlinescan/
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
tollen Support hier..... Hut ab!
Habe ebenfalls dieses Problem
Als erstes erscheint ein seperates Fenster
"Malware Alert - Trojan Adware. W32.ExpDwnldr spyware detectet."
Danach bekomme ich bis zu drei Meldungen von AV-Guard. Aber nicht immer:
1. Enthält Signatur des VBS Scriptvirus VBS/Click.A
2. Enthält Signatur des HTML Scriptvirus HTML/Dldr. TopCas
3. Ist das Trojanische Pferd TR/Crypt.ULPM.Gen
Befinden sich glaube ich alle in den temporary Internet Files
Im Zuge dessen öffnet sich IE obwohl Firefox mein Standard Bwowser ist.
Natürlich mit der Aufforderung mir das Antivirentool Drivecleaner zu kaufen.
Achso: Unten in der Leiste blinkt ein rotes Warndreieck "System Alert" ... aber nicht immer.
Hier mal die Log-Files:
Hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 11:22:03, on 21.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ICO.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\Pelmiced.exe
C:\WINDOWS\system32\DeltTray.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\VMware\VMware Workstation\vmware-authd.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: MSDNS System - {5574E139-F59C-4bee-9A61-150B0D3A16C7} - C:\WINDOWS\service.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: The browsers - {A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB} - C:\WINDOWS\browsers.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [M-Audio Delta Taskbar Icon] C:\WINDOWS\System32\DeltTray.exe
O4 - HKLM\..\Run: [DeltTray] DeltTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{734E9490-6DC4-4507-8DC8-FF30C18106AB}: NameServer = 192.168.11.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{D794DD8F-9F05-4A2F-A313-C34199FB011E}: NameServer = 192.168.11.1
O21 - SSODL: msie - {0B29B98E-1A40-4FD4-BFA9-FBFC6CB44997} - C:\WINDOWS\msie.dll
O21 - SSODL: ieproxy - {4FB7C314-77E6-42F5-9635-610B3B53A44E} - C:\WINDOWS\ieproxy.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe
Combofix:
"Admin" - 07-04-21 11:32:33 Service Pack 2
ComboFix 07-04-20.3V - Running from: D:\
(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
C:\DOKUME~1\Admin\Desktop.\internet explorer.lnk
((((((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
-------\nm
-------\LEGACY_NM
((((((((((((((((((((((((((((((( Files Created from 2007-03-21 to 2007-04-21 ))))))))))))))))))))))))))))))))))
2007-04-21 09:17 80,896 --a------ C:\WINDOWS\ieproxy.dll
2007-04-21 09:17 76,800 --a------ C:\WINDOWS\browsers.dll
2007-04-21 09:17 69,632 --a------ C:\WINDOWS\msie.dll
2007-04-21 09:17 68,608 --a------ C:\WINDOWS\service.dll
2007-04-21 09:17 <DIR> d-------- C:\Programme\NewMediaCodec
2007-04-21 08:13 43,584 --a------ C:\WINDOWS\system32\drivers\avipbb.sys
2007-04-21 08:13 28,352 --a------ C:\WINDOWS\system32\drivers\ssmdrv.sys
2007-04-20 19:31 <DIR> d-------- C:\Programme\Native Instruments
2007-04-09 16:00 <DIR> d-------- C:\Programme\Torbutton
2007-04-09 15:45 <DIR> d-------- C:\Programme\MultiProxy
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-04-20 19:19 -------- d-------- C:\DOKUME~1\Admin\ANWEND~1\utorrent
2007-04-12 22:23 -------- d-------- C:\Programme\tunebite
2007-03-25 21:10 125 ---hs---- C:\DOKUME~1\Admin\ANWEND~1\.zreglib
2007-03-25 15:47 50384 --a------ C:\WINDOWS\system32\perfc007.dat
2007-03-25 15:47 322778 --a------ C:\WINDOWS\system32\perfh007.dat
2007-03-20 00:32 -------- d-------- C:\Programme\t-dsl speedmanager
2007-03-19 22:47 -------- d--h----- C:\Programme\installshield installation information
2007-03-14 14:13 13840 --a------ C:\WINDOWS\system32\wnaspi32.dll
2007-03-10 11:05 -------- d-------- C:\Programme\fritz!dsl
2007-02-26 22:56 -------- d-------- C:\DOKUME~1\Admin\ANWEND~1\vmware
2007-02-21 16:37 -------- d-------- C:\Programme\microsoft.net
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
{5574E139-F59C-4bee-9A61-150B0D3A16C7} C:\WINDOWS\service.dll
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Mouse Suite 98 Daemon"="ICO.EXE"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"M-Audio Delta Taskbar Icon"="C:\\WINDOWS\\System32\\DeltTray.exe"
"DeltTray"="DeltTray.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"msie"="{0B29B98E-1A40-4FD4-BFA9-FBFC6CB44997}"
"ieproxy"="{4FB7C314-77E6-42F5-9635-610B3B53A44E}"
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Authentication Packages REG_MULTI_SZ msv1_0\0\0
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0
Notification Packages REG_MULTI_SZ scecli\0\0
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.exe.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Gamma Loader.exe.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Gamma Loader.exe.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\GEMEIN~1\\Adobe\\CALIBR~1\\ADOBEG~1.EXE "
"item"="Adobe Gamma Loader.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Microsoft Office.lnk"
"backup"="C:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\MICROS~2\\Office\\OSA9.EXE -b -l"
"item"="Microsoft Office"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Privoxy.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Privoxy.lnk"
"backup"="C:\\WINDOWS\\pss\\Privoxy.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\Programme\\Privoxy\\privoxy.exe "
"item"="Privoxy"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="atiptaxx"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe\""
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DeltTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="DeltTray"
"hkey"="HKLM"
"command"="DeltTray.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPDJ Taskbar Utility]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="hpztsb06"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\hpztsb06.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PDVDServ"
"hkey"="HKLM"
"command"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="realsched"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\winlogons.exe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winlogons"
"hkey"="HKLM"
"command"="C:\\Programme\\Free KGB Key Logger\\winlogons.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WZCSVC"=dword:00000002
"wuauserv"=dword:00000002
"Pctspk"=dword:00000002
"ATI Smart"=dword:00000002
"Ati HotKey Poller"=dword:00000002
"rpcapd"=dword:00000003
"ose"=dword:00000003
"iPod Service"=dword:00000003
"IDriverT"=dword:00000003
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
********************************************************************
catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net
scanning hidden processes ...
scanning hidden services ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
********************************************************************
Completion time: 07-04-21 11:33:50
C:\ComboFix-quarantined-files.txt ... 07-04-21 11:33
Down.txt:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9CC8-3F7E
Verzeichnis von C:\WINDOWS\Downloaded Program Files
16.08.2006 18:55 65 desktop.ini
25.06.2006 13:50 1.793 erma.inf
2 Datei(en) 1.858 Bytes
0 Verzeichnis(se), 6.230.659.072 Bytes frei
SYS.txt:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9CC8-3F7E
Verzeichnis von C:\
21.04.2007 11:42 0 sys.txt
21.04.2007 11:42 342 down.txt
21.04.2007 11:41 289 tmp.txt
21.04.2007 11:40 5.491 system.txt
21.04.2007 11:40 133 systemtemp.txt
21.04.2007 11:38 97.472 system32.txt
21.04.2007 11:33 8.967 ComboFix.txt
21.04.2007 11:33 675 ComboFix-quarantined-files.txt
21.04.2007 11:30 1.610.612.736 pagefile.sys
21.04.2007 10:11 12.247 files.txt
21.04.2007 09:31 211 boot.ini
17.04.2007 21:28 953 hpfr5550.log
19.03.2007 20:06 29 serial.txt
System32.txt:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9CC8-3F7E
Verzeichnis von C:\WINDOWS\system32
19.04.2007 20:02 2.206 wpa.dbl
02.04.2007 14:21 428.032 swreg.exe
25.03.2007 15:47 42.046 perfc009.dat
25.03.2007 15:47 317.192 perfh009.dat
25.03.2007 15:47 322.778 perfh007.dat
25.03.2007 15:47 50.384 perfc007.dat
25.03.2007 15:47 740.284 PerfStringBackup.INI
22.03.2007 21:44 494 $winnt$.inf
14.03.2007 14:13 13.840 wnaspi32.dll
22.02.2007 11:39 190.592 FNTCACHE.DAT
System.txt:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9CC8-3F7E
Verzeichnis von C:\WINDOWS
21.04.2007 11:30 0 0.log
21.04.2007 11:30 2.048 bootstat.dat
21.04.2007 11:29 32.618 SchedLgU.Txt
21.04.2007 11:29 70.511 WindowsUpdate.log
21.04.2007 09:48 1.409 QTFont.for
21.04.2007 09:48 54.156 QTFont.qfn
21.04.2007 09:31 227 system.ini
21.04.2007 09:31 732 win.ini
20.04.2007 20:30 795.524 setupapi.log
20.04.2007 16:59 68.608 service.dll
20.04.2007 16:59 76.800 browsers.dll
20.04.2007 16:59 80.896 ieproxy.dll
20.04.2007 16:59 69.632 msie.dll
19.04.2007 20:34 116 NeroDigital.ini
22.03.2007 21:46 2.890 OEWABLog.txt
22.03.2007 21:46 25.436 wmsetup.log
22.03.2007 21:44 18.106 setuplog.txt
22.03.2007 21:44 181.727 setupact.log
22.03.2007 21:43 2.006 setuperr.log
22.03.2007 21:43 37.112 tsoc.log
22.03.2007 21:43 8.726 sessmgr.setup.log
22.03.2007 21:43 140.621 iis6.log
22.03.2007 21:43 2.392 DtcInstall.log
22.03.2007 21:43 11.280 regopt.log
22.03.2007 20:34 2.908 COM+.log
20.03.2007 00:33 604 uiminstall.log
20.03.2007 00:33 79 hotcore3.log
19.03.2007 22:17 61 smscfg.ini
10.03.2007 22:18 3.200 tm.ini
05.03.2007 00:42 411 wiadebug.log
05.03.2007 00:00 50 wiaservc.log
21.02.2007 16:38 400 ODBC.INI
16.02.2007 10:25 0 PROTOCOL.INI
12.02.2007 22:34 124 tdf.dii
31.01.2007 20:54 121 GEARInstall.log
Systemtemp.txt:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9CC8-3F7E
Verzeichnis von C:\DOKUME~1\Admin\LOKALE~1\Temp
tmp.txt:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9CC8-3F7E
Verzeichnis von C:\WINDOWS\Temp
21.04.2007 11:30 16.384 Perflib_Perfdata_100.dat
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 6.230.659.072 Bytes frei
Vielen Dank im voraus,
Marc