worm/stration.GEN -icq virus |
||
---|---|---|
#0
| ||
22.04.2007, 18:34
...neu hier
Beiträge: 5 |
||
|
||
22.04.2007, 18:47
Moderator
Beiträge: 7805 |
#2
Im abgesicherten Modus reichen die Logs auch. Aber bitte Hijackthis und combofix!
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
22.04.2007, 19:05
...neu hier
Themenstarter Beiträge: 5 |
#3
So, also mit dem "Trick" hat es funktioniert - hoffe ich doch. Als ich das Clenup gemacht habe, musste ich nicht neustarten - ist es denn dann überhaupt richtig? Bei combofix kam auch eine Fehlermeldung - es meinte, man könne nichts machen, da die Dateien (?) grad in Benutzung wären oder so (das war jetzt mein eigener Wortlaut)
Die temporären Dateien habe ich gestern aber auch schon mit Hilfe des tools von Windows gemacht (sprich über C, Eigenschaften, bereinigen, usw) genügt das? Aber Hijackthis und datfindbat haben funktioniert. hier die Ergebnisse: HJT: Logfile of HijackThis v1.99.1 Scan saved at 18:46:33, on 22.04.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\svchost.exe C:\Programme\VMware\VMware Player\vmware-authd.exe C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe C:\WINDOWS\system32\vmnat.exe C:\WINDOWS\system32\vmnetdhcp.exe C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE C:\WINDOWS\system32\WgaTray.exe C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\htpatch.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Winamp\winampa.exe C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe C:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE C:\Programme\Skype\Phone\Skype.exe C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\sc_watch.exe C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE C:\PROGRA~1\WINZIP\winzip32.exe C:\Dokumente und Einstellungen\Lornenzens\Lokale Einstellungen\Temp\HijackThis.exe C:\WINDOWS\System32\shfoxpob.exe c:\windows\microsoft.net\framework\v1.1.4322\csc.exe C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.googel.de/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: metaspinner GmbH - {84B94901-3645-4D80-A6B7-4D0050B19455} - C:\Programme\Preispiraten3\Preispiraten3\IEButtonAmazonInterface.dll (file missing) O2 - BHO: metaspinner GmbH - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\Programme\Preispiraten3\Preispiraten3\IEButtonEbayInterface.dll (file missing) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: woerterbuch.info Toolbar - {7B0B549D-2EB3-4B56-8A29-B112ABECA310} - C:\Programme\woerterbuch.info\woerte_13000_tb.dll O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\PROGRA~1\MYWEBS~1\bar\2.bin\MWSBAR.DLL,S O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [himem.exe] C:\WINDOWS\skksd32.exe -s O4 - HKLM\..\Run: [SoundMnEx32] C:\WINDOWS\skksd32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: EPSON Status Monitor 3 Environment Check(3).lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &woerterbuch.info Toolbar - Übersetzung - - res://C:\Programme\woerterbuch.info\woerte_13000_tb.dll/GoSEAR.dll.htm O8 - Extra context menu item: &woerterbuch.info Toolbar - Synonym - - res://C:\Programme\woerterbuch.info\woerte_13000_tb.dll/Go2Sear.dll.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/ClientInstall/10.20.0002/OCI/setup.exe O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab O16 - DPF: {F0BB0EEC-2872-4860-897C-D8EA75CC5F5B} (gfghUpload Element) - http://info.gfghserver.de/functions/gfghUploader.cab O20 - AppInit_DLLs: trafracp.dll O20 - Winlogon Notify: shfoxpob - C:\WINDOWS\system32\shfoxpob.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: MySql - Unknown owner - F:/apache/mysql/bin/mysqld-nt.exe (file missing) O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe (file missing) O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Player\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe -------------------------------------------------------------------- datfindbat: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: B4AF-3D29 Verzeichnis von c:\ 22.04.2007 18:47 0 dirdat.txt 22.04.2007 18:36 805.306.368 pagefile.sys 21.04.2007 20:48 132.560 avenger.txt 03.03.2007 12:51 32.256 Papstbotschaft wjt 07.doc 19.02.2007 22:17 190 drwtsn32.log 19.02.2007 13:13 211 boot.ini 10.01.2007 16:27 278 EXPORT.DOC 10.01.2007 16:27 952 schema.ini 10.01.2007 16:27 278 Export.txt 10.01.2007 16:27 512 EXPORT.DBT 10.01.2007 16:27 2.181 EXPORT.DBF Ich hoffe, dass das alles langt. Viele grüße und danke, Palpatine |
|
|
||
22.04.2007, 19:08
Moderator
Beiträge: 7805 |
#4
Naja, bei datfindbat fehlen einiges an Reporte, aber das ist erstmal nebensaechlich. Mache ersteinmal folgendes:
Aktualisiere Antivir, stelle dein Antivir ein, wie hier beschrieben: http://board.protecus.de/t23979.htm starte im abgesicherten Modus: http://www.bsi.bund.de/av/texte/wiederher.htm Zusaetzlich bitte noch Cureit nutzen Anleitung: http://virus-protect.org/cureit.html Aber bitte den Download von hier nutzen http://freedrweb.com/?lng=de Nutze die Datentraegerbereinigung(ausser alte Dateien komprimieren) Zusaetzlich noch die Systemwiederherstellung uber "weitere Optionen" saeubern. http://support.microsoft.com/default.aspx?scid=kb;de;315246 Lasse Antivir und cureit dort deine Festplatten pruefen und alle Funde in die Quarantäne schieben. Dann den Rechner neu starten, poste den Bericht, den Antivir und Cureit im abgesicherten Modus erstellt haben, dazu noch ein aktuelles Hijackthis log(vor dem Start Hijackthis.exe in test.com umbenennen). und combofix Report. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
23.04.2007, 14:23
...neu hier
Themenstarter Beiträge: 5 |
#5
kleine Frage: Soll ich die Systemwiedeherstellung vor oder nach den Scans einstellen - und soll ich sie wieder rückgängig machen und wenn ja, wann?
liebe Grüße, Palpatine |
|
|
||
23.04.2007, 14:28
Moderator
Beiträge: 7805 |
#6
An der Systemwiederherstellung sollst du mal erst nicht etwas "drehen". Bereinige sie nur ueber die Datentraegerbereinigung. Dadurch werden alle Punkte bis auf den Letzten geloescht. Wir brauchen ja noch einen kleinen Anker, falls wiedererwartend doch etwas schief geht!
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
23.04.2007, 18:28
...neu hier
Themenstarter Beiträge: 5 |
#7
so, jetzt habe ich endlich alles hinbekommen, was zu tun war und was soll ich sagen? Überrschung^^ Antivir hat igs. 6825 unerwünschte Programme gefunden. Komisch ist nur, dass AntiVir die ganezn Funde im Spam Ordner usw gefunden hat (und Spams werden bei mir eigentlich alle 2 Wochen gelöscht!)
Der ganze Beriicht ist wohl zu lang, um ihn hier zu posten also werde ich ihn als Textdatei anhängen. Das eigentlich wichitge dürfte ganz unten zu finden sein, wo die systemdateien überprüft wurden. hier der combofixreport: "Administrator" - 07-04-23 18:06:14 Service Pack 2 [SAFE MODE] ComboFix 07-04-21.2V - Running from: G:\virus\neu\ ((((((((((((((((((((((((((((((( Files Created from 2007-03-23 to 2007-04-23 )))))))))))))))))))))))))))))))))) 2007-04-23 14:12 <DIR> d-------- C:\DOKUME~1\ADMINI~1\DoctorWeb 2007-04-21 20:49 <DIR> d-------- C:\avenger 2007-04-21 20:46 60,416 --a------ C:\WINDOWS\system32\drivers\r^rraeuo.sys 2007-04-21 20:11 <DIR> d-------- C:\unzipped 2007-04-21 16:21 0 --a------ C:\WINDOWS\cdi1okj.dll 2007-04-19 22:27 4 --a------ C:\WINDOWS\system32\shfoxpob.dat 2007-04-19 10:29 43,584 --a------ C:\WINDOWS\system32\drivers\avipbb.sys 2007-04-19 10:29 28,352 --a------ C:\WINDOWS\system32\drivers\ssmdrv.sys 2007-04-18 21:56 <DIR> d-------- C:\Programme\ElsterFormular (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-04-22 12:24 -------- d-------- C:\Programme\mozilla thunderbird 2007-04-21 16:17 -------- d-------- C:\Programme\icqlite 2007-04-18 22:02 -------- d-------- C:\Programme\elsterformular2004 2007-04-18 22:02 -------- d-------- C:\Programme\deer park alpha 1 2007-04-18 22:01 -------- d-------- C:\Programme\elsterformular2005 2007-04-18 21:56 -------- d--h----- C:\Programme\installshield installation information 2007-03-31 17:07 -------- d-------- C:\Programme\irfanview 2007-03-25 12:32 64790 --a------ C:\WINDOWS\system32\perfc007.dat 2007-03-25 12:32 393684 --a------ C:\WINDOWS\system32\perfh007.dat 2007-03-17 23:50 10739 --a------ C:\WINDOWS\mozver.dat 2007-03-17 15:44 293376 --a------ C:\WINDOWS\system32\winsrv.dll 2007-03-13 15:06 -------- d-------- C:\Programme\home photo service 2007-03-08 17:36 579072 --a------ C:\WINDOWS\system32\user32.dll 2007-03-08 17:36 40960 --a------ C:\WINDOWS\system32\mf3216.dll 2007-03-08 17:36 281600 --a------ C:\WINDOWS\system32\gdi32.dll 2007-03-08 17:32 1843712 --a------ C:\WINDOWS\system32\win32k.sys 2007-02-05 22:18 185856 --a------ C:\WINDOWS\system32\upnphost.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll {53707962-6F74-2D53-2644-206D7942484F} C:\PROGRA~1\SPYBOT~1\SDHelper.dll {84B94901-3645-4D80-A6B7-4D0050B19455} C:\Programme\Preispiraten3\Preispiraten3\IEButtonAmazonInterface.dll [x] {CD9B7762-DFBC-42B1-BB30-02A78287B456} C:\Programme\Preispiraten3\Preispiraten3\IEButtonEbayInterface.dll [x] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "CloneCDElbyCDFL"="\"C:\\Programme\\Elaborate Bytes\\CloneCD\\ElbyCheck.exe\" /L ElbyCDFL" "CloneCDTray"="\"C:\\Programme\\Elaborate Bytes\\CloneCD\\CloneCDTray.exe\"" "ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe" "HTpatch"="C:\\WINDOWS\\htpatch.exe" "Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd" "NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe" "QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime" "ToADiMon.exe"="C:\\Programme\\T-Online\\T-Online_Software_6\\Basis-Software\\Basis1\\ToADiMon.exe -TOnlineAutodialStart" "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\"" "T-DSL SpeedMgr"="\"C:\\Programme\\T-DSL SpeedManager\\SpeedMgr.exe\"" "TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot" "My Web Search Bar"="rundll32 C:\\PROGRA~1\\MYWEBS~1\\bar\\2.bin\\MWSBAR.DLL,S" "WinampAgent"="C:\\Programme\\Winamp\\winampa.exe" "NeroCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe" "MMTray"="C:\\Programme\\MUSICMATCH\\MUSICMATCH Jukebox\\mm_tray.exe" "ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize" "himem.exe"="C:\\WINDOWS\\skksd32.exe -s" "SoundMnEx32"="C:\\WINDOWS\\skksd32.exe" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "InfoCockpit"="C:\\Programme\\T-Online\\T-Online_Software_6\\Info-Cockpit\\INFOCOCKPIT.EXE /nosplash" HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\shfoxpob [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "appinit_dlls"="trafracp.dll" HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa Authentication Packages REG_MULTI_SZ msv1_0\0\0 Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0 Notification Packages REG_MULTI_SZ scecli\0\0 [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MyWebSearch Email Plugin] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="mwsoemon" "hkey"="HKLM" "command"="C:\\PROGRA~1\\MYWEBS~1\\bar\\2.bin\\mwsoemon.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SiSUSBRG] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="SiSUSBrg" "hkey"="HKLM" "command"="C:\\WINDOWS\\SiSUSBrg.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="TeaTimer" "hkey"="HKCU" "command"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\YAW starten] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="yawguard" "hkey"="HKCU" "command"="\"C:\\Programme\\YAW 3.5\\yawguard.exe\"" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost] LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0 NetworkService REG_MULTI_SZ DnsCache\0\0 rpcss REG_MULTI_SZ RpcSs\0\0 imgsvc REG_MULTI_SZ StiSvc\0\0 termsvcs REG_MULTI_SZ TermService\0\0 HTTPFilter REG_MULTI_SZ HTTPFilter\0\0 DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0 ******************************************************************** catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-04-23 18:09:59 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden services ... scanning hidden autostart entries ... HKLM\Software\Microsoft\Windows\CurrentVersion\Run HTpatch = C:\WINDOWS\htpatch.exe?ows\CurrentVersion\Run???\??????[????`??[???[`??[???????????????[???[???[???[$??????[???????????????[???????????[???w????(????3?w???w?????3?w ??w???[??????d???r??[1??[???[d??????[?-?[????z??w8h?[\2?[?1?[htinst.INI?[?u?[????d???????0G? MMTray = C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe?????w???g(???V??g(???SOFTWARE\MusicMatch\MusicMatch Jukebox\4.0\TrayApp??????? ?w?????????????\?wp ?w???????w???g???????????g?RY??QY????????s*???2???????4???8???? @??%X??%X?????????????????x?Y???????Q????? scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 ******************************************************************** Completion time: 07-04-23 18:10:04 C:\ComboFix-quarantined-files.txt ... 07-04-23 18:10 ------------------------------------------------ hier das aktuelle HJT (der pc ist jetzt wieder im "normalen" Modus): Logfile of HijackThis v1.99.1 Scan saved at 18:28:03, on 23.04.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\svchost.exe C:\Programme\VMware\VMware Player\vmware-authd.exe C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe C:\WINDOWS\system32\vmnat.exe C:\WINDOWS\system32\vmnetdhcp.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\WgaTray.exe C:\WINDOWS\Explorer.EXE C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\htpatch.exe C:\Programme\QuickTime\qttask.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Winamp\winampa.exe C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe C:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE C:\Programme\Skype\Phone\Skype.exe C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\kernel.exe C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~2\Notifier\Notifier.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\Dokumente und Einstellungen\Lornenzens\Lokale Einstellungen\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.googel.de/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: metaspinner GmbH - {84B94901-3645-4D80-A6B7-4D0050B19455} - C:\Programme\Preispiraten3\Preispiraten3\IEButtonAmazonInterface.dll (file missing) O2 - BHO: metaspinner GmbH - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\Programme\Preispiraten3\Preispiraten3\IEButtonEbayInterface.dll (file missing) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: woerterbuch.info Toolbar - {7B0B549D-2EB3-4B56-8A29-B112ABECA310} - C:\Programme\woerterbuch.info\woerte_13000_tb.dll O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\PROGRA~1\MYWEBS~1\bar\2.bin\MWSBAR.DLL,S O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [himem.exe] C:\WINDOWS\skksd32.exe -s O4 - HKLM\..\Run: [SoundMnEx32] C:\WINDOWS\skksd32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe O4 - Global Startup: EPSON Status Monitor 3 Environment Check(3).lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &woerterbuch.info Toolbar - Übersetzung - - res://C:\Programme\woerterbuch.info\woerte_13000_tb.dll/GoSEAR.dll.htm O8 - Extra context menu item: &woerterbuch.info Toolbar - Synonym - - res://C:\Programme\woerterbuch.info\woerte_13000_tb.dll/Go2Sear.dll.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/ClientInstall/10.20.0002/OCI/setup.exe O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab O16 - DPF: {F0BB0EEC-2872-4860-897C-D8EA75CC5F5B} (gfghUpload Element) - http://info.gfghserver.de/functions/gfghUploader.cab O20 - AppInit_DLLs: trafracp.dll O20 - Winlogon Notify: shfoxpob - C:\WINDOWS\system32\shfoxpob.dll (file missing) O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: MySql - Unknown owner - F:/apache/mysql/bin/mysqld-nt.exe (file missing) O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe (file missing) O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Player\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe liebe Grüße, Palpatine Anhang: scan antivir.txt
|
|
|
||
23.04.2007, 18:42
Moderator
Beiträge: 7805 |
#8
Hast du Cureit schon im abgesicherten Modus reinigen lassen!? BZW sollte Antivir auch in der Lage sein die Dateien im abgesicherten Modus umzubenennen.
BTW: Du musst deine Mailordner von Zeit zu zeit komprimieren, sonst werden die Mails nicht richtig geloescht. Fixe mit hilfe von Hijackthis folgende Eintraege im abgesicherten Modus(anhaken und fix checked druecken: O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\PROGRA~1\MYWEBS~1\bar\2.bin\MWSBAR.DLL,S O4 - HKLM\..\Run: [himem.exe] C:\WINDOWS\skksd32.exe -s O4 - HKLM\..\Run: [SoundMnEx32] C:\WINDOWS\skksd32.exe O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe O20 - AppInit_DLLs: trafracp.dll O20 - Winlogon Notify: shfoxpob - C:\WINDOWS\system32\shfoxpob.dll (file missing) Du solltest ueber Software mywebsearch deinstallieren. Poste nach dem Neustart bitte ein neues Hijackthis und Combofix Log. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
23.04.2007, 21:19
...neu hier
Themenstarter Beiträge: 5 |
#9
Ja, ich habe Cureit im abgesicherten Modus reinigen lassen - aber irgendwie ist mir das Ergebnis abhanden gekommen...
Ansonsten alles erledigt. Hier das aktuelle HJT: Logfile of HijackThis v1.99.1 Scan saved at 21:09:06, on 23.04.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\svchost.exe C:\Programme\VMware\VMware Player\vmware-authd.exe C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe C:\WINDOWS\system32\vmnat.exe C:\WINDOWS\system32\vmnetdhcp.exe C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\htpatch.exe C:\Programme\QuickTime\qttask.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Winamp\winampa.exe C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe C:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE C:\Programme\Skype\Phone\Skype.exe C:\WINDOWS\system32\WgaTray.exe C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\kernel.exe C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\sc_watch.exe C:\WINDOWS\system32\wuauclt.exe C:\PROGRA~1\T-Online\T-ONLI~2\Notifier\Notifier.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\Dokumente und Einstellungen\Lornenzens\Lokale Einstellungen\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.googel.de/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: metaspinner GmbH - {84B94901-3645-4D80-A6B7-4D0050B19455} - C:\Programme\Preispiraten3\Preispiraten3\IEButtonAmazonInterface.dll (file missing) O2 - BHO: metaspinner GmbH - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\Programme\Preispiraten3\Preispiraten3\IEButtonEbayInterface.dll (file missing) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: woerterbuch.info Toolbar - {7B0B549D-2EB3-4B56-8A29-B112ABECA310} - C:\Programme\woerterbuch.info\woerte_13000_tb.dll O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: EPSON Status Monitor 3 Environment Check(3).lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &woerterbuch.info Toolbar - Übersetzung - - res://C:\Programme\woerterbuch.info\woerte_13000_tb.dll/GoSEAR.dll.htm O8 - Extra context menu item: &woerterbuch.info Toolbar - Synonym - - res://C:\Programme\woerterbuch.info\woerte_13000_tb.dll/Go2Sear.dll.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/ClientInstall/10.20.0002/OCI/setup.exe O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab O16 - DPF: {F0BB0EEC-2872-4860-897C-D8EA75CC5F5B} (gfghUpload Element) - http://info.gfghserver.de/functions/gfghUploader.cab O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: MySql - Unknown owner - F:/apache/mysql/bin/mysqld-nt.exe (file missing) O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe (file missing) O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Player\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe --------------------------------------------------------------- Hier das combofix Ergebnis: "Lornenzens" - 07-04-23 21:11:23 Service Pack 2 ComboFix 07-04-21.2V - Running from: C:\Dokumente und Einstellungen\Lornenzens\Desktop\ ((((((((((((((((((((((((((((((( Files Created from 2007-03-23 to 2007-04-23 )))))))))))))))))))))))))))))))))) 2007-04-23 18:11 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\T-Online 2007-04-23 14:12 <DIR> d-------- C:\DOKUME~1\ADMINI~1\DoctorWeb 2007-04-21 20:49 <DIR> d-------- C:\avenger 2007-04-21 20:46 60,416 --a------ C:\WINDOWS\system32\drivers\r^rraeuo.sys 2007-04-21 20:11 <DIR> d-------- C:\unzipped 2007-04-21 16:21 0 --a------ C:\WINDOWS\cdi1okj.dll 2007-04-19 22:27 4 --a------ C:\WINDOWS\system32\shfoxpob.dat 2007-04-19 10:29 43,584 --a------ C:\WINDOWS\system32\drivers\avipbb.sys 2007-04-19 10:29 28,352 --a------ C:\WINDOWS\system32\drivers\ssmdrv.sys 2007-04-18 21:56 <DIR> d-------- C:\Programme\ElsterFormular (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-04-22 12:24 -------- d-------- C:\Programme\mozilla thunderbird 2007-04-21 16:17 -------- d-------- C:\Programme\icqlite 2007-04-18 22:02 -------- d-------- C:\Programme\elsterformular2004 2007-04-18 22:02 -------- d-------- C:\Programme\deer park alpha 1 2007-04-18 22:01 -------- d-------- C:\Programme\elsterformular2005 2007-04-18 21:56 -------- d--h----- C:\Programme\installshield installation information 2007-03-31 17:07 -------- d-------- C:\Programme\irfanview 2007-03-25 12:32 64790 --a------ C:\WINDOWS\system32\perfc007.dat 2007-03-25 12:32 393684 --a------ C:\WINDOWS\system32\perfh007.dat 2007-03-17 23:50 10739 --a------ C:\WINDOWS\mozver.dat 2007-03-17 15:44 293376 --a------ C:\WINDOWS\system32\winsrv.dll 2007-03-13 15:06 -------- d-------- C:\Programme\home photo service 2007-03-08 17:36 579072 --a------ C:\WINDOWS\system32\user32.dll 2007-03-08 17:36 40960 --a------ C:\WINDOWS\system32\mf3216.dll 2007-03-08 17:36 281600 --a------ C:\WINDOWS\system32\gdi32.dll 2007-03-08 17:32 1843712 --a------ C:\WINDOWS\system32\win32k.sys 2007-02-05 22:18 185856 --a------ C:\WINDOWS\system32\upnphost.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll {53707962-6F74-2D53-2644-206D7942484F} C:\PROGRA~1\SPYBOT~1\SDHelper.dll {84B94901-3645-4D80-A6B7-4D0050B19455} C:\Programme\Preispiraten3\Preispiraten3\IEButtonAmazonInterface.dll [x] {CD9B7762-DFBC-42B1-BB30-02A78287B456} C:\Programme\Preispiraten3\Preispiraten3\IEButtonEbayInterface.dll [x] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "CloneCDElbyCDFL"="\"C:\\Programme\\Elaborate Bytes\\CloneCD\\ElbyCheck.exe\" /L ElbyCDFL" "CloneCDTray"="\"C:\\Programme\\Elaborate Bytes\\CloneCD\\CloneCDTray.exe\"" "ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe" "HTpatch"="C:\\WINDOWS\\htpatch.exe" "Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd" "NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe" "QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime" "ToADiMon.exe"="C:\\Programme\\T-Online\\T-Online_Software_6\\Basis-Software\\Basis1\\ToADiMon.exe -TOnlineAutodialStart" "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\"" "T-DSL SpeedMgr"="\"C:\\Programme\\T-DSL SpeedManager\\SpeedMgr.exe\"" "TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot" "WinampAgent"="C:\\Programme\\Winamp\\winampa.exe" "NeroCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe" "MMTray"="C:\\Programme\\MUSICMATCH\\MUSICMATCH Jukebox\\mm_tray.exe" "ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe" "MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background" @="" "InfoCockpit"="C:\\Programme\\T-Online\\T-Online_Software_6\\Info-Cockpit\\INFOCOCKPIT.EXE /nosplash" "Skype"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized" "MyWebSearch Email Plugin"="C:\\PROGRA~1\\MYWEBS~1\\bar\\2.bin\\mwsoemon.exe" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce] "ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot" [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "InfoCockpit"="C:\\Programme\\T-Online\\T-Online_Software_6\\Info-Cockpit\\INFOCOCKPIT.EXE /nosplash" [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0] Source REG_SZ https://img.web.de/v/mail/html_mail/anigif/tiere/tiere1.gif HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa Authentication Packages REG_MULTI_SZ msv1_0\0\0 Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0 Notification Packages REG_MULTI_SZ scecli\0\0 [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MyWebSearch Email Plugin] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="mwsoemon" "hkey"="HKLM" "command"="C:\\PROGRA~1\\MYWEBS~1\\bar\\2.bin\\mwsoemon.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SiSUSBRG] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="SiSUSBrg" "hkey"="HKLM" "command"="C:\\WINDOWS\\SiSUSBrg.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="TeaTimer" "hkey"="HKCU" "command"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\YAW starten] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="yawguard" "hkey"="HKCU" "command"="\"C:\\Programme\\YAW 3.5\\yawguard.exe\"" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost] LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0 NetworkService REG_MULTI_SZ DnsCache\0\0 rpcss REG_MULTI_SZ RpcSs\0\0 imgsvc REG_MULTI_SZ StiSvc\0\0 termsvcs REG_MULTI_SZ TermService\0\0 HTTPFilter REG_MULTI_SZ HTTPFilter\0\0 DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0 ******************************************************************** catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-04-23 21:15:35 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden services ... scanning hidden autostart entries ... HKLM\Software\Microsoft\Windows\CurrentVersion\Run HTpatch = C:\WINDOWS\htpatch.exe?ows\CurrentVersion\Run???\??????[????`??[???[`??[???????????????[???[???[???[$??????[???????????????[???????????[???w????(????3?w???w?????3?w ??w???[??????d???r??[1??[???[d??????[?-?[????z??w8h?[\2?[?1?[htinst.INI?[?u?[????d???????0G? MMTray = C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe?????w???g(???V??g(???SOFTWARE\MusicMatch\MusicMatch Jukebox\4.0\TrayApp??????? ?w?????????????\?wp ?w???????w???g???????????g?RY??QY????????s*???2???????4???8???? @??%X??%X?????????????????x?Y???????Q????? scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 ******************************************************************** Completion time: 07-04-23 21:15:47 C:\ComboFix-quarantined-files.txt ... 07-04-23 21:15 C:\ComboFix2.txt ... 07-04-23 18:10 |
|
|
||
23.04.2007, 22:03
Moderator
Beiträge: 7805 |
#10
Sieht ja nun auch ganz gut aus. Du koenntest noch diese beiden Dateien loeschen:
C:\WINDOWS\cdi1okj.dll C:\WINDOWS\system32\shfoxpob.dat __________ MfG Ralf SEO-Spam Hunter |
|
|
||
wie der Thread Titel schon sagt, bin ich auch auf einen dummen, sich über icq verbreitenden Virus hereingefallen. Der Link kam eigentlich von einer Vertrauenswürdigen Person und so habe ich mir nichts beim öfnen gedacht.....
Mittlerweile ist mein pc so lahm, dass ich ziemlich große mühe habe, überhaupt etwas hinzubekommen. Deshalb sitze ich jetzt auch an einem anderen pc. AntiVir bringt dauernd ie Fundmeldung und der Virus lässt sich nicht löschen (sprich, er wird immer wieder angezeigt.). AUßerdem kann der pc nur durch bscneiden des Stromes ausgemacht werden...
Die Dinge wie hier aufgeführt (http://board.protecus.de/t23188.htm) würde ich gerne durchführen, aber leider ist der pc zu langsam, um z.b. ein Hijackthis durchzuführen. langt es auch, wenn ich diesen im abgesicherten Modus durchführe?
Gestern habe ich schon versucht, mit dem avenger das teil weg zu bekommen, und es at auch ungefähr eine stunde funktioniert, ohne das AntiVir gemeckert hat - dann hat alles wieder von vorne angefangen...
Ansonsten versuche ich jetzt noch einmal über einen stick ein Hijacktis zu erstellen - falls ihr eine Idee habt, bitte antworten, wenn es auch andere Möglichkeiten gibt.
Danke im Voraus schon mal,
Palpatine