spyware detection alert |
||
---|---|---|
#0
| ||
01.05.2007, 21:24
Member
Beiträge: 39 |
||
|
||
01.05.2007, 22:02
Member
Beiträge: 500 |
#2
Lese mal durch und arbeite ab:
http://board.protecus.de/t23188.htm Felix __________ Keine Anfragen per E-Mail und PN! |
|
|
||
04.05.2007, 00:09
Member
Themenstarter Beiträge: 39 |
#3
hier die gewünschten files:
Logfile of HijackThis v1.99.1 Scan saved at 23:21:59, on 03.05.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\MessengerPlus! 3\MsgPlus.exe C:\WINDOWS\system32\svehost.exe C:\WINDOWS\system32\clcl6.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe C:\Programme\internet explorer\iexplore.exe H:\Eigene Dateien\!Ralph\Tool's\Security\HijackThis.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=041507 serial=dr12wex-1504397-kty lang=DE O4 - HKLM\..\Run: [Intel system tool] C:\WINDOWS\system32\svehost.exe O4 - HKLM\..\Run: [clcl6] C:\WINDOWS\system32\clcl6.exe O4 - HKLM\..\Run: [WindowsService] rundll32.exe "C:\WINDOWS\system32\pcwwkvrn.dll",realset O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BitTorrent] "C:\Programme\BitTorrent\bittorrent.exe" --force_start_minimized O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{7607B44C-2C6A-4CB1-86B6-3E75E63AA24D}: NameServer = 195.34.133.21 195.34.133.22 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing) O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing) O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe ComboFix 07-04-25.4V - Running from: "H:\Eigene Dateien\!Ralph\Tool's\Security\" ((((((((((((((((((((((((((((((( Files Created from 2007-04-03 to 2007-05-03 )))))))))))))))))))))))))))))))))) 2007-05-03 22:57 518,162 ---hs---- C:\WINDOWS\system32\stutv.bak2 2007-05-03 22:57 132,660 --a------ C:\WINDOWS\system32\pcwwkvrn.dll 2007-05-02 17:08 570,826 ---hs---- C:\WINDOWS\system32\stutv.bak1 2007-05-02 17:08 284,244 ---hs---- C:\WINDOWS\system32\vtuts.dll 2007-05-01 21:39 49,152 --a------ C:\WINDOWS\nircmd.exe 2007-04-30 22:24 37,376 --a------ C:\WINDOWS\system32\udial.exe 2007-04-26 15:31 132,660 --------- C:\WINDOWS\system32\jppfefru.dll 2007-04-24 21:01 204,288 --a------ C:\WINDOWS\system32\clcl6.exe 2007-04-18 17:43 73,728 --a------ C:\WINDOWS\system32\svehost.exe 2007-04-15 21:48 <DIR> d-------- C:\lucca 2007-04-15 21:45 <DIR> d--hs---- C:\WINDOWS\ftpcache 2007-04-14 21:30 31,828 --------- C:\WINDOWS\system32\ssqpp.exe 2007-04-14 21:30 26,714 --a------ C:\WINDOWS\system32\khfdefg.dll 2007-04-14 21:30 26,714 --a------ C:\WINDOWS\system32\jkkhhhh.dll 2007-04-14 08:46 93,696 --a------ C:\WINDOWS\system32\drvkav.dll 2007-04-06 22:36 <DIR> d-------- C:\VundoFix Backups 2007-04-04 21:59 <DIR> d-------- C:\Programme\Lavasoft 2007-04-04 21:59 <DIR> d-------- C:\DOKUME~1\GREILB~1\ANWEND~1\Lavasoft (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-05-03 23:00 72412 --a------ C:\WINDOWS\system32\perfc007.dat 2007-05-03 23:00 412660 --a------ C:\WINDOWS\system32\perfh007.dat 2007-05-02 17:06 -------- d-------- C:\Programme\winamp 2007-03-31 13:03 -------- d--h----- C:\Programme\installshield installation information 2007-03-31 13:03 -------- d-------- C:\Programme\md 40820 2007-03-31 11:16 -------- d-------- C:\DOKUME~1\GREILB~1\ANWEND~1\corel 2007-03-31 11:12 -------- d-------- C:\Programme\Gemeinsame Dateien\installshield 2007-03-31 11:06 -------- d-------- C:\Programme\micrografx 2007-03-24 23:12 1744 --a------ C:\WINDOWS\system32\d3d9caps.dat 2007-03-23 22:53 -------- d-------- C:\Programme\bitlord 2007-03-23 22:41 -------- d-------- C:\DOKUME~1\GREILB~1\ANWEND~1\bittorrent 2007-03-23 21:13 -------- d-------- C:\Programme\divx 2007-03-23 21:10 -------- d-------- C:\DOKUME~1\GREILB~1\ANWEND~1\divx 2007-03-16 22:05 -------- d-------- C:\Programme\pinnacle 2007-03-16 01:14 -------- d-------- C:\DOKUME~1\GREILB~1\ANWEND~1\pinnacle systems 2007-03-16 01:06 -------- d-------- C:\Programme\microsoft sql server 2007-03-16 01:01 -------- d-------- C:\Programme\smartsound software 2007-03-16 00:59 87 --a------ C:\AUTOEXEC.BAT 2007-03-13 21:45 -------- d-------- C:\Programme\regcleaner 2007-03-13 19:41 -------- d-------- C:\Programme\microsoft encarta 2007-03-07 23:56 -------- d-------- C:\Programme\mp3gain 2007-03-07 23:52 -------- d-------- C:\DOKUME~1\GREILB~1\ANWEND~1\id3-tagit 3 2007-03-07 23:44 -------- d-------- C:\Programme\id3-tagit 3 2007-03-07 22:51 -------- d-------- C:\Programme\musicbrainz tagger 2007-03-07 00:53 -------- d-------- C:\DOKUME~1\GREILB~1\ANWEND~1\help 2007-03-05 23:32 -------- d-------- C:\Programme\messengerplus! 3 2007-03-03 22:04 -------- d-------- C:\DOKUME~1\GREILB~1\ANWEND~1\autodesk 2007-03-03 21:49 -------- d-------- C:\Programme\autodesk 2007-03-03 21:31 -------- d-------- C:\Programme\shareaza 2007-03-03 21:25 -------- d-------- C:\DOKUME~1\GREILB~1\ANWEND~1\shareaza 2007-03-03 20:41 4212 ---h----- C:\WINDOWS\system32\zllictbl.dat 2007-03-03 01:22 -------- d-------- C:\Programme\msn messenger 2007-03-03 01:00 -------- d-------- C:\Programme\nero 2007-03-03 00:51 -------- d-------- C:\Programme\gs 2007-03-03 00:51 -------- d-------- C:\Programme\freepdf_xp 2007-03-03 00:37 -------- d-------- C:\Programme\irfanview 2007-03-03 00:34 -------- d-------- C:\Programme\videolan 2007-03-03 00:34 -------- d-------- C:\DOKUME~1\GREILB~1\ANWEND~1\vlc 2007-03-03 00:14 -------- d-------- C:\Programme\clearprog 2007-03-02 00:57 1632 --a------ C:\WINDOWS\system32\d3d8caps.dat 2007-03-01 23:22 0 -rahs---- C:\MSDOS.SYS 2007-03-01 23:22 0 -rahs---- C:\IO.SYS 2007-03-01 23:22 0 --a------ C:\CONFIG.SYS 2007-03-01 23:18 21740 --a------ C:\WINDOWS\system32\emptyregdb.dat 2007-03-01 22:51 62 --ahs---- C:\DOKUME~1\GREILB~1\ANWEND~1\desktop.ini 2007-02-23 06:29 118520 --------- C:\WINDOWS\system32\pxinsi64.exe 2007-02-23 06:29 116472 --------- C:\WINDOWS\system32\pxcpyi64.exe 2007-02-23 06:25 53248 --a------ C:\WINDOWS\system32\dpugui10.dll 2007-02-23 06:25 294912 --a------ C:\WINDOWS\system32\dpu10.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] {271DEA85-7420-4637-84E0-B2C1AAC3B719} C:\WINDOWS\system32\vtuts.dll {3E71DC86-4A5C-4C71-A185-EBE9AC2EB607} C:\WINDOWS\system32\khfdefg.dll {9C5E5CB8-33FE-4BEF-81E0-CAF564321272} C:\WINDOWS\system32\ddccc.dll [x] {D651AFF4-9590-424d-BD1E-8E33E090DFB3} C:\WINDOWS\system32\dqfrwnea.dll [x] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "SoundMan"="SOUNDMAN.EXE" "Zone Labs Client"="C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe" "MessengerPlus3"="\"C:\\Programme\\MessengerPlus! 3\\MsgPlus.exe\"" "NeroFilterCheck"="C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NeroCheck.exe" "PinnacleDriverCheck"="C:\\WINDOWS\\system32\\\\PSDrvCheck.exe" "NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup" "nwiz"="nwiz.exe /install" "CorelDRAW Graphics Suite 11b"="C:\\Programme\\Corel\\Corel Graphics 12\\Languages\\DE\\Programs\\Registration.exe /title=\"CorelDRAW Graphics Suite 12\" /date=041507 serial=dr12wex-1504397-kty lang=DE" "Intel system tool"="C:\\WINDOWS\\system32\\svehost.exe" "clcl6"="C:\\WINDOWS\\system32\\clcl6.exe" "WindowsService"="rundll32.exe \"C:\\WINDOWS\\system32\\pcwwkvrn.dll\",realset" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe" "BitTorrent"="\"C:\\Programme\\BitTorrent\\bittorrent.exe\" --force_start_minimized" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="" "{E44527F6-1296-4A84-B67D-A6CEA6ED4B69}"="" "{3E71DC86-4A5C-4C71-A185-EBE9AC2EB607}"="" HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\khfdefg HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vtuts HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa Authentication Packages REG_MULTI_SZ msv1_0\0\0 Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0 Notification Packages REG_MULTI_SZ scecli\0\0 [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost] HTTPFilter REG_MULTI_SZ HTTPFilter\0\0 LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0 NetworkService REG_MULTI_SZ DnsCache\0\0 DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0 rpcss REG_MULTI_SZ RpcSs\0\0 imgsvc REG_MULTI_SZ StiSvc\0\0 termsvcs REG_MULTI_SZ TermService\0\0 ******************************************************************** catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-05-03 23:56:31 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden services ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 ******************************************************************** Completion time: 07-05-03 23:56:33 C:\ComboFix-quarantined-files.txt ... 07-05-03 23:56 C:\ComboFix2.txt ... 07-05-02 18:06 C:\ComboFix3.txt ... 07-05-01 21:39 und hier die datfind.bat logfiles: Datentr„ger in Laufwerk C: ist SYSTEM Volumeseriennummer: 2405-E75A Verzeichnis von c:\ 03.05.2007 23:59 0 dirdat.txt 03.05.2007 23:56 8.141 ComboFix.txt 03.05.2007 23:56 1.442 ComboFix-quarantined-files.txt 03.05.2007 22:56 804.835.328 hiberfil.sys 03.05.2007 22:56 1.207.959.552 pagefile.sys 02.05.2007 18:06 8.535 ComboFix2.txt 01.05.2007 21:39 9.482 ComboFix3.txt 01.05.2007 21:03 5.302 VundoFix.txt 11.04.2007 17:23 6.835 hpfr3740.log 16.03.2007 21:17 83 FilterLog.log 16.03.2007 01:07 213.034 MSDELog.log 16.03.2007 00:59 87 AUTOEXEC.BAT 15.03.2007 21:01 176 RegistryChecker.log 01.03.2007 23:22 0 MSDOS.SYS 01.03.2007 23:22 0 CONFIG.SYS 01.03.2007 23:22 0 IO.SYS 01.03.2007 22:57 211 boot.ini Datentr„ger in Laufwerk C: ist SYSTEM Volumeseriennummer: 2405-E75A Verzeichnis von C:\WINDOWS\system32 03.05.2007 23:59 508.634 stutv.ini 03.05.2007 23:52 1.244 nrvkwwcp.ini 03.05.2007 23:00 401.220 perfh009.dat 03.05.2007 23:00 61.360 perfc009.dat 03.05.2007 23:00 412.660 perfh007.dat 03.05.2007 23:00 72.412 perfc007.dat 03.05.2007 23:00 958.756 PerfStringBackup.INI 03.05.2007 22:57 132.660 pcwwkvrn.dll 03.05.2007 22:57 518.162 stutv.bak2 03.05.2007 22:57 1.124 urfefppj.ini 03.05.2007 22:57 41.108 vsconfig.xml 03.05.2007 22:56 2.206 wpa.dbl 02.05.2007 17:08 570.826 stutv.bak1 02.05.2007 17:08 284.244 vtuts.dll 01.05.2007 21:10 143 mcrh.tmp 01.05.2007 21:03 578.692 cccdd.tmp 30.04.2007 22:24 37.376 udial.exe 26.04.2007 15:31 132.660 jppfefru.dll 24.04.2007 21:01 204.288 clcl6.exe 18.04.2007 17:28 73.728 svehost.exe 14.04.2007 21:30 26.714 jkkhhhh.dll 14.04.2007 21:30 26.714 khfdefg.dll 14.04.2007 21:30 31.828 ssqpp.exe 14.04.2007 08:46 93.696 drvkav.dll 04.04.2007 21:54 1.691.197 rekwjhcx.ini 02.04.2007 14:21 428.032 swreg.exe 31.03.2007 21:33 3.157 jupdate-1.4.2_03-b02.log 31.03.2007 12:57 437.352 FNTCACHE.DAT 24.03.2007 23:12 1.744 d3d9caps.dat 16.03.2007 01:18 46 blue.SITENAME 16.03.2007 01:07 2.250.192 MSDELog.log 03.03.2007 20:41 4.212 zllictbl.dat 02.03.2007 00:57 1.632 d3d8caps.dat 01.03.2007 23:25 261 $winnt$.inf 01.03.2007 23:22 2.951 CONFIG.NT 01.03.2007 23:21 16.832 amcompat.tlb 01.03.2007 23:21 23.392 nscompat.tlb 01.03.2007 23:20 488 WindowsLogon.manifest 01.03.2007 23:20 488 logonui.exe.manifest 01.03.2007 23:20 749 wuaucpl.cpl.manifest 01.03.2007 23:20 749 cdplayer.exe.manifest 01.03.2007 23:20 749 ncpa.cpl.manifest 01.03.2007 23:20 749 sapi.cpl.manifest 01.03.2007 23:20 749 nwc.cpl.manifest 01.03.2007 23:18 21.740 emptyregdb.dat 01.03.2007 22:57 0 h323log.txt 23.02.2007 06:29 183.032 pxmas.dll 23.02.2007 06:29 72.440 pxhpinst.exe 23.02.2007 06:29 379.640 pxwave.dll 23.02.2007 06:29 502.520 pxdrv.dll 23.02.2007 06:29 1.329.912 pxsfs.dll 23.02.2007 06:29 116.472 pxcpyi64.exe 23.02.2007 06:29 118.520 pxinsi64.exe 23.02.2007 06:29 527.096 px.dll 23.02.2007 06:29 64.760 pxcpya64.exe 23.02.2007 06:29 64.760 pxinsa64.exe 23.02.2007 06:29 39.672 vxblock.dll 23.02.2007 06:25 53.248 dpuGUI10.dll 23.02.2007 06:25 294.912 dpu10.dll Datentr„ger in Laufwerk C: ist SYSTEM Volumeseriennummer: 2405-E75A Verzeichnis von C:\WINDOWS 03.05.2007 23:52 419.354 WindowsUpdate.log 03.05.2007 22:56 0 0.log 03.05.2007 22:56 159 wiadebug.log 03.05.2007 22:56 50 wiaservc.log 03.05.2007 22:56 2.048 bootstat.dat 02.05.2007 22:31 32.644 SchedLgU.Txt 02.05.2007 17:03 69 NeroDigital.ini 02.05.2007 16:38 5.140 setupapi.log 21.04.2007 03:52 86.528 catchme.exe 24.03.2007 23:14 1.208 VFO.INI 21.03.2007 16:35 252 AIM_RACE_STUDIO.INI 21.03.2007 16:24 65 AIM_UNITS.INI 21.03.2007 16:24 30 AIM_NTIMES.INI 21.03.2007 16:24 2.049 AIM_RSANALYSIS.INI 16.03.2007 22:05 827 win.ini 16.03.2007 01:23 455 VFO.VST 16.03.2007 01:00 316.640 WMSysPr9.prx 03.03.2007 21:11 0 Sti_Trace.log 03.03.2007 01:17 43 gswin32.ini 03.03.2007 01:14 4.507 imsins.BAK 02.03.2007 01:26 400 ODBC.INI 02.03.2007 00:41 10.602 hpdj3740.ini 02.03.2007 00:41 209.972 hpdj3740.his 02.03.2007 00:37 9.181 hpdj3740.bu1 02.03.2007 00:37 229.936 hpdj3740.hi1 02.03.2007 00:31 494 demo.INI 01.03.2007 23:27 829 OEWABLog.txt 01.03.2007 23:26 819.132 setuplog.txt 01.03.2007 23:26 8.192 REGLOCS.OLD 01.03.2007 23:22 0 control.ini 01.03.2007 23:21 4.161 ODBCINST.INI 01.03.2007 23:20 749 WindowsShell.Manifest 01.03.2007 23:18 36 vb.ini 01.03.2007 23:18 37 vbaddin.ini 01.03.2007 22:51 231 system.ini Datentr„ger in Laufwerk C: ist SYSTEM Volumeseriennummer: 2405-E75A Verzeichnis von C:\DOKUME~1\GREILB~1\LOKALE~1\Temp |
|
|
||
04.05.2007, 11:27
Member
Beiträge: 694 |
#4
Hi,
verseucht bis über beide Ohren: Round 1: virustotal Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen http://www.virustotal.com/flash/index_en.html Zitat C:\WINDOWS\system32\svehost.exeFalls eine der Dateien NICHT erkannt wird, bei Files to delete ENTFERNEN, falls sie erkannt wurde den STERN dahinter entfernen (habe ich nur gemacht dass Du die Dateien besser findest...) Bitte Messenger plus! deinstallieren! Also: Avenger http://virus-protect.org/artikel/tools/avenger.html Input script manually (anhaken) kopiere in: View/edit script Zitat Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat
Smitfraut scanne mit option 1 und 2 und poste die reporte http://virus-protect.org/artikel/tools/smitfrautfix.html scanne mit ewido und poste den scanreport sowie neues Hijackthis-Log http://virus-protect.org/onlinescan.html Chris Dieser Beitrag wurde am 04.05.2007 um 11:30 Uhr von Chris4You editiert.
|
|
|
||
06.05.2007, 00:12
Member
Themenstarter Beiträge: 39 |
#5
hier die neuen logs:
STATUS: FINISHEDComplete scanning result of "pcwwkvrn.dll", received in VirusTotal at 05.05.2007, 22:33:06 (CET). Antivirus Version Update Result AhnLab-V3 2007.5.4.0 05.04.2007 no virus found AntiVir 7.4.0.15 05.05.2007 no virus found Authentium 4.93.8 05.04.2007 no virus found Avast 4.7.997.0 05.05.2007 no virus found AVG 7.5.0.467 05.05.2007 no virus found BitDefender 7.2 05.05.2007 no virus found CAT-QuickHeal 9.00 05.05.2007 no virus found ClamAV devel-20070416 05.05.2007 Trojan.Packed-7 DrWeb 4.33 05.05.2007 no virus found eSafe 7.0.15.0 05.03.2007 no virus found eTrust-Vet 30.7.3615 05.05.2007 no virus found Ewido 4.0 05.05.2007 no virus found FileAdvisor 1 05.05.2007 no virus found Fortinet 2.85.0.0 05.05.2007 suspicious F-Prot 4.3.2.48 05.04.2007 no virus found F-Secure 6.70.13030.0 05.05.2007 no virus found Ikarus T3.1.1.7 05.05.2007 no virus found Kaspersky 4.0.2.24 05.05.2007 no virus found McAfee 5024 05.04.2007 no virus found Microsoft 1.2503 05.05.2007 no virus found NOD32v2 2243 05.05.2007 no virus found Norman 5.80.02 05.04.2007 no virus found Panda 9.0.0.4 05.05.2007 no virus found Prevx1 V2 05.05.2007 no virus found Sophos 4.17.0 05.05.2007 no virus found Sunbelt 2.2.907.0 05.05.2007 VIPRE.Suspicious Symantec 10 05.05.2007 Trojan.Vundo TheHacker 6.1.6.104 04.15.2007 no virus found VBA32 3.11.4 05.04.2007 no virus found VirusBuster 4.3.7:9 05.05.2007 no virus found Webwasher-Gateway 6.0.1 05.05.2007 Worm.Win32.Malware.gen (suspicious) STATUS: FINISHEDComplete scanning result of "nircmd.exe", received in VirusTotal at 05.05.2007, 22:35:47 (CET). Antivirus Version Update Result AhnLab-V3 2007.5.4.0 05.04.2007 no virus found AntiVir 7.4.0.15 05.05.2007 no virus found Authentium 4.93.8 05.04.2007 no virus found Avast 4.7.997.0 05.05.2007 no virus found AVG 7.5.0.467 05.05.2007 no virus found BitDefender 7.2 05.05.2007 no virus found CAT-QuickHeal 9.00 05.05.2007 no virus found ClamAV devel-20070416 05.05.2007 no virus found DrWeb 4.33 05.05.2007 no virus found eSafe 7.0.15.0 05.03.2007 no virus found eTrust-Vet 30.7.3615 05.05.2007 no virus found Ewido 4.0 05.05.2007 no virus found FileAdvisor 1 05.05.2007 No Thread detected Fortinet 2.85.0.0 05.05.2007 suspicious F-Prot 4.3.2.48 05.04.2007 no virus found F-Secure 6.70.13030.0 05.05.2007 no virus found Ikarus T3.1.1.7 05.05.2007 no virus found Kaspersky 4.0.2.24 05.05.2007 no virus found McAfee 5024 05.04.2007 no virus found Microsoft 1.2503 05.05.2007 no virus found NOD32v2 2243 05.05.2007 no virus found Norman 5.80.02 05.04.2007 no virus found Panda 9.0.0.4 05.05.2007 Application/NirCmd.A Prevx1 V2 05.05.2007 no virus found Sophos 4.17.0 05.05.2007 NirCmd Sunbelt 2.2.907.0 05.05.2007 no virus found Symantec 10 05.05.2007 no virus found TheHacker 6.1.6.104 04.15.2007 no virus found VBA32 3.11.4 05.04.2007 no virus found VirusBuster 4.3.7:9 05.05.2007 no virus found Webwasher-Gateway 6.0.1 05.05.2007 no virus found STATUS: FINISHEDComplete scanning result of "udial.exe", received in VirusTotal at 05.05.2007, 22:37:10 (CET). Antivirus Version Update Result AhnLab-V3 2007.5.4.0 05.04.2007 no virus found AntiVir 7.4.0.15 05.05.2007 TR/Dialer.RT.6 Authentium 4.93.8 05.04.2007 W32/Dialer.DBX Avast 4.7.997.0 05.05.2007 Win32:Small-EMS AVG 7.5.0.467 05.05.2007 Dialer.DDA BitDefender 7.2 05.05.2007 Trojan.Dialer.RT CAT-QuickHeal 9.00 05.05.2007 Trojan.Dialer.rt ClamAV devel-20070416 05.05.2007 Dialer-845 DrWeb 4.33 05.05.2007 Dialer.Keykot eSafe 7.0.15.0 05.03.2007 no virus found eTrust-Vet 30.7.3615 05.05.2007 no virus found Ewido 4.0 05.05.2007 Trojan.Dialer.rt FileAdvisor 1 05.05.2007 no virus found Fortinet 2.85.0.0 05.05.2007 W32/Dialer.RT!tr F-Prot 4.3.2.48 05.04.2007 W32/Dialer.DBX F-Secure 6.70.13030.0 05.05.2007 Trojan.Win32.Dialer.rt Ikarus T3.1.1.7 05.05.2007 Trojan.Win32.Dialer.rt Kaspersky 4.0.2.24 05.05.2007 Trojan.Win32.Dialer.rt McAfee 5024 05.04.2007 no virus found Microsoft 1.2503 05.05.2007 Dialer:Win32/IDialer (Thread-c) NOD32v2 2243 05.05.2007 Win32/Dialer.NCJ Norman 5.80.02 05.04.2007 W32/Dialer.BCID Panda 9.0.0.4 05.05.2007 Dialer.ITG Prevx1 V2 05.05.2007 Dialer.GlobalAccess Sophos 4.17.0 05.05.2007 no virus found Sunbelt 2.2.907.0 05.05.2007 Trojan.CallSolutions Symantec 10 05.05.2007 Dialer.Trojan TheHacker 6.1.6.104 04.15.2007 Trojan/Dialer.rt VBA32 3.11.4 05.04.2007 Trojan.Win32.Dialer.rt VirusBuster 4.3.7:9 05.05.2007 Trojan.Dialer.VI Webwasher-Gateway 6.0.1 05.05.2007 Trojan.Dialer.RT.6 STATUS: FINISHEDComplete scanning result of "svehost.exe", received in VirusTotal at 05.05.2007, 22:30:59 (CET). Antivirus Version Update Result AhnLab-V3 2007.5.4.0 05.04.2007 no virus found AntiVir 7.4.0.15 05.05.2007 TR/Agent.KQ.7 Authentium 4.93.8 05.04.2007 no virus found Avast 4.7.997.0 05.05.2007 no virus found AVG 7.5.0.467 05.05.2007 Generic3.VBN BitDefender 7.2 05.05.2007 Trojan.Clicker.CR CAT-QuickHeal 9.00 05.05.2007 Trojan.Agent.kq ClamAV devel-20070416 05.05.2007 no virus found DrWeb 4.33 05.05.2007 BackDoor.Insyst eSafe 7.0.15.0 05.03.2007 Win32.Agent.kq eTrust-Vet 30.7.3615 05.05.2007 Win32/Slerpon!generic Ewido 4.0 05.05.2007 Trojan.Agent.kq FileAdvisor 1 05.05.2007 no virus found Fortinet 2.85.0.0 05.05.2007 W32/Agent.KQ!tr F-Prot 4.3.2.48 05.04.2007 no virus found F-Secure 6.70.13030.0 05.05.2007 Trojan.Win32.Agent.kq Ikarus T3.1.1.7 05.05.2007 Trojan.Win32.Agent.KQ Kaspersky 4.0.2.24 05.05.2007 Trojan.Win32.Agent.kq McAfee 5024 05.04.2007 Generic.dx Microsoft 1.2503 05.05.2007 no virus found NOD32v2 2243 05.05.2007 Win32/Agent.NHP Norman 5.80.02 05.04.2007 W32/Backdoor.AW Panda 9.0.0.4 05.05.2007 Adware/Antivirus-gold Prevx1 V2 05.05.2007 Covert.Sys.Exec Sophos 4.17.0 05.05.2007 Troj/Agent-EON Sunbelt 2.2.907.0 05.05.2007 Trojan.Win32.Agent.kq Symantec 10 05.05.2007 Trojan Horse TheHacker 6.1.6.104 04.15.2007 no virus found VBA32 3.11.4 05.04.2007 BackDoor.Insyst VirusBuster 4.3.7:9 05.05.2007 no virus found Webwasher-Gateway 6.0.1 05.05.2007 Trojan.Agent.KQ.7 SmitFraudFix v2.175 Scan done at 23:23:57,56, 05.05.2007 Run from H:\Eigene Dateien\!Ralph\Tool's\Security\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in normal mode »»»»»»»»»»»»»»»»»»»»»»»» Process C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\internet explorer\iexplore.exe C:\WINDOWS\system32\cmd.exe »»»»»»»»»»»»»»»»»»»»»»»» hosts »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Greilberger »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Greilberger\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\GREILB~1\FAVORI~1 »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32 »»»»»»»»»»»»»»»»»»»»»»»» DNS Description: WAN (PPP/SLIP) Interface DNS Server Search Order: 195.34.133.21 DNS Server Search Order: 195.34.133.22 Description: VIA VT6105 Rhine III Fast Ethernet Adapter - Paketplaner-Miniport DNS Server Search Order: 195.58.160.194 DNS Server Search Order: 195.58.161.122 HKLM\SYSTEM\CCS\Services\Tcpip\..\{7607B44C-2C6A-4CB1-86B6-3E75E63AA24D}: NameServer=195.34.133.21 195.34.133.22 HKLM\SYSTEM\CCS\Services\Tcpip\..\{BF152F95-6BC4-4C01-BA7F-E9A9E2BFDCB5}: DhcpNameServer=195.58.160.194 195.58.161.122 HKLM\SYSTEM\CS1\Services\Tcpip\..\{7607B44C-2C6A-4CB1-86B6-3E75E63AA24D}: NameServer=195.34.133.21 195.34.133.22 HKLM\SYSTEM\CS1\Services\Tcpip\..\{BF152F95-6BC4-4C01-BA7F-E9A9E2BFDCB5}: DhcpNameServer=195.58.160.194 195.58.161.122 HKLM\SYSTEM\CS2\Services\Tcpip\..\{BF152F95-6BC4-4C01-BA7F-E9A9E2BFDCB5}: DhcpNameServer=195.58.160.194 195.58.161.122 HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=195.58.160.194 195.58.161.122 »»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End SmitFraudFix v2.175 Scan done at 23:25:35,67, 05.05.2007 Run from H:\Eigene Dateien\!Ralph\Tool's\Security\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in normal mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files »»»»»»»»»»»»»»»»»»»»»»»» DNS Description: WAN (PPP/SLIP) Interface DNS Server Search Order: 195.34.133.21 DNS Server Search Order: 195.34.133.22 Description: VIA VT6105 Rhine III Fast Ethernet Adapter - Paketplaner-Miniport DNS Server Search Order: 195.58.160.194 DNS Server Search Order: 195.58.161.122 HKLM\SYSTEM\CCS\Services\Tcpip\..\{7607B44C-2C6A-4CB1-86B6-3E75E63AA24D}: NameServer=195.34.133.21 195.34.133.22 HKLM\SYSTEM\CCS\Services\Tcpip\..\{BF152F95-6BC4-4C01-BA7F-E9A9E2BFDCB5}: DhcpNameServer=195.58.160.194 195.58.161.122 HKLM\SYSTEM\CS1\Services\Tcpip\..\{7607B44C-2C6A-4CB1-86B6-3E75E63AA24D}: NameServer=195.34.133.21 195.34.133.22 HKLM\SYSTEM\CS1\Services\Tcpip\..\{BF152F95-6BC4-4C01-BA7F-E9A9E2BFDCB5}: DhcpNameServer=195.58.160.194 195.58.161.122 HKLM\SYSTEM\CS2\Services\Tcpip\..\{BF152F95-6BC4-4C01-BA7F-E9A9E2BFDCB5}: DhcpNameServer=195.58.160.194 195.58.161.122 HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=195.58.160.194 195.58.161.122 »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End ewido anti-spyware online scanner http://www.ewido.net __________________________________________________ Name: TrackingCookie.Yieldmanager Path: C:\Dokumente und Einstellungen\Greilberger\Cookies\greilberger@ad.yieldmanager[1].txt Risk: Medium Name: TrackingCookie.Serving-sys Path: C:\Dokumente und Einstellungen\Greilberger\Cookies\greilberger@bs.serving-sys[2].txt Risk: Medium Name: TrackingCookie.Cpvfeed Path: C:\Dokumente und Einstellungen\Greilberger\Cookies\greilberger@cpvfeed[2].txt Risk: Medium Name: TrackingCookie.Doubleclick Path: C:\Dokumente und Einstellungen\Greilberger\Cookies\greilberger@doubleclick[1].txt Risk: Medium Name: TrackingCookie.Fastclick Path: C:\Dokumente und Einstellungen\Greilberger\Cookies\greilberger@fastclick[1].txt Risk: Medium Name: TrackingCookie.Ivwbox Path: C:\Dokumente und Einstellungen\Greilberger\Cookies\greilberger@ivwbox[2].txt Risk: Medium Name: TrackingCookie.Mediaplex Path: C:\Dokumente und Einstellungen\Greilberger\Cookies\greilberger@mediaplex[1].txt Risk: Medium Name: TrackingCookie.2o7 Path: C:\Dokumente und Einstellungen\Greilberger\Cookies\greilberger@msnportal.112.2o7[1].txt Risk: Medium Name: TrackingCookie.Serving-sys Path: C:\Dokumente und Einstellungen\Greilberger\Cookies\greilberger@serving-sys[1].txt Risk: Medium Name: TrackingCookie.Reliablestats Path: C:\Dokumente und Einstellungen\Greilberger\Cookies\greilberger@stats1.reliablestats[1].txt Risk: Medium Name: Adware.BHO Path: [2000] C:\WINDOWS\system32\frknvuvp.dll Risk: Medium Name: Downloader.Agent.es Path: C:\avenger\backup.zip/avenger/clcl6.exe Risk: High Name: Trojan.Agent.qt Path: C:\avenger\backup.zip/avenger/drvkav.dll Risk: High Name: Hijacker.Agent.jc Path: C:\QooBox\Quarantine\C\WINDOWS\system32\v7.exe.vir Risk: High Name: Trojan.Agent.qt Path: C:\QooBox\Quarantine\C\WINDOWS\system32\winjgf32.dll.vir Risk: High Name: Trojan.Dialer.rt Path: C:\System Volume Information\_restore{2176714C-61E3-480A-B687-F429CD1FE220}\RP41\A0010040.exe Risk: High Name: Trojan.Dialer.rt Path: C:\System Volume Information\_restore{2176714C-61E3-480A-B687-F429CD1FE220}\RP41\A0010083.exe Risk: High Name: Adware.BHO Path: C:\System Volume Information\_restore{2176714C-61E3-480A-B687-F429CD1FE220}\RP41\A0010111.dll Risk: Medium Name: Downloader.Agent.es Path: C:\System Volume Information\_restore{2176714C-61E3-480A-B687-F429CD1FE220}\RP41\A0010925.exe Risk: High Name: Trojan.Dialer.rt Path: C:\System Volume Information\_restore{2176714C-61E3-480A-B687-F429CD1FE220}\RP41\A0010975.exe Risk: High Name: Hijacker.Agent.jc Path: C:\System Volume Information\_restore{2176714C-61E3-480A-B687-F429CD1FE220}\RP41\A0011107.exe Risk: High Name: Trojan.Agent.qt Path: C:\System Volume Information\_restore{2176714C-61E3-480A-B687-F429CD1FE220}\RP41\A0011108.dll Risk: High Name: Downloader.Agent.es Path: C:\System Volume Information\_restore{2176714C-61E3-480A-B687-F429CD1FE220}\RP42\A0011380.exe Risk: High Name: Trojan.Agent.qt Path: C:\System Volume Information\_restore{2176714C-61E3-480A-B687-F429CD1FE220}\RP42\A0011381.dll Risk: High Name: Adware.BHO Path: C:\WINDOWS\system32\frknvuvp.dll Risk: Medium Name: Trojan.Agent.kq Path: C:\WINDOWS\system32\svehost.exe Risk: High Name: Trojan.Dialer.rt Path: C:\WINDOWS\system32\udial.exe Risk: High Logfile of HijackThis v1.99.1 Scan saved at 00:07:33, on 06.05.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\NOTEPAD.EXE H:\Eigene Dateien\!Ralph\Tool's\Security\HijackThis.exe O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {3E71DC86-4A5C-4C71-A185-EBE9AC2EB607} - C:\WINDOWS\system32\khfdefg.dll (file missing) O2 - BHO: (no name) - {9C5E5CB8-33FE-4BEF-81E0-CAF564321272} - C:\WINDOWS\system32\ddccc.dll (file missing) O2 - BHO: (no name) - {A449BB8A-D9DB-4455-BB9A-CCDA3C2D6BCc} - C:\WINDOWS\system32\frknvuvp.dll (file missing) O2 - BHO: (no name) - {AADE8B2B-A65B-4E55-8CCE-EAAC24ED52C4} - (no file) O2 - BHO: (no name) - {CB8C294A-0BF4-4196-BC2E-8F3B4EF77705} - C:\WINDOWS\system32\vtuts.dll (file missing) O2 - BHO: (no name) - {D651AFF4-9590-424d-BD1E-8E33E090DFB3} - C:\WINDOWS\system32\dqfrwnea.dll (file missing) O2 - BHO: (no name) - {E44527F6-1296-4A84-B67D-A6CEA6ED4B69} - (no file) O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=041507 serial=dr12wex-1504397-kty lang=DE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BitTorrent] "C:\Programme\BitTorrent\bittorrent.exe" --force_start_minimized O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{7607B44C-2C6A-4CB1-86B6-3E75E63AA24D}: NameServer = 195.34.133.21 195.34.133.22 O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing) O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing) O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
|
|
||
07.05.2007, 06:18
Member
Beiträge: 694 |
#6
Hi,
bin leider ab heute drei Tage unterwegs, daher hier nur kurz: - Quarantäne (Qbox) löschen - Avenger backup löschen - Systemwiederherstellunge aus schalten, rebooten und wieder einschalten, Files die mit High erkannt wurden über avenger löschen. Hijackthis fixen: 2 - BHO: (no name) - {3E71DC86-4A5C-4C71-A185-EBE9AC2EB607} - C:\WINDOWS\system32\khfdefg.dll (file missing) O2 - BHO: (no name) - {9C5E5CB8-33FE-4BEF-81E0-CAF564321272} - C:\WINDOWS\system32\ddccc.dll (file missing) O2 - BHO: (no name) - {A449BB8A-D9DB-4455-BB9A-CCDA3C2D6BCc} - C:\WINDOWS\system32\frknvuvp.dll (file missing) O2 - BHO: (no name) - {AADE8B2B-A65B-4E55-8CCE-EAAC24ED52C4} - (no file) O2 - BHO: (no name) - {CB8C294A-0BF4-4196-BC2E-8F3B4EF77705} - C:\WINDOWS\system32\vtuts.dll (file missing) O2 - BHO: (no name) - {D651AFF4-9590-424d-BD1E-8E33E090DFB3} - C:\WINDOWS\system32\dqfrwnea.dll (file missing) O2 - BHO: (no name) - {E44527F6-1296-4A84-B67D-A6CEA6ED4B69} - (no file) Falls was nicht klapp bei einem Moderator nachfragen... Chris |
|
|
||
habe seit einer weile beim booten die meldung "spyware detection alert" und einen kleinen roten kreis mit einem rufzeichen in der mitte. seit dem spinnt auch mein ie-explorer und das surfen wird zur qual da ständig die eingegebene seite auf eine andere wechselt.
kann mir jemand helfen???