Home » Viren, Trojaner & Malware Forum » verbindung deaktivieren nuestart / vor kurzem virus befahl » Themenansicht

verbindung deaktivieren nuestart / vor kurzem virus befahl
#0
18.05.2007, 11:06
ponedo
Member

Beiträge: 22
#1 moi, mein problem ich kann normal einen verbindung herstellen aber mein mozfox sagt das er keinen server findet. erst gedacht firewall von gdata(neu aufgespielt)
die deaktiviret und dan zonelap druff. die ausgeschaltet denoch nichts.
virus verdacht ich erstma deaktiviren der verbindung (wegen roter, soll ja kein neues futter bekommen der kleine) und der rechner startet neu.
ist jetzt erstma dauehaft vom netz.
vor kurzem hatt mein emailwächter einige emails aussortiert die viren hatten (hab keine geöffnet)

hir nun erstma meinen log's:


Zitat

"PO" - 2007-05-18 15:25:01 Service Pack 2
ComboFix 07-05.17.6.V - Running from: "C:\"


((((((((((((((((((((((((((((((( Files Created from 2007-04-05 to 2007-05-18 ))))))))))))))))))))))))))))))))))


2007-05-18 15:22 1,084,008 --a------ C:\ComboFix.exe
2007-05-14 20:11 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2007-05-14 19:56 <DIR> d-------- C:\DOKUME~1\PO\St
2007-05-14 19:55 <DIR> d-------- C:\WINDOWS\system\KEEPER
2007-05-14 19:54 284,160 --a------ C:\WINDOWS\unin0407.exe
2007-05-14 19:50 <DIR> d-------- C:\DOKUME~1\PO\WINDOWS
2007-05-13 21:01 75,512 --a------ C:\WINDOWS\zllsputility.exe
2007-05-13 21:01 54,936 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll
2007-05-13 21:01 42,648 --a------ C:\WINDOWS\zllsputility_loc0407.dll
2007-05-13 21:01 22,168 --a------ C:\WINDOWS\system32\imsinstall_loc0407.dll
2007-05-13 21:01 18,072 --a------ C:\WINDOWS\system32\imslsp_install_loc0407.dll
2007-05-13 21:01 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll
2007-05-13 21:00 1,087,216 --a------ C:\WINDOWS\system32\zpeng24.dll
2007-05-13 21:00 <DIR> d-------- C:\WINDOWS\system32\ZoneLabs
2007-05-13 19:39 18 --a------ C:\WINDOWS\xkal55.dat
2007-05-13 19:38 <DIR> d-------- C:\Programme\OW
2007-05-13 19:38 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Borland Shared
2007-05-13 19:32 <DIR> d-------- C:\Programme\Rainlendar2
2007-05-10 06:48 62,744 --a------ C:\WINDOWS\system32\xinput1_2.dll
2007-05-10 06:48 236,824 --a------ C:\WINDOWS\system32\xactengine2_3.dll
2007-05-10 06:47 <DIR> d-------- C:\Programme\America's Army Server Manager
2007-05-09 09:59 73,728 --a------ C:\WINDOWS\system32\GkSui18.EXE
2007-05-09 09:33 <DIR> d-------- C:\WINDOWS\uninstall
2007-04-22 21:32 524,288 --ah----- C:\DOKUME~1\ADMINI~1\NTUSER.DAT
2007-04-22 21:32 <DIR> dr-h----- C:\DOKUME~1\ADMINI~1\Anwendungsdaten
2007-04-22 21:32 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Startmen
2007-04-22 21:32 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Vorlagen
2007-04-22 21:32 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Netzwerkumgebung
2007-04-22 21:32 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Lokale Einstellungen
2007-04-22 21:32 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Druckumgebung
2007-04-22 21:32 <DIR> d-------- C:\DOKUME~1\ADMINI~1\Favoriten
2007-04-18 19:44 <DIR> d-------- C:\WINDOWS\system32\LogFiles


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-05-13 18:31:07 -------- d-----w C:\DOKUME~1\PO\ANWEND~1\Help
2007-05-13 14:35:21 -------- d-----w C:\Programme\Mozilla Thunderbird
2007-05-13 07:04:50 -------- d-----w C:\DOKUME~1\PO\ANWEND~1\uTorrent
2007-04-22 19:20:46 -------- d-----w C:\Programme\mIRC
2007-04-22 18:56:48 -------- d-----w C:\Programme\ICQToolbar
2007-03-27 08:42:00 48,156 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-03-27 08:42:00 316,594 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-03-11 06:40:02 -------- d-----w C:\Programme\Skype
2007-03-11 06:39:39 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-03-11 06:39:37 -------- d-----w C:\Programme\PowerQuest
2007-03-11 06:29:42 -------- d-----w C:\Programme\Teamspeak2_RC2
2007-03-11 06:29:10 -------- d-----w C:\DOKUME~1\PO\ANWEND~1\teamspeak2
2007-03-10 16:29:56 -------- d-----w C:\Programme\DAEMON Tools
2007-03-10 11:11:35 29,730 ----a-w C:\WINDOWS\system32\drivers\HookCentre.sys
2007-03-10 11:11:34 -------- d-----w C:\Programme\G DATA InternetSecurity
2007-03-10 11:09:12 28,307 ----a-w C:\WINDOWS\system32\drivers\GDTdiIcpt.sys
2007-03-10 11:09:12 20,096 ----a-w C:\WINDOWS\system32\drivers\GDNdisIc.sys
2007-03-10 11:09:07 -------- d-----w C:\Programme\Gemeinsame Dateien\G DATA
2007-03-10 10:47:21 -------- d-----w C:\DOKUME~1\PO\ANWEND~1\Skype
2007-03-10 10:27:48 34,143 ----a-w C:\WINDOWS\system32\drivers\MiniIcpt.sys
2007-03-07 20:23:44 -------- d-----w C:\Programme\ICQLite
2007-03-05 13:40:07 -------- d-----w C:\DOKUME~1\PO\ANWEND~1\AdobeAUM
2007-03-05 13:40:05 -------- d-----w C:\DOKUME~1\PO\ANWEND~1\AdobeUM


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{0124123D-61B4-456f-AF86-78C53A0790C5}=C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll [2006-09-05 18:28]
{055FD26D-3A88-4e15-963D-DC8493744B1D}=C:\Programme\ICQToolbar\toolbaru.dll [2006-10-10 11:18]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.5.0_10\bin\ssv.dll [2006-11-09 16:21]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVKTray"="C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe" [2006-09-07 11:00]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 00:02]


[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages msv1_0
Security Packages kerberos msv1_0 schannel wdigest
Notification Packages scecli

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk
backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk
backup=C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Versato.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Versato.lnk
backup=C:\WINDOWS\pss\Versato.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
"C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
"C:\Programme\DAEMON Tools\daemon.exe" -lang 1033

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"C:\Programme\ICQLite\ICQLite.exe" -minimize

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"C:\Programme\iTunes\iTunesHelper.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
%systemroot%\system32\dumprep 0 -k

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Programme\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Rainlendar2]
C:\Programme\Rainlendar2\Rainlendar2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
"C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"iPod Service"=dword:00000003
"IDriverT"=dword:00000003
"GDFwSvc"=dword:00000003

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalService Alerter WebClient LmHosts RemoteRegistry upnphost SSDPSRV
NetworkService DnsCache
rpcss RpcSs
imgsvc StiSvc
termsvcs TermService
HTTPFilter HTTPFilter
DcomLaunch DcomLaunch TermService

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost *netsvcs*
UxTuneUp

*newlycreated* -PROCEXP90

Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Klick-Wartung.job

********************************************************************

catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-05-18 15:27:01
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

C:\Dokumente und Einstellungen\ponedo user\Eigene Dateien\Downloads\Scrubs.Season.-3-.Complete.German.DvD_rip.-.Xvid.-.CDD.-.Seedet.f0r.www.tvfreaks.dl.am\Scrubs.S03E22.Die.Hochzeit.meiner.besten.Freunde.German.DVDRiP.XviD-CDD.seedet.f0r.www.tvfreaks.dl.am\cdd-scrubs_s3e22.avi 244314112 bytes

scan completed successfully
hidden files: 1


********************************************************************

Completion time: 2007-05-18 15:28:48
C:\ComboFix-quarantined-files.txt ... 2007-05-18 15:28


--- E O F ---

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 10:45:04, on 18.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
F:\sicherheit\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0429-7768

Verzeichnis von C:\WINDOWS\Downloaded Program Files

26.12.2006 20:36 65 desktop.ini
09.11.2006 15:36 5.019 swflash.inf
2 Datei(en) 5.084 Bytes
0 Verzeichnis(se), 4.970.389.504 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0429-7768

Verzeichnis von C:\

18.05.2007 15:38 0 sys.txt
18.05.2007 15:38 345 down.txt
18.05.2007 15:38 327 tmp.txt
18.05.2007 15:38 4.807 system.txt
18.05.2007 15:38 130 systemtemp.txt
18.05.2007 15:38 93.240 system32.txt
18.05.2007 15:16 402.247.680 hiberfil.sys
18.05.2007 15:16 603.979.776 pagefile.sys
17.05.2007 23:11 211 boot.ini
13.05.2007 22:00 13.030 PDOXUSRS.NET
26.12.2006 21:08 47.564 NTDETECT.COM
26.12.2006 21:08 251.184 ntldr
26.12.2006 20:38 0 IO.SYS
26.12.2006 20:38 0 CONFIG.SYS
26.12.2006 20:38 0 AUTOEXEC.BAT
26.12.2006 20:38 0 MSDOS.SYS
18.08.2001 14:00 4.952 bootfont.bin
17 Datei(en) 1.006.643.246 Bytes
0 Verzeichnis(se), 4.970.385.408 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0429-7768

Verzeichnis von C:\WINDOWS

18.05.2007 15:23 349.828 WindowsUpdate.log
18.05.2007 15:17 0 0.log
18.05.2007 15:16 2.048 bootstat.dat
18.05.2007 12:14 32.582 SchedLgU.Txt
18.05.2007 12:14 216 wiadebug.log
18.05.2007 11:32 50 wiaservc.log
17.05.2007 23:14 371.282 setupapi.log
17.05.2007 23:11 549 win.ini
17.05.2007 23:11 227 system.ini
13.05.2007 19:39 18 xkal55.dat
10.05.2007 06:48 77.469 DirectX.log
22.04.2007 21:32 134.352 ntbtlog.txt
21.04.2007 03:52 86.528 catchme.exe
19.04.2007 16:34 158 wininit.ini
10.03.2007 13:09 1.333 KB829558.log
10.03.2007 13:09 13.759 KB893803v2.log
10.03.2007 12:26 101.955 iis6.log
10.03.2007 12:26 23.925 comsetup.log
10.03.2007 12:26 13.734 ntdtcsetup.log
10.03.2007 12:26 23.992 tsoc.log
10.03.2007 12:26 1.372 tabletoc.log
10.03.2007 12:26 1.374 imsins.log
10.03.2007 12:26 2.634 ocmsn.log
10.03.2007 12:26 4.640 netfxocm.log
10.03.2007 12:26 4.160 medctroc.Log
10.03.2007 12:26 33.079 ocgen.log
10.03.2007 12:26 2.316 msgsocm.log
10.03.2007 12:26 34.937 FaxSetup.log
10.03.2007 12:26 23.598 msmqinst.log
09.03.2007 00:02 42.648 zllsputility_loc0407.dll
09.03.2007 00:02 75.512 zllsputility.exe

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0429-7768

Verzeichnis von C:\WINDOWS\system32

18.05.2007 15:17 55.080 vsconfig.xml
14.05.2007 20:14 4.212 zllictbl.dat
05.05.2007 20:08 2.206 wpa.dbl
02.04.2007 14:21 428.032 swreg.exe
27.03.2007 10:42 311.604 perfh009.dat
27.03.2007 10:42 39.992 perfc009.dat
27.03.2007 10:42 316.594 perfh007.dat
27.03.2007 10:42 48.156 perfc007.dat
27.03.2007 10:41 723.744 PerfStringBackup.INI
09.03.2007 00:02 54.936 vsutil_loc0407.dll
09.03.2007 00:02 22.168 imsinstall_loc0407.dll
09.03.2007 00:02 18.072 imslsp_install_loc0407.dll
09.03.2007 00:02 394.192 vsdatant.sys
09.03.2007 00:01 1.087.216 zpeng24.dll
09.03.2007 00:01 71.408 zlcommdb.dll
09.03.2007 00:01 83.696 zlcomm.dll
09.03.2007 00:01 100.080 vsxml.dll
09.03.2007 00:01 46.832 vswmi.dll
09.03.2007 00:01 472.816 vsutil.dll
09.03.2007 00:01 71.408 vsregexp.dll
09.03.2007 00:01 104.176 vsmonapi.dll
09.03.2007 00:01 276.208 vspubapi.dll
09.03.2007 00:01 83.696 vsdata.dll
09.03.2007 00:01 157.424 vsinit.dll
09.03.2007 00:01 796.312 libeay32_0.9.6l.dll
08.02.2007 21:08 34.064 lhacm.acm
08.02.2007 12:46 6.398 PQ_DEBUG.TXT
06.01.2007 07:01 95.864 FNTCACHE.DAT

1909 Datei(en) 339.120.672 Bytes
0 Verzeichnis(se), 4.970.360.832 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0429-7768

Verzeichnis von C:\DOKUME~1\PO\LOKALE~1\Temp


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0429-7768

Verzeichnis von C:\WINDOWS\Temp

18.05.2007 15:16 256 ZLT0438b.TMP
18.05.2007 15:16 256 ZLT04388.TMP
2 Datei(en) 512 Bytes
0 Verzeichnis(se), 4.970.389.504 Bytes frei


Anhang: sys.txt
Dieser Beitrag wurde am 18.05.2007 um 15:56 Uhr von ponedo editiert.
Seitenanfang Seitenende
18.05.2007, 12:24
raman
Moderator

Beiträge: 7805
#2 Dein Combofix ist veraltet, lade dir bitte eine aktuelle Version herunter und poste das damit erstellte Log. Datfindbat bitte von Laufwerk c:\ aus starten, sonst erstellt es nicht die richtigen txt Dateien.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
18.05.2007, 15:57
ponedo
Member

Themenstarter

Beiträge: 22
#3 danke für deine schnelle antwort habe die logs aktualliesiert!
Seitenanfang Seitenende
18.05.2007, 16:14
raman
Moderator

Beiträge: 7805
#4 Das sieht eigentlich normal aus, bis auf das wohl einige Windows Updates fehlen.

Mache bitte in Kontrollscan mit Drweb cureit: http://board.protecus.de/t29350.htm
und Ewido Micro: http://downloads.ewido.net/ewido_micro.exe
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
18.05.2007, 17:20
ponedo
Member

Themenstarter

Beiträge: 22
#5 cureit hatt erstma nichts gefunden, in den abgesicherten komm ich irgendwie net rein. zonealarm hatt ewido micro geblokt zugiff auf die sichere zonen und versucht sich mit dem inet zu verbinden(normal?).
Seitenanfang Seitenende
18.05.2007, 17:30
raman
Moderator

Beiträge: 7805
#6 Ja, Ewido laedt noch die Signaturen aus dem Internet nach, damit sie auch wirklich aktuell sind.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
18.05.2007, 17:32
raman
Moderator

Beiträge: 7805
#7 Wenn die Einstellungen fuer den abgesicherten Modus geloescht waeren, wuerde Combofix das melden... Darum nutze bitte einmal Blacklight(FSBL) und Gmer:

http://virus-protect.org/artikel/tools/rootkithook.html
http://virus-protect.org/artikel/tools/gmer.html
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
19.05.2007, 09:32
ponedo
Member

Themenstarter

Beiträge: 22
#8 irre durch zufahl(win ist bei laden abgeschmiert) kahm ich in den abgesicherten sofort scann durchlaufen lassen.

Zitat

ShandalarTrainer.exe.exe;F:\Save data\magic\magic\Program;Trojan.MulDrop.420;Gelöscht.;
A0024018.exe;F:\System Volume Information\_restore{DA502D7F-84F3-4A2F-A227-0CB2A1883A14}\RP107;Trojan.MulDrop.420;Gelöscht.;
das lustige hab ich seit jahren nicht mehr gespiel und seit damals hatte ich antivir kasperski und jetzt halt gdata nie hatt einer was gefunden nur jetzt diese prog sehr cool. das zwei will net wollt es gleich hiterher schieben und der sagt nur error.
war kalr da ich es ja geblockt hatte aber im abgesicherten hatte ich garkeine wall aktiv komisch???
egal ich mach gleich die beiden neuien noch einmal duch und poste es dan.
und mal der neue hjt log, vieleicht hatt sich ja was getahn.

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 09:23:36, on 19.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\sicherheit\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\npjpi150_10.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\npjpi150_10.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

edit:beide progs laufen schnell durch und beenden sich dan automatisch.
kp was die machen. für weniger als einen sec kommt ein fenster und schon ist es weg.normal?
mit jenen welchen rechner kommt ich auch nachwievor zwar ins inet aber mozfox sagt weiterhin server net gefunden.
firewall ist soweit kurz ausgewesen um zu testen obs daran liegt.
thx 4 help

edit: ich sag mal danke für die hilfe und blubb.
wenn ich mein gdata und zonlap beende kann ich ins inet schein allso doch irgendwie geblockt zu haben. aber irgendiwe komisch werd mich mal bei deren foren durchsuchen was für ne einstellung bei mir falsch ist.
kann ja net sein das ich schutz progs hab mit den ich net ins inet komme.
ein trojaner gefunden reicht fürs erste;)
aber schon komisch normal ist das nicht das wenn ich an die netzwerkverbindungen gehe das mein rechner dann neustartet.
aber ich denke thema viren werd ich wohl clean sein.
vieleicht war es ja doch nur der trojaner.
dank dir nochmal für deinen mühe lg pi
Dieser Beitrag wurde am 19.05.2007 um 10:17 Uhr von ponedo editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1