Wie bekomme ich den Warezov-Wurm vom pc? |
||
---|---|---|
#0
| ||
04.06.2007, 01:38
...neu hier
Beiträge: 10 |
||
|
||
04.06.2007, 08:36
Moderator
Beiträge: 7805 |
#2
Da ist nicht mehr viel zu retten, dein PC ist total durchseucht. Ich denke du hast nicht alle Servicepacks installiert und daher die ganze Malware.
Hier hilft nur noch den PC neu aufzusetzen. http://board.protecus.de/t13020.htm Nachtrag, du hast kein AV Programm (mehr?) installiert! __________ MfG Ralf SEO-Spam Hunter |
|
|
||
04.06.2007, 09:56
...neu hier
Themenstarter Beiträge: 10 |
#3
Schei... ich habs aber fast vermutet. Hab gestern das letzte Antivierenprogramm gelöscht, die haben meistens nix gefunden. PC neu aufsetzen, is das im prinzip alles von der festplatte löschen und dann windows neu zu installieren?
|
|
|
||
04.06.2007, 10:17
Moderator
Beiträge: 7805 |
#4
Ja, kann man sagen. Daten sichern. Entweder auf eine eigene Partition oder externen Datentraeger, dann die Systempartition formatieren und Windows wieder installieren. Solltest du nicht hinter einem (DSL9Router sitzen, musst du noch entsprechende Vorbereitungen treffen, die in dem obigen Thread zu finden sind. Danach solltest du auch alle Passworte aendern.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
04.06.2007, 10:56
...neu hier
Themenstarter Beiträge: 10 |
#5
Ich hab allerdings diese windows cd nicht mehr, muss ich mir dann ne neue kaufen?
|
|
|
||
04.06.2007, 11:10
Moderator
Beiträge: 7805 |
#6
Kommt auf die eingesetzte Version an. Bei "Herstellerpc" wie Fujitsu siemens, dell oder HP sollte es reichen sich eine (windows)CD des selben Herstellers zu besorgen, sofern man noch die eigene Seriennummer hat. Sollte eigentlich auf dem PC befinden. Ansonsten neu kaufen
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
04.06.2007, 11:36
...neu hier
Themenstarter Beiträge: 10 |
#7
ich hab jetzt mal bei http://www.hijackthis.de/ einen check gemacht und alles schädlichen dateien mit fix checked weggemacht, wenn das immer noch nix nutzt dann versuch ichs halt auf die harte tour
|
|
|
||
04.06.2007, 11:40
Moderator
Beiträge: 7805 |
#8
Das reicht nicht. Wenn du wirklich reinigen willst, poste ein Combofix Report, ein neues Hijackthis Log und Datfindbat. In der Reiehnfolge.
http://board.protecus.de/t23188.htm __________ MfG Ralf SEO-Spam Hunter |
|
|
||
04.06.2007, 12:19
...neu hier
Themenstarter Beiträge: 10 |
#9
((((((((((((((((((((((((((((((( Files Created from 2007-05-04 to 2007-06-04 ))))))))))))))))))))))))))))))))))
2007-06-04 12:14 <DIR> d-------- C:\WINDOWS\LastGood 2007-06-04 12:00 49,152 --a------ C:\WINDOWS\nircmd.exe 2007-06-03 22:33 3,144,800 --a------ C:\WINDOWS\ftxlke.pif 2007-06-02 15:29 <DIR> d-------- C:\My Downloads 2007-05-30 20:39 <DIR> d-------- C:\Programme\Lavasoft 2007-05-30 20:39 <DIR> d-------- C:\DOKUME~1\pascal\ANWEND~1\Lavasoft 2007-05-30 19:13 0 --a------ C:\WINDOWS\ogx5r1bglo.dat 2007-05-29 16:55 53,248 --ah----- C:\WINDOWS\system32\mmsprf32.dll 2007-05-29 16:55 53,248 --ah----- C:\WINDOWS\system32\mmsconf.exe 2007-05-29 16:55 49,152 --ah----- C:\WINDOWS\system32\confmms.dll 2007-05-29 16:55 401,408 --ah----- C:\WINDOWS\system32\mmsmgr32.dll 2007-05-29 16:55 40,960 --ah----- C:\WINDOWS\system32\mmsperf.exe 2007-05-29 16:55 188,416 --ah----- C:\WINDOWS\system32\mmsstat.dll 2007-05-29 14:44 45,056 --ah----- C:\WINDOWS\system32\smsconf.exe 2007-05-28 19:38 31,940 --a------ C:\WINDOWS\system32\advhost.exe 2007-05-28 19:38 222 --a------ C:\WINDOWS\system32\hfs32.exe 2007-05-28 19:38 16 --a------ C:\WINDOWS\fdd.dat 2007-05-28 19:38 114,176 --a------ C:\WINDOWS\system32\pk32i.exe 2007-05-24 16:43 <DIR> d-------- C:\Programme\Counter-Strike 1.6 2007-05-23 18:37 49,152 --ah----- C:\WINDOWS\system32\xfsconf.exe 2007-05-20 12:18 0 --a------ C:\WINDOWS\x0h7bh.reg 2007-05-20 12:18 0 --a------ C:\WINDOWS\tcsrahrk2.reg 2007-05-19 12:58 53,248 --ah----- C:\WINDOWS\system32\confxxn.dll 2007-05-19 12:58 45,056 --ah----- C:\WINDOWS\system32\xxnprf32.dll 2007-05-19 12:58 40,960 --ah----- C:\WINDOWS\system32\xxnperf.exe 2007-05-17 14:42 49,152 --ah----- C:\WINDOWS\system32\swfconf.exe 2007-05-15 13:38 31,911 --a------ C:\WINDOWS\rs34sk.exe 2007-05-15 13:38 16 --a------ C:\WINDOWS\gdf.dat 2007-05-14 16:05 49,152 --ah----- C:\WINDOWS\system32\vadconf.exe 2007-05-14 15:55 88,668 --ah----- C:\WINDOWS\system32\upd1179150908.exe 2007-05-11 18:31 84,110 --a------ C:\WINDOWS\c.6.0.exe 2007-05-11 18:31 53,248 --ah----- C:\WINDOWS\system32\confnxs.dll 2007-05-11 18:31 45,056 --ah----- C:\WINDOWS\system32\nxsprf32.dll 2007-05-11 18:31 40,960 --ah----- C:\WINDOWS\system32\nxsperf.exe 2007-05-11 16:49 0 --a------ C:\WINDOWS\vg8iqb.dll 2007-05-11 16:31 83,346 --a------ C:\WINDOWS\c.5.0.exe 2007-05-11 16:31 53,248 --ah----- C:\WINDOWS\system32\confnss.dll 2007-05-11 16:31 45,056 --ah----- C:\WINDOWS\system32\nssprf32.dll 2007-05-11 16:31 40,960 --ah----- C:\WINDOWS\system32\nssperf.exe 2007-05-11 15:30 53,248 --ah----- C:\WINDOWS\system32\drvconf.exe 2007-05-11 15:29 113,152 --a------ C:\WINDOWS\pk32g.exe 2007-05-10 12:41 57,344 --a------ C:\WINDOWS\system32\con321.dll 2007-05-10 12:41 49,152 --a------ C:\WINDOWS\system32\dcon321.dll 2007-05-10 12:41 40,960 --a------ C:\WINDOWS\system32\con321.exe 2007-05-09 20:56 0 --a------ C:\WINDOWS\pgdegfv.exe 2007-05-09 20:56 0 --a------ C:\WINDOWS\cdi1okj.dll 2007-05-08 11:45 121,856 --a------ C:\WINDOWS\svchcc32.exe 2007-05-05 09:51 <DIR> d-------- C:\DOKUME~1\pascal\ANWEND~1\ICQ Toolbar (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-06-04 10:13:04 -------- d-----w C:\DOKUME~1\pascal\ANWEND~1\Skype 2007-06-04 09:55:36 -------- d-----w C:\Programme\ICQToolbar 2007-06-03 22:04:30 -------- d-----w C:\Programme\ICQLite 2007-05-30 18:45:30 4 ----a-w C:\WINDOWS\system32\shfoxpob.dat 2007-05-28 22:44:47 4 ----a-w C:\WINDOWS\system32\odtemdt2.dat 2007-05-28 17:44:14 -------- d-----w C:\Programme\Messenger 2007-05-27 20:19:20 16,224 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys 2007-05-27 20:17:15 -------- d-----w C:\Programme\Hamachi 2007-05-19 10:57:59 4 ----a-w C:\WINDOWS\system32\msrdwint.dat 2007-04-30 17:53:17 121,344 ----a-w C:\WINDOWS\sscserv.exe 2007-04-29 08:13:23 35,840 ----a-w C:\WINDOWS\skl32.exe 2007-04-28 15:42:13 -------- d-----w C:\DOKUME~1\pascal\ANWEND~1\Help 2007-04-27 19:29:43 57,344 ---ha-w C:\WINDOWS\system32\confjpg.dll 2007-04-27 19:29:43 49,152 ---ha-w C:\WINDOWS\system32\jpgprf32.dll 2007-04-27 19:29:43 45,056 ---ha-w C:\WINDOWS\system32\jpgconf.exe 2007-04-27 19:29:43 331,776 ---ha-w C:\WINDOWS\system32\jpgmgr32.dll 2007-04-27 19:29:43 122,880 ---ha-w C:\WINDOWS\system32\jpgstat.dll 2007-04-27 19:29:42 40,960 ---ha-w C:\WINDOWS\system32\jpgperf.exe 2007-04-19 17:23:03 -------- d--h--w C:\Programme\InstallShield Installation Information 2007-04-19 11:40:25 179,200 ----a-w C:\WINDOWS\wincrt.exe 2007-04-19 11:40:14 16 ----a-w C:\WINDOWS\hpsys.dat 2007-04-15 13:14:38 3,584 ----a-w C:\WINDOWS\system32\ic32.dll 2007-04-15 13:14:38 18,944 ----a-w C:\WINDOWS\system32\wk32.dll 2007-04-03 10:01:00 16 -c--a-w C:\WINDOWS\hh32.dat 2007-03-27 10:55:33 61,440 ----a-w C:\WINDOWS\system32\wmpcmsyu.exe 2007-03-25 12:01:10 49,174 ----a-w C:\WINDOWS\system32\perfc007.dat 2007-03-25 12:01:10 320,094 ----a-w C:\WINDOWS\system32\perfh007.dat 2007-03-22 15:04:51 0 -c--a-w C:\WINDOWS\r81j7l4g.pif 2007-03-22 14:02:18 0 -c--a-w C:\WINDOWS\9ergx.dat 2007-03-21 16:05:12 77,824 ----a-w C:\WINDOWS\system32\strmatkc.dll 2007-03-21 16:05:12 77,824 ----a-w C:\WINDOWS\system32\nmevmsas.dll 2007-03-21 16:05:12 241,664 ----a-w C:\WINDOWS\system32\odtemdt2.dll 2007-03-21 15:37:38 3,144,800 -c--a-w C:\WINDOWS\sg6fk0l5ci.dll 2007-03-16 12:03:08 102,400 ----a-w C:\WINDOWS\system32\S48TvC08c.dll 2007-03-14 15:15:05 0 -c--a-w C:\WINDOWS\adc.dat (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] {055FD26D-3A88-4e15-963D-DC8493744B1D}=C:\PROGRA~1\ICQTOO~1\toolbaru.dll [2006-12-25 10:40] {1536BA74-8625-4240-99B0-BE65883689C8}=C:\Programme\Mediapiraten\Mediapiraten\IEButtonMPInterface.dll [2006-04-12 19:04] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Cmaudio"="cmicnfg.cpl" [] "nwiz"="nwiz.exe" [2004-07-15 12:42 C:\WINDOWS\system32\nwiz.exe] "ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:15] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2007-05-28 19:57] "SSS6_Suite"="C:\Programme\Steganos Security Suite 6\sss.exe" [] "SSS6_SAFE"="C:\Programme\Steganos Security Suite 6\safe.exe" [] "SSS6_SPM"="C:\Programme\Steganos Security Suite 6\spm.exe" [] "Skype"="C:\Programme\Skype\Phone\Skype.exe" [2006-10-13 18:20] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce] "ICQ Lite"=C:\Programme\ICQLite\ICQLite.exe -trayboot [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "SSS6_Suite"="C:\Programme\Steganos Security Suite 6\sss.exe" /booting "SSS6_SAFE"="C:\Programme\Steganos Security Suite 6\safe.exe" /booting "SSS6_SPM"="C:\Programme\Steganos Security Suite 6\spm.exe" /booting [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\msrdwint] C:\WINDOWS\system32\msrdwint.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\odtemdt2] C:\WINDOWS\system32\odtemdt2.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "appinit_dlls"=e1.dll con321.dll confmms.dll mmsstat.dll strmatkc.dll HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost *netsvcs* ******************************************************************** catchme 0.3.692 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-06-04 12:15:50 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... C:\WINDOWS\KB911280.log ******************************************************************** Completion time: 2007-06-04 12:16:44 C:\ComboFix2.txt ... 2007-06-04 12:06 --- E O F --- so dann hijack Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\explorer.exe C:\Dokumente und Einstellungen\pascal\Desktop\HijackThis.exe C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\f4369887c15095f4745011ac22532689\update\update.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.1und1.de/Herzlich_Willkommen/b1/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: metaspinner GmbH - {1536BA74-8625-4240-99B0-BE65883689C8} - C:\Programme\Mediapiraten\Mediapiraten\IEButtonMPInterface.dll O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SSS6_Suite] "C:\Programme\Steganos Security Suite 6\sss.exe" /booting O4 - HKCU\..\Run: [SSS6_SAFE] "C:\Programme\Steganos Security Suite 6\safe.exe" /booting O4 - HKCU\..\Run: [SSS6_SPM] "C:\Programme\Steganos Security Suite 6\spm.exe" /booting O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe O4 - Global Startup: hpoddt01.exe.lnk = ? O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/ O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O20 - AppInit_DLLs: e1.dll con321.dll confmms.dll mmsstat.dll strmatkc.dll O20 - Winlogon Notify: msrdwint - C:\WINDOWS\system32\msrdwint.dll O20 - Winlogon Notify: odtemdt2 - C:\WINDOWS\system32\odtemdt2.dll O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe und zu guter letzt gehts dann doch: 04.06.2007 12:12 4.452 nvapps.xml 01.06.2007 23:14 13.694 wpa.dbl 30.05.2007 20:45 4 shfoxpob.dat 29.05.2007 16:55 188.416 mmsstat.dll 29.05.2007 16:55 53.248 mmsconf.exe 29.05.2007 16:55 53.248 mmsprf32.dll 29.05.2007 16:55 401.408 mmsmgr32.dll 29.05.2007 16:55 49.152 confmms.dll 29.05.2007 16:55 40.960 mmsperf.exe 29.05.2007 14:44 45.056 smsconf.exe 29.05.2007 00:44 4 odtemdt2.dat 28.05.2007 19:38 222 hfs32.exe 28.05.2007 19:38 31.940 advhost.exe 28.05.2007 19:38 114.176 pk32i.exe 28.05.2007 19:38 428.424 dfg32.tmp 23.05.2007 18:37 49.152 xfsconf.exe 19.05.2007 12:58 53.248 confxxn.dll 19.05.2007 12:58 40.960 xxnperf.exe 19.05.2007 12:58 45.056 xxnprf32.dll 19.05.2007 12:57 4 msrdwint.dat 17.05.2007 14:42 49.152 swfconf.exe 14.05.2007 16:05 49.152 vadconf.exe 14.05.2007 15:55 88.668 upd1179150908.exe 11.05.2007 18:31 40.960 nxsperf.exe 11.05.2007 18:31 45.056 nxsprf32.dll 11.05.2007 18:31 53.248 confnxs.dll 11.05.2007 16:31 40.960 nssperf.exe 11.05.2007 16:31 53.248 confnss.dll 11.05.2007 16:31 45.056 nssprf32.dll 11.05.2007 15:30 53.248 drvconf.exe 27.04.2007 21:29 122.880 jpgstat.dll 27.04.2007 21:29 49.152 jpgprf32.dll 27.04.2007 21:29 45.056 jpgconf.exe 27.04.2007 21:29 57.344 confjpg.dll 27.04.2007 21:29 331.776 jpgmgr32.dll 27.04.2007 21:29 40.960 jpgperf.exe 25.04.2007 12:11 49.152 dcon321.dll 25.04.2007 12:11 40.960 con321.exe 25.04.2007 12:11 57.344 con321.dll 15.04.2007 15:14 124.688 MSWINSCK.OCX 15.04.2007 15:14 18.944 wk32.dll 15.04.2007 15:14 3.584 ic32.dll 02.04.2007 14:21 428.032 swreg.exe 27.03.2007 12:55 61.440 wmpcmsyu.exe 25.03.2007 14:01 49.174 perfc007.dat 25.03.2007 14:01 320.094 perfh007.dat 25.03.2007 14:01 314.508 perfh009.dat 25.03.2007 14:01 40.836 perfc009.dat 25.03.2007 14:01 732.342 PerfStringBackup.INI 21.03.2007 18:05 77.824 nmevmsas.dll 21.03.2007 18:05 77.824 strmatkc.dll 21.03.2007 18:05 241.664 odtemdt2.dll 16.03.2007 14:03 102.400 S48TvC08c.dll 14.02.2007 17:12 8.704 e1.dll 12.02.2007 23:21 114.688 msrdwint.dll 30.01.2007 17:01 259.840 FNTCACHE.DAT Dieser Beitrag wurde am 04.06.2007 um 12:24 Uhr von problempc editiert.
|
|
|
||
04.06.2007, 12:26
Moderator
Beiträge: 7805 |
#10
Das ganze ist Malware zumindest ein teil der Malware:
2007-06-03 22:33 3,144,800 --a------ C:\WINDOWS\ftxlke.pif 2007-05-30 19:13 0 --a------ C:\WINDOWS\ogx5r1bglo.dat 2007-05-29 16:55 53,248 --ah----- C:\WINDOWS\system32\mmsprf32.dll 2007-05-29 16:55 53,248 --ah----- C:\WINDOWS\system32\mmsconf.exe 2007-05-29 16:55 49,152 --ah----- C:\WINDOWS\system32\confmms.dll 2007-05-29 16:55 401,408 --ah----- C:\WINDOWS\system32\mmsmgr32.dll 2007-05-29 16:55 40,960 --ah----- C:\WINDOWS\system32\mmsperf.exe 2007-05-29 16:55 188,416 --ah----- C:\WINDOWS\system32\mmsstat.dll 2007-05-29 14:44 45,056 --ah----- C:\WINDOWS\system32\smsconf.exe 2007-05-28 19:38 31,940 --a------ C:\WINDOWS\system32\advhost.exe 2007-05-28 19:38 222 --a------ C:\WINDOWS\system32\hfs32.exe 2007-05-28 19:38 16 --a------ C:\WINDOWS\fdd.dat 2007-05-28 19:38 114,176 --a------ C:\WINDOWS\system32\pk32i.exe 2007-05-23 18:37 49,152 --ah----- C:\WINDOWS\system32\xfsconf.exe 2007-05-20 12:18 0 --a------ C:\WINDOWS\x0h7bh.reg 2007-05-20 12:18 0 --a------ C:\WINDOWS\tcsrahrk2.reg 2007-05-19 12:58 53,248 --ah----- C:\WINDOWS\system32\confxxn.dll 2007-05-19 12:58 45,056 --ah----- C:\WINDOWS\system32\xxnprf32.dll 2007-05-19 12:58 40,960 --ah----- C:\WINDOWS\system32\xxnperf.exe 2007-05-17 14:42 49,152 --ah----- C:\WINDOWS\system32\swfconf.exe 2007-05-15 13:38 31,911 --a------ C:\WINDOWS\rs34sk.exe 2007-05-15 13:38 16 --a------ C:\WINDOWS\gdf.dat 2007-05-14 16:05 49,152 --ah----- C:\WINDOWS\system32\vadconf.exe 2007-05-14 15:55 88,668 --ah----- C:\WINDOWS\system32\upd1179150908.exe 2007-05-11 18:31 84,110 --a------ C:\WINDOWS\c.6.0.exe 2007-05-11 18:31 53,248 --ah----- C:\WINDOWS\system32\confnxs.dll 2007-05-11 18:31 45,056 --ah----- C:\WINDOWS\system32\nxsprf32.dll 2007-05-11 18:31 40,960 --ah----- C:\WINDOWS\system32\nxsperf.exe 2007-05-11 16:49 0 --a------ C:\WINDOWS\vg8iqb.dll 2007-05-11 16:31 83,346 --a------ C:\WINDOWS\c.5.0.exe 2007-05-11 16:31 53,248 --ah----- C:\WINDOWS\system32\confnss.dll 2007-05-11 16:31 45,056 --ah----- C:\WINDOWS\system32\nssprf32.dll 2007-05-11 16:31 40,960 --ah----- C:\WINDOWS\system32\nssperf.exe 2007-05-11 15:30 53,248 --ah----- C:\WINDOWS\system32\drvconf.exe 2007-05-11 15:29 113,152 --a------ C:\WINDOWS\pk32g.exe 2007-05-10 12:41 57,344 --a------ C:\WINDOWS\system32\con321.dll 2007-05-10 12:41 49,152 --a------ C:\WINDOWS\system32\dcon321.dll 2007-05-10 12:41 40,960 --a------ C:\WINDOWS\system32\con321.exe 2007-05-09 20:56 0 --a------ C:\WINDOWS\pgdegfv.exe 2007-05-09 20:56 0 --a------ C:\WINDOWS\cdi1okj.dll 2007-05-08 11:45 121,856 --a------ C:\WINDOWS\svchcc32.exe Am besten den ganzen Kram packen, loeschen und an virus@protecus.de schicken. Dann noch einen Scan mit Drweb im abgesicherten Modus machen: http://freedrweb.com/?lng=de Alle Funde verschieben lassen. Danach kannst du noch Ewido micro nutzen: http://downloads.ewido.net/ewido_micro.exe Dann wieder ein neues Combofix und hijackthis log. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
04.06.2007, 12:32
...neu hier
Themenstarter Beiträge: 10 |
#11
ganz normal die datei ? und wie vershciekn? sry kenn mich da halt garnich aus =(
zb find ich shcon die system32 datei nicht Dieser Beitrag wurde am 04.06.2007 um 12:38 Uhr von problempc editiert.
|
|
|
||
04.06.2007, 12:46
Moderator
Beiträge: 7805 |
||
|
||
04.06.2007, 14:08
...neu hier
Themenstarter Beiträge: 10 |
#13
nice one ewido hat die würmer gefunden aber den dr kann man ja in der pfeife rauchen der hat nichts gefunden. 610 objekte gelöscht, davon waren aber sicher 500 coockis.
((((((((((((((((((((((((((((((( Files Created from 2007-05-04 to 2007-06-04 )))))))))))))))))))))))))))))))))) 2007-06-04 12:49 <DIR> d-------- C:\Dokumente und Einstellungen\pascal\DoctorWeb 2007-06-04 12:49 <DIR> d-------- C:\DOKUME~1\pascal\DoctorWeb 2007-06-04 12:31 <DIR> d-------- C:\Programme\MSXML 4.0 2007-06-04 12:00 49,152 --a------ C:\WINDOWS\nircmd.exe 2007-06-02 15:29 <DIR> d-------- C:\My Downloads 2007-05-30 20:39 <DIR> d-------- C:\Programme\Lavasoft 2007-05-30 20:39 <DIR> d-------- C:\DOKUME~1\pascal\ANWEND~1\Lavasoft 2007-05-29 16:55 53,248 --ah----- C:\WINDOWS\system32\mmsprf32.dll 2007-05-29 16:55 53,248 --ah----- C:\WINDOWS\system32\mmsconf.exe 2007-05-29 14:44 45,056 --ah----- C:\WINDOWS\system32\smsconf.exe 2007-05-28 19:38 222 --a------ C:\WINDOWS\system32\hfs32.exe 2007-05-28 19:38 16 --a------ C:\WINDOWS\fdd.dat 2007-05-24 16:43 <DIR> d-------- C:\Programme\Counter-Strike 1.6 2007-05-20 12:18 0 --a------ C:\WINDOWS\x0h7bh.reg 2007-05-20 12:18 0 --a------ C:\WINDOWS\tcsrahrk2.reg 2007-05-15 13:38 16 --a------ C:\WINDOWS\gdf.dat 2007-05-14 16:05 49,152 --ah----- C:\WINDOWS\system32\vadconf.exe 2007-05-14 15:55 88,668 --ah----- C:\WINDOWS\system32\upd1179150908.exe 2007-05-11 18:31 84,110 --a------ C:\WINDOWS\c.6.0.exe 2007-05-11 18:31 53,248 --ah----- C:\WINDOWS\system32\confnxs.dll 2007-05-11 18:31 45,056 --ah----- C:\WINDOWS\system32\nxsprf32.dll 2007-05-11 18:31 40,960 --ah----- C:\WINDOWS\system32\nxsperf.exe 2007-05-11 16:49 0 --a------ C:\WINDOWS\vg8iqb.dll 2007-05-11 16:31 83,346 --a------ C:\WINDOWS\c.5.0.exe 2007-05-11 16:31 53,248 --ah----- C:\WINDOWS\system32\confnss.dll 2007-05-11 16:31 45,056 --ah----- C:\WINDOWS\system32\nssprf32.dll 2007-05-11 16:31 40,960 --ah----- C:\WINDOWS\system32\nssperf.exe 2007-05-11 15:29 113,152 --a------ C:\WINDOWS\pk32g.exe 2007-05-09 20:56 0 --a------ C:\WINDOWS\pgdegfv.exe 2007-05-09 20:56 0 --a------ C:\WINDOWS\cdi1okj.dll 2007-05-05 09:51 <DIR> d-------- C:\DOKUME~1\pascal\ANWEND~1\ICQ Toolbar (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-06-04 12:02:36 -------- d-----w C:\Programme\Gemeinsame Dateien\DriveCleaner 2006 Free 2007-06-04 12:02:36 -------- d-----w C:\Programme\BearShare 2007-06-04 11:47:31 -------- d-----w C:\DOKUME~1\pascal\ANWEND~1\Skype 2007-06-04 10:45:31 49,174 ----a-w C:\WINDOWS\system32\perfc007.dat 2007-06-04 10:45:31 320,094 ----a-w C:\WINDOWS\system32\perfh007.dat 2007-06-04 09:55:36 -------- d-----w C:\Programme\ICQToolbar 2007-06-03 22:04:30 -------- d-----w C:\Programme\ICQLite 2007-05-30 18:45:30 4 ----a-w C:\WINDOWS\system32\shfoxpob.dat 2007-05-28 22:44:47 4 ----a-w C:\WINDOWS\system32\odtemdt2.dat 2007-05-28 17:44:14 -------- d-----w C:\Programme\Messenger 2007-05-27 20:19:20 16,224 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys 2007-05-27 20:17:15 -------- d-----w C:\Programme\Hamachi 2007-05-19 10:57:59 4 ----a-w C:\WINDOWS\system32\msrdwint.dat 2007-04-30 17:53:17 121,344 ----a-w C:\WINDOWS\sscserv.exe 2007-04-28 15:42:13 -------- d-----w C:\DOKUME~1\pascal\ANWEND~1\Help 2007-04-19 17:23:03 -------- d--h--w C:\Programme\InstallShield Installation Information 2007-04-19 11:40:14 16 ----a-w C:\WINDOWS\hpsys.dat 2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll 2007-04-15 13:14:38 3,584 ----a-w C:\WINDOWS\system32\ic32.dll 2007-04-15 13:14:38 18,944 ----a-w C:\WINDOWS\system32\wk32.dll 2007-04-03 10:01:00 16 -c--a-w C:\WINDOWS\hh32.dat 2007-03-22 15:04:51 0 -c--a-w C:\WINDOWS\r81j7l4g.pif 2007-03-22 14:02:18 0 -c--a-w C:\WINDOWS\9ergx.dat 2007-03-21 15:37:38 3,144,800 -c--a-w C:\WINDOWS\sg6fk0l5ci.dll 2007-03-17 13:44:25 293,376 ----a-w C:\WINDOWS\system32\winsrv.dll 2007-03-14 15:15:05 0 -c--a-w C:\WINDOWS\adc.dat 2007-03-08 15:36:30 579,072 ----a-w C:\WINDOWS\system32\user32.dll 2007-03-08 15:36:30 40,960 ----a-w C:\WINDOWS\system32\mf3216.dll 2007-03-08 15:36:30 281,600 ----a-w C:\WINDOWS\system32\gdi32.dll 2007-03-08 15:32:24 1,843,712 ----a-w C:\WINDOWS\system32\win32k.sys (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] {055FD26D-3A88-4e15-963D-DC8493744B1D}=C:\PROGRA~1\ICQTOO~1\toolbaru.dll [2006-12-25 10:40] {1536BA74-8625-4240-99B0-BE65883689C8}=C:\Programme\Mediapiraten\Mediapiraten\IEButtonMPInterface.dll [2006-04-12 19:04] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Cmaudio"="cmicnfg.cpl" [] "nwiz"="nwiz.exe" [2004-07-15 12:42 C:\WINDOWS\system32\nwiz.exe] "ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:15] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2007-05-28 19:57] "SSS6_Suite"="C:\Programme\Steganos Security Suite 6\sss.exe" [] "SSS6_SAFE"="C:\Programme\Steganos Security Suite 6\safe.exe" [] "SSS6_SPM"="C:\Programme\Steganos Security Suite 6\spm.exe" [] "Skype"="C:\Programme\Skype\Phone\Skype.exe" [2006-10-13 18:20] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce] "ICQ Lite"=C:\Programme\ICQLite\ICQLite.exe -trayboot [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "SSS6_Suite"="C:\Programme\Steganos Security Suite 6\sss.exe" /booting "SSS6_SAFE"="C:\Programme\Steganos Security Suite 6\safe.exe" /booting "SSS6_SPM"="C:\Programme\Steganos Security Suite 6\spm.exe" /booting [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\msrdwint] C:\WINDOWS\system32\msrdwint.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\odtemdt2] C:\WINDOWS\system32\odtemdt2.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "appinit_dlls"=e1.dll HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost *netsvcs* ******************************************************************** catchme 0.3.692 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-06-04 14:06:31 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ******************************************************************** Completion time: 2007-06-04 14:07:27 C:\ComboFix2.txt ... 2007-06-04 12:16 C:\ComboFix3.txt ... 2007-06-04 12:06 --- E O F --- Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\explorer.exe C:\Dokumente und Einstellungen\pascal\Desktop\Trojanerkill\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.1und1.de/Herzlich_Willkommen/b1/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: metaspinner GmbH - {1536BA74-8625-4240-99B0-BE65883689C8} - C:\Programme\Mediapiraten\Mediapiraten\IEButtonMPInterface.dll O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SSS6_Suite] "C:\Programme\Steganos Security Suite 6\sss.exe" /booting O4 - HKCU\..\Run: [SSS6_SAFE] "C:\Programme\Steganos Security Suite 6\safe.exe" /booting O4 - HKCU\..\Run: [SSS6_SPM] "C:\Programme\Steganos Security Suite 6\spm.exe" /booting O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe O4 - Global Startup: hpoddt01.exe.lnk = ? O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/ O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O20 - AppInit_DLLs: e1.dll O20 - Winlogon Notify: msrdwint - C:\WINDOWS\system32\msrdwint.dll (file missing) O20 - Winlogon Notify: odtemdt2 - C:\WINDOWS\system32\odtemdt2.dll (file missing) O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe |
|
|
||
04.06.2007, 14:27
Moderator
Beiträge: 7805 |
#14
Die Cookies hat Ewido dir gemeldet nicht Cureit!
Machen wir mal weiter. Installiere und update Antivir: http://www.free-av.de/antivirus/allinoned.html Stelle es so ein: http://board.protecus.de/t23979.htm und scanne deinen PC dann im abgesicherten Modus. Lasse alle funde in die Quarantaene schieben . Nach einem neustart bitte Antivir, Hijackthis und Datfindbat Report Infos zu datfindbat findest du hier: http://board.protecus.de/t23188.htm __________ MfG Ralf SEO-Spam Hunter |
|
|
||
04.06.2007, 15:01
...neu hier
Themenstarter Beiträge: 10 |
#15
AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Montag, 4. Juni 2007 15:12 Es wird nach 806333 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Benutzername: pascal Computername: WS-PASCAL Versionsinformationen: BUILD.DAT : 247 14437 Bytes 10.05.2007 11:52:00 AVSCAN.EXE : 7.0.4.15 282664 Bytes 20.04.2007 11:37:08 AVSCAN.DLL : 7.0.4.0 41000 Bytes 07.03.2007 07:39:18 LUKE.DLL : 7.0.4.11 143400 Bytes 27.03.2007 11:26:00 LUKERES.DLL : 7.0.4.0 10792 Bytes 27.02.2007 10:19:06 ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 13:08:58 ANTIVIR1.VDF : 6.38.1.170 5569024 Bytes 21.05.2007 12:39:13 ANTIVIR2.VDF : 6.38.1.200 169472 Bytes 29.05.2007 12:39:13 ANTIVIR3.VDF : 6.38.1.223 146432 Bytes 04.06.2007 12:39:13 AVEWIN32.DLL : 7.4.0.29 2478592 Bytes 04.06.2007 12:39:13 AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 09:36:23 AVPREF.DLL : 7.0.2.1 24616 Bytes 27.03.2007 11:20:44 AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 12:16:24 AVPACK32.DLL : 7.3.0.10 360488 Bytes 04.06.2007 12:39:13 AVREG.DLL : 7.0.1.2 31784 Bytes 15.03.2007 08:05:04 AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 27.03.2007 11:16:01 AVARKT.DLL : 1.0.0.17 278568 Bytes 02.05.2007 10:32:22 NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 10:09:03 RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 13.03.2007 09:46:00 RCTEXT.DLL : 7.0.45.0 86056 Bytes 16.03.2007 12:39:00 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Lokale Festplatten Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldiscs.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: aus Durchsuche Bootsektoren..........: ein Bootsektoren.....................: D:, Durchsuche Speicher..............: ein Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: aus Archiv Smart Extensions..........: ein Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, Makrovirenheuristik..............: ein Dateiheuristik...................: hoch Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Montag, 4. Juni 2007 15:12 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'kpf4gui.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'kpf4gui.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'kpf4ss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hpotdd01.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ICQLite.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '30' Prozesse mit '30' Modulen durchsucht Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'D:\' [HINWEIS] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '18' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\pascal\Desktop\Sonstiges\BSINSTALLDE.exe [FUND] Enthält Signatur des Droppers DR/180Solutions.AO.16 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46ad10b5.qua' verschoben! C:\Programme\BearShare\Installer\BSINSTALLDE.exe [FUND] Enthält Signatur des Droppers DR/180Solutions.AO.16 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46ad127e.qua' verschoben! C:\Programme\BearShare\Installer\BSInstallDE_DE5.2.5.5.exe [FUND] Enthält Signatur des Droppers DR/180Solutions.AO.16 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46ad1282.qua' verschoben! C:\Programme\Counter-Strike 1.6\cstrike\addons\cdeath\cdmod.dll [FUND] Enthält verdächtigen Code: HEUR/Crypted [WARNUNG] Die Datei wurde ignoriert. C:\WINDOWS\pk32g.exe [FUND] Enthält Signatur des Wurmes WORM/Sdbot.113152.35 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '469714d3.qua' verschoben! C:\WINDOWS\system32\confnss.dll [FUND] Enthält Signatur des Wurmes WORM/Stration.Gen [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46d21608.qua' verschoben! C:\WINDOWS\system32\confnxs.dll [FUND] Enthält Signatur des Wurmes WORM/Stration.Gen [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46d2160b.qua' verschoben! C:\WINDOWS\system32\mmsprf32.dll [FUND] Enthält Signatur des Wurmes WORM/Stration.BL.3 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46d71636.qua' verschoben! C:\WINDOWS\system32\nssprf32.dll [FUND] Enthält Signatur des Wurmes WORM/Stration.Gen [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46d71646.qua' verschoben! C:\WINDOWS\system32\nxsprf32.dll [FUND] Enthält Signatur des Wurmes WORM/Stration.Gen [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46d71652.qua' verschoben! Beginne mit der Suche in 'D:\' Ende des Suchlaufs: Montag, 4. Juni 2007 16:31 Benötigte Zeit: 1:19:18 min Der Suchlauf wurde vollständig durchgeführt. 6754 Verzeichnisse wurden überprüft 301755 Dateien wurden geprüft 10 Viren bzw. unerwünschte Programme wurden gefunden 1 davon wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 9 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 301744 Dateien ohne Befall 1334 Archive wurden durchsucht 3 Warnungen 0 Hinweise 0 Versteckte Objekte wurden gefunden Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RunDll32.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\svchost.exe C:\Dokumente und Einstellungen\pascal\Desktop\Trojanerkill\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.1und1.de/Herzlich_Willkommen/b1/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: metaspinner GmbH - {1536BA74-8625-4240-99B0-BE65883689C8} - C:\Programme\Mediapiraten\Mediapiraten\IEButtonMPInterface.dll O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SSS6_Suite] "C:\Programme\Steganos Security Suite 6\sss.exe" /booting O4 - HKCU\..\Run: [SSS6_SAFE] "C:\Programme\Steganos Security Suite 6\safe.exe" /booting O4 - HKCU\..\Run: [SSS6_SPM] "C:\Programme\Steganos Security Suite 6\spm.exe" /booting O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe O4 - Global Startup: hpoddt01.exe.lnk = ? O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/ O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe olume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 7481-B0CA Verzeichnis von C:\DOKUME~1\pascal\LOKALE~1\Temp 04.06.2007 16:34 262.145 PNX11.tmp 04.06.2007 16:27 19.284 ICQ13.tmp 04.06.2007 16:27 6.283 ICQ12.tmp 04.06.2007 16:26 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}16749.html 04.06.2007 16:23 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}473.html 04.06.2007 16:23 17.417 ICQ10.tmp 04.06.2007 16:23 5.987 ICQF.tmp 04.06.2007 16:14 512 ~DF2B7B.tmp 04.06.2007 16:14 16.384 ~DF2B65.tmp 04.06.2007 16:14 512 ~DF2B50.tmp 04.06.2007 16:14 16.384 ~DF2B27.tmp 04.06.2007 16:14 512 ~DF2AF8.tmp 04.06.2007 16:14 16.384 ~DF2ACF.tmp 04.06.2007 16:14 512 ~DF2AAE.tmp 04.06.2007 16:14 16.384 ~DF2A96.tmp 04.06.2007 15:49 512 ~DF14C0.tmp 04.06.2007 15:49 16.384 ~DF14AE.tmp 04.06.2007 15:49 512 ~DF1499.tmp 04.06.2007 15:49 16.384 ~DF1486.tmp 04.06.2007 15:49 512 ~DF1461.tmp 04.06.2007 15:49 16.384 ~DF144F.tmp 04.06.2007 15:49 16.384 ~DF1428.tmp 04.06.2007 15:49 512 ~DF143A.tmp 04.06.2007 14:58 16.384 ~DFB4D2.tmp 04.06.2007 14:58 512 ~DF8025.tmp 04.06.2007 14:58 16.384 ~DF8013.tmp 04.06.2007 14:45 131.073 PNX8.tmp 04.06.2007 14:32 512 ~DFA388.tmp 04.06.2007 14:32 16.384 ~DFA378.tmp 04.06.2007 14:32 512 ~DFA351.tmp 04.06.2007 14:32 512 ~DFA36A.tmp 04.06.2007 14:32 16.384 ~DFA35F.tmp 04.06.2007 14:32 16.384 ~DFA344.tmp 04.06.2007 14:32 512 ~DFA32D.tmp 04.06.2007 14:32 16.384 ~DFA321.tmp 04.06.2007 14:28 797.676 IMT7.xml 04.06.2007 14:28 426 IMT6.xml 04.06.2007 14:28 2.036 IMT5.xml 04.06.2007 14:22 16.384 ~DF9EFD.tmp 04.06.2007 14:22 512 ~DF9F08.tmp 04.06.2007 14:22 512 ~DF9ED6.tmp 04.06.2007 14:22 512 ~DF9EBD.tmp 04.06.2007 14:22 16.384 ~DF9EB2.tmp 04.06.2007 14:22 16.384 ~DF9ECB.tmp 04.06.2007 14:22 16.384 ~DF9EE4.tmp 04.06.2007 14:22 512 ~DF9EEF.tmp 04.06.2007 12:58 512 ~DFD269.tmp 04.06.2007 12:58 16.384 ~DFD20B.tmp 04.06.2007 12:58 512 ~DFD1FD.tmp 04.06.2007 12:58 16.384 ~DFD1F1.tmp 04.06.2007 12:58 512 ~DFD1DF.tmp 04.06.2007 12:58 16.384 ~DFD1C7.tmp 04.06.2007 12:58 512 ~DFD1AE.tmp 04.06.2007 12:58 16.384 ~DFD19F.tmp 04.06.2007 12:44 16.384 ~DF214B.tmp 04.06.2007 12:44 512 ~DFF181.tmp 04.06.2007 12:44 16.384 ~DFF0BF.tmp 57 Datei(en) 1.648.768 Bytes 0 Verzeichnis(se), 7.543.025.664 Bytes frei so was muss ich jetzt noch tun? Dieser Beitrag wurde am 04.06.2007 um 16:36 Uhr von problempc editiert.
|
|
|
||
Die Symtome stimmen ziemlich mit denen des sg. Warezov-Wurmes überein.
Was muss ich tun um den wurm oder was auch immer das ist loszuwerden?
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\DriveCleaner 2006 Free\sdrmon.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\wincrt.exe
C:\WINDOWS\c.5.0.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\c.6.0.exe
C:\WINDOWS\system32\pk32i.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\msrdwint.exe
C:\WINDOWS\System32\odtemdt2.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\pascal\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.1und1.de/Herzlich_Willkommen/b1/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://resultsmaster.com/SmartOffers/Services/resultsmaster/ResultsMasterHomeLeftPane.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: metaspinner GmbH - {1536BA74-8625-4240-99B0-BE65883689C8} - C:\Programme\Mediapiraten\Mediapiraten\IEButtonMPInterface.dll
O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SDR6U_Check] "C:\Programme\Gemeinsame Dateien\DriveCleaner 2006 Free\sdrmon.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [bin32.exe] C:\WINDOWS\bin32.exe s
O4 - HKLM\..\Run: [gdi32.exe] C:\WINDOWS\gdi32.exe s
O4 - HKLM\..\Run: [wincrt.exe] C:\WINDOWS\wincrt.exe s
O4 - HKLM\..\Run: [SoundMnEx32] C:\WINDOWS\svchcc32.exe
O4 - HKLM\..\Run: [jpgdiag] C:\WINDOWS\system32\jpgconf.exe
O4 - HKLM\..\Run: [nssdiag] C:\WINDOWS\c.5.0.exe
O4 - HKLM\..\Run: [nxsdiag] C:\WINDOWS\c.6.0.exe
O4 - HKLM\..\Run: [msproject] C:\WINDOWS\system32\pk32i.exe
O4 - HKLM\..\Run: [mmsdiag] C:\WINDOWS\system32\mmsconf.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SSS6_Suite] "C:\Programme\Steganos Security Suite 6\sss.exe" /booting
O4 - HKCU\..\Run: [SSS6_SAFE] "C:\Programme\Steganos Security Suite 6\safe.exe" /booting
O4 - HKCU\..\Run: [SSS6_SPM] "C:\Programme\Steganos Security Suite 6\spm.exe" /booting
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://locator1.cdn.imagesrvr.com/sites/winfixer.com/www/pages/scanner_de/WinFixer2005ScannerInstallDE.cab
O20 - AppInit_DLLs: e1.dll strmatkc.dll confnss.dll confnxs.dll con321.dll confjpg.dll confmms.dll jpgstat.dll mmsstat.dll
O20 - Winlogon Notify: drvmgr - drvmgr32.dll (file missing)
O20 - Winlogon Notify: jpgmgr - C:\WINDOWS\SYSTEM32\jpgmgr32.dll
O20 - Winlogon Notify: mmsmgr - C:\WINDOWS\SYSTEM32\mmsmgr32.dll
O20 - Winlogon Notify: msrdwint - C:\WINDOWS\system32\msrdwint.dll
O20 - Winlogon Notify: odtemdt2 - C:\WINDOWS\system32\odtemdt2.dll
O20 - Winlogon Notify: swfmgr - swfmgr32.dll (file missing)
O20 - Winlogon Notify: vadmgr - vadmgr32.dll (file missing)
O20 - Winlogon Notify: wmvmgr - wmvmgr32.dll (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
da hats aber gerade nicht gesponnen.