Drive Clean, Internet Explorer stürtzt permanent ab |
||
---|---|---|
#0
| ||
15.06.2007, 00:04
...neu hier
Beiträge: 3 |
||
|
||
15.06.2007, 10:38
Member
Beiträge: 35 |
#2
Hallo nauthia,
dein Rechner ist offen wie ein Scheunentor! Gehe auf www.virustotal.com und lade folgende Datei hoch: C:\WINDOWS\SYSTEM32\mqdsvc.dll Poste das Ergebnis hier. Danach: Download Internet Explorer 7.0 + Updates: http://update.microsoft.com/windowsupdate/v6/default.aspx?ln=de Danach Download Service Pack 2: http://www.chip.de/downloads/c1_downloads_13012933.html __________ Mailen Sie mir! Kaffeefahrtentermine an truelife@habmalnefrage.de - Bitte Abfahrtsort, -zeit und -datum angeben! |
|
|
||
15.06.2007, 10:56
Member
Beiträge: 3716 |
#3
hi, da dein betriebssystem total veraltet ist, trenne es vom internet, so lange, bis wir mit der reinigung fertig sind. bitte nur die programme laden die wir dir nennen und sonst bitte das netz meiden.
1. lad dir smitfraudfix: http://siri.geekstogo.com/SmitfraudFix_De.php bitte option 1 im normalen und option 2 im abgesicherten modus durchführen! log unbedingt beide posten! 2. lad dir vundofix: www.atribune.org anleitung: www.hijackthis-forum.de/archive/index.php/t-18415.html - 14k - bitte so lang scannen, bis nichts mehr gefunden wird, poste bitte alle logs! 3. rootkitscanns: www.hijackthis-forum.de/showthread.php?t=20219 - 38k - bitte nutze alle diese scanner! du musst unbedingt die verbindung zum internet trennen und alle programme wie antivirenprogramm abschalten! 4. verbinde dich mit dem internet und poste folgende logs: 1. smitfraudfix 2. vundofix 3. alle rootkitscans 4. hijackthislog aber: hijackthis muss in einem eigenen ordner laufen! benenne die hijackthis.exe in hjt.com um, dies ist nötig geworden, da sich malware vor der .exe verstecken kann! dann scan and safe log klicken und dieses posten. 5. erneutes combofixlog. |
|
|
||
15.06.2007, 11:14
Member
Beiträge: 3716 |
#4
hi, befor wir das system updaten, erst die reinigung durchführen!
|
|
|
||
21.06.2007, 15:28
...neu hier
Themenstarter Beiträge: 3 |
#5
aloha truelife, moin virenfinder,
ein windows update kann ich irgendwie nicht durchführen, habe scheinbar keine gültige lizenz. kann man sich da auch anders helfen? hier schon mal die ergebnisse von virustotal: Antivirus Version Update Result AhnLab-V3 2007.6.20.1 06.20.2007 no virus found AntiVir 7.4.0.34 06.20.2007 ADSPY/Virtumonde.KE Authentium 4.93.8 06.19.2007 no virus found Avast 4.7.997.0 06.20.2007 no virus found AVG 7.5.0.467 06.20.2007 Adware Generic2.CQN BitDefender 7.2 06.20.2007 no virus found CAT-QuickHeal 9.00 06.20.2007 AdWare.Virtumonde.ke (Not a Virus) ClamAV devel-20070416 06.20.2007 no virus found DrWeb 4.33 06.20.2007 Trojan.DownLoader.23130 eSafe 7.0.15.0 06.19.2007 no virus found eTrust-Vet 30.8.3730 06.20.2007 Win32/Darksma!generic Ewido 4.0 06.20.2007 Adware.Virtumonde FileAdvisor 1 06.20.2007 No Thread detected Fortinet 2.91.0.0 06.20.2007 Adware/VirtuMonde F-Prot 4.3.2.48 06.19.2007 W32/Adware.KBI F-Secure 6.70.13030.0 06.20.2007 no virus found Ikarus T3.1.1.8 06.20.2007 not-a-virus:AdWare.Win32.Virtumonde.ke Kaspersky 4.0.2.24 06.20.2007 not-a-virus:AdWare.Win32.Virtumonde.ke McAfee 5057 06.20.2007 Vundo Microsoft 1.2607 06.20.2007 no virus found NOD32v2 2341 06.20.2007 Win32/TrojanDownloader.ConHook.NAG Norman 5.80.02 06.20.2007 W32/Virtumonde.GVC Panda 9.0.0.4 06.20.2007 Spyware/DuncanMonitor Prevx1 V2 06.20.2007 no virus found Sophos 4.18.0 06.12.2007 Mal/Behav-010 Sunbelt 2.2.907.0 06.09.2007 no virus found Symantec 10 06.20.2007 no virus found TheHacker 6.1.6.136 06.20.2007 no virus found VBA32 3.12.0.2 06.20.2007 AdWare.Win32.Virtumonde.ke VirusBuster 4.3.23:9 06.20.2007 no virus found Webwasher-Gateway 6.0.1 06.20.2007 Ad-Spyware.Virtumonde.KE Aditional Information File size: 77824 bytes MD5: 297a7d2e968eef68ca1fe5c5ad21a648 SHA1: 9f06ea9814ec82585efa23a401ce97d1d139000f Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=297a7d2e968eef68ca1fe5c5ad21a648 die anderen scans poste ich gleich. gruß nauthica _________________________________________________________ moin, so, habe alle scans durchgeführt, hier die ergebnisse: 1. SmitFraudFix SmitFraudFix v2.195 Scan done at 21:51:50,61, 20.06.2007 Run from C:\Dokumente und Einstellungen\Name\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in normal mode »»»»»»»»»»»»»»»»»»»»»»»» Process C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\cmd.exe »»»»»»»»»»»»»»»»»»»»»»»» hosts »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Florian Lling »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Florian Lling\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\FLORIA~1\FAVORI~1 »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Rustock »»»»»»»»»»»»»»»»»»»»»»»» DNS Description: WAN (PPP/SLIP) Interface DNS Server Search Order: 195.50.140.114 DNS Server Search Order: 195.50.140.252 HKLM\SYSTEM\CCS\Services\Tcpip\..\{E6273C7C-B7EA-4D79-B7A9-19DA41C61B4F}: NameServer=195.50.140.114 195.50.140.252 HKLM\SYSTEM\CS2\Services\Tcpip\..\{E6273C7C-B7EA-4D79-B7A9-19DA41C61B4F}: NameServer=195.50.140.114 195.50.140.252 »»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End 2. SmitFraudFix im abgesicherten Modus SmitFraudFix v2.195 Scan done at 17:54:05,19, 21.06.2007 Run from C:\Dokumente und Einstellungen\Florian Lling\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files »»»»»»»»»»»»»»»»»»»»»»»» DNS »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End 3. vundofix (hat nichts gefunden) 4. rootkitscan HKU\.DEFAULT\Control Panel\International 21.06.2007 18:04 0 bytes Security mismatch. HKU\.DEFAULT\Control Panel\International\Geo 21.06.2007 18:04 0 bytes Security mismatch. HKU\S-1-5-21-1085031214-842925246-1060284298-1003\Control Panel\International 21.06.2007 18:04 0 bytes Security mismatch. HKU\S-1-5-21-1085031214-842925246-1060284298-1003\Control Panel\International\Geo 21.06.2007 18:04 0 bytes Security mismatch. HKU\S-1-5-21-1085031214-842925246-1060284298-1003\RemoteAccess\InternetProfile 20.08.2006 15:37 5 bytes Data mismatch between Windows API and raw hive data. HKU\S-1-5-18\Control Panel\International 21.06.2007 18:04 0 bytes Security mismatch. HKU\S-1-5-18\Control Panel\International\Geo 21.06.2007 18:04 0 bytes Security mismatch. HKLM\SECURITY\Policy\Secrets\SAC* 15.08.2006 13:54 0 bytes Key name contains embedded nulls (*) HKLM\SECURITY\Policy\Secrets\SAI* 15.08.2006 13:54 0 bytes Key name contains embedded nulls (*) 5. hijackthis scan Logfile of HijackThis v1.99.1 Scan saved at 18:00:44, on 21.06.2007 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Dokumente und Einstellungen\Florian Lüling\Desktop\htj.com.exe O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {37bd6c62-7500-4fb9-9890-ecb70fa9c44b} - C:\WINDOWS\system32\mqdsvc.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\mqdsvc.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\mqdsvc.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/094137e92a34c041fc16/netzip/RdxIE601_de.cab O20 - Winlogon Notify: mqdsvc - C:\WINDOWS\SYSTEM32\mqdsvc.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe 6. combofix scan ComboFix 07-06-13.3 - C:\Dokumente und Einstellungen\Florian Lling\Desktop\ComboFix.exe "Florian Lling" - 2007-06-21 18:01:52 NTFS ((((((((((((((((((((((((( Files Created from 2007-05-21 to 2007-06-21 ))))))))))))))))))))))))))))))) 2007-06-21 15:13 <DIR> dr------- C:\DOKUME~1\LOCALS~1\Eigene Dateien 2007-06-20 22:22 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Eigene Dateien 2007-06-20 21:51 1,616 --a------ C:\WINDOWS\system32\tmp.reg 2007-06-20 20:48 <DIR> d-------- C:\VundoFix Backups 2007-06-14 23:41 49,152 --a------ C:\WINDOWS\nircmd.exe 2007-06-12 16:02 <DIR> d-------- C:\WINDOWS\LastGood 2007-06-12 13:31 <DIR> d-------- C:\Programme\Lavasoft 2007-06-12 13:31 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Lavasoft 2007-06-12 13:26 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2007-06-08 16:28 77,824 --a------ C:\WINDOWS\system32\mqdsvc.dll 2007-06-08 16:13 54 --a------ C:\WINDOWS\SW_Win2000X24.DLL 2007-06-08 16:05 <DIR> d-------- C:\DOKUME~1\FLORIA~1\ANWEND~1\Help 2007-06-08 15:38 45,056 --a------ C:\WINDOWS\system32\unredmon.exe 2007-06-08 15:38 116,224 --a------ C:\WINDOWS\system32\redmonnt.dll 2007-06-08 15:38 <DIR> d-------- C:\Programme\FreePDF_XP 2007-06-08 15:38 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\FreePDF 2007-06-08 15:37 <DIR> d-------- C:\Programme\gs 2007-06-08 15:12 <DIR> d-------- C:\DOKUME~1\FLORIA~1\ANWEND~1\PDFCreator 2007-06-04 15:18 9,344 --a------ C:\WINDOWS\system32\drivers\NSDriver.sys 2007-06-04 15:17 8,320 --a------ C:\WINDOWS\system32\drivers\AWRTRD.sys 2007-06-04 15:14 6,272 --a------ C:\WINDOWS\system32\drivers\AWRTPD.sys (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-06-21 09:52:49 -------- d-----w C:\Programme\StarMoney 5.0 S-Edition 2007-06-14 20:46:23 -------- d-----w C:\Programme\eMule 2007-06-14 20:18:15 49,372 ----a-w C:\WINDOWS\system32\perfc007.dat 2007-06-14 20:18:15 320,424 ----a-w C:\WINDOWS\system32\perfh007.dat 2007-06-14 19:35:18 7,845 ----a-w C:\WINDOWS\mozver.dat 2007-04-24 20:29:12 -------- d-----w C:\Programme\IrfanView 2007-04-13 13:19:52 7,680 ----a-w C:\WINDOWS\system32\lsdelete.exe ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] {37bd6c62-7500-4fb9-9890-ecb70fa9c44b}=C:\WINDOWS\system32\mqdsvc.dll [2007-06-08 16:28] {53707962-6F74-2D53-2644-206D7942484F}=C:\Programme\Spybot - Search & Destroy\SDHelper.dll [2005-05-31 01:04] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.5.0_08\bin\ssv.dll [2006-07-26 03:17] {AA58ED58-01DD-4d91-8333-CF10577473F7}=c:\programme\google\googletoolbar4.dll [2007-01-20 00:55] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-25 20:07] "Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-12-10 18:45] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 01:04] "swg"="C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2007-02-03 22:14] [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "Windows Firewall Service"=winserviceup.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mqdsvc] mqdsvc.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\aawservice] Contents of the 'Scheduled Tasks' folder 2007-06-20 16:21:01 C:\WINDOWS\tasks\AppleSoftwareUpdate.job ************************************************************************** catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-06-21 18:03:20 Windows 5.1.2600 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-06-21 18:04:07 C:\ComboFix-quarantined-files.txt ... 2007-06-21 18:03 C:\ComboFix2.txt ... 2007-06-14 23:46 --- E O F --- so, das wars. ich hoffe ihr könnt was damit anfangen. freue mich auf euer feedback. vielen dank im voraus. gruß nauthica Dieser Beitrag wurde am 21.06.2007 um 18:24 Uhr von nauthica editiert.
|
|
|
||
habe mich hier ein wenig umgeschaut und einiges zu diesem thema gefunden. ich komme aber nicht weiter und hoffe, dass mir jemand helfen kann.
seit dem download eines keygen bekomme ich die meldung pornoseiten besucht zu haben, anschließend dann ein fenster wo man driveclean runterladen kann. desweiteren flackert der IE ständig und diverse popups öffnen sich, nach einer weile stürtzt der IE ab.
ich habe eine hijackthis und eine combofix logflie erzeugt. bitte schauts euch mal an. vielen dank im voraus für eure unterstützung.
Logfile of HijackThis v1.99.1
Scan saved at 00:02:12, on 15.06.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Florian Lüling\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {37bd6c62-7500-4fb9-9890-ecb70fa9c44b} - C:\WINDOWS\system32\mqdsvc.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\mqdsvc.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\mqdsvc.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/094137e92a34c041fc16/netzip/RdxIE601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E6273C7C-B7EA-4D79-B7A9-19DA41C61B4F}: NameServer = 195.50.140.114 195.50.140.252
O20 - Winlogon Notify: mqdsvc - C:\WINDOWS\SYSTEM32\mqdsvc.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
und hier der scan von combofix:
ComboFix 07-06-13.3 - C:\Dokumente und Einstellungen\Name\Desktop\ComboFix.exe
"Florian Lling" - 2007-06-14 23:42:02 NTFS
(((((((((((((((((((((((((((((((((((((((((((( V Log )))))))))))))))))))))))))))))))))))))))))))))))))))))))
C:\WINDOWS\awtqon.dll
C:\WINDOWS\gebcbc.dll
C:\WINDOWS\qopopo.dll
C:\WINDOWS\ursrrs.dll
C:\WINDOWS\noqtwa.ini
C:\WINDOWS\cbcbeg.ini
C:\WINDOWS\opopoq.ini
C:\WINDOWS\srrsru.ini
* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
((((((((((((((((((((((((( Files Created from 2007-05-14 to 2007-06-14 )))))))))))))))))))))))))))))))
2007-06-14 23:41 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-06-12 16:02 <DIR> d-------- C:\WINDOWS\LastGood
2007-06-12 13:31 <DIR> d-------- C:\Programme\Lavasoft
2007-06-12 13:31 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Lavasoft
2007-06-12 13:26 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-06-08 16:28 77,824 --a------ C:\WINDOWS\system32\mqdsvc.dll
2007-06-08 16:13 54 --a------ C:\WINDOWS\SW_Win2000X24.DLL
2007-06-08 16:05 <DIR> d-------- C:\DOKUME~1\FLORIA~1\ANWEND~1\Help
2007-06-08 15:38 45,056 --a------ C:\WINDOWS\system32\unredmon.exe
2007-06-08 15:38 116,224 --a------ C:\WINDOWS\system32\redmonnt.dll
2007-06-08 15:38 <DIR> d-------- C:\Programme\FreePDF_XP
2007-06-08 15:38 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\FreePDF
2007-06-08 15:37 <DIR> d-------- C:\Programme\gs
2007-06-08 15:12 <DIR> d-------- C:\DOKUME~1\FLORIA~1\ANWEND~1\PDFCreator
2007-06-04 15:18 9,344 --a------ C:\WINDOWS\system32\drivers\NSDriver.sys
2007-06-04 15:17 8,320 --a------ C:\WINDOWS\system32\drivers\AWRTRD.sys
2007-06-04 15:14 6,272 --a------ C:\WINDOWS\system32\drivers\AWRTPD.sys
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-06-14 20:46:23 -------- d-----w C:\Programme\eMule
2007-06-14 20:18:15 49,372 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-06-14 20:18:15 320,424 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-06-14 19:35:18 7,845 ----a-w C:\WINDOWS\mozver.dat
2007-06-11 09:24:25 -------- d-----w C:\Programme\StarMoney 5.0 S-Edition
2007-04-24 20:29:12 -------- d-----w C:\Programme\IrfanView
2007-04-13 13:19:52 7,680 ----a-w C:\WINDOWS\system32\lsdelete.exe
2007-03-14 21:35:49 632,320 ----a-w C:\WINDOWS\fpuninst.exe
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{37bd6c62-7500-4fb9-9890-ecb70fa9c44b}=C:\WINDOWS\system32\mqdsvc.dll [2007-06-08 16:28]
{53707962-6F74-2D53-2644-206D7942484F}=C:\Programme\Spybot - Search & Destroy\SDHelper.dll [2005-05-31 01:04]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.5.0_08\bin\ssv.dll [2006-07-26 03:17]
{AA58ED58-01DD-4d91-8333-CF10577473F7}=c:\programme\google\googletoolbar4.dll [2007-01-20 00:55]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-25 20:07]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" []
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-12-10 18:45]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 01:04]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2007-02-03 22:14]
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Windows Firewall Service"=winserviceup.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mqdsvc]
mqdsvc.dll
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\aawservice]
Contents of the 'Scheduled Tasks' folder
2007-05-23 16:21:04 C:\WINDOWS\tasks\AppleSoftwareUpdate.job
**************************************************************************
catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-14 23:45:30
Windows 5.1.2600 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
Completion time: 2007-06-14 23:46:15 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-06-14 23:46
--- E O F ---
was soll ich jetzt tun???
vielen dank und viele grüße
nauthia