Home » Viren, Trojaner & Malware Forum » Trojaner Alarm!TR/Agent.anr.1,TR/Spy.VBStat.B.1 » Themenansicht

Trojaner Alarm!TR/Agent.anr.1,TR/Spy.VBStat.B.1
#0
17.06.2007, 17:57
Piodre
Member

Beiträge: 25
#1 Hallo,bin einer von denen die keine ahnung haben also bitte so verständlich wie möglich erklären;) habe folgende Trojaner s.o. und bekomme sie mit antivir nicht weg. hab hier bisschen rumgelesen und mich versucht etwas vorzubereiten,hoffe hab´s richtig kapiert!?

hijack sagt im abgesicherten modus:

Logfile of HijackThis v1.99.1
Scan saved at 10:37:22, on 17.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Peter&Helena\Desktop\hijackthis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://deutsch.eazel.com/index.php?rvs=hompag
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\khfggge.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {C5E14DA9-81E0-4C41-8B2B-F36FABED1AF6} - C:\WINDOWS\system32\pmkjh.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\system32\kdugibsp.dll",realset
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: khfggge - C:\WINDOWS\SYSTEM32\khfggge.dll
O20 - Winlogon Notify: pmkjh - C:\WINDOWS\system32\pmkjh.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe



ComboFix 07-06-13.3 - C:\Dokumente und Einstellungen\Peter
"Peter&Helena" - 2007-06-17 11:03:08 - Service Pack 2


(((((((((((((((((((((((((((((((((((((((((((( V Log )))))))))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\kdugibsp.dll
C:\WINDOWS\system32\lsyvaafn.dll
C:\WINDOWS\system32\ropcvkun.dll
C:\WINDOWS\system32\pecklfjf.dll
C:\WINDOWS\system32\ydoplesc.dll
C:\WINDOWS\system32\hjkmp.tmp
C:\WINDOWS\system32\hjkmp.ini
C:\WINDOWS\system32\hjkmp.bak2
C:\WINDOWS\system32\hjkmp.ini2
C:\WINDOWS\system32\hjkmp.bak1
C:\WINDOWS\system32\psbigudk.ini
C:\WINDOWS\system32\nfaavysl.ini
C:\WINDOWS\system32\nukvcpor.ini
C:\WINDOWS\system32\fjflkcep.ini
C:\WINDOWS\system32\cselpody.ini
C:\WINDOWS\system32\hjkmp.tmp
C:\WINDOWS\system32\hjkmp.ini
C:\WINDOWS\system32\hjkmp.bak2
C:\WINDOWS\system32\hjkmp.ini2
C:\WINDOWS\system32\hjkmp.bak1
C:\WINDOWS\system32\pmkjh.dll


* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *



((((((((((((((((((((((((( Files Created from 2007-05-17 to 2007-06-17 )))))))))))))))))))))))))))))))


2007-06-17 10:35 <DIR> d-------- C:\WINDOWS\CSC
2007-06-17 10:30 524,288 --ah----- C:\DOKUME~1\ADMINI~1\NTUSER.DAT
2007-06-17 10:30 <DIR> dr-h----- C:\DOKUME~1\ADMINI~1\Anwendungsdaten
2007-06-17 10:30 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Startmen
2007-06-17 10:30 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Vorlagen
2007-06-17 10:30 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Netzwerkumgebung
2007-06-17 10:30 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Lokale Einstellungen
2007-06-17 10:30 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Druckumgebung
2007-06-17 10:30 <DIR> d-------- C:\DOKUME~1\ADMINI~1\Favoriten
2007-06-17 10:11 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-06-16 22:36 <DIR> d-------- C:\DOKUME~1\PETER&~1\DoctorWeb
2007-06-15 16:07 <DIR> d-------- C:\Programme\Lavasoft
2007-06-15 16:07 <DIR> d-------- C:\DOKUME~1\PETER&~1\ANWEND~1\Lavasoft
2007-06-15 16:06 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-06-13 18:57 <DIR> d-------- C:\WINDOWS\SxsCaPendDel
2007-06-13 08:07 24,643 --------- C:\WINDOWS\system32\khfggge.dll
2007-06-10 02:16 <DIR> d-------- C:\WINDOWS\pss
2007-06-07 18:52 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2007-05-21 21:41 <DIR> d--hs---- C:\FOUND.000
2007-05-17 22:07 3,006,464 --------- C:\WINDOWS\UNNeroShowTime.exe


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-05-11 18:42:36 -------- d-----w C:\Programme\appleJuice
2007-05-07 13:08:10 -------- d-----w C:\DOKUME~1\PETER&~1\ANWEND~1\Thunderbird
2007-05-07 13:08:02 -------- d-----w C:\Programme\Mozilla Thunderbird
2007-04-30 18:32:32 -------- d-----w C:\Programme\Lavalys
2007-04-23 14:25:30 -------- d-----w C:\Programme\ICQLite
2007-04-23 14:25:30 -------- d-----w C:\DOKUME~1\PETER&~1\ANWEND~1\ICQLite
2007-04-13 19:02:02 71,168 ----a-w C:\WINDOWS\RAUNINST.EXE
2007-04-12 12:53:42 0 ----a-w C:\WINDOWS\nsreg.dat
2007-04-11 16:27:54 48,156 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-04-11 16:27:54 316,594 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-04-11 16:06:44 0 --sha-r C:\MSDOS.SYS
2007-04-11 16:06:44 0 --sha-r C:\IO.SYS
2007-04-11 16:06:44 0 ----a-w C:\CONFIG.SYS
2007-04-11 16:06:44 0 ----a-w C:\AUTOEXEC.BAT
2007-04-11 16:03:10 21,740 ----a-w C:\WINDOWS\system32\emptyregdb.dat


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}=C:\WINDOWS\system32\khfggge.dll [2007-06-13 08:07]
{AA58ED58-01DD-4d91-8333-CF10577473F7}=c:\programme\google\googletoolbar1.dll [2007-04-12 14:48]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PRISMSVR.EXE"="C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.exe" [2004-04-26 14:26]
"Cmaudio"="cmicnfg.cpl" []
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-23 20:59]
"SunJavaUpdateSched"="C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe" [2003-11-19 17:48]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 12:00]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-03-30 13:34]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"="C:\WINDOWS\system32\khfggge.dll" [2007-06-13 08:07]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\khfggge]
khfggge.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk
backup=C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"C:\Programme\ICQLite\ICQLite.exe" -minimize


**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-17 11:05:43
Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Files hidden from API:
C:\WINDOWS\Pr„riewind.bmp
C:\WINDOWS\F„cher.bmp

Completion time: 2007-06-17 11:07:06 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-06-17 11:06

--- E O F ---
__________
Intel Core 2Duo 2,2GHz,2GB Ram
Nvidia GForce 8600M GS
Seitenanfang Seitenende
17.06.2007, 19:41
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 Und warum

Zitat

hijack sagt im abgesicherten modus

__________
MfG Argus
Seitenanfang Seitenende
17.06.2007, 20:01
Piodre
Member

Themenstarter

Beiträge: 25
#3 Warum im abgesicherten modus? Hab ich hier gelesen.Darum bitte ich ja um hilfe,wie gesagt hab keine ahnung von der materie!Dann sag mir bitte was ich tun soll wenn´s falsch ist.
__________
Intel Core 2Duo 2,2GHz,2GB Ram
Nvidia GForce 8600M GS
Seitenanfang Seitenende
17.06.2007, 20:11
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 Wir Helfer haben jeden Tag ein Problem hier,es wird nicht gelesen
Habe früher mal einen gekannt der hatte in seine Signatur stehen
"Ich lese kein klein Deutsch"
Hier stet ganz oben,Gross geschrieben oben auf der Seite von "Viren, Trojaner & Malware Forum"
NEUE BEITRÄGE ERSTELLEN http://board.protecus.de/t23188.htm

Also bitte ein Log in normal Modus
__________
MfG Argus
Seitenanfang Seitenende
17.06.2007, 20:41
Piodre
Member

Themenstarter

Beiträge: 25
#5 Logfile of HijackThis v1.99.1
Scan saved at 20:25:20, on 17.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Peter&Helena\Desktop\hijackthis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://deutsch.eazel.com/index.php?rvs=hompag
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\khfggge.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: khfggge - C:\WINDOWS\SYSTEM32\khfggge.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

ComboFix 07-06-13.3 - C:\Dokumente und Einstellungen\Peter
"Peter&Helena" - 2007-06-17 20:20:15 - Service Pack 2


(((((((((((((((((((((((((((((((((((((((((((( V Log )))))))))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\acbeg.tmp
C:\WINDOWS\system32\acbeg.bak1
C:\WINDOWS\system32\acbeg.ini2
C:\WINDOWS\system32\gebca.dll


* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *



((((((((((((((((((((((((( Files Created from 2007-05-17 to 2007-06-17 )))))))))))))))))))))))))))))))


2007-06-17 10:35 <DIR> d-------- C:\WINDOWS\CSC
2007-06-17 10:30 524,288 --ah----- C:\DOKUME~1\ADMINI~1\NTUSER.DAT
2007-06-17 10:30 <DIR> dr-h----- C:\DOKUME~1\ADMINI~1\Anwendungsdaten
2007-06-17 10:30 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Startmen
2007-06-17 10:30 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Vorlagen
2007-06-17 10:30 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Netzwerkumgebung
2007-06-17 10:30 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Lokale Einstellungen
2007-06-17 10:30 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Druckumgebung
2007-06-17 10:30 <DIR> d-------- C:\DOKUME~1\ADMINI~1\Favoriten
2007-06-17 10:11 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-06-16 22:36 <DIR> d-------- C:\DOKUME~1\PETER&~1\DoctorWeb
2007-06-15 16:07 <DIR> d-------- C:\Programme\Lavasoft
2007-06-15 16:07 <DIR> d-------- C:\DOKUME~1\PETER&~1\ANWEND~1\Lavasoft
2007-06-15 16:06 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-06-13 18:57 <DIR> d-------- C:\WINDOWS\SxsCaPendDel
2007-06-13 08:07 24,643 --------- C:\WINDOWS\system32\khfggge.dll
2007-06-10 02:16 <DIR> d-------- C:\WINDOWS\pss
2007-06-07 18:52 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2007-05-21 21:41 <DIR> d--hs---- C:\FOUND.000
2007-05-17 22:07 3,006,464 --------- C:\WINDOWS\UNNeroShowTime.exe


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-05-11 18:42:36 -------- d-----w C:\Programme\appleJuice
2007-05-07 13:08:10 -------- d-----w C:\DOKUME~1\PETER&~1\ANWEND~1\Thunderbird
2007-05-07 13:08:02 -------- d-----w C:\Programme\Mozilla Thunderbird
2007-04-30 18:32:32 -------- d-----w C:\Programme\Lavalys
2007-04-23 14:25:30 -------- d-----w C:\Programme\ICQLite
2007-04-23 14:25:30 -------- d-----w C:\DOKUME~1\PETER&~1\ANWEND~1\ICQLite
2007-04-13 19:02:02 71,168 ----a-w C:\WINDOWS\RAUNINST.EXE
2007-04-12 12:53:42 0 ----a-w C:\WINDOWS\nsreg.dat
2007-04-11 16:27:54 48,156 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-04-11 16:27:54 316,594 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-04-11 16:06:44 0 --sha-r C:\MSDOS.SYS
2007-04-11 16:06:44 0 --sha-r C:\IO.SYS
2007-04-11 16:06:44 0 ----a-w C:\CONFIG.SYS
2007-04-11 16:06:44 0 ----a-w C:\AUTOEXEC.BAT
2007-04-11 16:03:10 21,740 ----a-w C:\WINDOWS\system32\emptyregdb.dat


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}=C:\WINDOWS\system32\khfggge.dll [2007-06-13 08:07]
{AA58ED58-01DD-4d91-8333-CF10577473F7}=c:\programme\google\googletoolbar1.dll [2007-04-12 14:48]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PRISMSVR.EXE"="C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.exe" [2004-04-26 14:26]
"Cmaudio"="cmicnfg.cpl" []
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-23 20:59]
"SunJavaUpdateSched"="C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe" [2003-11-19 17:48]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 12:00]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-03-30 13:34]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"="C:\WINDOWS\system32\khfggge.dll" [2007-06-13 08:07]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\khfggge]
khfggge.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk
backup=C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"C:\Programme\ICQLite\ICQLite.exe" -minimize


**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-17 20:22:47
Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Files hidden from API:
C:\WINDOWS\Pr„riewind.bmp
C:\WINDOWS\F„cher.bmp

Completion time: 2007-06-17 20:24:11 - machine was rebooted
C:\ComboFix2.txt ... 2007-06-17 11:07
C:\ComboFix-quarantined-files.txt ... 2007-06-17 20:23

--- E O F ---
hoffe ist jetzt alles richtig!?

Anhang: PETER.txt

__________
Intel Core 2Duo 2,2GHz,2GB Ram
Nvidia GForce 8600M GS
Seitenanfang Seitenende
17.06.2007, 20:52
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#6 Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\khfggge.dll
O20 - Winlogon Notify: khfggge - C:\WINDOWS\SYSTEM32\khfggge.dll

klicke: Fix checked

Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

C:\Qoobox – loeschen und Papierkorb leeren

Download OTMoveIt zum Desktop
Oeffne:OTMoveIt.exe
Kopiere (selektiere en klick Ctrl-C) alle unterstehende

C:\WINDOWS\SYSTEM32\khfggge.dll

im linken Fenster ,wo steht "Paste List of Files/Folders to be moved"
Klicke auf den Roten MoveIt! knopf
Wenn das Tool fertig ist wird ein log erstellt (*******_******.log *steht fuer datum und zeit
In Datei C:\_OTMoveIt\MovedFiles\
Mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Argus
Seitenanfang Seitenende
17.06.2007, 21:21
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#7 Dein Java software ist veraltet,download jre-6-windows-i586.exe
Srcolle runter nach "Java Runtime Environment (JRE) 6u1
The Java SE Runtime Environment (JRE) allows end-users to run Java applications.
Klicke auf "Download"
Setze in haeckchen bei "Accept License Agreement".
Klicke “Windows Offline Installation, Multi-language” um
“jre-6-windows-i586.exe”zum Desktop zu installieren
Schliesse alle Programme auch dein Webbrowser
Ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Und entferne alle aeltere versionen von Java Runtime Environment (JRE of J2SE)
Nachdem alles entfernt wurde,Rechner neu starten
Installiere jetzt vom Desktop aus “jre-6-windows-i586.exe”

Antivir
Stelle Antivir so ein wie hier beschrieben http://board.protecus.de/t23979.htm
__________
MfG Argus
Seitenanfang Seitenende
17.06.2007, 21:35
Piodre
Member

Themenstarter

Beiträge: 25
#8 bin jetzt beim kopieren der dateien jedoch bekomme ich sie nicht bei Movelt eingefügt,was mache ich falsch!?
__________
Intel Core 2Duo 2,2GHz,2GB Ram
Nvidia GForce 8600M GS
Seitenanfang Seitenende
17.06.2007, 21:47
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#9 Was ich oben geschrieben habe
C:\WINDOWS\SYSTEM32\khfggge.dll von links nach rechts mit der Maus mit der linken Maustaste drüber streichen,Rechtsklick und abkopieren
dan zum OTMoveIt rechermausklick und einfügen


__________
MfG Argus
Seitenanfang Seitenende
17.06.2007, 22:05
Piodre
Member

Themenstarter

Beiträge: 25
#10 So dumm bin ich auch net,genau das versuche ich die ganze Zeit aber das "Einfügen "wird nicht dunkel und einfach rüberziehen macht er auch net!?

siehe screenshot als Anhang

Anhang: Dok1.doc

__________
Intel Core 2Duo 2,2GHz,2GB Ram
Nvidia GForce 8600M GS
Seitenanfang Seitenende
17.06.2007, 22:08
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#11 Download KillAFile by Marckie,zum Desktop

Packe die Datei aus,und speichere sie in einem Ordner auf deinem Desktop.
Öffne den Ordner KillAFile
mach einen Doppelklick auf die Datei kill.bat.
Wähle die Option 2: "replace a file on reboot".
Wenn du die Meldung bekommst "Insert full path and filename to delete and then press enter"
schreibst/Kopierst du rein: C:\WINDOWS\SYSTEM32\khfggge.dll
Wenn die Datei anwesend ist kommt eine Meldung um alle offene Fenster zu schliessen,
und dass der Rechner neu starten wird(reboot)
__________
MfG Argus
Seitenanfang Seitenende
17.06.2007, 22:11
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#12 Und wenn das auch nicht geht benutze Killbox http://www.virus-protect.org/killbox.html
__________
MfG Argus
Seitenanfang Seitenende
17.06.2007, 22:28
Piodre
Member

Themenstarter

Beiträge: 25
#13 bei killbox:standard file kill?wenn ja sagt er:this file could not be deleted.
kopieren ging wieder nicht hab´s jetzt reingeschrieben.verzweifel langsam..
__________
Intel Core 2Duo 2,2GHz,2GB Ram
Nvidia GForce 8600M GS
Seitenanfang Seitenende
17.06.2007, 22:39
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#14 1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als ComboFix-Do.txt mit 'Speichern unter' auf dem Desktop.
Gebe bei Dateityp 'Alle Dateien' an.
Du solltest jetzt auf dem Desktop diese Datei finden.

File::
C:\WINDOWS\SYSTEM32\khfggge.dll

2.
Sleppe diese Datei zum ComboFix.exe(sehe Bild)
ComboFix wird jetzt starten und die Daten ausfuehren
Nach neustart des Rechners,poste das log von ComboFix
und ein log von Hijack This


__________
MfG Argus
Seitenanfang Seitenende
17.06.2007, 23:02
Piodre
Member

Themenstarter

Beiträge: 25
#15 Logfile of HijackThis v1.99.1
Scan saved at 22:59:52, on 17.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Peter&Helena\Desktop\hijackthis\HJT.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://deutsch.eazel.com/index.php?rvs=hompag
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\khfggge.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: khfggge - C:\WINDOWS\SYSTEM32\khfggge.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
ComboFix 07-06-13.3 - C:\Dokumente und Einstellungen\Peter
"Peter&Helena" - 2007-06-17 22:52:09 - Service Pack 2


(((((((((((((((((((((((((((((((((((((((((((( V Log )))))))))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\rstwa.tmp
C:\WINDOWS\system32\rstwa.ini
C:\WINDOWS\system32\rstwa.bak1
C:\WINDOWS\system32\rstwa.ini2
C:\WINDOWS\system32\awtsr.dll


* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *



((((((((((((((((((((((((( Files Created from 2007-05-17 to 2007-06-17 )))))))))))))))))))))))))))))))


2007-06-17 22:21 <DIR> d-------- C:\!KillBox
2007-06-17 10:35 <DIR> d-------- C:\WINDOWS\CSC
2007-06-17 10:30 524,288 --ah----- C:\DOKUME~1\ADMINI~1\NTUSER.DAT
2007-06-17 10:30 <DIR> dr-h----- C:\DOKUME~1\ADMINI~1\Anwendungsdaten
2007-06-17 10:30 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Startmen
2007-06-17 10:30 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Vorlagen
2007-06-17 10:30 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Netzwerkumgebung
2007-06-17 10:30 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Lokale Einstellungen
2007-06-17 10:30 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Druckumgebung
2007-06-17 10:30 <DIR> d-------- C:\DOKUME~1\ADMINI~1\Favoriten
2007-06-17 10:11 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-06-16 22:36 <DIR> d-------- C:\DOKUME~1\PETER&~1\DoctorWeb
2007-06-15 16:07 <DIR> d-------- C:\Programme\Lavasoft
2007-06-15 16:07 <DIR> d-------- C:\DOKUME~1\PETER&~1\ANWEND~1\Lavasoft
2007-06-15 16:06 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-06-13 18:57 <DIR> d-------- C:\WINDOWS\SxsCaPendDel
2007-06-13 08:07 24,643 --------- C:\WINDOWS\system32\khfggge.dll
2007-06-10 02:16 <DIR> d-------- C:\WINDOWS\pss
2007-06-07 18:52 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2007-05-21 21:41 <DIR> d--hs---- C:\FOUND.000
2007-05-17 22:07 3,006,464 --------- C:\WINDOWS\UNNeroShowTime.exe


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-05-11 18:42:36 -------- d-----w C:\Programme\appleJuice
2007-05-07 13:08:10 -------- d-----w C:\DOKUME~1\PETER&~1\ANWEND~1\Thunderbird
2007-05-07 13:08:02 -------- d-----w C:\Programme\Mozilla Thunderbird
2007-04-30 18:32:32 -------- d-----w C:\Programme\Lavalys
2007-04-23 14:25:30 -------- d-----w C:\Programme\ICQLite
2007-04-23 14:25:30 -------- d-----w C:\DOKUME~1\PETER&~1\ANWEND~1\ICQLite
2007-04-13 19:02:02 71,168 ----a-w C:\WINDOWS\RAUNINST.EXE
2007-04-12 12:53:42 0 ----a-w C:\WINDOWS\nsreg.dat
2007-04-11 16:27:54 48,156 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-04-11 16:27:54 316,594 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-04-11 16:06:44 0 --sha-r C:\MSDOS.SYS
2007-04-11 16:06:44 0 --sha-r C:\IO.SYS
2007-04-11 16:06:44 0 ----a-w C:\CONFIG.SYS
2007-04-11 16:06:44 0 ----a-w C:\AUTOEXEC.BAT
2007-04-11 16:03:10 21,740 ----a-w C:\WINDOWS\system32\emptyregdb.dat


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}=C:\WINDOWS\system32\khfggge.dll [2007-06-13 08:07]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.6.0_01\bin\ssv.dll [2007-03-14 03:43]
{AA58ED58-01DD-4d91-8333-CF10577473F7}=c:\programme\google\googletoolbar1.dll [2007-04-12 14:48]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PRISMSVR.EXE"="C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.exe" [2004-04-26 14:26]
"Cmaudio"="cmicnfg.cpl" []
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-23 20:59]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 12:00]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-03-30 13:34]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"="C:\WINDOWS\system32\khfggge.dll" [2007-06-13 08:07]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\khfggge]
khfggge.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk
backup=C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"C:\Programme\ICQLite\ICQLite.exe" -minimize


**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-17 22:54:28
Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Files hidden from API:
C:\WINDOWS\Pr„riewind.bmp
C:\WINDOWS\F„cher.bmp

Completion time: 2007-06-17 22:55:47 - machine was rebooted
C:\ComboFix3.txt ... 2007-06-17 11:07
C:\ComboFix-quarantined-files.txt ... 2007-06-17 22:55
C:\ComboFix2.txt ... 2007-06-17 20:24

--- E O F ---
__________
Intel Core 2Duo 2,2GHz,2GB Ram
Nvidia GForce 8600M GS
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 12