Ich werde den Trojaner Rootkit.Win32.Agent nicht los!!! |
||
---|---|---|
#0
| ||
22.06.2007, 09:44
Member
Beiträge: 14 |
||
|
||
22.06.2007, 11:36
Moderator
Beiträge: 7805 |
#2
Starte bitte den Rechner neu, renne die Internetverbindung, deaktiviere den Kaspersky Hintergrundwaechter und bennene folgende Dateien um:
2007-06-22 06:48 22,296 --a------ C:\WINDOWS\system32\qmjlenci.exe 2007-06-20 06:20 5,322 --a------ C:\WINDOWS\system32\ielog.dll 2007-06-20 06:20 22,296 --a------ C:\WINDOWS\system32\qmfmakbm.exe 2007-06-20 05:52 22,296 --a------ C:\WINDOWS\system32\qmbhdahl.exe 2007-06-19 15:31 22,296 --a------ C:\WINDOWS\system32\qmgaelpn.exe 2007-06-19 15:07 47,849 --a------ C:\WINDOWS\system32\cjpeg.exe 2007-06-19 15:04 82,258 --a------ C:\WINDOWS\system32\drivers\klin.dat 2007-06-19 15:04 82,258 --a------ C:\WINDOWS\system32\drivers\klick.dat 2007-06-15 21:43 4,096 --a------ C:\WINDOWS\system32\43547032ld.exe 2007-04-23 13:13:34 3,144,800 ----a-w C:\WINDOWS\ftxlke.pif 2007-04-19 13:25:20 16 ----a-w C:\WINDOWS\hpsys.dat 2007-04-18 16:57:58 0 ----a-w C:\WINDOWS\cdi1okj.dll Erstelle nun alle Reporte neu! Starte den PC erneut, aktiviere den Kasperskyhintergrundwaechter und und poste die neu erstellten Reporte. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
22.06.2007, 11:50
Member
Themenstarter Beiträge: 14 |
#3
In was soll ich die Dateien umbennen?
|
|
|
||
22.06.2007, 11:52
Moderator
Beiträge: 7805 |
#4
Schneide einfach den letzten Buchstaben ab. Das reicht vollkommen.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
22.06.2007, 12:10
Member
Themenstarter Beiträge: 14 |
#5
Den letzen Buchstaben des Dateinamen oder der Dateierweiterung? Oder egal?
|
|
|
||
22.06.2007, 12:11
Moderator
Beiträge: 7805 |
#6
Im Zweifelsfalle die der Dateierweiterung. Damit du versehentliches Starten ausschliessen kannst.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
22.06.2007, 15:18
Member
Themenstarter Beiträge: 14 |
#7
So, auf ein Neues:
Kaspersky: Virensuche ---------- Untersucht: 199401 Gefunden: 1 Nicht bearbeitet: 1 Start: 22.06.2007 12:18:22 Dauer: 02:14:08 Ende: 22.06.2007 14:32:30 Gefunden -------- Status Objekt ------ ------ gefunden: trojanisches Programm Rootkit.Win32.Agent.ey Datei: C:\WINDOWS\system32\drivers\runtime2.sys Combo: ComboFix 07-06-18.2 - I:\Antiviren\ComboFix.exe "Benning" - 2007-06-22 14:35:00 - Service Pack 2 NTFS ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\system32\drivers\runtime2.sys ((((((((((((((((((((((((( Files Created from 2007-05-22 to 2007-06-22 ))))))))))))))))))))))))))))))) 2007-06-22 12:18 82,258 --a------ C:\WINDOWS\system32\drivers\klin.dat 2007-06-22 12:18 82,258 --a------ C:\WINDOWS\system32\drivers\klick.dat 2007-06-22 08:07 <DIR> d-------- C:\WINDOWS\system32\LogFiles 2007-06-22 07:50 <DIR> d-------- C:\Programme\HJT 2007-06-22 07:32 49,152 --a------ C:\WINDOWS\nircmd.exe 2007-06-19 15:04 9,248 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat 2007-06-19 15:04 3,370,784 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat 2007-06-19 15:04 <DIR> d----c--- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Kaspersky Lab 2007-06-19 15:02 <DIR> d-------- C:\Programme\Kaspersky 2007-06-01 11:58 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Application 2007-06-01 11:58 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ankiro 2007-06-01 11:58 <DIR> d-------- C:\DOKUME~1\Benning\ANWEND~1\SPAMfighter 2007-06-01 11:57 <DIR> d-------- C:\Programme\SPAMfighter 2007-05-31 09:57 <DIR> d-------- C:\WINDOWS\pss 2007-05-25 10:34 0 --a------ C:\WINDOWS\ogx5r1bglo.dat 2007-05-24 15:56 16 --a------ C:\WINDOWS\hfs.dat 2007-05-22 20:30 <DIR> d-------- C:\DOKUME~1\Benning\ANWEND~1\ICQ Toolbar (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-06-22 10:00:45 -------- d-----w C:\DOKUME~1\Benning\ANWEND~1\Skype 2007-05-31 15:37:43 63,580 ----a-w C:\WINDOWS\system32\perfc007.dat 2007-05-31 15:37:43 391,000 ----a-w C:\WINDOWS\system32\perfh007.dat 2007-05-31 12:54:59 -------- d-----w C:\Programme\EA SPORTS 2007-05-23 17:31:25 -------- d-----w C:\Programme\MSN Messenger 2007-05-20 18:45:41 16 ----a-w C:\WINDOWS\fdd.dat 2007-05-20 18:45:28 4 ----a-w C:\WINDOWS\system32\panmavic.dat 2007-05-16 11:55:18 16 ----a-w C:\WINDOWS\gdf.dat 2007-05-14 13:19:46 44 ----a-w C:\WINDOWS\system32\p2hhr.bat 2007-05-11 13:36:13 0 ----a-w C:\WINDOWS\vg8iqb.dll 2007-05-07 14:57:34 1,098,648 ----a-w C:\WINDOWS\system32\FreeImage.dll 2007-05-06 15:24:40 -------- d-----w C:\DOKUME~1\Benning\ANWEND~1\SopCast 2007-04-23 13:13:34 3,144,800 ----a-w C:\WINDOWS\ftxl.pif ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] {055FD26D-3A88-4e15-963D-DC8493744B1D}=F:\Programme\ICQToolbar\toolbaru.dll [2006-12-25 10:40] {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx [2001-03-02 13:02] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.5.0_06\bin\ssv.dll [2005-11-10 13:22] {9030D464-4C02-4ABF-8ECC-5164760863C6}=C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2006-07-07 12:29] {9CB65201-89C4-402c-BA80-02D8C59F9B1D}=C:\Programme\AskTBar\SrchAstt\2.bin\A5SRCHAS.DLL [2007-04-08 19:27] {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0}=C:\Programme\Windows Live Toolbar\msntb.dll [2006-10-11 00:26] {FE063DB1-4EC0-403e-8DD8-394C54984B2C}=C:\Programme\AskTBar\bar\2.bin\ASKTBAR.DLL [2007-04-08 19:27] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "zBrowser Launcher"="C:\Programme\Logitech\iTouch\iTouch.exe" [2004-03-18 10:33] "Logitech Utility"="Logi_MwX.Exe" [2003-12-17 10:50 C:\WINDOWS\LOGI_MWX.EXE] "nwiz"="nwiz.exe" [2004-08-25 11:14 C:\WINDOWS\system32\nwiz.exe] "Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 17:10 C:\WINDOWS\system32\Hdaudpropshortcut.exe] "SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 13:03] "SsAAD.exe"="C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe" [2005-06-03 08:16] "iSaverCtrl"="C:\Programme\iSaver\iSaverCtrl.exe" [2005-01-19 17:32] "ICQ Lite"="F:\Programme\ICQLite\ICQLite.exe" [2007-05-25 11:05] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-02-20 21:51] "SPAMfighter Agent"="C:\Programme\SPAMfighter\SFAgent.exe" [2007-05-07 16:57] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Spamihilator"="F:\Anti-Viren\Spamihilator\spamihilator.exe" [2007-01-24 15:49] "Skype"="F:\Programme\Phone\Skype.exe" [2006-08-14 18:39] "MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-05-25 10:33] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce] "ICQ Lite"=F:\Programme\ICQLite\ICQLite.exe -trayboot [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{C7F76815-E647-4BCE-B21A-600CE626E5D8}"="C:\WINDOWS\system32\nvstatld.dll" [] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\brwmgr] brwmgr32.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jfgmgr] jfgmgr32.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\panmavic] C:\WINDOWS\system32\panmavic.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\slbipsch] C:\WINDOWS\system32\slbipsch.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\swfmgr] swfmgr32.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vadmgr] vadmgr32.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wmvmgr] wmvmgr32.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "appinit_dlls"=C:\PROGRA~1\KASPER~1\adialhk.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\asedwes] C:\WINDOWS\system32\winvnkfi.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cpssystem] C:\WINDOWS\system32\smdlsset.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cxsemse] C:\WINDOWS\system32\winvnkfi.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools] "F:\Programme\DAEMON Tools\daemon.exe" -lang 1033 [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dllcvss] C:\WINDOWS\system32\winvnkfi.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dlmicss] C:\WINDOWS\system32\netwsmlx.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\expcrt] C:\WINDOWS\system32\liscrts.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\idmlcs] C:\WINDOWS\system32\rdlnldxc.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\idmlssp] C:\WINDOWS\system32\winvnkfi.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\jfgdiag] C:\WINDOWS\system32\jfgconf.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\kbdmisd] reghpveg.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MnEx32] C:\WINDOWS\system32\svhst32.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\playscl] C:\WINDOWS\system32\rdlnldxc.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\sdkeylib] C:\WINDOWS\system32\sedkeyss.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\smiproc] C:\WINDOWS\system32\ldmprocs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swfdiag] C:\WINDOWS\system32\swfconf.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] Usnsvc usnsvc [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{67389be4-64bd-11d9-84ae-00112f436c7d}] AutoRun\command- I:\RunGame.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b5e50f10-808e-11da-84e1-00112f436c7d}] AutoRun\command- K:\setupSNK.exe Contents of the 'Scheduled Tasks' folder 2006-11-07 13:42:14 C:\WINDOWS\tasks\Auf Updates für Windows Live Toolbar prüfen.job 2006-12-13 21:06:23 C:\WINDOWS\tasks\PMCS_Wakeup633016443835000000.job ************************************************************************** catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-06-22 14:46:52 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-06-22 14:50:16 - machine was rebooted C:\ComboFix-quarantined-files.txt ... 2007-06-22 14:50 C:\ComboFix2.txt ... 2007-06-22 07:45 --- E O F --- Hijackthis: Logfile of HijackThis v1.99.1 Scan saved at 15:02:58, on 22.06.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\WgaTray.exe C:\WINDOWS\Explorer.EXE C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\SPAMfighter\SFAgent.exe F:\Anti-Viren\Spamihilator\spamihilator.exe C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe C:\Programme\HJT\HJT.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.prosieben.de/index.php?icqpath=icq R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Programme\ICQToolbar\toolbaru.dll R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\2.bin\A5SRCHAS.DLL O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - F:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\2.bin\A5SRCHAS.DLL O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Programme\AskTBar\bar\2.bin\ASKTBAR.DLL O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Programme\AskTBar\bar\2.bin\ASKTBAR.DLL O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe O4 - HKLM\..\Run: [iSaverCtrl] C:\Programme\iSaver\iSaverCtrl.exe --startup O4 - HKLM\..\Run: [ICQ Lite] "F:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programme\SPAMfighter\SFAgent.exe" update delay 60 O4 - HKCU\..\Run: [Spamihilator] "F:\Anti-Viren\Spamihilator\spamihilator.exe" O4 - HKCU\..\Run: [Skype] "F:\Programme\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] F:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: E-Mail.lnk = ? O8 - Extra context menu item: &ICQ Toolbar Search - res://F:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky\ie_banner_deny.htm O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?75754a8224e249b69d68a587f1133849 O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?75754a8224e249b69d68a587f1133849 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky\scieplugin.dll O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1109106664421 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{69EB38F6-8031-4B7A-B556-5073E5680793}: NameServer = 192.168.200.1,192.186.200.100 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\adialhk.dll O20 - Winlogon Notify: brwmgr - brwmgr32.dll (file missing) O20 - Winlogon Notify: jfgmgr - jfgmgr32.dll (file missing) O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O20 - Winlogon Notify: panmavic - C:\WINDOWS\system32\panmavic.dll (file missing) O20 - Winlogon Notify: slbipsch - C:\WINDOWS\system32\slbipsch.dll (file missing) O20 - Winlogon Notify: swfmgr - swfmgr32.dll (file missing) O20 - Winlogon Notify: vadmgr - vadmgr32.dll (file missing) O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O20 - Winlogon Notify: wmvmgr - wmvmgr32.dll (file missing) O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe (file missing) O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky\avp.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe Datfind: Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: A427-EBFB Verzeichnis von C:\WINDOWS\system32 22.06.2007 07:41 2.206 wpa.dbl 22.06.2007 06:48 5.322 ielog.dll 22.06.2007 06:48 47.849 cjpeg.exe 22.06.2007 06:48 4.626 nvapps.xml 20.06.2007 06:20 22.296 qmjlenci.exe 19.06.2007 15:31 22.296 qmfmakbm.exe 19.06.2007 15:31 22.296 qmbhdahl.exe 19.06.2007 15:18 22.296 qmgaelpn.exe 15.06.2007 21:43 4.096 43547032ld.exe 31.05.2007 17:37 391.000 perfh007.dat 31.05.2007 17:37 380.350 perfh009.dat 31.05.2007 17:37 52.764 perfc009.dat 31.05.2007 17:37 63.580 perfc007.dat 31.05.2007 17:37 897.954 PerfStringBackup.INI 28.05.2007 16:09 16 owbc6.tlt 28.05.2007 16:07 4 mklvcv.gfx 20.05.2007 20:45 4 panmavic.dat 17.05.2007 19:19 124.688 MSWINSCK.OCX 14.05.2007 15:19 44 p2hhr.bat 14.05.2007 15:01 16 owbc3.tlt 12.05.2007 17:49 428.424 dfg32.tmp 07.05.2007 16:57 1.098.648 FreeImage.dll 29.04.2007 18:12 7.006 jupdate-1.5.0_06-b05.log 02.04.2007 14:21 428.032 swreg.exe 2299 Datei(en) 482.103.011 Bytes 0 Verzeichnis(se), 12.124.622.848 Bytes frei . . . Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: A427-EBFB Verzeichnis von C:\DOKUME~1\Benning\LOKALE~1\Temp 22.06.2007 08:02 112.634 datfind.txt 22.06.2007 07:52 206 jusched.log 22.06.2007 07:46 10.641 log.txt 3 Datei(en) 123.481 Bytes 0 Verzeichnis(se), 12.124.639.232 Bytes frei . . . Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: A427-EBFB Verzeichnis von C:\WINDOWS 22.06.2007 07:40 0 0.log 22.06.2007 07:40 159 wiadebug.log 22.06.2007 07:40 50 wiaservc.log 22.06.2007 07:40 2.048 bootstat.dat 22.06.2007 07:38 1.230.542 WindowsUpdate.log 20.06.2007 15:32 917.062 ntbtlog.txt 20.06.2007 06:30 7.191 setupapi.log 19.06.2007 12:04 65 iTouch.ini 17.06.2007 18:31 10 458149045 05.06.2007 05:24 87.552 catchme.exe 01.06.2007 19:31 155 winamp.ini 01.06.2007 19:31 69 NeroDigital.ini 31.05.2007 10:23 120 setupact.log 31.05.2007 09:59 227 SYSTEM.INI 31.05.2007 09:59 650 win.ini 30.05.2007 16:58 0 setuperr.log 25.05.2007 11:05 0 jwteqqqur9.scf 25.05.2007 10:34 0 ogx5r1bglo.dat 25.05.2007 10:33 0 a3ape60pk.scf 24.05.2007 17:02 0 utulq46.bmp 24.05.2007 15:56 16 hfs.dat 24.05.2007 15:56 0 kodf.wd44et 20.05.2007 20:48 0 kodf.w44et 20.05.2007 20:45 16 fdd.dat 17.05.2007 15:19 0 vadcfg.tmp 16.05.2007 14:45 0 jpgcfg.tmp 16.05.2007 13:55 0 kodf.w4et 16.05.2007 13:55 16 gdf.dat 14.05.2007 15:24 0 drvcfg.tmp 12.05.2007 19:33 0 jhhfst.tmp 11.05.2007 15:36 0 vg8iqb.dll 11.05.2007 14:17 0 bopcfg.tmp 11.05.2007 14:17 0 anscfg.tmp 29.04.2007 12:53 0 qeuvv3de.tmp 28.04.2007 21:02 0 kodf.w2v 27.04.2007 22:29 0 wmvcfg.tmp 24.04.2007 15:30 0 j03aiuqf.txt 23.04.2007 15:13 3.144.800 ftxlke.pif 19.04.2007 15:25 16 hpsys.dat 18.04.2007 19:47 0 fp1g9aq.scf 18.04.2007 18:57 0 cdi1okj.dll 18.04.2007 18:56 3.144.800 fmd63i.ini 18.04.2007 18:36 0 kodf.wav 08.04.2007 19:39 316.640 WMSysPr9.prx 08.04.2007 17:05 0 shsdmmo.scf 08.04.2007 17:03 3.144.800 lx1k01.txt 280 Datei(en) 43.923.580 Bytes 0 Verzeichnis(se), 12.124.622.848 Bytes frei . . . Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: A427-EBFB Verzeichnis von C:\WINDOWS\temp 22.06.2007 07:46 373 WGANotify.settings 1 Datei(en) 373 Bytes 0 Verzeichnis(se), 12.124.622.848 Bytes frei . . . Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: A427-EBFB Verzeichnis von C:\WINDOWS\Downloaded Program Files 09.11.2006 15:36 5.019 swflash.inf 27.02.2005 12:11 2.072 vscanmsx.dat 23.02.2005 02:00 32 virscant.dat 23.02.2005 02:00 1.993.732 virscan9.dat 23.02.2005 02:00 2.390 catalog.dat 23.02.2005 02:00 1.246.508 virscan8.dat 23.02.2005 02:00 6.899 ecbootil.vxd 23.02.2005 02:00 1.907.527 virscan7.dat 23.02.2005 02:00 210.552 ecmsvr32.dll 23.02.2005 02:00 381.027 virscan6.dat 23.02.2005 02:00 202.761 virscan5.dat 23.02.2005 02:00 124.576 naveng32.dll 23.02.2005 02:00 685.728 navex32a.dll 23.02.2005 02:00 316.532 virscan4.dat 23.02.2005 02:00 87.264 scrauth.dat 23.02.2005 02:00 257.707 tcscan9.dat 23.02.2005 02:00 8.137 symaveng.cat 23.02.2005 02:00 900 symaveng.inf 23.02.2005 02:00 10.127 tcdefs.dat 23.02.2005 02:00 465.033 tcscan7.dat 23.02.2005 02:00 71.116 tcscan8.dat 23.02.2005 02:00 224 zdone.dat 23.02.2005 02:00 453 tinf.dat 23.02.2005 02:00 148 tinfidx.dat 23.02.2005 02:00 1.957 tinfl.dat 23.02.2005 02:00 38.189 tscan1.dat 23.02.2005 02:00 1.237 tscan1hd.dat 23.02.2005 02:00 5.516 v.grd 23.02.2005 02:00 2.225 v.sig 23.02.2005 02:00 106.244 virscan.inf 23.02.2005 02:00 915.530 virscan1.dat 23.02.2005 02:00 551.322 virscan2.dat 23.02.2005 02:00 144.704 virscan3.dat 18.02.2005 16:14 161.432 rufsi.dll 18.02.2005 16:11 198.256 avsniffdlgs.dll 18.02.2005 16:11 202.352 avsniff.dll 18.02.2005 16:09 241 CabSA.inf 18.02.2005 16:09 773 avsniff.inf 18.02.2005 16:07 201.896 navapi32.dll 18.02.2005 16:07 6.850 navapi.vxd 18.02.2005 16:06 42.112 ecmldr32.dll 22.12.2004 14:49 65 desktop.ini 03.08.2004 15:51 293 wuweb.inf 43 Datei(en) 10.567.658 Bytes 0 Verzeichnis(se), 12.124.622.848 Bytes frei Anhang: Bericht Combo neu.txt
|
|
|
||
22.06.2007, 15:50
Moderator
Beiträge: 7805 |
#8
Hake in Hijackthis bitte folgendes an und druecke fix checked:
O20 - Winlogon Notify: brwmgr - brwmgr32.dll (file missing) O20 - Winlogon Notify: jfgmgr - jfgmgr32.dll (file missing) O20 - Winlogon Notify: panmavic - C:\WINDOWS\system32\panmavic.dll (file missing) O20 - Winlogon Notify: slbipsch - C:\WINDOWS\system32\slbipsch.dll (file missing) O20 - Winlogon Notify: swfmgr - swfmgr32.dll (file missing) O20 - Winlogon Notify: vadmgr - vadmgr32.dll (file missing) O20 - Winlogon Notify: wmvmgr - wmvmgr32.dll (file missing) O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe (file missing) Starte neu und schaue, ob die Eintraege wirklich verschwunden sind. Danach loesche alle Dateien, die du umbenennen solltest, oder wenn du kannst, packe sie vorher mit Winrar/Winzip und schicke sie an die Adresse virus@protecus.de . Loesche auch c:\windows\lx1k01.txt Danach bitte ein neuen Datfind Report posten. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
22.06.2007, 16:10
Member
Themenstarter Beiträge: 14 |
#9
Vielen Dank erstmal für deine Hilfe. Muss gleich weg und komme erst Anfang der Woche dazu, mich weiter um das Problem zu kümmern. Ich werde mich dann Montag oder Dienstag hier wieder melden.
Bis dann Bluebird |
|
|
||
26.06.2007, 08:07
Member
Themenstarter Beiträge: 14 |
#10
Guten Morgen zusammen!
Anbei nun der neue Datfind Report sowie der HijackThis Report. Anzumerken wäre noch ,dass der Ordner "system32" unter C:\Windows nicht zu sehen ist (auch wenn Haken bei "alle Ordner sichtbar machen" gesetzt). Habe dann einfach in der Titelleiste "C:\Windows\system32" eingegeben, dann hat es geklappt. Sorgt der Trojaner für derartige Merkwürdigkeiten? Datfind: Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: A427-EBFB Verzeichnis von C:\WINDOWS\system32 26.06.2007 07:29 4.626 nvapps.xml 26.06.2007 07:29 2.206 wpa.dbl 31.05.2007 17:37 380.350 perfh009.dat 31.05.2007 17:37 52.764 perfc009.dat 31.05.2007 17:37 391.000 perfh007.dat 31.05.2007 17:37 63.580 perfc007.dat 31.05.2007 17:37 897.954 PerfStringBackup.INI 28.05.2007 16:09 16 owbc6.tlt 28.05.2007 16:07 4 mklvcv.gfx 20.05.2007 20:45 4 panmavic.dat 17.05.2007 19:19 124.688 MSWINSCK.OCX 14.05.2007 15:19 44 p2hhr.bat 14.05.2007 15:01 16 owbc3.tlt 12.05.2007 17:49 428.424 dfg32.tmp 07.05.2007 16:57 1.098.648 FreeImage.dll 29.04.2007 18:12 7.006 jupdate-1.5.0_06-b05.log 02.04.2007 14:21 428.032 swreg.exe 14.03.2007 19:19 95.864 NeroCo.dll 2292 Datei(en) 481.956.560 Bytes 0 Verzeichnis(se), 12.113.768.448 Bytes frei . . . Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: A427-EBFB Verzeichnis von C:\DOKUME~1\Benning\LOKALE~1\Temp 26.06.2007 07:43 112.288 datfind.txt 26.06.2007 07:39 618 jusched.log 22.06.2007 14:50 9.638 log.txt 3 Datei(en) 122.544 Bytes 0 Verzeichnis(se), 12.113.784.832 Bytes frei . . . Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: A427-EBFB Verzeichnis von C:\WINDOWS 26.06.2007 07:25 0 0.log 26.06.2007 07:24 50 wiaservc.log 26.06.2007 07:24 159 wiadebug.log 26.06.2007 07:24 2.048 bootstat.dat 26.06.2007 07:23 1.234.082 WindowsUpdate.log 20.06.2007 15:32 917.062 ntbtlog.txt 20.06.2007 06:30 7.191 setupapi.log 19.06.2007 12:04 65 iTouch.ini 17.06.2007 18:31 10 458149045 05.06.2007 05:24 87.552 catchme.exe 01.06.2007 19:31 155 winamp.ini 01.06.2007 19:31 69 NeroDigital.ini 31.05.2007 10:23 120 setupact.log 31.05.2007 09:59 227 SYSTEM.INI 31.05.2007 09:59 650 win.ini 30.05.2007 16:58 0 setuperr.log 25.05.2007 11:05 0 jwteqqqur9.scf 25.05.2007 10:34 0 ogx5r1bglo.dat 25.05.2007 10:33 0 a3ape60pk.scf 24.05.2007 17:02 0 utulq46.bmp 24.05.2007 15:56 16 hfs.dat 24.05.2007 15:56 0 kodf.wd44et 20.05.2007 20:48 0 kodf.w44et 20.05.2007 20:45 16 fdd.dat 17.05.2007 15:19 0 vadcfg.tmp 16.05.2007 14:45 0 jpgcfg.tmp 16.05.2007 13:55 0 kodf.w4et 16.05.2007 13:55 16 gdf.dat 14.05.2007 15:24 0 drvcfg.tmp 12.05.2007 19:33 0 jhhfst.tmp 11.05.2007 15:36 0 vg8iqb.dll 11.05.2007 14:17 0 anscfg.tmp 11.05.2007 14:17 0 bopcfg.tmp 29.04.2007 12:53 0 qeuvv3de.tmp 28.04.2007 21:02 0 kodf.w2v 27.04.2007 22:29 0 wmvcfg.tmp 24.04.2007 15:30 0 j03aiuqf.txt 18.04.2007 19:47 0 fp1g9aq.scf 18.04.2007 18:56 3.144.800 fmd63i.ini 18.04.2007 18:36 0 kodf.wav 08.04.2007 19:39 316.640 WMSysPr9.prx 08.04.2007 17:05 0 shsdmmo.scf 276 Datei(en) 37.637.504 Bytes 0 Verzeichnis(se), 12.113.768.448 Bytes frei . . . Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: A427-EBFB Verzeichnis von C:\WINDOWS\temp 26.06.2007 07:34 373 WGANotify.settings 26.06.2007 07:24 0 WGAErrLog.txt 2 Datei(en) 373 Bytes 0 Verzeichnis(se), 12.113.768.448 Bytes frei . . . Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: A427-EBFB Verzeichnis von C:\WINDOWS\Downloaded Program Files 09.11.2006 15:36 5.019 swflash.inf 27.02.2005 12:11 2.072 vscanmsx.dat 23.02.2005 02:00 32 virscant.dat 23.02.2005 02:00 1.993.732 virscan9.dat 23.02.2005 02:00 2.390 catalog.dat 23.02.2005 02:00 1.246.508 virscan8.dat 23.02.2005 02:00 6.899 ecbootil.vxd 23.02.2005 02:00 1.907.527 virscan7.dat 23.02.2005 02:00 210.552 ecmsvr32.dll 23.02.2005 02:00 381.027 virscan6.dat 23.02.2005 02:00 202.761 virscan5.dat 23.02.2005 02:00 124.576 naveng32.dll 23.02.2005 02:00 685.728 navex32a.dll 23.02.2005 02:00 316.532 virscan4.dat 23.02.2005 02:00 87.264 scrauth.dat 23.02.2005 02:00 257.707 tcscan9.dat 23.02.2005 02:00 8.137 symaveng.cat 23.02.2005 02:00 900 symaveng.inf 23.02.2005 02:00 10.127 tcdefs.dat 23.02.2005 02:00 465.033 tcscan7.dat 23.02.2005 02:00 71.116 tcscan8.dat 23.02.2005 02:00 224 zdone.dat 23.02.2005 02:00 453 tinf.dat 23.02.2005 02:00 148 tinfidx.dat 23.02.2005 02:00 1.957 tinfl.dat 23.02.2005 02:00 38.189 tscan1.dat 23.02.2005 02:00 1.237 tscan1hd.dat 23.02.2005 02:00 5.516 v.grd 23.02.2005 02:00 2.225 v.sig 23.02.2005 02:00 106.244 virscan.inf 23.02.2005 02:00 915.530 virscan1.dat 23.02.2005 02:00 551.322 virscan2.dat 23.02.2005 02:00 144.704 virscan3.dat 18.02.2005 16:14 161.432 rufsi.dll 18.02.2005 16:11 198.256 avsniffdlgs.dll 18.02.2005 16:11 202.352 avsniff.dll 18.02.2005 16:09 241 CabSA.inf 18.02.2005 16:09 773 avsniff.inf 18.02.2005 16:07 201.896 navapi32.dll 18.02.2005 16:07 6.850 navapi.vxd 18.02.2005 16:06 42.112 ecmldr32.dll 22.12.2004 14:49 65 desktop.ini 03.08.2004 15:51 293 wuweb.inf 43 Datei(en) 10.567.658 Bytes 0 Verzeichnis(se), 12.113.768.448 Bytes frei . HijackThis: Logfile of HijackThis v1.99.1 Scan saved at 07:35:28, on 26.06.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\WgaTray.exe C:\WINDOWS\Explorer.EXE C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\SPAMfighter\SFAgent.exe C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe C:\WINDOWS\system32\msiexec.exe C:\Programme\HJT\HJT.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.prosieben.de/index.php?icqpath=icq R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Programme\ICQToolbar\toolbaru.dll R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\2.bin\A5SRCHAS.DLL O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - F:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\2.bin\A5SRCHAS.DLL O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Programme\AskTBar\bar\2.bin\ASKTBAR.DLL O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Programme\AskTBar\bar\2.bin\ASKTBAR.DLL O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe O4 - HKLM\..\Run: [iSaverCtrl] C:\Programme\iSaver\iSaverCtrl.exe --startup O4 - HKLM\..\Run: [ICQ Lite] "F:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programme\SPAMfighter\SFAgent.exe" update delay 60 O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [Spamihilator] "F:\Anti-Viren\Spamihilator\spamihilator.exe" O4 - HKCU\..\Run: [Skype] "F:\Programme\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] F:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: E-Mail.lnk = ? O8 - Extra context menu item: &ICQ Toolbar Search - res://F:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky\ie_banner_deny.htm O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?75754a8224e249b69d68a587f1133849 O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?75754a8224e249b69d68a587f1133849 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky\scieplugin.dll O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1109106664421 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{69EB38F6-8031-4B7A-B556-5073E5680793}: NameServer = 192.168.200.1,192.186.200.100 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\adialhk.dll O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe (file missing) O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky\avp.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe Bluebird |
|
|
||
26.06.2007, 08:40
Ehrenmitglied
Beiträge: 6028 |
#11
Entferne auf C:\qoobox\ Papierkorb leeren
Entferne Combofix Download ComboFix zum Desktop Doppelklick combofix.exe Folge den Instruktionen in das Fenster Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner Wenn das Tool fertig ist,oeffnet sich ein logfile(combofix.txt). Kopiere den Inhalt des Berichts C:/Combofix/combofix.txt in dein folgender Bericht __________ MfG Argus |
|
|
||
26.06.2007, 09:05
Member
Themenstarter Beiträge: 14 |
#12
"Benning" - 2007-06-26 8:58:51 - ComboFix 07-06-25.3 - Service Pack 2 NTFS
((((((((((((((((((((((((( Files Created from 2007-05-26 to 2007-06-26 ))))))))))))))))))))))))))))))) 2007-06-22 12:18 82,258 --a------ C:\WINDOWS\system32\drivers\klin.dat 2007-06-22 12:18 82,258 --a------ C:\WINDOWS\system32\drivers\klick.dat 2007-06-22 08:07 <DIR> d-------- C:\WINDOWS\system32\LogFiles 2007-06-22 07:50 <DIR> d-------- C:\Programme\HJT 2007-06-22 07:32 49,152 --a------ C:\WINDOWS\nircmd.exe 2007-06-19 15:04 3,390,496 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat 2007-06-19 15:04 11,808 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat 2007-06-19 15:04 <DIR> d----c--- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Kaspersky Lab 2007-06-19 15:02 <DIR> d-------- C:\Programme\Kaspersky 2007-06-01 11:58 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Application 2007-06-01 11:58 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ankiro 2007-06-01 11:58 <DIR> d-------- C:\DOKUME~1\Benning\ANWEND~1\SPAMfighter 2007-06-01 11:57 <DIR> d-------- C:\Programme\SPAMfighter 2007-05-31 09:57 <DIR> d-------- C:\WINDOWS\pss (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-06-26 05:33:01 -------- d-----w C:\DOKUME~1\Benning\ANWEND~1\Skype 2007-05-31 15:37:43 63,580 ----a-w C:\WINDOWS\system32\perfc007.dat 2007-05-31 15:37:43 391,000 ----a-w C:\WINDOWS\system32\perfh007.dat 2007-05-31 12:54:59 -------- d-----w C:\Programme\EA SPORTS 2007-05-25 08:34:19 0 ----a-w C:\WINDOWS\ogx5r1bglo.dat 2007-05-24 13:56:37 16 ----a-w C:\WINDOWS\hfs.dat 2007-05-23 17:31:25 -------- d-----w C:\Programme\MSN Messenger 2007-05-22 18:30:06 -------- d-----w C:\DOKUME~1\Benning\ANWEND~1\ICQ Toolbar 2007-05-20 18:45:41 16 ----a-w C:\WINDOWS\fdd.dat 2007-05-20 18:45:28 4 ----a-w C:\WINDOWS\system32\panmavic.dat 2007-05-16 11:55:18 16 ----a-w C:\WINDOWS\gdf.dat 2007-05-14 13:19:46 44 ----a-w C:\WINDOWS\system32\p2hhr.bat 2007-05-11 13:36:13 0 ----a-w C:\WINDOWS\vg8iqb.dll 2007-05-07 14:57:34 1,098,648 ----a-w C:\WINDOWS\system32\FreeImage.dll 2007-05-06 15:24:40 -------- d-----w C:\DOKUME~1\Benning\ANWEND~1\SopCast ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] {055FD26D-3A88-4e15-963D-DC8493744B1D}=F:\Programme\ICQToolbar\toolbaru.dll [2006-12-25 10:40] {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx [2001-03-02 13:02] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.5.0_06\bin\ssv.dll [2005-11-10 13:22] {9030D464-4C02-4ABF-8ECC-5164760863C6}=C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2006-07-07 12:29] {9CB65201-89C4-402c-BA80-02D8C59F9B1D}=C:\Programme\AskTBar\SrchAstt\2.bin\A5SRCHAS.DLL [2007-04-08 19:27] {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0}=C:\Programme\Windows Live Toolbar\msntb.dll [2006-10-11 00:26] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "zBrowser Launcher"="C:\Programme\Logitech\iTouch\iTouch.exe" [2004-03-18 10:33] "Logitech Utility"="Logi_MwX.Exe" [2003-12-17 10:50 C:\WINDOWS\LOGI_MWX.EXE] "nwiz"="nwiz.exe" [2004-08-25 11:14 C:\WINDOWS\system32\nwiz.exe] "Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 17:10 C:\WINDOWS\system32\Hdaudpropshortcut.exe] "SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 13:03] "SsAAD.exe"="C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe" [2005-06-03 08:16] "iSaverCtrl"="C:\Programme\iSaver\iSaverCtrl.exe" [2005-01-19 17:32] "ICQ Lite"="F:\Programme\ICQLite\ICQLite.exe" [2007-05-25 11:05] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-02-20 21:51] "SPAMfighter Agent"="C:\Programme\SPAMfighter\SFAgent.exe" [2007-05-07 16:57] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Spamihilator"="F:\Anti-Viren\Spamihilator\spamihilator.exe" [2007-01-24 15:49] "Skype"="F:\Programme\Phone\Skype.exe" [2006-08-14 18:39] "MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-05-25 10:33] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{C7F76815-E647-4BCE-B21A-600CE626E5D8}"="C:\WINDOWS\system32\nvstatld.dll" [] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "appinit_dlls"=C:\PROGRA~1\KASPER~1\adialhk.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\asedwes] C:\WINDOWS\system32\winvnkfi.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cpssystem] C:\WINDOWS\system32\smdlsset.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cxsemse] C:\WINDOWS\system32\winvnkfi.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools] "F:\Programme\DAEMON Tools\daemon.exe" -lang 1033 [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dllcvss] C:\WINDOWS\system32\winvnkfi.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dlmicss] C:\WINDOWS\system32\netwsmlx.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\expcrt] C:\WINDOWS\system32\liscrts.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\idmlcs] C:\WINDOWS\system32\rdlnldxc.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\idmlssp] C:\WINDOWS\system32\winvnkfi.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\jfgdiag] C:\WINDOWS\system32\jfgconf.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\kbdmisd] reghpveg.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MnEx32] C:\WINDOWS\system32\svhst32.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\playscl] C:\WINDOWS\system32\rdlnldxc.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\sdkeylib] C:\WINDOWS\system32\sedkeyss.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\smiproc] C:\WINDOWS\system32\ldmprocs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swfdiag] C:\WINDOWS\system32\swfconf.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] Usnsvc usnsvc [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{67389be4-64bd-11d9-84ae-00112f436c7d}] AutoRun\command- I:\RunGame.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b5e50f10-808e-11da-84e1-00112f436c7d}] AutoRun\command- K:\setupSNK.exe Contents of the 'Scheduled Tasks' folder 2006-11-07 13:42:14 C:\WINDOWS\tasks\Auf Updates für Windows Live Toolbar prüfen.job 2006-12-13 21:06:23 C:\WINDOWS\tasks\PMCS_Wakeup633016443835000000.job ************************************************************************** catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-06-26 09:02:39 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-06-26 9:03:52 C:\ComboFix-quarantined-files.txt ... 2007-06-22 14:50 C:\ComboFix2.txt ... 2007-06-22 14:50 C:\ComboFix3.txt ... 2007-06-22 07:45 --- E O F --- |
|
|
||
26.06.2007, 09:20
Ehrenmitglied
Beiträge: 6028 |
#13
Download OTMoveIt zum Desktop
Oeffne:OTMoveIt.exe Kopiere (selektiere en klick Ctrl-C) alle unterstehende C:\WINDOWS\ogx5r1bglo.dat C:\WINDOWS\system32\panmavic.dat im linken Fenster ,wo steht "Paste List of Files/Folders to be moved" Klicke auf den Roten MoveIt! knopf Wenn das Tool fertig ist wird ein log erstellt (*******_******.log *steht fuer datum und zeit In Datei C:\_OTMoveIt\MovedFiles\ Mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" Diese Ask Jeeves toolbar ist die bewusst installiert? Es soll verbindungen geben schwischen AskTbar und CoolWebSearch __________ MfG Argus |
|
|
||
26.06.2007, 09:38
Member
Themenstarter Beiträge: 14 |
#14
C:\WINDOWS\ogx5r1bglo.dat moved successfully.
C:\WINDOWS\system32\panmavic.dat moved successfully. Created on 06.26.2007 09:36:44 Ask Jeeves ist niocht bewußt installiert, werde ich mal deinstallieren. |
|
|
||
26.06.2007, 09:47
Ehrenmitglied
Beiträge: 6028 |
#15
Entferne auf C:\_OTMoveIt\ Papierkorb leeren
Dein Java software ist veraltet,download jre-6-windows-i586.exe Srcolle runter nach ---->Java Runtime Environment (JRE) 6u1 The Java SE Runtime Environment (JRE) allows end-users to run Java applications. Klicke auf "Download" Setze in haeckchen bei --->"Accept License Agreement". Klicke “Windows Offline Installation, Multi-language” um “jre-6-windows-i586.exe”zum Desktop zu installieren Schliesse alle Programme auch dein Webbrowser Ueber "Start -> Einstellungen -> Systemsteuerung -> Software Und entferne alle aeltere versionen von Java Runtime Environment (JRE of J2SE) Nachdem alles entfernt wurde --->Rechner neu starten Installiere jetzt vom Desktop aus ---> “jre-6-windows-i586.exe” Download SDFix zum Desktop Starte im abgesicherten Modus: http://www.bsi.bund.de/av/texte/wiederher.htm SDFix.zip entpacken unter C:\ findet man nun den SDFix-Ordner Doppelklick RunThis.bat Schreibe: Y folge allen Anweisungen Dann wird der Rechner neustarten SDFix entfernt jetzt die gefundene Objekte Systemwiederherstellung Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. Neu Starten Dann wieder aktivieren __________ MfG Argus |
|
|
||
Ich habe das Problem, dass ich den Trojaner Rootkit.Win32.Agent nicht loswerde. Habe schon alles Mögliche probiert. Antivir, Bitdefender, Kaspersky etc. Nach einem Neustart ist er aber immer wieder da. Hier die Logfiles:
Kaspersky:
Virensuche
----------
Untersucht: 199401
Gefunden: 1
Nicht bearbeitet: 1
Start: 22.06.2007 08:11:23
Dauer: 01:23:36
Ende: 22.06.2007 09:34:59
Gefunden
--------
Status Objekt
------ ------
gefunden: trojanisches Programm Rootkit.Win32.Agent.ey Datei: C:\WINDOWS\system32\drivers\runtime2.sys
Ereignisse
----------
Zeit Name Status Grund
---- ---- ------ -----
Statistik
---------
Objekt Untersucht Gefährliche Objekte Nicht bearbeitet Gelöscht Nach Quarantäne verschoben Archive Gepackte Dateien Kennwortgeschützt Beschädigt
------ ---------- ------------------- ---------------- -------- -------------------------- ------- ---------------- ----------------- ----------
Einstellungen
-------------
Parameter Wert
--------- ----
Sicherheitsstufe Empfohlen
Aktion Nach der Untersuchung erfragen
Startmodus Manuell
Dateitypen Alle Dateien untersuchen
Nur neue und veränderte Dateien untersuchen Nein
Untersuchung von Archiven Alle
Untersuchung von angehängten OLE-Objekten Alle
Nicht untersuchen, wenn Objekt größer als Nein
Nicht untersuchen, wenn Untersuchung länger als Nein
Mailformatdateien untersuchen Nein
Kennwortgeschützte Archive untersuchen Nein
iChecker-Technologie aktivieren Ja
iSwift-Technologie aktivieren Ja
Gefundene gefährliche Objekte auf Registerkarte "Gefunden" anzeigen Ja
Combo:
ComboFix 07-06-18.2 - I:\Antiviren\ComboFix.exe
"Benning" - 2007-06-22 7:33:48 - Service Pack 2 NTFS
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
C:\Programme\winupdates
C:\WINDOWS\system32\4_exception.nls
C:\WINDOWS\system32\drivers\runtime2.sys . . . . failed to delete
C:\WINDOWS\system32\iepref32.dll
C:\WINDOWS\system32\lanmanwrk.exe
C:\WINDOWS\system32\ocxapi.dll
C:\WINDOWS\system32\ocxloader.exe
C:\WINDOWS\system32\qmopt.dll
C:\WINDOWS\wpcjmd.log
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
-------\LEGACY_LANMANDRV
-------\LEGACY_RUNTIME
-------\LEGACY_RUNTIME2
-------\nm
-------\runtime
((((((((((((((((((((((((( Files Created from 2007-05-22 to 2007-06-22 )))))))))))))))))))))))))))))))
2007-06-22 07:32 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-06-22 06:48 22,296 --a------ C:\WINDOWS\system32\qmjlenci.exe
2007-06-20 06:20 5,322 --a------ C:\WINDOWS\system32\ielog.dll
2007-06-20 06:20 22,296 --a------ C:\WINDOWS\system32\qmfmakbm.exe
2007-06-20 05:52 22,296 --a------ C:\WINDOWS\system32\qmbhdahl.exe
2007-06-19 15:31 22,296 --a------ C:\WINDOWS\system32\qmgaelpn.exe
2007-06-19 15:07 47,849 --a------ C:\WINDOWS\system32\cjpeg.exe
2007-06-19 15:04 82,258 --a------ C:\WINDOWS\system32\drivers\klin.dat
2007-06-19 15:04 82,258 --a------ C:\WINDOWS\system32\drivers\klick.dat
2007-06-19 15:04 7,968 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2007-06-19 15:04 3,290,144 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2007-06-19 15:04 <DIR> d----c--- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Kaspersky Lab
2007-06-19 15:02 <DIR> d-------- C:\Programme\Kaspersky
2007-06-15 21:43 4,096 --a------ C:\WINDOWS\system32\43547032ld.exe
2007-06-01 11:58 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Application
2007-06-01 11:58 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ankiro
2007-06-01 11:58 <DIR> d-------- C:\DOKUME~1\Benning\ANWEND~1\SPAMfighter
2007-06-01 11:57 <DIR> d-------- C:\Programme\SPAMfighter
2007-05-31 09:57 <DIR> d-------- C:\WINDOWS\pss
2007-05-25 18:05 39,296 --a------ C:\WINDOWS\system32\drivers\runtime2.sys
2007-05-25 10:34 0 --a------ C:\WINDOWS\ogx5r1bglo.dat
2007-05-24 15:56 16 --a------ C:\WINDOWS\hfs.dat
2007-05-22 20:30 <DIR> d-------- C:\DOKUME~1\Benning\ANWEND~1\ICQ Toolbar
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-06-22 04:50:27 -------- d-----w C:\DOKUME~1\Benning\ANWEND~1\Skype
2007-05-31 15:37:43 63,580 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-05-31 15:37:43 391,000 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-05-31 12:54:59 -------- d-----w C:\Programme\EA SPORTS
2007-05-23 17:31:25 -------- d-----w C:\Programme\MSN Messenger
2007-05-20 18:45:41 16 ----a-w C:\WINDOWS\fdd.dat
2007-05-20 18:45:28 4 ----a-w C:\WINDOWS\system32\panmavic.dat
2007-05-16 11:55:18 16 ----a-w C:\WINDOWS\gdf.dat
2007-05-14 13:19:46 44 ----a-w C:\WINDOWS\system32\p2hhr.bat
2007-05-11 13:36:13 0 ----a-w C:\WINDOWS\vg8iqb.dll
2007-05-07 14:57:34 1,098,648 ----a-w C:\WINDOWS\system32\FreeImage.dll
2007-05-06 15:24:40 -------- d-----w C:\DOKUME~1\Benning\ANWEND~1\SopCast
2007-04-23 13:13:34 3,144,800 ----a-w C:\WINDOWS\ftxlke.pif
2007-04-19 13:25:20 16 ----a-w C:\WINDOWS\hpsys.dat
2007-04-18 16:57:58 0 ----a-w C:\WINDOWS\cdi1okj.dll
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{055FD26D-3A88-4e15-963D-DC8493744B1D}=F:\Programme\ICQToolbar\toolbaru.dll [2006-12-25 10:40]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx [2001-03-02 13:02]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.5.0_06\bin\ssv.dll [2005-11-10 13:22]
{9030D464-4C02-4ABF-8ECC-5164760863C6}=C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2006-07-07 12:29]
{9CB65201-89C4-402c-BA80-02D8C59F9B1D}=C:\Programme\AskTBar\SrchAstt\2.bin\A5SRCHAS.DLL [2007-04-08 19:27]
{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0}=C:\Programme\Windows Live Toolbar\msntb.dll [2006-10-11 00:26]
{FE063DB1-4EC0-403e-8DD8-394C54984B2C}=C:\Programme\AskTBar\bar\2.bin\ASKTBAR.DLL [2007-04-08 19:27]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"zBrowser Launcher"="C:\Programme\Logitech\iTouch\iTouch.exe" [2004-03-18 10:33]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 10:50 C:\WINDOWS\LOGI_MWX.EXE]
"nwiz"="nwiz.exe" [2004-08-25 11:14 C:\WINDOWS\system32\nwiz.exe]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 17:10 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 13:03]
"SsAAD.exe"="C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe" [2005-06-03 08:16]
"iSaverCtrl"="C:\Programme\iSaver\iSaverCtrl.exe" [2005-01-19 17:32]
"ICQ Lite"="F:\Programme\ICQLite\ICQLite.exe" [2007-05-25 11:05]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-02-20 21:51]
"SPAMfighter Agent"="C:\Programme\SPAMfighter\SFAgent.exe" [2007-05-07 16:57]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Spamihilator"="F:\Anti-Viren\Spamihilator\spamihilator.exe" [2007-01-24 15:49]
"Skype"="F:\Programme\Phone\Skype.exe" [2006-08-14 18:39]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-05-25 10:33]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"=F:\Programme\ICQLite\ICQLite.exe -trayboot
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{C7F76815-E647-4BCE-B21A-600CE626E5D8}"="C:\WINDOWS\system32\nvstatld.dll" []
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\brwmgr]
brwmgr32.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jfgmgr]
jfgmgr32.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\panmavic]
C:\WINDOWS\system32\panmavic.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\slbipsch]
C:\WINDOWS\system32\slbipsch.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\swfmgr]
swfmgr32.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vadmgr]
vadmgr32.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wmvmgr]
wmvmgr32.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=C:\PROGRA~1\KASPER~1\adialhk.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\asedwes]
C:\WINDOWS\system32\winvnkfi.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cpssystem]
C:\WINDOWS\system32\smdlsset.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cxsemse]
C:\WINDOWS\system32\winvnkfi.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
"F:\Programme\DAEMON Tools\daemon.exe" -lang 1033
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dllcvss]
C:\WINDOWS\system32\winvnkfi.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dlmicss]
C:\WINDOWS\system32\netwsmlx.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\expcrt]
C:\WINDOWS\system32\liscrts.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\idmlcs]
C:\WINDOWS\system32\rdlnldxc.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\idmlssp]
C:\WINDOWS\system32\winvnkfi.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"C:\Programme\iTunes\iTunesHelper.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\jfgdiag]
C:\WINDOWS\system32\jfgconf.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\kbdmisd]
reghpveg.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MnEx32]
C:\WINDOWS\system32\svhst32.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\playscl]
C:\WINDOWS\system32\rdlnldxc.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Programme\QuickTime\qttask.exe" -atboottime
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\sdkeylib]
C:\WINDOWS\system32\sedkeyss.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\smiproc]
C:\WINDOWS\system32\ldmprocs.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swfdiag]
C:\WINDOWS\system32\swfconf.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Usnsvc usnsvc
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{67389be4-64bd-11d9-84ae-00112f436c7d}]
AutoRun\command- I:\RunGame.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b5e50f10-808e-11da-84e1-00112f436c7d}]
AutoRun\command- K:\setupSNK.exe
Contents of the 'Scheduled Tasks' folder
2006-11-07 13:42:14 C:\WINDOWS\tasks\Auf Updates für Windows Live Toolbar prüfen.job
2006-12-13 21:06:23 C:\WINDOWS\tasks\PMCS_Wakeup633016443835000000.job
**************************************************************************
catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-22 07:41:56
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
Completion time: 2007-06-22 7:45:16 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-06-22 07:45
--- E O F ---
HijackThis:
Logfile of HijackThis v1.99.1
Scan saved at 07:53:06, on 22.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\SPAMfighter\SFAgent.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
C:\Programme\HJT\HJT.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.prosieben.de/index.php?icqpath=icq
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Programme\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\2.bin\A5SRCHAS.DLL
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - F:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\2.bin\A5SRCHAS.DLL
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Programme\AskTBar\bar\2.bin\ASKTBAR.DLL
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Programme\AskTBar\bar\2.bin\ASKTBAR.DLL
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [iSaverCtrl] C:\Programme\iSaver\iSaverCtrl.exe --startup
O4 - HKLM\..\Run: [ICQ Lite] "F:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programme\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKCU\..\Run: [Spamihilator] "F:\Anti-Viren\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [Skype] "F:\Programme\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] F:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: E-Mail.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://F:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?75754a8224e249b69d68a587f1133849
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?75754a8224e249b69d68a587f1133849
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky\scieplugin.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1109106664421
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{69EB38F6-8031-4B7A-B556-5073E5680793}: NameServer = 192.168.200.1,192.186.200.100
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\adialhk.dll
O20 - Winlogon Notify: brwmgr - brwmgr32.dll (file missing)
O20 - Winlogon Notify: jfgmgr - jfgmgr32.dll (file missing)
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: panmavic - C:\WINDOWS\system32\panmavic.dll (file missing)
O20 - Winlogon Notify: slbipsch - C:\WINDOWS\system32\slbipsch.dll (file missing)
O20 - Winlogon Notify: swfmgr - swfmgr32.dll (file missing)
O20 - Winlogon Notify: vadmgr - vadmgr32.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: wmvmgr - wmvmgr32.dll (file missing)
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe (file missing)
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky\avp.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
Datfind:
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: A427-EBFB
Verzeichnis von C:\WINDOWS\system32
22.06.2007 07:41 2.206 wpa.dbl
22.06.2007 06:48 5.322 ielog.dll
22.06.2007 06:48 47.849 cjpeg.exe
22.06.2007 06:48 4.626 nvapps.xml
20.06.2007 06:20 22.296 qmjlenci.exe
19.06.2007 15:31 22.296 qmfmakbm.exe
19.06.2007 15:31 22.296 qmbhdahl.exe
19.06.2007 15:18 22.296 qmgaelpn.exe
15.06.2007 21:43 4.096 43547032ld.exe
31.05.2007 17:37 391.000 perfh007.dat
31.05.2007 17:37 380.350 perfh009.dat
31.05.2007 17:37 52.764 perfc009.dat
31.05.2007 17:37 63.580 perfc007.dat
31.05.2007 17:37 897.954 PerfStringBackup.INI
28.05.2007 16:09 16 owbc6.tlt
28.05.2007 16:07 4 mklvcv.gfx
20.05.2007 20:45 4 panmavic.dat
17.05.2007 19:19 124.688 MSWINSCK.OCX
14.05.2007 15:19 44 p2hhr.bat
14.05.2007 15:01 16 owbc3.tlt
12.05.2007 17:49 428.424 dfg32.tmp
07.05.2007 16:57 1.098.648 FreeImage.dll
29.04.2007 18:12 7.006 jupdate-1.5.0_06-b05.log
02.04.2007 14:21 428.032 swreg.exe
2299 Datei(en) 482.103.011 Bytes
0 Verzeichnis(se), 12.124.622.848 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: A427-EBFB
Verzeichnis von C:\DOKUME~1\Benning\LOKALE~1\Temp
22.06.2007 08:02 112.634 datfind.txt
22.06.2007 07:52 206 jusched.log
22.06.2007 07:46 10.641 log.txt
3 Datei(en) 123.481 Bytes
0 Verzeichnis(se), 12.124.639.232 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: A427-EBFB
Verzeichnis von C:\WINDOWS
22.06.2007 07:40 0 0.log
22.06.2007 07:40 159 wiadebug.log
22.06.2007 07:40 50 wiaservc.log
22.06.2007 07:40 2.048 bootstat.dat
22.06.2007 07:38 1.230.542 WindowsUpdate.log
20.06.2007 15:32 917.062 ntbtlog.txt
20.06.2007 06:30 7.191 setupapi.log
19.06.2007 12:04 65 iTouch.ini
17.06.2007 18:31 10 458149045
05.06.2007 05:24 87.552 catchme.exe
01.06.2007 19:31 155 winamp.ini
01.06.2007 19:31 69 NeroDigital.ini
31.05.2007 10:23 120 setupact.log
31.05.2007 09:59 227 SYSTEM.INI
31.05.2007 09:59 650 win.ini
30.05.2007 16:58 0 setuperr.log
25.05.2007 11:05 0 jwteqqqur9.scf
25.05.2007 10:34 0 ogx5r1bglo.dat
25.05.2007 10:33 0 a3ape60pk.scf
24.05.2007 17:02 0 utulq46.bmp
24.05.2007 15:56 16 hfs.dat
24.05.2007 15:56 0 kodf.wd44et
20.05.2007 20:48 0 kodf.w44et
20.05.2007 20:45 16 fdd.dat
17.05.2007 15:19 0 vadcfg.tmp
16.05.2007 14:45 0 jpgcfg.tmp
16.05.2007 13:55 0 kodf.w4et
16.05.2007 13:55 16 gdf.dat
14.05.2007 15:24 0 drvcfg.tmp
12.05.2007 19:33 0 jhhfst.tmp
11.05.2007 15:36 0 vg8iqb.dll
11.05.2007 14:17 0 bopcfg.tmp
11.05.2007 14:17 0 anscfg.tmp
29.04.2007 12:53 0 qeuvv3de.tmp
28.04.2007 21:02 0 kodf.w2v
27.04.2007 22:29 0 wmvcfg.tmp
24.04.2007 15:30 0 j03aiuqf.txt
23.04.2007 15:13 3.144.800 ftxlke.pif
19.04.2007 15:25 16 hpsys.dat
18.04.2007 19:47 0 fp1g9aq.scf
18.04.2007 18:57 0 cdi1okj.dll
18.04.2007 18:56 3.144.800 fmd63i.ini
18.04.2007 18:36 0 kodf.wav
08.04.2007 19:39 316.640 WMSysPr9.prx
08.04.2007 17:05 0 shsdmmo.scf
08.04.2007 17:03 3.144.800 lx1k01.txt
280 Datei(en) 43.923.580 Bytes
0 Verzeichnis(se), 12.124.622.848 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: A427-EBFB
Verzeichnis von C:\WINDOWS\temp
22.06.2007 07:46 373 WGANotify.settings
1 Datei(en) 373 Bytes
0 Verzeichnis(se), 12.124.622.848 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: A427-EBFB
Verzeichnis von C:\WINDOWS\Downloaded Program Files
09.11.2006 15:36 5.019 swflash.inf
27.02.2005 12:11 2.072 vscanmsx.dat
23.02.2005 02:00 32 virscant.dat
23.02.2005 02:00 1.993.732 virscan9.dat
23.02.2005 02:00 2.390 catalog.dat
23.02.2005 02:00 1.246.508 virscan8.dat
23.02.2005 02:00 6.899 ecbootil.vxd
23.02.2005 02:00 1.907.527 virscan7.dat
23.02.2005 02:00 210.552 ecmsvr32.dll
23.02.2005 02:00 381.027 virscan6.dat
23.02.2005 02:00 202.761 virscan5.dat
23.02.2005 02:00 124.576 naveng32.dll
23.02.2005 02:00 685.728 navex32a.dll
23.02.2005 02:00 316.532 virscan4.dat
23.02.2005 02:00 87.264 scrauth.dat
23.02.2005 02:00 257.707 tcscan9.dat
23.02.2005 02:00 8.137 symaveng.cat
23.02.2005 02:00 900 symaveng.inf
23.02.2005 02:00 10.127 tcdefs.dat
23.02.2005 02:00 465.033 tcscan7.dat
23.02.2005 02:00 71.116 tcscan8.dat
23.02.2005 02:00 224 zdone.dat
23.02.2005 02:00 453 tinf.dat
23.02.2005 02:00 148 tinfidx.dat
23.02.2005 02:00 1.957 tinfl.dat
23.02.2005 02:00 38.189 tscan1.dat
23.02.2005 02:00 1.237 tscan1hd.dat
23.02.2005 02:00 5.516 v.grd
23.02.2005 02:00 2.225 v.sig
23.02.2005 02:00 106.244 virscan.inf
23.02.2005 02:00 915.530 virscan1.dat
23.02.2005 02:00 551.322 virscan2.dat
23.02.2005 02:00 144.704 virscan3.dat
18.02.2005 16:14 161.432 rufsi.dll
18.02.2005 16:11 198.256 avsniffdlgs.dll
18.02.2005 16:11 202.352 avsniff.dll
18.02.2005 16:09 241 CabSA.inf
18.02.2005 16:09 773 avsniff.inf
18.02.2005 16:07 201.896 navapi32.dll
18.02.2005 16:07 6.850 navapi.vxd
18.02.2005 16:06 42.112 ecmldr32.dll
22.12.2004 14:49 65 desktop.ini
03.08.2004 15:51 293 wuweb.inf
43 Datei(en) 10.567.658 Bytes
0 Verzeichnis(se), 12.124.622.848 Bytes frei
.
.
Was muss ich tun, damit dieses lästige Ding endlich weg ist??? Eine Neuinstallation möchte ich umgehen. Habe schon von meinem Provider eine mailversandbeschränkung aufs Auge gedrückt bekommen, weil scheinbar der Trojaner Mails versendet.
Vielen Dank im voraus für eure Hilfe!
Bluebird