PC meines Bruders verseucht, unterschiedliche Problemdateien

#0
23.06.2007, 14:02
Member

Beiträge: 19
#1 Als ich heute den PC meines kleinen Bruders gestartet habe höhrte er garnicht mehr auf zu piepsen, AntiVir fand eine Datei nach der anderen, jedoch ließ sich keine löschen, umbenennen, in Quarantäne verschieben usw. ohne dass sich die MEldung wiederhohlte (demnach habe ich ca. 20 AntiVir Fenster geöffnet während ich dies hier schreibe).

Habe die Liste schonmal abgearbeitet... hier die Logs

Zitat

ComboFix 07-06-18.2 - Eingabefehler: Fr die Dateierweiterung ".vbs" gibt es kein Skriptmodul.
"Joshua" - 2007-06-23 11:41:35 - Service Pack 2 NTFS


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Programme\Gemeinsame Dateien\{38B5D~1
C:\Programme\Gemeinsame Dateien\{F8B5D~1
C:\Programme\Gemeinsame Dateien\{F8B5D~2
C:\Programme\inetget2
C:\Programme\mantec~1


((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\LEGACY_CLIENT_IP-IPX
-------\Client IP-IPX


((((((((((((((((((((((((( Files Created from 2007-05-23 to 2007-06-23 )))))))))))))))))))))))))))))))


2007-06-23 11:20 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-06-22 15:35 206,529 --ahs---- C:\WINDOWS\system32\mcsdvtn.dat
2007-06-22 13:35 13,052 -r-hs---- C:\WINDOWS\system32\nulware.exe
2007-06-22 10:14 <DIR> d-------- C:\WINDOWS\system32\dt
2007-06-21 17:50 <DIR> d-------- C:\Programme\Silkroad
2007-06-18 17:40 <DIR> d-------- C:\Programme\ICQLite
2007-06-15 13:29 94,208 --a------ C:\WINDOWS\system32\China.dll
2007-06-15 13:29 <DIR> d-------- C:\Programme\KalOnlineEngxD
2007-06-13 16:06 <DIR> d-------- C:\Programme\Silkroad Online 2
2007-06-11 19:42 <DIR> d-------- C:\Programme\Steam
2007-06-02 09:55 <DIR> d-------- C:\Programme\Sunbelt Software
2007-05-25 11:54 <DIR> d-------- C:\DOKUME~1\Joshua\ANWEND~1\Klett
2007-05-24 19:27 77,824 --a------ C:\WINDOWS\system32\clahatat.exe
2007-05-24 19:27 <DIR> d-------- C:\WINDOWS\system32\cphlprbo
2007-05-24 18:30 <DIR> d-------- C:\Programme\Gemeinsame Dateien\BOONTY Shared
2007-05-24 18:30 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\BOONTY
2007-05-24 17:04 <DIR> d-------- C:\Programme\TrackMania Nations ESWC


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-23 10:02:50 -------- d-----w C:\DOKUME~1\Joshua\ANWEND~1\AdobeUM
2007-06-22 13:03:42 -------- d-s---w C:\Programme\Xfire
2007-06-22 12:47:13 -------- d-----w C:\DOKUME~1\Joshua\ANWEND~1\Xfire
2007-06-21 12:50:05 -------- d-----w C:\Programme\World of Warcraft
2007-06-18 16:25:08 -------- d-----w C:\DOKUME~1\Joshua\ANWEND~1\Hamachi
2007-06-18 15:51:35 25,544 ----a-w C:\windows\system32\drivers\hamachi.sys
2007-06-16 08:13:21 -------- d-----w C:\DOKUME~1\Joshua\ANWEND~1\teamspeak2
2007-06-15 10:52:34 -------- d-----w C:\Programme\KalOnlinedeng
2007-06-11 17:52:35 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-06-11 17:52:35 -------- d-----w C:\Programme\SEGA
2007-06-11 17:50:11 -------- d-----w C:\Programme\ICQToolbar
2007-06-11 17:48:12 -------- d-----w C:\Programme\EA SPORTS
2007-06-11 17:46:47 -------- d-----w C:\Programme\KalOnlineEng4
2007-06-11 17:33:33 -------- d-----w C:\DOKUME~1\Joshua\ANWEND~1\ICQ
2007-06-11 16:25:39 -------- d-----w C:\Programme\ICQ6
2007-06-09 12:01:27 -------- d-----w C:\Programme\KalOnlinePrivate
2007-06-09 10:37:10 43,520 ----a-w C:\windows\system32\CmdLineExt03.dll
2007-06-09 10:28:08 -------- d-----w C:\DOKUME~1\Joshua\ANWEND~1\OpenOffice.org2
2007-05-30 18:25:02 21,840 ----atw C:\windows\system32\SIntfNT.dll
2007-05-30 18:25:02 17,212 ----atw C:\windows\system32\SIntf32.dll
2007-05-30 18:25:02 12,067 ----atw C:\windows\system32\SIntf16.dll
2007-05-24 14:51:13 -------- d-----w C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
2007-05-12 14:25:19 -------- d-----w C:\Programme\KalOnlineEngnormal
2007-05-12 14:14:37 -------- d-sh--w C:\Programme\outlook
2007-05-12 13:53:55 28,672 ----a-w C:\windows\system32\drivers\CO_Mon.sys
2007-05-12 13:34:37 1,051 --sha-w C:\windows\system32\ttsohcvs.dat
2007-05-12 07:26:30 -------- d-----w C:\Programme\directx
2007-05-11 19:25:12 -------- d-----w C:\Programme\ArtMoney
2007-05-11 11:36:39 -------- d-----w C:\Programme\KalOnlineEng7
2007-05-11 11:35:53 -------- d-----w C:\Programme\KalOnlineEng2
2007-05-11 11:35:09 -------- d-----w C:\Programme\KalOnlineEng
2007-05-06 08:38:47 0 ----a-r C:\logwmemory.bin
2007-04-30 17:14:43 -------- d-----w C:\Programme\Winamp
2007-04-27 12:37:09 -------- d-----w C:\Programme\A Tech Group
2007-04-26 11:55:37 -------- d-----w C:\Programme\BearShare
2007-04-26 08:21:34 72,624 ----a-w C:\windows\system32\drivers\khips.sys
2007-04-26 08:21:30 302,000 ----a-w C:\windows\system32\drivers\fwdrv.sys
2007-04-25 17:25:43 167 ----a-w C:\windows\system32\3144.bat
2007-04-25 17:25:33 32,178 --sh--w C:\Programme\Gemeinsame Dateien\Yazzle1396OinUninstaller.exe
2007-04-25 17:25:24 203,149 ----a-w C:\windows\system32\ap.exe
2007-04-25 17:24:21 32,768 ----a-w C:\windows\system32\setup9x.exe
2007-04-25 17:24:12 62,464 ----a-w C:\windows\system32\bszip.dll
2007-04-25 17:24:07 0 --sh--w C:\windows\system32\tracert.com
2007-04-25 17:24:07 0 --sh--w C:\windows\system32\tasklist.com
2007-04-25 17:24:07 0 --sh--w C:\windows\system32\taskkill.com
2007-04-25 17:24:07 0 --sh--w C:\windows\system32\regedit.com
2007-04-25 17:24:07 0 --sh--w C:\windows\system32\ping.com
2007-04-25 17:24:07 0 --sh--w C:\windows\system32\netstat.com
2007-04-25 17:24:07 0 --sh--w C:\windows\system32\cmd.com
2007-04-25 14:35:49 -------- d-----w C:\Programme\BearShare Applications
2007-04-24 13:36:35 -------- d-----w C:\Programme\KalonlineEng2007
2007-04-20 17:26:38 228,937 ----a-w C:\windows\Alcohol_Toolbar_Uninstaller_4101.exe
2007-04-10 15:55:09 75,194 ----a-w C:\windows\system32\perfc007.dat
2007-04-10 15:55:09 415,800 ----a-w C:\windows\system32\perfh007.dat
2007-03-30 13:44:54 261,480 ----a-w C:\windows\system32\xactengine2_7.dll
2007-03-30 13:43:20 81,768 ----a-w C:\windows\system32\xinput1_3.dll


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2006-01-12 20:38]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.5.0_11\bin\ssv.dll [2006-12-15 04:23]
{8126A4A5-BFD3-46FE-BBDF-BFB5CF78E489}=C:\Programme\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll [2007-04-20 19:26]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-22 11:58]
"nwiz"="nwiz.exe" [2005-12-10 03:06 C:\WINDOWS\system32\nwiz.exe]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:15]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2005-10-24 15:53]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2007-04-25 12:29]
"Steam"="C:\Programme\Steam\Steam.exe" [2007-06-11 19:42]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"=C:\Programme\ICQLite\ICQLite.exe -trayboot

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ntvdscm]
ntvdscm.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\svchostt]
svchostt.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^hamachi.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\hamachi.lnk
backup=C:\windows\pss\hamachi.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Joshua^Startmenü^Programme^Autostart^OpenOffice.org 2.0.lnk]
path=C:\Dokumente und Einstellungen\Joshua\Startmenü\Programme\Autostart\OpenOffice.org 2.0.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 2.0.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare]
"C:\Programme\BearShare\BearShare.exe" /pause

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"C:\Programme\iTunes\iTunesHelper.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Programme\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
C:\Programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"NVSvc"=2 (0x2)
"iPodService"=3 (0x3)
"IDriverT"=3 (0x3)
"StarWindService"=2 (0x2)
"Boonty Games"=3 (0x3)


**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-23 12:02:04
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

? [3468]


scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-06-23 12:06:46 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-06-23 12:06

--- E O F ---

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 14:04:07, on 23.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\windows\explorer.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\windows\system32\rundll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\windows\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Joshua\Desktop\joshi\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Alcohol Toolbar Helper - {8126A4A5-BFD3-46FE-BBDF-BFB5CF78E489} - C:\Programme\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll
O3 - Toolbar: Alcohol Toolbar - {ED4BD629-C1B6-4399-8A34-02CCAA921DC9} - C:\Programme\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C2FB9695-F079-4B33-88AF-9A9476B5595A}: NameServer = 192.168.0.253
O20 - Winlogon Notify: ntvdscm - C:\windows\SYSTEM32\ntvdscm.dll
O20 - Winlogon Notify: svchostt - C:\windows\SYSTEM32\svchostt.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F8B5-DF49

Verzeichnis von C:\windows\system32

23.06.2007 11:40 43.573 nvapps.xml
23.06.2007 10:58 206.529 mcsdvtn.dat
22.06.2007 15:29 8 mcsdvtn.le
22.06.2007 13:36 2.206 wpa.dbl
22.06.2007 13:36 13.052 nulware.exe
09.06.2007 12:37 43.520 CmdLineExt03.dll
30.05.2007 20:25 21.840 SIntfNT.dll
30.05.2007 20:25 17.212 SIntf32.dll
30.05.2007 20:25 12.067 SIntf16.dll
25.05.2007 13:16 18.637 wowexey
24.05.2007 19:27 77.824 clahatat.exe
12.05.2007 15:34 1.051 ttsohcvs.dat
12.05.2007 15:34 8 ttsohcvs.le
25.04.2007 19:25 167 3144.bat
25.04.2007 19:25 203.149 ap.exe
25.04.2007 19:24 32.768 setup9x.exe
25.04.2007 19:24 62.464 bszip.dll
25.04.2007 19:24 0 taskkill.com
25.04.2007 19:24 0 regedit.com
25.04.2007 19:24 0 tasklist.com
25.04.2007 19:24 0 tracert.com
25.04.2007 19:24 0 cmd.com
25.04.2007 19:24 0 ping.com
25.04.2007 19:24 0 netstat.com
10.04.2007 17:55 401.200 perfh009.dat
10.04.2007 17:55 62.480 perfc009.dat
10.04.2007 17:55 415.800 perfh007.dat
10.04.2007 17:55 75.194 perfc007.dat
10.04.2007 17:55 961.856 PerfStringBackup.INI
02.04.2007 14:21 428.032 swreg.exe
30.03.2007 15:44 261.480 xactengine2_7.dll
30.03.2007 15:43 81.768 xinput1_3.dll
15.03.2007 16:57 443.752 d3dx10_33.dll
12.03.2007 16:42 3.495.784 d3dx9_33.dll
12.03.2007 16:42 1.123.696 D3DCompiler_33.dll
05.03.2007 12:42 15.128 x3daudio1_1.dll

2024 Datei(en) 392.503.440 Bytes
0 Verzeichnis(se), 4.763.033.600 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F8B5-DF49

Verzeichnis von C:\DOKUME~1\Joshua\LOKALE~1\Temp

23.06.2007 13:53 98.928 datfind.txt
23.06.2007 12:18 13.692 log.txt
23.06.2007 12:03 0 JET46DC.tmp
3 Datei(en) 112.620 Bytes
0 Verzeichnis(se), 4.763.062.272 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F8B5-DF49

Verzeichnis von C:\windows

23.06.2007 12:11 41 Filzip.ini
23.06.2007 12:06 3.991 WindowsUpdate.log
23.06.2007 12:01 0 0.log
23.06.2007 12:00 2.048 bootstat.dat
23.06.2007 11:59 32.560 SchedLgU.Txt
23.06.2007 11:16 12.533 setupapi.log
23.06.2007 10:47 536.440.832 MEMORY.DMP
18.06.2007 20:16 50 wiaservc.log
18.06.2007 20:16 159 wiadebug.log
13.06.2007 18:38 0 Sti_Trace.log
12.06.2007 15:04 321 system.ini
12.06.2007 15:04 808 win.ini
05.06.2007 05:24 87.552 catchme.exe
03.06.2007 19:10 9 nfsc_patch.ini
30.05.2007 20:30 395 SIERRA.INI
24.04.2007 14:16 26 neosetup.INI
20.04.2007 19:26 228.937 Alcohol_Toolbar_Uninstaller_4101.exe
20.03.2007 15:52 27 BRPP2KA.INI
20.03.2007 15:52 425 BRWMARK.INI

72 Datei(en) 542.372.573 Bytes
0 Verzeichnis(se), 4.763.058.176 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F8B5-DF49

Verzeichnis von C:\windows\temp

.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F8B5-DF49

Verzeichnis von C:\windows\Downloaded Program Files

09.05.2007 01:00 1.484.163 tcscan7.dat
09.05.2007 01:00 32 virscant.dat
09.05.2007 01:00 4.451.221 virscan9.dat
09.05.2007 01:00 1.732.859 virscan8.dat
09.05.2007 01:00 8.430.818 virscan7.dat
09.05.2007 01:00 2.504 catalog.dat
09.05.2007 01:00 390.750 virscan6.dat
09.05.2007 01:00 6.899 ecbootil.vxd
09.05.2007 01:00 3.760.308 virscan5.dat
09.05.2007 01:00 271.992 ecmsvr32.dll
09.05.2007 01:00 320.253 virscan4.dat
09.05.2007 01:00 149.096 virscan3.dat
09.05.2007 01:00 120.440 naveng32.dll
09.05.2007 01:00 902.776 navex32a.dll
09.05.2007 01:00 570.636 virscan2.dat
09.05.2007 01:00 983.932 virscan1.dat
09.05.2007 01:00 106.244 virscan.inf
09.05.2007 01:00 97.744 scrauth.dat
09.05.2007 01:00 2.261 v.sig
09.05.2007 01:00 11.875 symaveng.cat
09.05.2007 01:00 1.061 symaveng.inf
09.05.2007 01:00 191.019 tcdefs.dat
09.05.2007 01:00 224 zdone.dat
09.05.2007 01:00 350.509 tcscan8.dat
09.05.2007 01:00 833.590 tcscan9.dat
09.05.2007 01:00 453 tinf.dat
09.05.2007 01:00 148 tinfidx.dat
09.05.2007 01:00 1.957 tinfl.dat
09.05.2007 01:00 66.670 tscan1.dat
09.05.2007 01:00 3.154 tscan1hd.dat
09.05.2007 01:00 4.778 v.grd

44 Datei(en) 26.763.250 Bytes
0 Verzeichnis(se), 4.763.058.176 Bytes frei
.
.
.
lieg ich recht in der annahme, dass mein Bruder sich sämtliche Dateien runtergeladen hat?
Seitenanfang Seitenende
23.06.2007, 16:55
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 Scanne mit DrWeb http://board.protecus.de/t29350.htm
__________
MfG Argus
Seitenanfang Seitenende
24.06.2007, 14:06
Member

Themenstarter

Beiträge: 19
#3

Zitat

svchostt.dll;C:\WINDOWS\system32;Trojan.KeyLogger.62;Wird nach dem Neustart desinfiziert.;
svchosthk.dll;C:\WINDOWS\system32;Trojan.Peflog.31;Gelöscht.;
srobot.exe;C:\Dokumente und Einstellungen\Joshua\Desktop\lol;Trojan.MulDrop.6961;Gelöscht.;
Run2accountsonPC.exe;C:\Programme\Silkroad;Trojan.SCKeyLog.20;Gelöscht.;
rinst.exe;C:\WINDOWS\system32;Trojan.Peflog.31;Gelöscht.;
PSUpdater2.exe;C:\Programme\KalOnlineEng2;möglicherweise DLOADER.Trojan;Incurable.Moved.;
PSUpdater2.exe;C:\Programme\KalOnlineEng1;möglicherweise DLOADER.Trojan;Incurable.Moved.;
popcaploader.dll;C:\WINDOWS\Downloaded Program Files;Program.PopcapLoader;Incurable.Moved.;
ntvdscm.exe;C:\WINDOWS\system32;Trojan.SCKeyLog.20;Wird nach dem Neustart desinfiziert.;
ntvdscm.dll;C:\WINDOWS\system32;Trojan.SCKeyLog.20;Wird nach dem Neustart desinfiziert.;
Launcher.exe;C:\Programme\KalOnlineEngFoxRevivers;Win32.HLLP.ZloyFly;Gelöscht.;
ExtendLoader.exe;C:\Programme\KalOnlinedeng\KalHackIt;Trojan.SCKeyLog.20;Gelöscht.;
EngineLoader.exe;C:\Programme\KalOnlinedeng\KalHackIt;Trojan.SCKeyLog.20;Gelöscht.;
cssspeedhack.exe;C:\Dokumente und Einstellungen\Joshua\Desktop\all warsow;BackDoor.Generic.986;Gelöscht.;
cssaim.exe;C:\Dokumente und Einstellungen\Joshua\Desktop\all warsow;BackDoor.Generic.986;Gelöscht.;
crackit.exe;C:\Dokumente und Einstellungen\Joshua\Desktop\loooool;Trojan.SCKeyLog.20;Gelöscht.;
crackbot.exe;C:\Dokumente und Einstellungen\Joshua\Desktop\loooool;Trojan.SCKeyLog.20;Gelöscht.;
botenr.exe;C:\WINDOWS\system32;Trojan.Peflog.31;Gelöscht.;
boten.exe;C:\WINDOWS\system32;Trojan.Peflog.31;Gelöscht.;
B2E.temp;C:\Dokumente und Einstellungen\Joshua\Desktop\lol;Trojan.MulDrop.6961;Gelöscht.;
actskn45.ocx;C:\WINDOWS\system32;Trojan.Isbar.439;Gelöscht.;
A0678623.exe;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP292;Trojan.SCKeyLog.20;Gelöscht.;
A0678622.exe;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP292;Win32.HLLP.ZloyFly;Gelöscht.;
A0678621.exe;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP292;Trojan.SCKeyLog.20;Gelöscht.;
A0678620.exe;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP292;Trojan.SCKeyLog.20;Gelöscht.;
A0678619.exe;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP292;Trojan.SCKeyLog.20;Gelöscht.;
A0678618.exe;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP292;Trojan.SCKeyLog.20;Gelöscht.;
A0678617.exe;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP292;Trojan.MulDrop.6961;Gelöscht.;
A0678616.exe;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP292;BackDoor.Generic.986;Gelöscht.;
A0678615.exe;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP292;BackDoor.Generic.986;Gelöscht.;
A0677454.dll;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP292;Trojan.Peflog.156;Gelöscht.;
A0659475.exe;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP292;Trojan.Peflog.31;Gelöscht.;
A0613876.exe;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP286;Adware.IWantSearch;Incurable.Moved.;
A0613875.dll;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP286;Adware.Lucky;Incurable.Moved.;
A0548411.ocx;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP280;Trojan.Isbar.439;Gelöscht.;
A0501448.ocx;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP274;Trojan.Isbar.439;Gelöscht.;
A0498373.exe;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP273;Trojan.DownLoader.21359;Gelöscht.;
A0498372.exe\data003;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP273\A0498372.exe;Trojan.PurityAd;;
A0498372.exe\data002;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP273\A0498372.exe;Adware.MediaTicket;;
A0498372.exe\data001;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP273\A0498372.exe;Adware.ClickSpring;;
A0498372.exe;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP273;Archiv enthält infizierte Objekte;Verschoben.;
A0498370.exe\data003;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP273\A0498370.exe;Adware.ClickSpring;;
A0498370.exe\data002;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP273\A0498370.exe;Adware.MediaTicket;;
A0498370.exe\data001;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP273\A0498370.exe;Adware.ClickSpring;;
A0498370.exe;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP273;Archiv enthält infizierte Objekte;Verschoben.;
A0498369.exe;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP273;Trojan.KeyLogger.61;Gelöscht.;
A0498368.exe;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP273;Trojan.KeyLogger.61;Gelöscht.;
A0498367.exe;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP273;Trojan.KeyLogger.61;Gelöscht.;
A0498366.exe;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP273;Trojan.DownLoader.21359;Gelöscht.;
A0498365.exe;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP273;Program.Vskeylogger;Incurable.Moved.;
A0498363.exe;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP273;Trojan.MulDrop.6161;Gelöscht.;
A0498362.exe;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP273;Trojan.MulDrop.6161;Gelöscht.;
A0498357.exe;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP273;Trojan.MulDrop.6162;Gelöscht.;
A0498356.exe;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP273;Program.Vskeylogger;Incurable.Moved.;
A0498355.exe;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP273;Trojan.KeyLogger.61;Gelöscht.;
A0498354.exe;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP273;Trojan.KeyLogger.61;Gelöscht.;
A0498353.exe;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP273;Trojan.KeyLogger.61;Gelöscht.;
A0498352.exe;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP273;Trojan.KeyLogger.61;Gelöscht.;
A0498344.exe;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP273;Program.Vskeylogger;Incurable.Moved.;
A0491298.exe;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP268;Trojan.DownLoader.21359;Gelöscht.;
A0484246.exe;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP267;Trojan.DownLoader.21359;Gelöscht.;
A0480246.exe;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP267;Trojan.DownLoader.21359;Gelöscht.;
A0476247.exe;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP267;Trojan.DownLoader.21359;Gelöscht.;
A0463237.exe;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP266;Trojan.DownLoader.21359;Gelöscht.;
A0453237.exe;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP266;Trojan.DownLoader.21359;Gelöscht.;
A0450234.exe;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP266;Trojan.DownLoader.21359;Gelöscht.;
A0446234.exe;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP266;Trojan.DownLoader.21359;Gelöscht.;
A0438234.exe;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP266;Trojan.DownLoader.21359;Gelöscht.;
A0436252.dll;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP265;Adware.Softomate;Incurable.Moved.;
A0432234.exe;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP265;Trojan.DownLoader.21359;Gelöscht.;
A0423234.exe;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP265;Trojan.DownLoader.21359;Gelöscht.;
A0413234.exe;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP265;Trojan.DownLoader.21359;Gelöscht.;
A0410234.exe;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP265;Trojan.DownLoader.21359;Gelöscht.;
A0408235.exe;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP265;Trojan.DownLoader.21359;Gelöscht.;
A0404234.exe;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP265;Trojan.DownLoader.21359;Gelöscht.;
A0400236.exe;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP265;Trojan.DownLoader.21359;Gelöscht.;
A0394234.exe;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP265;Trojan.DownLoader.21359;Gelöscht.;
A0388236.exe;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP265;Adware.ClickSpring;Incurable.Moved.;
A0388233.exe;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP265;Trojan.DownLoader.21359;Gelöscht.;
A0377234.exe;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP265;Trojan.DownLoader.21359;Gelöscht.;
A0364074.DLL;C:\System Volume Information\_restore{C3044E8B-1D18-41CC-8B36-950D5C6A4006}\RP255;Tool.Hatkeys;Incurable.Moved.;
und der HijackThis log:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 14:09:23, on 24.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\windows\Explorer.EXE
C:\Programme\ICQ6\ICQ.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\windows\system32\NOTEPAD.EXE
C:\windows\system32\wuauclt.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Joshua\Desktop\joshi\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Alcohol Toolbar Helper - {8126A4A5-BFD3-46FE-BBDF-BFB5CF78E489} - C:\Programme\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll
O3 - Toolbar: Alcohol Toolbar - {ED4BD629-C1B6-4399-8A34-02CCAA921DC9} - C:\Programme\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C2FB9695-F079-4B33-88AF-9A9476B5595A}: NameServer = 192.168.0.253
O20 - Winlogon Notify: ntvdscm - ntvdscm.dll (file missing)
O20 - Winlogon Notify: svchostt - svchostt.dll (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
Seitenanfang Seitenende
24.06.2007, 14:22
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 Schliesse alle Fenster und starte Hijack This
Klicke;)o a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O20 - Winlogon Notify: ntvdscm - ntvdscm.dll (file missing)
O20 - Winlogon Notify: svchostt - svchostt.dll (file missing)

klicke:Fix checked

Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Loeschen und Papierkorb leeren
C:\Qoobox

Download
CleanUp
Anleitung: http://www.virus-protect.org/cleanup.html
Wenn man CleanUp weiter benutzen will das haeckchen bei “Delete Prefetch files” entfernen

AVG Anti Spyware 7.5
http://board.protecus.de/t29853.htm

Dein Java software ist veraltet,download jre-6-windows-i586.exe
Srcolle runter nach ---->Java Runtime Environment (JRE) 6u1
The Java SE Runtime Environment (JRE) allows end-users to run Java applications.
Klicke auf "Download"
Setze in haeckchen bei --->"Accept License Agreement".
Klicke “Windows Offline Installation, Multi-language” um
“jre-6-windows-i586.exe”zum Desktop zu installieren
Schliesse alle Programme auch dein Webbrowser
Ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Und entferne alle aeltere versionen von Java Runtime Environment (JRE of J2SE)
Nachdem alles entfernt wurde --->Rechner neu starten
Installiere jetzt vom Desktop aus ---> “jre-6-windows-i586.exe”
__________
MfG Argus
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: