Vundo.Gen kann ich nicht löschen |
||
---|---|---|
#0
| ||
26.06.2007, 14:37
...neu hier
Beiträge: 7 |
||
|
||
26.06.2007, 14:47
Moderator
Beiträge: 7805 |
#2
Poste bitte noch ein Combofix und Datfind Report und nutze ATFCleaner: http://board.protecus.de/t23188.htm
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
26.06.2007, 14:52
...neu hier
Themenstarter Beiträge: 7 |
#3
ComboFix 07-06-18.2
"Eugster" - 2007-06-26 14:44:01 - Service Pack 2 NTFS (((((((((((((((((((((((((((((((((((((((((((( V Log ))))))))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\system32\nmllm.bak1 C:\WINDOWS\system32\nmllm.bak2 C:\WINDOWS\system32\nmllm.ini C:\WINDOWS\system32\nmllm.ini2 C:\WINDOWS\system32\nmllm.tmp C:\WINDOWS\system32\nmllm.bak1 C:\WINDOWS\system32\nmllm.bak2 C:\WINDOWS\system32\nmllm.ini C:\WINDOWS\system32\nmllm.ini2 C:\WINDOWS\system32\nmllm.tmp C:\WINDOWS\system32\mllmn.dll * * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * ((((((((((((((((((((((((( Files Created from 2007-05-26 to 2007-06-26 ))))))))))))))))))))))))))))))) 2007-06-26 14:43 49,152 --a------ C:\WINDOWS\nircmd.exe 2007-06-26 14:17 128,576 --a------ C:\WINDOWS\system32\vohjnvrl.dll 2007-06-26 14:14 66,112 --a------ C:\WINDOWS\system32\srmrtafy.dll 2007-06-26 07:50 476,320 --------- C:\WINDOWS\system32\ImagXpr7.dll 2007-06-26 07:50 471,040 --------- C:\WINDOWS\system32\ImagXRA7.dll 2007-06-26 07:50 38,912 --------- C:\WINDOWS\system32\picn20.dll 2007-06-26 07:50 364,544 --------- C:\WINDOWS\system32\TwnLib4.dll 2007-06-26 07:50 262,144 --------- C:\WINDOWS\system32\ImagXR7.dll 2007-06-26 07:50 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe 2007-06-26 07:50 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll 2007-06-26 07:50 1,568,768 --------- C:\WINDOWS\system32\ImagX7.dll 2007-06-26 07:50 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ahead 2007-06-26 07:50 <DIR> d-------- C:\Programme\Ahead 2007-06-26 07:29 4,672 --a------ C:\WINDOWS\system32\iyxmqduy.exe 2007-06-25 17:19 31,254 --a------ C:\WINDOWS\system32\qomnnop.dll 2007-06-19 15:47 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys 2007-06-19 15:47 <DIR> d-------- C:\DOKUME~1\Eugster\ANWEND~1\Canon 2007-06-19 15:46 69,632 --a------ C:\WINDOWS\system32\CNQU112.DLL 2007-06-19 15:46 69,632 --a------ C:\WINDOWS\system32\CNQA2410.dll 2007-06-19 15:46 262,144 --a------ C:\WINDOWS\system32\CNQL2410.dll 2007-06-19 15:46 <DIR> d--h----- C:\CanoScan 2007-06-19 15:27 <DIR> d-------- C:\Programme\Canon 2007-05-31 11:34 <DIR> d-------- C:\Programme\ZiLOG (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-06-26 05:34:21 -------- d-----w C:\DOKUME~1\Eugster\ANWEND~1\Ahead 2007-06-19 13:46:35 -------- d--h--w C:\Programme\InstallShield Installation Information 2007-05-31 12:51:22 17,464 ----a-w C:\WINDOWS\system32\drivers\nvcw32mf.sys 2007-05-16 15:11:44 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll 2007-05-09 14:29:27 -------- d-----w C:\DOKUME~1\Eugster\ANWEND~1\Help 2007-05-03 07:04:27 -------- d-----r C:\DOKUME~1\Eugster\ANWEND~1\Brother 2007-05-03 05:42:16 -------- d-----w C:\Programme\Gemeinsame Dateien\Brother 2007-05-03 05:42:12 -------- d-----w C:\Programme\Brother 2007-04-25 14:22:27 144,896 ----a-w C:\WINDOWS\system32\schannel.dll 2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll 2007-04-16 20:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll 2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll 2007-04-16 20:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll 2007-04-16 20:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll 2007-04-16 20:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll 2007-04-16 20:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll 2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe 2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll 2007-03-26 05:26:48 78,368 ----a-w C:\WINDOWS\system32\perfc007.dat 2007-03-26 05:26:48 443,116 ----a-w C:\WINDOWS\system32\perfh007.dat ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx [2001-04-16 16:39] {1F6581D5-AA53-4b73-A6F9-41420C6B61F1}=C:\WINDOWS\system32\srmrtafy.dll [2007-06-26 14:14] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.6.0_01\bin\ssv.dll [2007-03-14 03:43] {9DB64C21-2793-48A6-B598-0A6E3190AB97}=C:\WINDOWS\system32\qomnnop.dll [2007-06-25 17:19] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43] "SoundMAXPnP"="C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-06-30 14:33] "SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2004-07-07 15:56] "Norman ZANDA"="C:\Norman\Npm\bin\ZLH.exe" [2007-04-27 13:54] "TrueImageMonitor.exe"="C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" [2005-09-20 18:22] "Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2005-09-20 18:22] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{9DB64C21-2793-48A6-B598-0A6E3190AB97}"="C:\WINDOWS\system32\qomnnop.dll" [2007-06-25 17:19] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\qomnnop] qomnnop.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Authentication Packages msv1_0 relog_ap ************************************************************************** catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-06-26 14:48:14 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-06-26 14:50:05 - machine was rebooted C:\ComboFix-quarantined-files.txt ... 2007-06-26 14:50 --- E O F --- /////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////// . . Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten . . Datentr„ger in Laufwerk C: ist Programme Volumeseriennummer: A00F-4753 Verzeichnis von C:\WINDOWS\system32 26.06.2007 14:48 2.206 wpa.dbl 26.06.2007 14:46 915.950 lrvnjhov.ini 26.06.2007 14:17 128.576 vohjnvrl.dll 26.06.2007 14:14 66.112 srmrtafy.dll 26.06.2007 07:29 4.672 iyxmqduy.exe 25.06.2007 17:26 0 mcrh.tmp 25.06.2007 17:19 31.254 qomnnop.dll 19.06.2007 15:29 169.896 FNTCACHE.DAT 06.06.2007 08:38 15.747.032 MRT.exe 23.05.2007 09:55 4.254 jupdate-1.6.0_01-b06.log 16.05.2007 17:11 683.520 inetcomm.dll 08.05.2007 10:59 3.583.488 mshtml.dll 25.04.2007 16:22 144.896 schannel.dll 25.04.2007 09:42 822.784 wininet.dll 25.04.2007 09:42 232.960 webcheck.dll 25.04.2007 09:42 1.152.000 urlmon.dll 25.04.2007 09:42 670.720 mstime.dll 25.04.2007 09:42 102.400 occache.dll 25.04.2007 09:42 105.984 url.dll 25.04.2007 09:42 193.024 msrating.dll 25.04.2007 09:42 477.696 mshtmled.dll 25.04.2007 09:41 52.224 msfeedsbs.dll 25.04.2007 09:41 459.264 msfeeds.dll 25.04.2007 09:41 27.648 jsproxy.dll 25.04.2007 09:41 1.824.768 inetcpl.cpl 25.04.2007 09:41 267.776 iertutil.dll 25.04.2007 09:41 6.058.496 ieframe.dll 25.04.2007 09:41 44.544 iernonce.dll 25.04.2007 09:41 384.512 iedkcs32.dll 25.04.2007 09:41 383.488 ieapfltr.dll 25.04.2007 09:41 153.088 ieakeng.dll 25.04.2007 09:41 124.928 advpack.dll 25.04.2007 09:41 132.608 extmgr.dll 25.04.2007 09:41 230.400 ieaksie.dll 24.04.2007 16:26 13.824 ieudinit.exe 24.04.2007 11:58 56.832 ie4uinit.exe 24.04.2007 09:34 161.792 ieakui.dll 18.04.2007 18:13 2.854.400 msi.dll 17.04.2007 11:32 2.455.488 ieapfltr.dat 16.04.2007 22:47 33.624 wups.dll 16.04.2007 22:47 30.040 wuapi.dll.mui 16.04.2007 22:47 30.040 wuaucpl.cpl.mui 16.04.2007 22:45 1.710.936 wuaueng.dll 16.04.2007 22:45 549.720 wuapi.dll 16.04.2007 22:45 325.976 wucltui.dll 16.04.2007 22:45 216.408 wuaucpl.cpl 16.04.2007 22:45 203.096 wuweb.dll 16.04.2007 22:45 92.504 cdm.dll 16.04.2007 22:45 43.352 wups2.dll 16.04.2007 22:45 20.824 wuaueng.dll.mui 16.04.2007 22:45 53.080 wuauclt.exe 16.04.2007 22:44 34.136 wucltui.dll.mui 16.04.2007 17:53 1.058.304 kernel32.dll 02.04.2007 14:21 428.032 swreg.exe 26.03.2007 07:26 428.032 perfh009.dat 26.03.2007 07:26 443.116 perfh007.dat 26.03.2007 07:26 66.434 perfc009.dat 26.03.2007 07:26 78.368 perfc007.dat 26.03.2007 07:26 1.029.844 PerfStringBackup.INI 23.03.2007 06:07 1.683.280 XpsSvcs.dll 23.03.2007 06:07 583.504 XPSSHHDR.dll 22.03.2007 20:25 124.928 prntvpt.dll 17.03.2007 15:44 293.376 winsrv.dll 15.03.2007 09:22 9.132 jupdate-1.5.0_10-b03.log 14.03.2007 17:12 30 brss01a.ini 14.03.2007 17:12 184 brsvc01a.bsi 14.03.2007 14:28 5.574 HLDRV.LOG 14.03.2007 13:58 304.640 hlvdd.dll 14.03.2007 09:47 122.142 TZLog.log 14.03.2007 02:04 139.264 javaws.exe 14.03.2007 02:04 69.632 javacpl.cpl 14.03.2007 00:31 135.168 javaw.exe 14.03.2007 00:31 135.168 java.exe 13.03.2007 18:02 579 $winnt$.inf 13.03.2007 17:58 2.951 CONFIG.NT 13.03.2007 17:58 16.832 amcompat.tlb 13.03.2007 17:58 23.392 nscompat.tlb 13.03.2007 17:57 488 WindowsLogon.manifest 13.03.2007 17:57 488 logonui.exe.manifest 13.03.2007 17:57 749 ncpa.cpl.manifest 13.03.2007 17:57 749 sapi.cpl.manifest 13.03.2007 17:57 749 cdplayer.exe.manifest 13.03.2007 17:57 749 wuaucpl.cpl.manifest 13.03.2007 17:57 749 nwc.cpl.manifest 13.03.2007 17:56 21.740 emptyregdb.dat 13.03.2007 17:54 0 h323log.txt 09.03.2007 13:51 270.336 xpsp3res.dll 08.03.2007 17:36 579.072 user32.dll 08.03.2007 17:36 40.960 mf3216.dll 08.03.2007 17:36 281.600 gdi32.dll 08.03.2007 17:32 1.843.712 win32k.sys 28.02.2007 18:02 2.138.624 ntoskrnl.exe 28.02.2007 18:02 2.018.304 ntkrnlpa.exe 15.02.2007 19:01 337.280 WgaTray.exe Genügt das? Vielen Dank |
|
|
||
26.06.2007, 14:56
Moderator
Beiträge: 7805 |
#4
Etwas hat Combofix ja schon bereinigt.
Ich habe dir untern eine Datei angehaengt, kopiere sie bitte in den Ordner, wo sich auch die Comboofix Datei befindet und ziehe diese Datei auf die Combofix.exe und lasse sie dort "fallen". Danach bitte neu starten und ein neues Hijackthis und Combofix report erstellen und posten. Es waere hilfreich, wenn du den ganzen Ordner c:\Qoobox packen und an virus@protecus.de schicken koenntest Anhang: ComboFix-Do.txt __________ MfG Ralf SEO-Spam Hunter |
|
|
||
26.06.2007, 15:16
...neu hier
Themenstarter Beiträge: 7 |
#5
ComboFix 07-06-18.2 - D:\Virusschutz\ComboFix.exe
"Eugster" - 2007-06-26 15:03:51 - Service Pack 2 NTFS Command switches used :: D:\Virusschutz\ComboFix-Do.txt (((((((((((((((((((((((((((((((((((((((((((( V Log ))))))))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\system32\yyadd.bak1 C:\WINDOWS\system32\yyadd.ini C:\WINDOWS\system32\ddayy.dll * * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * ((((((((((((((((((((((((( Files Created from 2007-05-26 to 2007-06-26 ))))))))))))))))))))))))))))))) 2007-06-26 14:43 49,152 --a------ C:\WINDOWS\nircmd.exe 2007-06-26 14:17 128,576 --a------ C:\WINDOWS\system32\vohjnvrl.dll 2007-06-26 14:14 66,112 --a------ C:\WINDOWS\system32\srmrtafy.dll 2007-06-26 07:50 476,320 --------- C:\WINDOWS\system32\ImagXpr7.dll 2007-06-26 07:50 471,040 --------- C:\WINDOWS\system32\ImagXRA7.dll 2007-06-26 07:50 38,912 --------- C:\WINDOWS\system32\picn20.dll 2007-06-26 07:50 364,544 --------- C:\WINDOWS\system32\TwnLib4.dll 2007-06-26 07:50 262,144 --------- C:\WINDOWS\system32\ImagXR7.dll 2007-06-26 07:50 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe 2007-06-26 07:50 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll 2007-06-26 07:50 1,568,768 --------- C:\WINDOWS\system32\ImagX7.dll 2007-06-26 07:50 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ahead 2007-06-26 07:50 <DIR> d-------- C:\Programme\Ahead 2007-06-26 07:29 4,672 --a------ C:\WINDOWS\system32\iyxmqduy.exe 2007-06-25 17:19 31,254 --a------ C:\WINDOWS\system32\qomnnop.dll 2007-06-19 15:47 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys 2007-06-19 15:47 <DIR> d-------- C:\DOKUME~1\Eugster\ANWEND~1\Canon 2007-06-19 15:46 69,632 --a------ C:\WINDOWS\system32\CNQU112.DLL 2007-06-19 15:46 69,632 --a------ C:\WINDOWS\system32\CNQA2410.dll 2007-06-19 15:46 262,144 --a------ C:\WINDOWS\system32\CNQL2410.dll 2007-06-19 15:46 <DIR> d--h----- C:\CanoScan 2007-06-19 15:27 <DIR> d-------- C:\Programme\Canon 2007-05-31 11:34 <DIR> d-------- C:\Programme\ZiLOG (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-06-26 05:34:21 -------- d-----w C:\DOKUME~1\Eugster\ANWEND~1\Ahead 2007-06-19 13:46:35 -------- d--h--w C:\Programme\InstallShield Installation Information 2007-05-31 12:51:22 17,464 ----a-w C:\WINDOWS\system32\drivers\nvcw32mf.sys 2007-05-16 15:11:44 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll 2007-05-09 14:29:27 -------- d-----w C:\DOKUME~1\Eugster\ANWEND~1\Help 2007-05-03 07:04:27 -------- d-----r C:\DOKUME~1\Eugster\ANWEND~1\Brother 2007-05-03 05:42:16 -------- d-----w C:\Programme\Gemeinsame Dateien\Brother 2007-05-03 05:42:12 -------- d-----w C:\Programme\Brother 2007-04-25 14:22:27 144,896 ----a-w C:\WINDOWS\system32\schannel.dll 2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll 2007-04-16 20:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll 2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll 2007-04-16 20:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll 2007-04-16 20:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll 2007-04-16 20:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll 2007-04-16 20:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll 2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe 2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll 2007-03-26 05:26:48 78,368 ----a-w C:\WINDOWS\system32\perfc007.dat 2007-03-26 05:26:48 443,116 ----a-w C:\WINDOWS\system32\perfh007.dat ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx [2001-04-16 16:39] {1F6581D5-AA53-4b73-A6F9-41420C6B61F1}=C:\WINDOWS\system32\srmrtafy.dll [2007-06-26 14:14] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.6.0_01\bin\ssv.dll [2007-03-14 03:43] {9DB64C21-2793-48A6-B598-0A6E3190AB97}=C:\WINDOWS\system32\qomnnop.dll [2007-06-25 17:19] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43] "SoundMAXPnP"="C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-06-30 14:33] "SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2004-07-07 15:56] "Norman ZANDA"="C:\Norman\Npm\bin\ZLH.exe" [2007-04-27 13:54] "TrueImageMonitor.exe"="C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" [2005-09-20 18:22] "Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2005-09-20 18:22] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{9DB64C21-2793-48A6-B598-0A6E3190AB97}"="C:\WINDOWS\system32\qomnnop.dll" [2007-06-25 17:19] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\qomnnop] qomnnop.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Authentication Packages msv1_0 relog_ap ************************************************************************** catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-06-26 15:07:09 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-06-26 15:08:52 - machine was rebooted C:\ComboFix-quarantined-files.txt ... 2007-06-26 15:08 C:\ComboFix2.txt ... 2007-06-26 14:50 --- E O F --- und Logfile of HijackThis v1.99.1 Scan saved at 15:15:47, on 26.06.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16473) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Norman\Npm\bin\ELOGSVC.EXE C:\Norman\Npm\Bin\Zanda.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\Norman\Npm\bin\NJEEVES.EXE C:\Norman\Nvc\bin\nvcoas.exe C:\Norman\Nvc\BIN\NVCSCHED.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\alg.exe C:\Programme\Java\jre1.6.0_01\bin\jusched.exe C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe C:\Programme\Analog Devices\SoundMAX\Smax4.exe C:\Norman\Npm\bin\ZLH.EXE C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe C:\Norman\Nvc\BIN\NIP.EXE C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\WINDOWS\system32\ctfmon.exe C:\Norman\Nvc\bin\cclaw.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\internet explorer\iexplore.exe D:\Virusschutz\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {1F6581D5-AA53-4b73-A6F9-41420C6B61F1} - C:\WINDOWS\system32\srmrtafy.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: (no name) - {9DB64C21-2793-48A6-B598-0A6E3190AB97} - C:\WINDOWS\system32\qomnnop.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\Npm\bin\ZLH.EXE /LOAD /SPLASH O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - Startup: Microsoft Outlook.lnk = ? O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O17 - HKLM\System\CCS\Services\Tcpip\..\{BBB92B08-086C-4578-ACDA-A6CADB1E95D6}: NameServer = 195.186.1.110,195.186.1.111 O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O20 - Winlogon Notify: qomnnop - C:\WINDOWS\SYSTEM32\qomnnop.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\Norman\Npm\bin\ELOGSVC.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\Npm\bin\NJEEVES.EXE O23 - Service: Norman ZANDA - Norman ASA - C:\Norman\Npm\Bin\Zanda.exe O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman ASA - C:\Norman\Nvc\BIN\NVCSCHED.EXE O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe ist das ok? Danke für die rasche Antwort und die QooBox.zip wird soeben verschickt per eMail. Edit 15:33 Uhr: eMail mit File wurde verschickt. Ist der Trojaner/Virus jetzt behoben? Vielen Dank Dieser Beitrag wurde am 26.06.2007 um 15:34 Uhr von wladimir editiert.
|
|
|
||
26.06.2007, 15:37
Moderator
Beiträge: 7805 |
#6
Hm, nicht wirklich. Hat das mit der ComboFix-Do.txt funktioniert?
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
26.06.2007, 15:39
...neu hier
Themenstarter Beiträge: 7 |
#7
Ja hat funktioniert, hat auch irgendwann mal diese Zeilen von deiner Datei angezeigt:
C:\WINDOWS\system32\vohjnvrl.dll C:\WINDOWS\system32\srmrtafy.dll C:\WINDOWS\system32\iyxmqduy.exe C:\WINDOWS\system32\qomnnop.dll oder so ähnlich zumindest, weiss nicht ob der Pfad auch angezeigt wurde. Ich mache nochmals ComboFix und Hijack und poste danach nochmals, bis in ca. 10min... ok hier die Files: Code 2007-06-25 17:24 266336 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\mllmn.dll.virComboFix 07-06-18.2 - D:\Virusschutz\ComboFix.exe "Eugster" - 2007-06-26 15:40:46 - Service Pack 2 NTFS ((((((((((((((((((((((((( Files Created from 2007-05-26 to 2007-06-26 ))))))))))))))))))))))))))))))) 2007-06-26 14:43 49,152 --a------ C:\WINDOWS\nircmd.exe 2007-06-26 14:17 128,576 --a------ C:\WINDOWS\system32\vohjnvrl.dll 2007-06-26 14:14 66,112 --a------ C:\WINDOWS\system32\srmrtafy.dll 2007-06-26 07:50 476,320 --------- C:\WINDOWS\system32\ImagXpr7.dll 2007-06-26 07:50 471,040 --------- C:\WINDOWS\system32\ImagXRA7.dll 2007-06-26 07:50 38,912 --------- C:\WINDOWS\system32\picn20.dll 2007-06-26 07:50 364,544 --------- C:\WINDOWS\system32\TwnLib4.dll 2007-06-26 07:50 262,144 --------- C:\WINDOWS\system32\ImagXR7.dll 2007-06-26 07:50 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe 2007-06-26 07:50 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll 2007-06-26 07:50 1,568,768 --------- C:\WINDOWS\system32\ImagX7.dll 2007-06-26 07:50 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ahead 2007-06-26 07:50 <DIR> d-------- C:\Programme\Ahead 2007-06-26 07:29 4,672 --a------ C:\WINDOWS\system32\iyxmqduy.exe 2007-06-25 17:19 31,254 --a------ C:\WINDOWS\system32\qomnnop.dll 2007-06-19 15:47 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys 2007-06-19 15:47 <DIR> d-------- C:\DOKUME~1\Eugster\ANWEND~1\Canon 2007-06-19 15:46 69,632 --a------ C:\WINDOWS\system32\CNQU112.DLL 2007-06-19 15:46 69,632 --a------ C:\WINDOWS\system32\CNQA2410.dll 2007-06-19 15:46 262,144 --a------ C:\WINDOWS\system32\CNQL2410.dll 2007-06-19 15:46 <DIR> d--h----- C:\CanoScan 2007-06-19 15:27 <DIR> d-------- C:\Programme\Canon 2007-05-31 11:34 <DIR> d-------- C:\Programme\ZiLOG (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-06-26 05:34:21 -------- d-----w C:\DOKUME~1\Eugster\ANWEND~1\Ahead 2007-06-19 13:46:35 -------- d--h--w C:\Programme\InstallShield Installation Information 2007-05-31 12:51:22 17,464 ----a-w C:\WINDOWS\system32\drivers\nvcw32mf.sys 2007-05-16 15:11:44 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll 2007-05-09 14:29:27 -------- d-----w C:\DOKUME~1\Eugster\ANWEND~1\Help 2007-05-03 07:04:27 -------- d-----r C:\DOKUME~1\Eugster\ANWEND~1\Brother 2007-05-03 05:42:16 -------- d-----w C:\Programme\Gemeinsame Dateien\Brother 2007-05-03 05:42:12 -------- d-----w C:\Programme\Brother 2007-04-25 14:22:27 144,896 ----a-w C:\WINDOWS\system32\schannel.dll 2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll 2007-04-16 20:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll 2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll 2007-04-16 20:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll 2007-04-16 20:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll 2007-04-16 20:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll 2007-04-16 20:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll 2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe 2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll 2007-03-26 05:26:48 78,368 ----a-w C:\WINDOWS\system32\perfc007.dat 2007-03-26 05:26:48 443,116 ----a-w C:\WINDOWS\system32\perfh007.dat ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx [2001-04-16 16:39] {1F6581D5-AA53-4b73-A6F9-41420C6B61F1}=C:\WINDOWS\system32\srmrtafy.dll [2007-06-26 14:14] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.6.0_01\bin\ssv.dll [2007-03-14 03:43] {9DB64C21-2793-48A6-B598-0A6E3190AB97}=C:\WINDOWS\system32\qomnnop.dll [2007-06-25 17:19] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43] "SoundMAXPnP"="C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-06-30 14:33] "SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2004-07-07 15:56] "Norman ZANDA"="C:\Norman\Npm\bin\ZLH.exe" [2007-04-27 13:54] "TrueImageMonitor.exe"="C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" [2005-09-20 18:22] "Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2005-09-20 18:22] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{9DB64C21-2793-48A6-B598-0A6E3190AB97}"="C:\WINDOWS\system32\qomnnop.dll" [2007-06-25 17:19] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\qomnnop] qomnnop.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Authentication Packages msv1_0 relog_ap ************************************************************************** catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-06-26 15:42:21 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-06-26 15:43:18 C:\ComboFix-quarantined-files.txt ... 2007-06-26 15:43 C:\ComboFix2.txt ... 2007-06-26 15:08 C:\ComboFix3.txt ... 2007-06-26 14:50 --- E O F --- Logfile of HijackThis v1.99.1 Scan saved at 15:45:35, on 26.06.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16473) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Norman\Npm\bin\ELOGSVC.EXE C:\Norman\Npm\Bin\Zanda.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\Norman\Npm\bin\NJEEVES.EXE C:\Norman\Nvc\BIN\NVCSCHED.EXE C:\Norman\Nvc\bin\nvcoas.exe C:\Programme\Java\jre1.6.0_01\bin\jusched.exe C:\WINDOWS\System32\alg.exe C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe C:\Programme\Analog Devices\SoundMAX\Smax4.exe C:\Norman\Npm\bin\ZLH.EXE C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Norman\Nvc\BIN\NIP.EXE C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE C:\Norman\Nvc\bin\cclaw.exe C:\WINDOWS\explorer.exe C:\Programme\internet explorer\iexplore.exe D:\Virusschutz\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {1F6581D5-AA53-4b73-A6F9-41420C6B61F1} - C:\WINDOWS\system32\srmrtafy.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: (no name) - {9DB64C21-2793-48A6-B598-0A6E3190AB97} - C:\WINDOWS\system32\qomnnop.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\Npm\bin\ZLH.EXE /LOAD /SPLASH O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - Startup: Microsoft Outlook.lnk = ? O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O17 - HKLM\System\CCS\Services\Tcpip\..\{BBB92B08-086C-4578-ACDA-A6CADB1E95D6}: NameServer = 195.186.1.110,195.186.1.111 O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O20 - Winlogon Notify: qomnnop - C:\WINDOWS\SYSTEM32\qomnnop.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\Norman\Npm\bin\ELOGSVC.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\Npm\bin\NJEEVES.EXE O23 - Service: Norman ZANDA - Norman ASA - C:\Norman\Npm\Bin\Zanda.exe O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman ASA - C:\Norman\Nvc\BIN\NVCSCHED.EXE O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe jetzt immer noch nicht ok? wo sehe ich das? Danke Dieser Beitrag wurde am 26.06.2007 um 15:53 Uhr von wladimir editiert.
|
|
|
||
26.06.2007, 15:58
Moderator
Beiträge: 7805 |
#8
Leider hat das nicht so funktioniert, wie ich es wollte! Nehmen wir Avenger dafuer:
Anleitung findest du hier: http://virus-protect.org/artikel/tools/avenger.html Du brauchst dieses Script: Code Dann bitte das Avenger Log posten, sowie neues Combofix und hijackthis log. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
26.06.2007, 16:11
...neu hier
Themenstarter Beiträge: 7 |
#9
ok hier die Files:
Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\kpaqqnvu ******************* Script file located at: \??\C:\swidkote.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\vohjnvrl.dll deleted successfully. File C:\WINDOWS\system32\srmrtafy.dll deleted successfully. File C:\WINDOWS\system32\iyxmqduy.exe deleted successfully. File C:\WINDOWS\system32\qomnnop.dll deleted successfully. Completed script processing. ******************* Finished! Terminate. Logfile of HijackThis v1.99.1 Scan saved at 16:08:49, on 26.06.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16473) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Norman\Npm\bin\ELOGSVC.EXE C:\Norman\Npm\Bin\Zanda.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\Norman\Npm\bin\NJEEVES.EXE C:\Norman\Nvc\BIN\NVCSCHED.EXE C:\Norman\Nvc\bin\nvcoas.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wbem\wmiprvse.exe C:\Programme\Java\jre1.6.0_01\bin\jusched.exe C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe C:\Programme\Analog Devices\SoundMAX\Smax4.exe C:\Norman\Npm\bin\ZLH.EXE C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Norman\Nvc\BIN\NIP.EXE C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE C:\Norman\Nvc\bin\cclaw.exe C:\Programme\internet explorer\iexplore.exe C:\WINDOWS\system32\wuauclt.exe D:\Virusschutz\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {1F6581D5-AA53-4b73-A6F9-41420C6B61F1} - C:\WINDOWS\system32\srmrtafy.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: (no name) - {9DB64C21-2793-48A6-B598-0A6E3190AB97} - C:\WINDOWS\system32\qomnnop.dll (file missing) O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\Npm\bin\ZLH.EXE /LOAD /SPLASH O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - Startup: Microsoft Outlook.lnk = ? O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O17 - HKLM\System\CCS\Services\Tcpip\..\{BBB92B08-086C-4578-ACDA-A6CADB1E95D6}: NameServer = 195.186.1.110,195.186.1.111 O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O20 - Winlogon Notify: qomnnop - qomnnop.dll (file missing) O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\Norman\Npm\bin\ELOGSVC.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\Npm\bin\NJEEVES.EXE O23 - Service: Norman ZANDA - Norman ASA - C:\Norman\Npm\Bin\Zanda.exe O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman ASA - C:\Norman\Nvc\BIN\NVCSCHED.EXE O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe ComboFix 07-06-18.2 - D:\Virusschutz\ComboFix.exe "Eugster" - 2007-06-26 16:09:26 - Service Pack 2 NTFS ((((((((((((((((((((((((( Files Created from 2007-05-26 to 2007-06-26 ))))))))))))))))))))))))))))))) 2007-06-26 14:43 49,152 --a------ C:\WINDOWS\nircmd.exe 2007-06-26 07:50 476,320 --------- C:\WINDOWS\system32\ImagXpr7.dll 2007-06-26 07:50 471,040 --------- C:\WINDOWS\system32\ImagXRA7.dll 2007-06-26 07:50 38,912 --------- C:\WINDOWS\system32\picn20.dll 2007-06-26 07:50 364,544 --------- C:\WINDOWS\system32\TwnLib4.dll 2007-06-26 07:50 262,144 --------- C:\WINDOWS\system32\ImagXR7.dll 2007-06-26 07:50 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe 2007-06-26 07:50 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll 2007-06-26 07:50 1,568,768 --------- C:\WINDOWS\system32\ImagX7.dll 2007-06-26 07:50 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ahead 2007-06-26 07:50 <DIR> d-------- C:\Programme\Ahead 2007-06-19 15:47 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys 2007-06-19 15:47 <DIR> d-------- C:\DOKUME~1\Eugster\ANWEND~1\Canon 2007-06-19 15:46 69,632 --a------ C:\WINDOWS\system32\CNQU112.DLL 2007-06-19 15:46 69,632 --a------ C:\WINDOWS\system32\CNQA2410.dll 2007-06-19 15:46 262,144 --a------ C:\WINDOWS\system32\CNQL2410.dll 2007-06-19 15:46 <DIR> d--h----- C:\CanoScan 2007-06-19 15:27 <DIR> d-------- C:\Programme\Canon 2007-05-31 11:34 <DIR> d-------- C:\Programme\ZiLOG (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-06-26 05:34:21 -------- d-----w C:\DOKUME~1\Eugster\ANWEND~1\Ahead 2007-06-19 13:46:35 -------- d--h--w C:\Programme\InstallShield Installation Information 2007-05-31 12:51:22 17,464 ----a-w C:\WINDOWS\system32\drivers\nvcw32mf.sys 2007-05-16 15:11:44 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll 2007-05-09 14:29:27 -------- d-----w C:\DOKUME~1\Eugster\ANWEND~1\Help 2007-05-03 07:04:27 -------- d-----r C:\DOKUME~1\Eugster\ANWEND~1\Brother 2007-05-03 05:42:16 -------- d-----w C:\Programme\Gemeinsame Dateien\Brother 2007-05-03 05:42:12 -------- d-----w C:\Programme\Brother 2007-04-25 14:22:27 144,896 ----a-w C:\WINDOWS\system32\schannel.dll 2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll 2007-04-16 20:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll 2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll 2007-04-16 20:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll 2007-04-16 20:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll 2007-04-16 20:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll 2007-04-16 20:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll 2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe 2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll 2007-03-26 05:26:48 78,368 ----a-w C:\WINDOWS\system32\perfc007.dat 2007-03-26 05:26:48 443,116 ----a-w C:\WINDOWS\system32\perfh007.dat ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx [2001-04-16 16:39] {1F6581D5-AA53-4b73-A6F9-41420C6B61F1}=C:\WINDOWS\system32\srmrtafy.dll [] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.6.0_01\bin\ssv.dll [2007-03-14 03:43] {9DB64C21-2793-48A6-B598-0A6E3190AB97}=C:\WINDOWS\system32\qomnnop.dll [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43] "SoundMAXPnP"="C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-06-30 14:33] "SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2004-07-07 15:56] "Norman ZANDA"="C:\Norman\Npm\bin\ZLH.exe" [2007-04-27 13:54] "TrueImageMonitor.exe"="C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" [2005-09-20 18:22] "Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2005-09-20 18:22] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{9DB64C21-2793-48A6-B598-0A6E3190AB97}"="C:\WINDOWS\system32\qomnnop.dll" [] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\qomnnop] qomnnop.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Authentication Packages msv1_0 relog_ap ************************************************************************** catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-06-26 16:10:28 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-06-26 16:10:55 C:\ComboFix-quarantined-files.txt ... 2007-06-26 16:10 --- E O F --- Code 2007-06-25 17:24 266336 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\mllmn.dll.virIst es jetzt ok? Dieser Beitrag wurde am 26.06.2007 um 16:44 Uhr von wladimir editiert.
|
|
|
||
26.06.2007, 16:43
Moderator
Beiträge: 7805 |
#10
Das sieht besser aus. Schicke bitte die Datei Backup.zip aus dem Ordner c:\avenger an die Emailadresse.
Dan hake bitte in Hijackthis folgendes an und druecke fix checked: O2 - BHO: (no name) - {1F6581D5-AA53-4b73-A6F9-41420C6B61F1} - C:\WINDOWS\system32\srmrtafy.dll (file missing) O2 - BHO: (no name) - {9DB64C21-2793-48A6-B598-0A6E3190AB97} - C:\WINDOWS\system32\qomnnop.dll (file missing) O20 - Winlogon Notify: qomnnop - qomnnop.dll (file missing) Starte neu und schaue, ob die Eintraege verschwunden sind. Danachloesche die Ordner qoobox und Avenger mache noch einen Kontrollscan mit Drwebcureit: http://freedrweb.com/?lng=de Ewidomicro: http://downloads.ewido.net/ewido_micro.exe __________ MfG Ralf SEO-Spam Hunter |
|
|
||
26.06.2007, 16:54
...neu hier
Themenstarter Beiträge: 7 |
#11
ok Email verschickt, Einträge sind verschwunden und kann ich jetzt den Ordner Backups in D:\Virusschutz\hijackthis\backups auch löschen? Dieser wurde ja nach dem löschen der 3 Dateien erstellt. (sind auch 3 Dateiuen drin)
Muss ich mit beiden prgz eine Kontrollscan machen? Und wenn beide keine Viren finden, ist wieder ok? Vielen Dank, du hast mir soeben 2 Tage erspart, da ich diverse Programmiertools installiert habe, die sehr aufwändige Konfigurationen haben.... |
|
|
||
26.06.2007, 17:01
Moderator
Beiträge: 7805 |
#12
Du hast doch Acronis TI, welches du doch bestimmt ausgibig nutzt!? Du hast dafuer ja beahlt, also nutz es auch!
Die Kontrollscans sind ratsam, diese Scanner brauchen nicht installiert werden und hinterlassen so gut ie keine Reste auf dem Rechner. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
26.06.2007, 17:06
...neu hier
Themenstarter Beiträge: 7 |
#13
Ja aber ich installierte Acronis erst vor kurzem, da der Rechner in meinem Geschäft infiziert wurde.... Und da Acronis "mir" gehört und nicht dem Geschäft, die haben nämlich nichts ähnliches... :-)
Auf jeden Fall herzlichen Dank, kann man irgendwo was spenden? |
|
|
||
26.06.2007, 17:29
Moderator
Beiträge: 7805 |
#14
Danke fuer die Aufklaerung. Bzgl. Spenden schaue unten auf die Seite:
http://board.protecus.de/media.php __________ MfG Ralf SEO-Spam Hunter |
|
|
||
Ich habe mir den Vundo.Gen Trojaner eingefangen und kann ihn nicht mehr löschen. Hier das hijackthis file:
Logfile of HijackThis v1.99.1
Scan saved at 14:34:53, on 26.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Norman\Npm\bin\ELOGSVC.EXE
C:\Norman\Npm\Bin\Zanda.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\Norman\Npm\bin\NJEEVES.EXE
C:\Norman\Nvc\bin\nvcoas.exe
C:\Norman\Nvc\BIN\NVCSCHED.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Norman\Npm\bin\ZLH.EXE
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Norman\Nvc\BIN\NIP.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Norman\Nvc\bin\cclaw.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\Programme\Internet Explorer\iexplore.exe
D:\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\Npm\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [icq.com] rundll32.exe "C:\WINDOWS\system32\vohjnvrl.dll",forkonce
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - Startup: Microsoft Outlook.lnk = ?
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{BBB92B08-086C-4578-ACDA-A6CADB1E95D6}: NameServer = 195.186.1.110,195.186.1.111
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\Norman\Npm\bin\ELOGSVC.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\Npm\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Norman ASA - C:\Norman\Npm\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman ASA - C:\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
was kann ich machen?
Vielen Dank Wladimir