Trojaner,Backdoor.auch per MSN? logfile da |
||
---|---|---|
#0
| ||
01.07.2007, 15:48
...neu hier
Beiträge: 8 |
||
|
||
01.07.2007, 16:20
...neu hier
Beiträge: 1 |
#2
Hab sozusagen das gleiche...bitte helft mir....will jetzt auch net so viel mit dem pc machen aus angst....
|
|
|
||
01.07.2007, 16:49
Ehrenmitglied
Beiträge: 6028 |
||
|
||
01.07.2007, 17:30
...neu hier
Themenstarter Beiträge: 8 |
#4
Also Punkt 1,2 und 3 gemacht.....
hier punkt 2 "Patrick" - 2007-07-01 17:13:53 - ComboFix 07-06-27.7 - Service Pack 2 NTFS ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\DOKUME~1\Patrick\ANWEND~1\Install.dat ((((((((((((((((((((((((( Files Created from 2007-06-01 to 2007-07-01 ))))))))))))))))))))))))))))))) 2007-07-01 17:13 49,152 --a------ C:\WINDOWS\nircmd.exe 2007-07-01 13:42 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab 2007-07-01 13:42 <DIR> d-------- C:\WINDOWS\LastGood 2007-06-30 15:52 5,242,880 --a------ C:\DOKUME~1\Patrick\ntuser.dat 2007-06-29 14:01 <DIR> d-------- C:\Programme\Vietcong2 2007-06-29 13:44 <DIR> d-------- C:\Programme\PANZERS - Phase2 2007-06-27 20:39 65,143 --a------ C:\WINDOWS\BricoPackUninst.cmd 2007-06-27 20:35 6,118 --a------ C:\WINDOWS\BricoPackFoldersDelete.cmd 2007-06-27 20:34 <DIR> d-------- C:\WINDOWS\BricoPacks 2007-06-17 21:22 <DIR> d-------- C:\DOKUME~1\Patrick\ANWEND~1\U3 2007-06-12 14:25 <DIR> d--h----- C:\DOKUME~1\Patrick\InstallAnywhere 2007-06-10 09:52 <DIR> d-------- C:\Programme\EphPod 2007-06-07 18:53 <DIR> d-------- C:\Programme\HyCam2 2007-06-07 15:47 8,192 --a------ C:\WINDOWS\system32\wshirda.dll 2007-06-07 15:47 27,136 --a------ C:\WINDOWS\system32\irmon.dll 2007-06-07 15:47 154,112 --a------ C:\WINDOWS\system32\irftp.exe 2007-06-03 14:29 <DIR> d-------- C:\Programme\Wesnoth 2007-06-03 13:52 <DIR> d-------- C:\Programme\DVDVIDEOSOFT 2007-06-01 23:57 <DIR> d-------- C:\Programme\Wolfenstein - Enemy Territory (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-07-01 14:19:55 -------- d-----w C:\Programme\Mozilla Thunderbird 2007-07-01 11:21:07 70,580 ----a-w C:\WINDOWS\system32\perfc007.dat 2007-07-01 11:21:07 405,118 ----a-w C:\WINDOWS\system32\perfh007.dat 2007-07-01 11:15:20 -------- d-----w C:\DOKUME~1\Patrick\ANWEND~1\Azureus 2007-06-29 11:59:24 98,304 ----a-w C:\WINDOWS\system32\CmdLineExt.dll 2007-06-27 18:52:08 -------- d--h--w C:\Programme\InstallShield Installation Information 2007-06-27 18:41:08 -------- d-----w C:\Programme\Movie Maker 2007-06-27 18:39:07 219,648 ----a-w C:\WINDOWS\system32\uxtheme.dll 2007-06-22 15:36:54 -------- d-----w C:\Programme\Trillian 2007-06-03 09:44:59 -------- d-----w C:\Programme\eMule.de 0.46c v17 2007-05-30 10:10:12 42,904 ----a-w C:\DOKUME~1\Patrick\ANWEND~1\GDIPFONTCACHEV1.DAT 2007-05-20 10:48:09 -------- d-----w C:\Programme\ICQ6 2007-05-17 09:40:26 -------- d-----w C:\DOKUME~1\Patrick\ANWEND~1\ICQ 2007-05-06 15:48:31 -------- d-----w C:\Programme\Nokia 2007-05-06 15:40:19 -------- d-----w C:\Programme\Total Video Converter 2007-05-02 17:23:43 -------- d-----w C:\Programme\Paint.NET 2007-04-09 15:36:56 77,312 ----a-w C:\WINDOWS\system32\TWAIN_32.DLL 2007-04-09 15:36:56 69,632 ----a-w C:\WINDOWS\system32\TWUNK_32.EXE 2007-04-09 15:36:56 48,560 ----a-w C:\WINDOWS\system32\TWUNK_16.EXE ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2006-01-12 20:38] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.5.0_09\bin\ssv.dll [2006-10-12 04:25] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMan"="SOUNDMAN.EXE" [2002-11-19 22:01 C:\WINDOWS\SOUNDMAN.EXE] "ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-11-01 22:00] "ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 12:12] "SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_09\bin\jusched.exe" [2006-10-12 04:10] "Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2006-07-19 13:03 C:\WINDOWS\KHALMNPR.Exe] "BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 01:58 C:\WINDOWS\system32\bthprops.cpl] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-08-04 01:58] [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "PcSync"=C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Patrick^Startmenü^Programme^Autostart^Adobe Gamma.lnk] path=C:\Dokumente und Einstellungen\Patrick\Startmenü\Programme\Autostart\Adobe Gamma.lnk backup=C:\WINDOWS\pss\Adobe Gamma.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASUS SmartDoctor] C:\Programme\ASUS\SmartDoctor\\SmartDoctor.exe /start [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NWEReboot] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] bthsvcs BthServ [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G] AutoRun\command- G:\LaunchU3.exe -a [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{05f8c7aa-1d08-11dc-bce0-000272c42b8e}] AutoRun\command- G:\LaunchU3.exe -a ************************************************************************** catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-07-01 17:16:44 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\BTHPORT\Parameters\Services\{00000001-0000-1000-8000-0002ee000002}] [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\BTHPORT\Parameters\Services\{00001000-0000-1000-8000-00805f9b34fb}] [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\BTHPORT\Parameters\Services\{00001105-0000-1000-8000-00805f9b34fb}] [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\BTHPORT\Parameters\Services\{00001115-0000-1000-8000-00805f9b34fb}] Completion time: 2007-07-01 17:17:35 C:\ComboFix-quarantined-files.txt ... 2007-07-01 17:17 --- E O F --- und hier punkt 3: Logfile of HijackThis v1.99.1 Scan saved at 17:30:27, on 01.07.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Java\jre1.5.0_09\bin\jusched.exe C:\WINDOWS\system32\LVCOMSX.EXE C:\WINDOWS\system32\lexpps.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\WinRAR\WinRAR.exe C:\Programme\QuickTime\QuickTimePlayer.exe C:\DOKUME~1\Patrick\LOKALE~1\Temp\Rar$EX00.609\HijackThis.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\explorer.exe C:\WINDOWS\system32\notepad.exe C:\Dokumente und Einstellungen\Patrick\Desktop\Neuer Ordner (2)\HJT.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe" O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe O4 - Global Startup: Logitech SetPoint.lnk = ? O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe |
|
|
||
01.07.2007, 17:55
Ehrenmitglied
Beiträge: 6028 |
#5
Ich bin sehr erstaunt,ihr benutzt kein Virenscanner?
Lade mal ein versuch Version von eScan http://www.mwti.net/download/escan/es2k3e/vwn2k3e.exe Oder lade Antivir +Anleitung http://board.protecus.de/t23979.htm Entferne auf C:\ Qoobox ComboFix kann wieder entfernt werden __________ MfG Argus |
|
|
||
01.07.2007, 17:59
...neu hier
Themenstarter Beiträge: 8 |
#6
Hey, lade ich mir gleich runter...naja, ich lasse mein system immer über online virenscanner checken..das file dazu ist im ersten eintrag im anhang,falls du es noch net gesehen hast..ist denn jetzt soweit alles okay, wenn ich den Qoobox weg habe?
|
|
|
||
01.07.2007, 18:04
Ehrenmitglied
Beiträge: 6028 |
#7
Du musst scannen,und mal nebenbei es gibt ja kostenlose scanner wie Antivir
AVG,Avast,Commodo warum dann ein Risiko nehmen? __________ MfG Argus |
|
|
||
01.07.2007, 18:05
...neu hier
Themenstarter Beiträge: 8 |
#8
mh, okay, lasse es gerade durch scannen ,nochmal online....aber wenn der dann nichts findet, dann ist alles weg? *bete*
|
|
|
||
01.07.2007, 18:09
Ehrenmitglied
Beiträge: 6028 |
#9
Online scanner http://support.f-secure.com/enu/home/ols.shtml http://housecall.trendmicro.com/ http://www.ca.com/us/securityadvisor/virusinfo/scan.aspx Und die entfernen auch noch __________ MfG Argus |
|
|
||
01.07.2007, 18:12
...neu hier
Themenstarter Beiträge: 8 |
#10
ui, was fürn luxus...okay, ich lass die durchlaufen, aber wenn dann nichts mehr kommt, dann kannst du entwarnung geben und sagen,dass ich es geschafft habe?
PS: mist lasse ihn gerade durchlaufen...einen virus hat er schon gefunden, mal gucken,was das für einer ist Dieser Beitrag wurde am 01.07.2007 um 18:19 Uhr von Paddy007 editiert.
|
|
|
||
Man findet zu der Datei im Netz auch net wirklich viel.
Das Hijack file zeigt nichts besonderes (stelle ich gerne auf anfrage auch rein).
Nun habe ich gerade mein System mit dem Kapersky Online Virus checken lassen.
Ich kann mein PC leider nicht neu aufsetzen, da es ein Firmen PC ist, der eine 1 Terabyte Festplatte hat. Ich hoffe, dass man das auch so lösen kann.
Leider hat es Viren angezeigt. Hab die datei mal angehängt. hoffe dass es geht....bitte helft mir das weg zu bekommen!
danke für jede hilfe....bitte verständlich erklären.hab leider net so viel ahnung...bitte helft mir