Habe Virus über MSN eingefangen |
||
---|---|---|
#0
| ||
03.07.2007, 20:21
Member
Themenstarter Beiträge: 12 |
||
|
||
03.07.2007, 20:30
Ehrenmitglied
Beiträge: 6028 |
#17
Fange mal mit Hijack This An
Entferne die text Dateien von Combofixt auf C:\ Qoobox Combofix-quarantined-files.txt Combofix2.txt Combofix.txt Verborgene Dateien sichtbar machen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren. Download DeljobZip zum Desktop Packe die Datei aus. Doppelklick: Deljob.exe Ein logfile wird sich oeffnen (logit.txt) Kopiere den Inhalt des Berichts “logit.txt ”in diesen Thread Entferne Combofix vom Desktop und lade neu http://download.bleepingcomputer.com/sUBs/ComboFix.exe Wir müssen sicher das du Morgen wieder Viren hast,oder? __________ MfG Argus Dieser Beitrag wurde am 03.07.2007 um 20:38 Uhr von Arnold editiert.
|
|
|
||
03.07.2007, 20:57
Member
Themenstarter Beiträge: 12 |
#18
Zitat Arnold posteteWas meinst du mit Morge wieder Viren? Ok habe mal die Ordnereinstellungen so übernommen und hier der neue Combofix logfile: "Onur" - 2007-07-03 20:55:43 - ComboFix 07-07-03.9 - Service Pack 1 ((((((((((((((((((((((((( Files Created from 2007-06-03 to 2007-07-03 ))))))))))))))))))))))))))))))) 2007-07-03 20:20 <DIR> d-------- C:\install 2007-07-03 00:48 <DIR> d-------- C:\DOKUME~1\Onur\DoctorWeb 2007-07-02 23:09 51,200 --a------ C:\WINDOWS\nircmd.exe 2007-07-01 19:23 <DIR> d-------- C:\WINDOWS\SxsCaPendDel (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-07-03 16:54:15 48,156 ----a-w C:\WINDOWS\system32\perfc007.dat 2007-07-03 16:54:15 316,594 ----a-w C:\WINDOWS\system32\perfh007.dat 2007-07-03 16:52:54 1,057 --sha-w C:\WINDOWS\system32\mmf.sys 2007-07-02 21:07:18 -------- d-----w C:\Programme\MSN Messenger 2004-02-11 23:25:47 56 --sh--r C:\WINDOWS\system32\1B90C9902E.sys 2002-08-29 02:43:36 13,312 --sh--r C:\WINDOWS\system32\ctfmon.exe 2004-03-04 22:08:22 1,682 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}] 2005-11-10 14:22 184423 --a------ C:\Programme\Java\jre1.5.0_06\bin\ssv.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "C-Media Mixer"="Mixer.exe" [2002-07-12 16:33 C:\WINDOWS\mixer.exe] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2004-05-28 20:33] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2004-07-07 17:03] "SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 14:03] "LogitechVideoRepair"="C:\Programme\Logitech\Video\ISStart.exe" [2005-06-08 16:24] "LogitechVideoTray"="C:\Programme\Logitech\Video\LogiTray.exe" [2005-06-08 16:14] "nwiz"="nwiz.exe" [2005-12-10 04:06 C:\WINDOWS\system32\nwiz.exe] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-24 18:54] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 04:43] "LogitechSoftwareUpdate"="C:\Programme\Logitech\Video\ManifestEngine.exe" [2005-06-08 15:44] "msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [] "Steam"="" [] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices] "ctfmon.exe"=ctfmon.exe [HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce] "WMedia Player"=wmedia32.exe "NvCplScan"=nvsc32.exe [HKEY_USERS\.default\software\microsoft\windows\currentversion\runservices] "ctfmon.exe"=ctfmon.exe [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "CTFMON.EXE"=ctfmon.exe "NvCplScan"=nvsc32.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "{78DB2E0D-4363-4036-9BB0-B4916A09EC32}"="sysprinters.dll" [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck] %systemroot%\system32\dumprep 0 -k [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMedia Player] wmedia32.exe *Newly Created Service* - ALG *Newly Created Service* - IPNAT Contents of the 'Scheduled Tasks' folder 2007-05-18 15:15:00 C:\WINDOWS\tasks\1-Klick-Wartung.job ************************************************************************** catchme 0.3.914 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-07-03 20:56:01 Windows 5.1.2600 Service Pack 1 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-07-03 20:56:29 --- E O F --- |
|
|
||
03.07.2007, 21:12
Ehrenmitglied
Beiträge: 6028 |
#19
Sieht ja gut aus,
jetzt die HJ sachen und was da noch steht dan kann MSN wieder installiert werden __________ MfG Argus |
|
|
||
03.07.2007, 21:21
Member
Themenstarter Beiträge: 12 |
#20
Zitat Arnold posteteJa und hier die Hijackthis......siehts echt gut aus? Das ist ja Klasse, vielen vielen Dank! Logfile of HijackThis v1.99.1 Scan saved at 21:19:35, on 03.07.2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\Logitech\Video\LogiTray.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\gearsec.exe C:\WINDOWS\runservice.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\LVComsX.exe C:\Programme\Logitech\Video\FxSvr2.exe C:\Programme\internet explorer\iexplore.exe C:\Programme\internet explorer\iexplore.exe C:\WINDOWS\explorer.exe C:\Programme\internet explorer\iexplore.exe C:\Programme\internet explorer\iexplore.exe C:\Dokumente und Einstellungen\Onur\Desktop\Hijackthis\HJT.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.galatasaray.com/ O1 - Hosts: 195.158.171.60 amateur.de O1 - Hosts: 195.158.171.60 anal.com O1 - Hosts: 195.158.171.60 anal.de O1 - Hosts: 195.158.171.60 anime.com O1 - Hosts: 195.158.171.60 anime.de O1 - Hosts: 195.158.171.60 asian.com O1 - Hosts: 195.158.171.60 asian.de O1 - Hosts: 195.158.171.60 bestofchat.com O1 - Hosts: 195.158.171.60 bestsingle.it O1 - Hosts: 195.158.171.60 blowjob.com O1 - Hosts: 195.158.171.60 blowjob.de O1 - Hosts: 195.158.171.60 boldchat.com O1 - Hosts: 195.158.171.60 bravenet.com O1 - Hosts: 195.158.171.60 calcio.redbaron.it O1 - Hosts: 195.158.171.60 canalchat.com O1 - Hosts: 195.158.171.60 causerie.fr O1 - Hosts: 195.158.171.60 chat.com O1 - Hosts: 195.158.171.60 chat.de O1 - Hosts: 195.158.171.60 chat.lycos.de O1 - Hosts: 195.158.171.60 chat.lycos.it O1 - Hosts: 195.158.171.60 chat.msn.com O1 - Hosts: 195.158.171.60 chat.tiscali.it O1 - Hosts: 195.158.171.60 chat.voila.fr O1 - Hosts: 195.158.171.60 chat.yahoo.com O1 - Hosts: 195.158.171.60 chatandco.fr O1 - Hosts: 195.158.171.60 chatcity.de O1 - Hosts: 195.158.171.60 chatta.it O1 - Hosts: 195.158.171.60 chiacchierata.fr O1 - Hosts: 195.158.171.60 cumshot.de O1 - Hosts: 195.158.171.60 ebony.com O1 - Hosts: 195.158.171.60 ebony.de O1 - Hosts: 195.158.171.60 erotik.de O1 - Hosts: 195.158.171.60 fisting.com O1 - Hosts: 195.158.171.60 fisting.de O1 - Hosts: 195.158.171.60 flirt-fever.de O1 - Hosts: 195.158.171.60 friendscout24.de O1 - Hosts: 195.158.171.60 gai.fr O1 - Hosts: 195.158.171.60 gay.com O1 - Hosts: 195.158.171.60 gay.de O1 - Hosts: 195.158.171.60 gruppensex.de O1 - Hosts: 195.158.171.60 hentai.com O1 - Hosts: 195.158.171.60 hentai.de O1 - Hosts: 195.158.171.60 icq.com O1 - Hosts: 195.158.171.60 icq.de O1 - Hosts: 195.158.171.60 ilove.de O1 - Hosts: 195.158.171.60 incontri.supereva.it O1 - Hosts: 195.158.171.60 it.chat.yahoo.com O1 - Hosts: 195.158.171.60 knuddels.de O1 - Hosts: 195.158.171.60 langueauchat.com O1 - Hosts: 195.158.171.60 latina.de O1 - Hosts: 195.158.171.60 lesben.de O1 - Hosts: 195.158.171.60 lesbian.com O1 - Hosts: 195.158.171.60 livecom.fr O1 - Hosts: 195.158.171.60 mirc.com O1 - Hosts: 195.158.171.60 oral.com O1 - Hosts: 195.158.171.60 oral.de O1 - Hosts: 195.158.171.60 orale.it O1 - Hosts: 195.158.171.60 orgie.de O1 - Hosts: 195.158.171.60 porn.com O1 - Hosts: 195.158.171.60 porno.de O1 - Hosts: 195.158.171.60 pornofilme.de O1 - Hosts: 195.158.171.60 pornostar.de O1 - Hosts: 195.158.171.60 pornstar.com O1 - Hosts: 195.158.171.60 schlampen.de O1 - Hosts: 195.158.171.60 sesso.it O1 - Hosts: 195.158.171.60 sex.com O1 - Hosts: 195.158.171.60 sex.de O1 - Hosts: 195.158.171.60 sexe.fr O1 - Hosts: 195.158.171.60 spinchat.de O1 - Hosts: 195.158.171.60 talkcity.com O1 - Hosts: 195.158.171.60 teen.com O1 - Hosts: 195.158.171.60 teen.de O1 - Hosts: 195.158.171.60 titten.de O1 - Hosts: 195.158.171.60 traumpartnerchat.de O1 - Hosts: 195.158.171.60 webchat.de O1 - Hosts: 195.158.171.60 weborama.fr O1 - Hosts: 195.158.171.60 www.amateur.de O1 - Hosts: 195.158.171.60 www.anal.com O1 - Hosts: 195.158.171.60 www.anal.de O1 - Hosts: 195.158.171.60 www.anime.com O1 - Hosts: 195.158.171.60 www.anime.de O1 - Hosts: 195.158.171.60 www.asian.com O1 - Hosts: 195.158.171.60 www.asian.de O1 - Hosts: 195.158.171.60 www.bestofchat.com O1 - Hosts: 195.158.171.60 www.bestsingle.it O1 - Hosts: 195.158.171.60 www.blowjob.com O1 - Hosts: 195.158.171.60 www.blowjob.de O1 - Hosts: 195.158.171.60 www.boldchat.com O1 - Hosts: 195.158.171.60 www.bravenet.com O1 - Hosts: 195.158.171.60 www.canalchat.com O1 - Hosts: 195.158.171.60 www.causerie.fr O1 - Hosts: 195.158.171.60 www.chat.com O1 - Hosts: 195.158.171.60 www.chat.de O1 - Hosts: 195.158.171.60 www.chatandco.fr O1 - Hosts: 195.158.171.60 www.chatcity.de O1 - Hosts: 195.158.171.60 www.chatta.it O1 - Hosts: 195.158.171.60 www.chiacchierata.fr O1 - Hosts: 195.158.171.60 www.cumshot.de O1 - Hosts: 195.158.171.60 www.ebony.com O1 - Hosts: 195.158.171.60 www.ebony.de O1 - Hosts: 195.158.171.60 www.erotik.de O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: (no name) - {702AD576-FDDB-4d0f-9811-A43252064684} - (no file) O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\RunServices: [ctfmon.exe] ctfmon.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: ConferenceRoom Java Client - http://irc1.bluewin.ch/java/cr.cab O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/de/filesharingctrl.cab O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/285afa05d8792d718118/netzip/RdxIE601_de.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/de/check/qdiagh.cab?326 O16 - DPF: {FE5D6722-826F-11D5-A24E-0060B0F1A5AE} (Tukati Launcher) - http://www.tukati.com/software/4/1.7.20.20/tukati.cab O21 - SSODL: system32 - {78DB2E0D-4363-4036-9BB0-B4916A09EC32} - sysprinters.dll (file missing) O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: gearsec - GEAR Software - C:\WINDOWS\System32\gearsec.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\WINDOWS\runservice.exe O23 - Service: NvCplScan - Unknown owner - C:\WINDOWS\System32\nvsc32.exe" -netsvcs (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe |
|
|
||
03.07.2007, 22:06
Ehrenmitglied
Beiträge: 6028 |
#21
Entferne von C:\install
Die sachen die ich um 19.53 Uhr geschrieben habe müssen noch ausgeführt werden!!!! Anhang: HijckThis.JPG __________ MfG Argus Dieser Beitrag wurde am 04.07.2007 um 00:49 Uhr von Arnold editiert.
|
|
|
||
04.07.2007, 16:10
...neu hier
Beiträge: 8 |
#22
also ich hab nichts mit dem Thread zu tun, aber ich muss hier wirklich mal sagen, das Arnold einen Hammer Job macht und will ihm einfach danken, denn er hat mir auch geholfen.
Mach weiter so! |
|
|
||
04.07.2007, 16:29
Ehrenmitglied
Beiträge: 6028 |
||
|
||
04.07.2007, 18:09
...neu hier
Beiträge: 3 |
#24
Hallo Arno,
habe das selbe problem, kannst du bitte bei mir auch mal schauen. C:\install kann ich bei mir nicht finden :-( Combofix logfile: "Administrator" - 2007-07-04 17:52:55 - ComboFix 07-07-04.4 - Service Pack 2 ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) -------\LEGACY_NPF ((((((((((((((((((((((((( Files Created from 2007-06-04 to 2007-07-04 ))))))))))))))))))))))))))))))) 2007-07-04 17:52 51,200 --a------ C:\WINDOWS\nircmd.exe 2007-07-03 07:06 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\SUPERAntiSpyware.com 2007-07-03 07:05 <DIR> d-------- C:\Programme\SUPERAntiSpyware 2007-07-02 23:25 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Yahoo! Companion 2007-06-24 13:25 <DIR> d-------- C:\WINDOWS\system32\logs (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-07-03 19:43:58 -------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2007-07-02 21:20:39 -------- d-----w C:\Programme\Yahoo! 2007-07-02 18:49:12 -------- d-----w C:\Programme\TuneUp Utilities 2007 2007-07-01 07:25:24 -------- d-----w C:\DOKUME~1\ADMINI~1\ANWEND~1\SiteAdvisor 2007-05-31 19:57:28 -------- d-----w C:\Programme\Windows Live Toolbar 2007-05-16 15:11:44 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll 2007-05-13 11:29:33 57,632 ----a-w C:\StiImg.dat 2007-05-10 04:51:28 -------- d-----w C:\Programme\Microsoft CAPICOM 2.1.0.2 2007-04-25 14:22:27 144,896 ----a-w C:\WINDOWS\system32\schannel.dll 2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll 2007-04-16 20:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll 2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll 2007-04-16 20:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll 2007-04-16 20:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll 2007-04-16 20:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll 2007-04-16 20:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll 2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe 2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll 2007-04-16 20:44:20 271,224 ----a-w C:\WINDOWS\system32\mucltui.dll 2007-04-16 20:44:18 208,248 ----a-w C:\WINDOWS\system32\muweb.dll 2006-09-09 07:26:11 56 --sha-w C:\WINDOWS\SMINST\hpboot.sys ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{02478D38-C3F9-4EFB-9B51-7695ECA05670}] 2006-10-26 10:28 440384 --a------ C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{089FD14D-132B-48FC-8861-0048AE113215}] 2007-03-30 17:41 1099304 --a------ C:\Programme\SiteAdvisor\6066\SiteAdv.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{39F7E362-828A-4B5A-BCAF-5B79BFDFEA60}] 2006-12-27 17:00 325184 --a------ C:\Programme\BitComet\tools\BitCometBHO.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5CA3D70E-1895-11CF-8E15-001234567890}] 2005-08-31 05:20 110652 --a------ C:\WINDOWS\System32\DLA\DLASHX_W.DLL [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{72853161-30C5-4D22-B7F9-0BBC1D38A37E}] 2006-10-27 01:48 2210608 --a------ C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7DB2D5A0-7241-4E79-B68D-6309F01C5231}] 2006-12-22 17:02 67136 --a------ c:\PROGRA~1\mcafee\VIRUSS~1\scriptcl.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}] 2006-08-31 21:33 322368 --a------ C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}] 2006-12-04 14:05 1198080 -ra------ c:\programme\google\googletoolbar1.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0}] 2007-02-12 15:56 546672 --a------ C:\Programme\Windows Live Toolbar\msntb.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DF21F1DB-80C6-11D3-9483-B03D0EC10000}] 2005-03-03 04:35 50688 --a------ C:\Programme\HPQ\IAM\Bin\ItIeAddIN.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MsmqIntCert"="regsvr32 /s mqrt.dll" [] "ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2005-08-12 14:43] "hpWirelessAssistant"="C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2006-02-14 11:49] "SiteAdvisor"="C:\Programme\SiteAdvisor\6066\SiteAdv.exe" [2006-08-10 21:38] "SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-03 18:46] "Windows Defender"="C:\Programme\Windows Defender\MSASCui.exe" [2006-11-03 19:20] "GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 01:47] "HP Software Update"="C:\Programme\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 23:11] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-12-01 16:15] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 10:00] "updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45] [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "DWQueuedReporting"="C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" -t [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"="C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [2006-10-27 01:48] "{56F9679E-7826-4C84-81F3-532071A8BCC5}"="C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2007-02-05 16:39] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IfxWlxEN] IfxWlxEN.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OneCard] C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Authentication Packages msv1_0 nwprovau Notification Packages scecli AsWlnPkg [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" "WMPNSCFG"=C:\Programme\Windows Media Player\WMPNSCFG.exe "CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "Cpqset"=C:\Programme\HPQ\Default Settings\cpqset.exe "ElbyCheckElbyCDFL"="C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL "Reminder"=C:\WINDOWS\Creator\Remind_XP.exe "NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe "QlbCtrl"=%ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start "SoundMAXPnP"=C:\Programme\Analog Devices\Core\smax4pnp.exe "DLA"=C:\WINDOWS\System32\DLA\DLACTRLW.EXE "Scheduler"=C:\WINDOWS\SMINST\Scheduler.exe "Recguard"=C:\WINDOWS\Sminst\Recguard.exe "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot "CognizanceTS"=rundll32.exe C:\PROGRA~1\HPQ\IAM\Bin\AsTsVcc.dll,RegisterModule "SunJavaUpdateSched"=C:\Programme\Java\jre1.5.0_05\bin\jusched.exe "SoundMAX"=C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray "PTHOSTTR"=C:\Programme\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] Cognizance ASChannel HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - netsvcs UxTuneUp [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E] AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480 Contents of the 'Scheduled Tasks' folder 2007-06-29 16:40:20 C:\WINDOWS\tasks\1-Klick-Wartung.job 2007-07-04 15:22:01 C:\WINDOWS\tasks\Auf Updates für Windows Live Toolbar prüfen.job 2007-06-15 00:14:28 C:\WINDOWS\tasks\McDefragTask.job 2007-06-30 23:00:08 C:\WINDOWS\tasks\McQcTask.job 2007-07-04 15:57:44 C:\WINDOWS\tasks\MP Scheduled Scan.job ************************************************************************** catchme 0.3.915 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-07-04 17:57:55 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... ************************************************************************** Completion time: 2007-07-04 18:00:38 - machine was rebooted C:\ComboFix-quarantined-files.txt ... 2007-07-04 18:00 --- E O F --- Hijackthis: * HijackThis v1.99.1 * Written by Merijn - merijn@spywareinfo.com http://www.merijn.org/files/hijackthis.zip http://www.merijn.org/index.html See bottom for version history. The different sections of hijacking possibilities have been separated into the following groups. You can get more detailed information about an item by selecting it from the list of found items OR highlighting the relevant line below, and clicking 'Info on selected item'. R - Registry, StartPage/SearchPage changes R0 - Changed registry value R1 - Created registry value R2 - Created registry key R3 - Created extra registry value where only one should be F - IniFiles, autoloading entries F0 - Changed inifile value F1 - Created inifile value F2 - Changed inifile value, mapped to Registry F3 - Created inifile value, mapped to Registry N - Netscape/Mozilla StartPage/SearchPage changes N1 - Change in prefs.js of Netscape 4.x N2 - Change in prefs.js of Netscape 6 N3 - Change in prefs.js of Netscape 7 N4 - Change in prefs.js of Mozilla O - Other, several sections which represent: O1 - Hijack of auto.search.msn.com with Hosts file O2 - Enumeration of existing MSIE BHO's O3 - Enumeration of existing MSIE toolbars O4 - Enumeration of suspicious autoloading Registry entries O5 - Blocking of loading Internet Options in Control Panel O6 - Disabling of 'Internet Options' Main tab with Policies O7 - Disabling of Regedit with Policies O8 - Extra MSIE context menu items O9 - Extra 'Tools' menuitems and buttons O10 - Breaking of Internet access by New.Net or WebHancer O11 - Extra options in MSIE 'Advanced' settings tab O12 - MSIE plugins for file extensions or MIME types O13 - Hijack of default URL prefixes O14 - Changing of IERESET.INF O15 - Trusted Zone Autoadd O16 - Download Program Files item O17 - Domain hijack O18 - Enumeration of existing protocols and filters O19 - User stylesheet hijack O20 - AppInit_DLLs autorun Registry value, Winlogon Notify Registry keys O21 - ShellServiceObjectDelayLoad (SSODL) autorun Registry key O22 - SharedTaskScheduler autorun Registry key O23 - Enumeration of NT Services dank dir schon mal gruß dennis |
|
|
||
04.07.2007, 18:16
Ehrenmitglied
Beiträge: 6028 |
#25
Tag,Dennis
Nun habe icg speziell für MSN geschädigte etwas im Forum geschrieben und es wird nicht gelesen __________ MfG Argus |
|
|
||
04.07.2007, 18:22
...neu hier
Beiträge: 3 |
#26
ja ich hab es versucht zu verstehn, aber bin kein so computer-spezialist.... hab mal versucht nach deinen anweisungen vor zu gehn, aber hat nicht so ganz geklappt....
kannst du den auf den ersten blick was bei mir entdecken? ich hab die "sysprinters.dll " schon gelöscht bekommen aber den "install" ordner kann ich net finden:-( |
|
|
||
04.07.2007, 18:26
Ehrenmitglied
Beiträge: 6028 |
||
|
||
04.07.2007, 18:34
...neu hier
Beiträge: 3 |
||
|
||
04.07.2007, 18:42
Ehrenmitglied
Beiträge: 6028 |
#29
Du hast alles gemacht aber wo sind jetzt die Logs von Ewido,SDFix,Hijack This
Combofix Ich kann dir nicht helfen __________ MfG Argus |
|
|
||
04.07.2007, 22:41
Member
Themenstarter Beiträge: 12 |
#30
Zitat Arnold posteteJa genau das habe ich gestern übersehen, habe jetzt alle Punkte durchgeführt. Ich will mich hiermit Paddy anschliessen und möchte mich ganz herzlich bedanke für die kompetente und super schnelle Antworten, war wirklich eine riesen Hilfe, schade das diese Bedankung übers Internet ein wenig unpersönlich hinüberkommt. Merci! Noch ne Frage hätte ich, wieso sollte man eigentlich beim AVG Anti Spyware den Resident Shield bei Inaktiv lassen? Gruss Jula |
|
|
||
Zitat
Nee genau das gleiche wie ich oben reinkopiert habe...hmmm