TR/Mon.Virtumonde.II will nicht weg, und ich hab keinen plan |
||
---|---|---|
#0
| ||
17.07.2007, 23:06
...neu hier
Beiträge: 6 |
||
|
||
18.07.2007, 12:12
Moderator
Beiträge: 7805 |
#2
Kopiere unten angegebenes script bitte in Notepad:
Suspect:: C:\WINDOWS\system32\gebcb.VIR C:\WINDOWS\system32\geebb.VIR C:\WINDOWS\system32\iifgecy.dll C:\WINDOWS\system32\cbxvvsp.exe c:\windows\system32\oynqnghu.exe C:\WINDOWS\system32\mljjh.dll C:\WINDOWS\system32\awtsp.dll C:\WINDOWS\system32\vturo.dll Das ganze unter cfscript.txt, in dem Ordner speichern, in dem sich die Combofix befindet und auf die combofix.exe ziehen. Das erstellt combofix log bitte posten. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
18.07.2007, 12:54
...neu hier
Themenstarter Beiträge: 6 |
#3
so...gleich mal gemacht... hier das neue combofix log
"Fabian" - 2007-07-18 12:51:51 - ComboFix 07-07-14.6 - Service Pack 2 NTFS Command switches used :: C:\Dokumente und Einstellungen\Fabian\Desktop\cfscript.txt ((((((((((((((((((((((((( Files Created from 2007-06-18 to 2007-07-18 ))))))))))))))))))))))))))))))) 2007-07-17 21:11 51,200 --a------ C:\WINDOWS\nircmd.exe 2007-07-11 14:04 266,304 --a------ C:\WINDOWS\system32\gebcb.VIR 2007-07-07 09:44 6,402 ---hs---- C:\WINDOWS\system32\bbeeg.bak2 2007-07-06 23:47 6,402 ---hs---- C:\WINDOWS\system32\bbeeg.ini2 2007-07-06 23:29 <DIR> d-------- C:\Programme\Max Payne 2007-07-06 21:14 6,362 ---hs---- C:\WINDOWS\system32\bbeeg.bak1 2007-07-06 21:14 266,304 --a------ C:\WINDOWS\system32\geebb.VIR 2007-07-06 21:09 287,254 --a------ C:\WINDOWS\system32\iifgecy.dll 2007-07-06 21:08 86,016 --a------ C:\WINDOWS\system32\cbxvvsp.exe 2007-06-28 14:41 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-07-18 10:49:08 -------- d-----w C:\DOKUME~1\Fabian\ANWEND~1\Skype 2007-07-17 21:14:10 -------- d-----w C:\DOKUME~1\Fabian\ANWEND~1\Hamachi 2007-07-17 19:37:33 -------- d--h--w C:\Programme\InstallShield Installation Information 2007-07-17 19:37:31 -------- d-----w C:\Programme\Microsoft Games 2007-07-16 18:17:52 22,584 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys 2007-07-16 18:17:48 99,904 ----a-w C:\WINDOWS\system32\PnkBstrB.exe 2007-07-15 17:59:01 -------- d-----w C:\DOKUME~1\Fabian\ANWEND~1\teamspeak2 2007-07-13 22:51:28 -------- d-----w C:\Programme\Everest Poker.net 2007-06-15 21:28:17 -------- d-----w C:\Programme\Everest Poker 2007-06-12 13:42:04 -------- d-----w C:\Programme\ahead 2007-06-08 17:38:00 13,844 ----a-w C:\WINDOWS\system32\oynqnghu.exe 2007-06-08 17:02:18 25,544 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys 2007-06-06 17:05:33 -------- d-----w C:\Programme\DivX 2007-05-31 06:45:07 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe 2007-05-31 06:44:55 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll 2007-05-31 06:44:54 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll 2007-05-31 06:44:54 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll 2007-05-31 06:44:54 740,442 ----a-w C:\WINDOWS\system32\DivX.dll 2007-05-30 09:08:02 -------- d-----w C:\Programme\AGEIA Technologies 2007-05-12 13:45:22 63,040 ----a-w C:\WINDOWS\system32\PnkBstrA.exe 2007-04-23 00:15:29 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll 2007-04-23 00:15:18 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll 2007-04-23 00:15:18 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll 2007-04-23 00:02:34 73,728 ----a-w C:\WINDOWS\system32\dpl100.dll 2007-04-23 00:02:34 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll 2007-04-23 00:02:33 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll 2007-04-23 00:02:31 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll 2007-04-23 00:02:31 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll 2007-04-23 00:02:31 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll 2007-04-23 00:02:31 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll 2007-04-23 00:02:31 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll 2007-04-23 00:01:47 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll 2007-04-23 00:01:46 124,472 ----a-w C:\WINDOWS\system32\DivXCodecUpdateChecker.exe ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] 2006-01-12 19:38 63128 --a------ F:\Eigene Software\adobe Reader\ActiveX\AcroIEHelper.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{07D4E86C-5EC6-4F2D-9E22-D69B923E50CD}] C:\WINDOWS\system32\geebb.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}] 2007-07-06 21:09 287254 --a------ C:\WINDOWS\system32\iifgecy.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}] 2006-10-12 04:25 434279 --a------ C:\Programme\Java\jre1.5.0_09\bin\ssv.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMan"="SOUNDMAN.EXE" [2006-01-11 15:08 C:\WINDOWS\soundman.exe] "Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2004-12-10 12:45 C:\WINDOWS\KHALMNPR.Exe] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-24 15:09] "ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-06-16 07:03] "ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-06-16 07:03] "ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 11:12] "@"="" [] "Sony Ericsson PC Suite"="F:\Eigene Software\Sony Ericson\Application Launcher\Application Launcher.exe" [2005-10-26 18:17] "Adobe Photo Downloader"="F:\Eigene Software\AdobePhotoshop\3.0\Apps\apdproxy.exe" [2005-06-23 21:33] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57] "Skype"="C:\Programme\Skype\Phone\Skype.exe" [2006-10-13 18:20] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [] "DAEMON Tools"="F:\Eigene Software\DAEMON Tools\daemon.exe" [2006-11-12 12:48] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"="C:\WINDOWS\system32\iifgecy.dll" [2007-07-06 21:09] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\geebb] C:\WINDOWS\system32\geebb.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iifgecy] iifgecy.dll --a------ 2007-07-06 21:09 287254 C:\WINDOWS\system32\iifgecy.dll ************************************************************************** catchme 0.3.915 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-07-18 12:52:32 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-07-18 12:52:51 C:\ComboFix-quarantined-files.txt ... 2007-07-18 12:52 C:\ComboFix2.txt ... 2007-07-17 22:50 --- E O F --- |
|
|
||
18.07.2007, 13:06
Moderator
Beiträge: 7805 |
#4
So, erstelle nun bitte nochmal dieses Script, nur ersetze Suspect:: durch file:: und dann nochmal das ganze!
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
18.07.2007, 14:20
...neu hier
Themenstarter Beiträge: 6 |
#5
gesagt, getan *G*
"Fabian" - 2007-07-18 14:18:13 - ComboFix 07-07-14.6 - Service Pack 2 NTFS Command switches used :: C:\Dokumente und Einstellungen\Fabian\Desktop\cffilescript.txt ((((((((((((((((((((((((( Files Created from 2007-06-18 to 2007-07-18 ))))))))))))))))))))))))))))))) 2007-07-17 21:11 51,200 --a------ C:\WINDOWS\nircmd.exe 2007-07-11 14:04 266,304 --a------ C:\WINDOWS\system32\gebcb.VIR 2007-07-07 09:44 6,402 ---hs---- C:\WINDOWS\system32\bbeeg.bak2 2007-07-06 23:47 6,402 ---hs---- C:\WINDOWS\system32\bbeeg.ini2 2007-07-06 23:29 <DIR> d-------- C:\Programme\Max Payne 2007-07-06 21:14 6,362 ---hs---- C:\WINDOWS\system32\bbeeg.bak1 2007-07-06 21:14 266,304 --a------ C:\WINDOWS\system32\geebb.VIR 2007-07-06 21:09 287,254 --a------ C:\WINDOWS\system32\iifgecy.dll 2007-07-06 21:08 86,016 --a------ C:\WINDOWS\system32\cbxvvsp.exe 2007-06-28 14:41 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-07-18 11:53:17 -------- d-----w C:\DOKUME~1\Fabian\ANWEND~1\Skype 2007-07-17 21:14:10 -------- d-----w C:\DOKUME~1\Fabian\ANWEND~1\Hamachi 2007-07-17 19:37:33 -------- d--h--w C:\Programme\InstallShield Installation Information 2007-07-17 19:37:31 -------- d-----w C:\Programme\Microsoft Games 2007-07-16 18:17:52 22,584 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys 2007-07-16 18:17:48 99,904 ----a-w C:\WINDOWS\system32\PnkBstrB.exe 2007-07-15 17:59:01 -------- d-----w C:\DOKUME~1\Fabian\ANWEND~1\teamspeak2 2007-07-13 22:51:28 -------- d-----w C:\Programme\Everest Poker.net 2007-06-15 21:28:17 -------- d-----w C:\Programme\Everest Poker 2007-06-12 13:42:04 -------- d-----w C:\Programme\ahead 2007-06-08 17:38:00 13,844 ----a-w C:\WINDOWS\system32\oynqnghu.exe 2007-06-08 17:02:18 25,544 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys 2007-06-06 17:05:33 -------- d-----w C:\Programme\DivX 2007-05-31 06:45:07 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe 2007-05-31 06:44:55 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll 2007-05-31 06:44:54 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll 2007-05-31 06:44:54 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll 2007-05-31 06:44:54 740,442 ----a-w C:\WINDOWS\system32\DivX.dll 2007-05-30 09:08:02 -------- d-----w C:\Programme\AGEIA Technologies 2007-05-12 13:45:22 63,040 ----a-w C:\WINDOWS\system32\PnkBstrA.exe 2007-04-23 00:15:29 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll 2007-04-23 00:15:18 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll 2007-04-23 00:15:18 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll 2007-04-23 00:02:34 73,728 ----a-w C:\WINDOWS\system32\dpl100.dll 2007-04-23 00:02:34 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll 2007-04-23 00:02:33 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll 2007-04-23 00:02:31 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll 2007-04-23 00:02:31 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll 2007-04-23 00:02:31 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll 2007-04-23 00:02:31 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll 2007-04-23 00:02:31 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll 2007-04-23 00:01:47 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll 2007-04-23 00:01:46 124,472 ----a-w C:\WINDOWS\system32\DivXCodecUpdateChecker.exe ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] 2006-01-12 19:38 63128 --a------ F:\Eigene Software\adobe Reader\ActiveX\AcroIEHelper.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{07D4E86C-5EC6-4F2D-9E22-D69B923E50CD}] C:\WINDOWS\system32\geebb.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}] 2007-07-06 21:09 287254 --a------ C:\WINDOWS\system32\iifgecy.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}] 2006-10-12 04:25 434279 --a------ C:\Programme\Java\jre1.5.0_09\bin\ssv.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMan"="SOUNDMAN.EXE" [2006-01-11 15:08 C:\WINDOWS\soundman.exe] "Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2004-12-10 12:45 C:\WINDOWS\KHALMNPR.Exe] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-24 15:09] "ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-06-16 07:03] "ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-06-16 07:03] "ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 11:12] "@"="" [] "Sony Ericsson PC Suite"="F:\Eigene Software\Sony Ericson\Application Launcher\Application Launcher.exe" [2005-10-26 18:17] "Adobe Photo Downloader"="F:\Eigene Software\AdobePhotoshop\3.0\Apps\apdproxy.exe" [2005-06-23 21:33] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57] "Skype"="C:\Programme\Skype\Phone\Skype.exe" [2006-10-13 18:20] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [] "DAEMON Tools"="F:\Eigene Software\DAEMON Tools\daemon.exe" [2006-11-12 12:48] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"="C:\WINDOWS\system32\iifgecy.dll" [2007-07-06 21:09] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\geebb] C:\WINDOWS\system32\geebb.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iifgecy] iifgecy.dll --a------ 2007-07-06 21:09 287254 C:\WINDOWS\system32\iifgecy.dll ************************************************************************** catchme 0.3.915 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-07-18 14:18:36 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-07-18 14:18:57 C:\ComboFix-quarantined-files.txt ... 2007-07-18 14:18 C:\ComboFix2.txt ... 2007-07-18 12:52 C:\ComboFix3.txt ... 2007-07-17 22:50 --- E O F --- |
|
|
||
18.07.2007, 14:37
Moderator
Beiträge: 7805 |
#6
Hm, scheint nicht funktioniert zu haben. Nutze bitte die cfscript.txt, die ich angehaengt habe.
Anhang: cfscript.txt __________ MfG Ralf SEO-Spam Hunter |
|
|
||
18.07.2007, 15:29
...neu hier
Themenstarter Beiträge: 6 |
#7
hm...weiß auch warums nicht funktioniert hat... hab suspect:: mit file:: ersetzt...und nicht verdoppelt und dann ersetzt!sorry
hier jetzt das neue log "Fabian" - 2007-07-18 15:22:37 - ComboFix 07-07-14.6 - Service Pack 2 NTFS Command switches used :: C:\Dokumente und Einstellungen\Fabian\Desktop\cfscript.txt ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\system32\cbxvvsp.exe C:\WINDOWS\system32\gebcb.VIR C:\WINDOWS\system32\geebb.VIR C:\WINDOWS\system32\iifgecy.dll c:\windows\system32\oynqnghu.exe ((((((((((((((((((((((((( Files Created from 2007-06-18 to 2007-07-18 ))))))))))))))))))))))))))))))) 2007-07-17 21:11 51,200 --a------ C:\WINDOWS\nircmd.exe 2007-07-07 09:44 6,402 ---hs---- C:\WINDOWS\system32\bbeeg.bak2 2007-07-06 23:47 6,402 ---hs---- C:\WINDOWS\system32\bbeeg.ini2 2007-07-06 23:29 <DIR> d-------- C:\Programme\Max Payne 2007-07-06 21:14 6,362 ---hs---- C:\WINDOWS\system32\bbeeg.bak1 2007-06-28 14:41 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-07-18 13:23:04 -------- d-----w C:\DOKUME~1\Fabian\ANWEND~1\Skype 2007-07-17 21:14:10 -------- d-----w C:\DOKUME~1\Fabian\ANWEND~1\Hamachi 2007-07-17 19:37:33 -------- d--h--w C:\Programme\InstallShield Installation Information 2007-07-17 19:37:31 -------- d-----w C:\Programme\Microsoft Games 2007-07-16 18:17:52 22,584 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys 2007-07-16 18:17:48 99,904 ----a-w C:\WINDOWS\system32\PnkBstrB.exe 2007-07-15 17:59:01 -------- d-----w C:\DOKUME~1\Fabian\ANWEND~1\teamspeak2 2007-07-13 22:51:28 -------- d-----w C:\Programme\Everest Poker.net 2007-06-15 21:28:17 -------- d-----w C:\Programme\Everest Poker 2007-06-12 13:42:04 -------- d-----w C:\Programme\ahead 2007-06-08 17:02:18 25,544 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys 2007-06-06 17:05:33 -------- d-----w C:\Programme\DivX 2007-05-31 06:45:07 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe 2007-05-31 06:44:55 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll 2007-05-31 06:44:54 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll 2007-05-31 06:44:54 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll 2007-05-31 06:44:54 740,442 ----a-w C:\WINDOWS\system32\DivX.dll 2007-05-30 09:08:02 -------- d-----w C:\Programme\AGEIA Technologies 2007-05-12 13:45:22 63,040 ----a-w C:\WINDOWS\system32\PnkBstrA.exe 2007-04-23 00:15:29 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll 2007-04-23 00:15:18 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll 2007-04-23 00:15:18 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll 2007-04-23 00:02:34 73,728 ----a-w C:\WINDOWS\system32\dpl100.dll 2007-04-23 00:02:34 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll 2007-04-23 00:02:33 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll 2007-04-23 00:02:31 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll 2007-04-23 00:02:31 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll 2007-04-23 00:02:31 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll 2007-04-23 00:02:31 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll 2007-04-23 00:02:31 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll 2007-04-23 00:01:47 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll 2007-04-23 00:01:46 124,472 ----a-w C:\WINDOWS\system32\DivXCodecUpdateChecker.exe ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] 2006-01-12 19:38 63128 --a------ F:\Eigene Software\adobe Reader\ActiveX\AcroIEHelper.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{07D4E86C-5EC6-4F2D-9E22-D69B923E50CD}] C:\WINDOWS\system32\geebb.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}] 2006-10-12 04:25 434279 --a------ C:\Programme\Java\jre1.5.0_09\bin\ssv.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMan"="SOUNDMAN.EXE" [2006-01-11 15:08 C:\WINDOWS\soundman.exe] "Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2004-12-10 12:45 C:\WINDOWS\KHALMNPR.Exe] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-24 15:09] "ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-06-16 07:03] "ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-06-16 07:03] "ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 11:12] "@"="" [] "Sony Ericsson PC Suite"="F:\Eigene Software\Sony Ericson\Application Launcher\Application Launcher.exe" [2005-10-26 18:17] "Adobe Photo Downloader"="F:\Eigene Software\AdobePhotoshop\3.0\Apps\apdproxy.exe" [2005-06-23 21:33] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57] "Skype"="C:\Programme\Skype\Phone\Skype.exe" [2006-10-13 18:20] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [] "DAEMON Tools"="F:\Eigene Software\DAEMON Tools\daemon.exe" [2006-11-12 12:48] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\geebb] C:\WINDOWS\system32\geebb.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iifgecy] iifgecy.dll ************************************************************************** catchme 0.3.915 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-07-18 15:24:21 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-07-18 15:25:46 - machine was rebooted C:\ComboFix-quarantined-files.txt ... 2007-07-18 15:25 C:\ComboFix2.txt ... 2007-07-18 14:18 C:\ComboFix3.txt ... 2007-07-18 12:52 --- E O F --- |
|
|
||
18.07.2007, 16:40
Moderator
Beiträge: 7805 |
#8
Eigenltich asollte "file::" re3ichen, warum es bei dir nicht funktioniert hat, weiss ich so nicht.
Du solltest auf deinem Desktop eine submit*.zip Datei besitzen. Schicke diese bitte an virus@protecus.de und loesche diese. Loesche auch den Ordner c:\qoobox. Poste bitte noch ein neues Hijackthis log. Loesche aus deinem System32 Ordner auch noch diese Dateien, sofern sie noch vorhanden sind: 11.07.2007 14:04 266.304 gebcb.VIR 10.07.2007 03:30 6.402 bbeeg.ini2 09.07.2007 18:07 6.402 bbeeg.bak2 09.07.2007 14:57 2.064.756 sebmclwy.ini 07.07.2007 04:34 13.956 bbeeg.ini 06.07.2007 23:46 12.769 bbeeg.tmp 06.07.2007 21:14 6.362 bbeeg.bak1 06.07.2007 21:14 266.304 geebb.VIR 06.07.2007 21:09 287.254 iifgecy.dll 06.07.2007 21:08 86.016 cbxvvsp.exe 06.07.2007 15:31 2.136.616 mvtldvkj.ini 06.07.2007 13:02 2.139.595 tjryuppx.ini 06.07.2007 12:58 2.132.915 rwkslsvr.ini 05.07.2007 17:48 2.133.395 shkwtkjj.ini 05.07.2007 13:03 2.011.391 xmvfjhul.ini 04.07.2007 14:59 2.012.874 syeexkmo.ini 03.07.2007 19:49 1.952.489 bkvdcjco.ini 03.07.2007 17:38 1.953.952 smrfilgv.ini 03.07.2007 13:56 1.957.164 flqomgqo.ini 03.07.2007 11:36 1.958.239 muujyrjq.ini 02.07.2007 10:37 960.165 tsddphuu.ini 01.07.2007 12:24 960.104 mgwmdlkp.ini 01.07.2007 12:18 989.738 ktughkdv.ini 30.06.2007 20:15 999.333 fcybshuk.ini 30.06.2007 19:03 817.328 dyqqmjmo.ini 30.06.2007 14:42 768.478 voytxadg.ini 30.06.2007 10:46 801.345 tmhctomg.ini 29.06.2007 13:00 877.678 tmxwgabh.ini 28.06.2007 14:32 929.622 qcfysbmj.ini 27.06.2007 15:01 914.706 ividamuy.ini 26.06.2007 15:04 914.586 mfmryeht.ini 25.06.2007 16:11 914.525 whaaqefh.ini 25.06.2007 16:09 818.087 pcbxhyqg.ini 24.06.2007 15:40 823.440 qpwqncvu.ini 23.06.2007 15:04 864.398 qtgfkfck.ini 22.06.2007 14:07 907.252 yeiaagqf.ini 22.06.2007 13:58 768.279 pvyuibcj.ini 21.06.2007 15:10 843.763 pdafdkvo.ini 20.06.2007 15:04 899.272 eansjban.ini 19.06.2007 17:58 899.782 oeeomlvc.ini 19.06.2007 15:03 899.663 nvxotqyl.ini 18.06.2007 21:07 899.543 rbvossxv.ini 18.06.2007 20:40 899.146 iljwjody.ini 18.06.2007 16:09 930.958 fyngfeam.ini 17.06.2007 13:54 922.189 pukfkbql.ini 17.06.2007 12:06 922.070 ppkljxnw.ini 16.06.2007 12:02 921.950 naxlwinq.ini 15.06.2007 17:37 405 rnjhxddi.ini 15.06.2007 13:13 4.832.742 ajluinkd.ini 15.06.2007 13:07 4.832.922 lmcvnroc.ini 14.06.2007 17:24 4.835.588 ugfektyw.ini 13.06.2007 15:09 4.787.913 shdsqdqj.ini 13.06.2007 14:59 4.576.009 hmnykkub.ini 12.06.2007 16:15 3.631.117 pvfbbpdc.ini 12.06.2007 14:58 2.686.075 jbdffowx.ini 11.06.2007 20:50 1.749.715 jenkurvg.ini 09.06.2007 14:03 1.616.904 ydgehlop.ini 09.06.2007 14:00 1.578.139 unjhwsoy.ini 08.06.2007 22:56 1.407.191 fgqxujjm.ini 08.06.2007 21:05 1.312.980 xombcqkl.ini 08.06.2007 19:38 13.844 oynqnghu.exe 08.06.2007 19:35 1.119.795 uyvprxpo.ini 21.05.2007 17:14 779.249 fhhkj.tmp __________ MfG Ralf SEO-Spam Hunter |
|
|
||
18.07.2007, 17:34
...neu hier
Themenstarter Beiträge: 6 |
#9
so...hab alles gemacht was du gesagt hast...hier jetzt mein neues hijack log
Logfile of HijackThis v1.99.1 Scan saved at 17:33:48, on 18.07.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe F:\Eigene Software\Sony Ericson\Application Launcher\Application Launcher.exe F:\Eigene Software\AdobePhotoshop\3.0\Apps\apdproxy.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Skype\Phone\Skype.exe F:\Eigene Software\DAEMON Tools\daemon.exe F:\Eigene Software\dlink\AirPlus.exe F:\Eigene Software\logitech\SetPoint\SetPoint.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe F:\Eigene Software\Sony Ericson\Mobile Phone Monitor\epmworker.exe C:\Programme\Mozilla Firefox\firefox.exe F:\Eigene Software\hijackthis\HJT.exe O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Eigene Software\adobe Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {07D4E86C-5EC6-4F2D-9E22-D69B923E50CD} - C:\WINDOWS\system32\geebb.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "F:\Eigene Software\Sony Ericson\Application Launcher\Application Launcher.exe" /startoptions O4 - HKLM\..\Run: [Adobe Photo Downloader] "F:\Eigene Software\AdobePhotoshop\3.0\Apps\apdproxy.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [DAEMON Tools] "F:\Eigene Software\DAEMON Tools\daemon.exe" -lang 1033 O4 - Global Startup: Adobe Reader - Schnellstart.lnk = F:\Eigene Software\adobe Reader\Reader\reader_sl.exe O4 - Global Startup: D-Link AirPlus.lnk = ? O4 - Global Startup: Logitech SetPoint.lnk = F:\Eigene Software\logitech\SetPoint\SetPoint.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra button: NordicBet Poker - {E6073F93-9541-4be4-9800-109D378EB99B} - C:\Microgaming\Poker\nordicbetMPP\MPPoker.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O20 - Winlogon Notify: geebb - C:\WINDOWS\system32\geebb.dll (file missing) O20 - Winlogon Notify: iifgecy - iifgecy.dll (file missing) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: dns cache reader (DNSCacheReader) - Unknown owner - C:\WINDOWS\system32\j3251738.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - F:\Eigene Software\SiSoftware Sandra Lite 2007\Win32\RpcDataSrv.exe O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - F:\Eigene Software\SiSoftware Sandra Lite 2007\RpcSandraSrv.exe |
|
|
||
18.07.2007, 18:24
Moderator
Beiträge: 7805 |
#10
Hake folgendes in Hijackthis an und druecke fix checked:
O2 - BHO: (no name) - {07D4E86C-5EC6-4F2D-9E22-D69B923E50CD} - C:\WINDOWS\system32\geebb.dll (file missing) O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O20 - Winlogon Notify: geebb - C:\WINDOWS\system32\geebb.dll (file missing) O20 - Winlogon Notify: iifgecy - iifgecy.dll (file missing) Danach neu starten und kontrollieren, ob die Eintraege verschwunden sind. Falls das der Fall ist, dann aktualisiere dein Windows via www.windowsupdate.com __________ MfG Ralf SEO-Spam Hunter |
|
|
||
18.07.2007, 18:40
...neu hier
Themenstarter Beiträge: 6 |
#11
hab alles gemacht was du gesagt hast!
die einträge sind nachm neustart nicht mehr dagewesen! werd jetzt mal antivir durchlassen und 24 stunden warten und dann bescheid geben ob alles sauber is! schon mal vielen,vielen dank für deine hilfe! echt klasse von dir |
|
|
||
gefunden wird! mit meinem beschränkten wissen hab ich den da nich weg bekommen! hoffe ihr könnt mir helfen.
"Fabian" - 2007-07-17 22:46:09 - ComboFix 07-07-14.6 - Service Pack 2 NTFS
(((((((((((((((((((((((((((((((((((((((((((( V Log )))))))))))))))))))))))))))))))))))))))))))))))))))))))
C:\WINDOWS\system32\ofuxebwi.dll
C:\WINDOWS\system32\pautherw.dll
C:\WINDOWS\system32\pvbdiqke.exe
C:\WINDOWS\system32\iwbexufo.ini
* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
((((((((((((((((((((((((( Files Created from 2007-06-17 to 2007-07-17 )))))))))))))))))))))))))))))))
2007-07-17 21:11 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-11 14:04 266,304 --a------ C:\WINDOWS\system32\gebcb.VIR
2007-07-07 09:44 6,402 ---hs---- C:\WINDOWS\system32\bbeeg.bak2
2007-07-06 23:47 6,402 ---hs---- C:\WINDOWS\system32\bbeeg.ini2
2007-07-06 23:29 <DIR> d-------- C:\Programme\Max Payne
2007-07-06 21:14 6,362 ---hs---- C:\WINDOWS\system32\bbeeg.bak1
2007-07-06 21:14 266,304 --a------ C:\WINDOWS\system32\geebb.VIR
2007-07-06 21:09 287,254 --a------ C:\WINDOWS\system32\iifgecy.dll
2007-07-06 21:08 86,016 --a------ C:\WINDOWS\system32\cbxvvsp.exe
2007-06-28 14:41 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-07-17 20:39:11 -------- d-----w C:\DOKUME~1\Fabian\ANWEND~1\Skype
2007-07-17 19:37:33 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-07-17 19:37:31 -------- d-----w C:\Programme\Microsoft Games
2007-07-16 18:17:52 22,584 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-07-16 18:17:48 99,904 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2007-07-15 20:58:00 -------- d-----w C:\DOKUME~1\Fabian\ANWEND~1\Hamachi
2007-07-15 17:59:01 -------- d-----w C:\DOKUME~1\Fabian\ANWEND~1\teamspeak2
2007-07-13 22:51:28 -------- d-----w C:\Programme\Everest Poker.net
2007-06-15 21:28:17 -------- d-----w C:\Programme\Everest Poker
2007-06-12 13:42:04 -------- d-----w C:\Programme\ahead
2007-06-08 17:38:00 13,844 ----a-w C:\WINDOWS\system32\oynqnghu.exe
2007-06-08 17:02:18 25,544 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2007-06-06 17:05:33 -------- d-----w C:\Programme\DivX
2007-05-31 06:45:07 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2007-05-31 06:44:55 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2007-05-31 06:44:54 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2007-05-31 06:44:54 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2007-05-31 06:44:54 740,442 ----a-w C:\WINDOWS\system32\DivX.dll
2007-05-30 09:08:02 -------- d-----w C:\Programme\AGEIA Technologies
2007-05-12 13:45:22 63,040 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2007-04-23 00:15:29 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2007-04-23 00:15:18 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2007-04-23 00:15:18 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2007-04-23 00:02:34 73,728 ----a-w C:\WINDOWS\system32\dpl100.dll
2007-04-23 00:02:34 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2007-04-23 00:02:33 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2007-04-23 00:02:31 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2007-04-23 00:02:31 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2007-04-23 00:02:31 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2007-04-23 00:02:31 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2007-04-23 00:02:31 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2007-04-23 00:01:47 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2007-04-23 00:01:46 124,472 ----a-w C:\WINDOWS\system32\DivXCodecUpdateChecker.exe
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
2006-01-12 19:38 63128 --a------ F:\Eigene Software\adobe Reader\ActiveX\AcroIEHelper.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{07D4E86C-5EC6-4F2D-9E22-D69B923E50CD}]
C:\WINDOWS\system32\geebb.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}]
2007-07-06 21:09 287254 --a------ C:\WINDOWS\system32\iifgecy.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
2006-10-12 04:25 434279 --a------ C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2006-01-11 15:08 C:\WINDOWS\soundman.exe]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2004-12-10 12:45 C:\WINDOWS\KHALMNPR.Exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-24 15:09]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-06-16 07:03]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-06-16 07:03]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 11:12]
"@"="" []
"Sony Ericsson PC Suite"="F:\Eigene Software\Sony Ericson\Application Launcher\Application Launcher.exe" [2005-10-26 18:17]
"Adobe Photo Downloader"="F:\Eigene Software\AdobePhotoshop\3.0\Apps\apdproxy.exe" [2005-06-23 21:33]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2006-10-13 18:20]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" []
"DAEMON Tools"="F:\Eigene Software\DAEMON Tools\daemon.exe" [2006-11-12 12:48]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"="C:\WINDOWS\system32\iifgecy.dll" [2007-07-06 21:09]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\geebb]
C:\WINDOWS\system32\geebb.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iifgecy]
iifgecy.dll --a------ 2007-07-06 21:09 287254 C:\WINDOWS\system32\iifgecy.dll
**************************************************************************
catchme 0.3.915 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-17 22:48:50
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
Completion time: 2007-07-17 22:50:14 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-07-17 22:50
--- E O F ---
Logfile of HijackThis v1.99.1
Scan saved at 22:56:26, on 17.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
F:\Eigene Software\Sony Ericson\Application Launcher\Application Launcher.exe
F:\Eigene Software\AdobePhotoshop\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
F:\Eigene Software\DAEMON Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
F:\Eigene Software\dlink\AirPlus.exe
F:\Eigene Software\logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
F:\Eigene Software\Sony Ericson\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
F:\Eigene Software\hijackthis\HJT.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Eigene Software\adobe Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {07D4E86C-5EC6-4F2D-9E22-D69B923E50CD} - C:\WINDOWS\system32\geebb.dll (file missing)
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\iifgecy.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "F:\Eigene Software\Sony Ericson\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Adobe Photo Downloader] "F:\Eigene Software\AdobePhotoshop\3.0\Apps\apdproxy.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DAEMON Tools] "F:\Eigene Software\DAEMON Tools\daemon.exe" -lang 1033
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = F:\Eigene Software\adobe Reader\Reader\reader_sl.exe
O4 - Global Startup: D-Link AirPlus.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = F:\Eigene Software\logitech\SetPoint\SetPoint.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: NordicBet Poker - {E6073F93-9541-4be4-9800-109D378EB99B} - C:\Microgaming\Poker\nordicbetMPP\MPPoker.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: geebb - C:\WINDOWS\system32\geebb.dll (file missing)
O20 - Winlogon Notify: iifgecy - C:\WINDOWS\SYSTEM32\iifgecy.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: dns cache reader (DNSCacheReader) - Unknown owner - C:\WINDOWS\system32\j3251738.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - F:\Eigene Software\SiSoftware Sandra Lite 2007\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - F:\Eigene Software\SiSoftware Sandra Lite 2007\RpcSandraSrv.exe
.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 780D-271D
Verzeichnis von C:\WINDOWS\system32
17.07.2007 22:48 112.584 FNTCACHE.DAT
16.07.2007 20:17 99.904 PnkBstrB.exe
13.07.2007 11:56 2.206 wpa.dbl
11.07.2007 16:59 139.776 swreg.exe
11.07.2007 14:04 266.304 gebcb.VIR
10.07.2007 03:30 6.402 bbeeg.ini2
09.07.2007 18:07 6.402 bbeeg.bak2
09.07.2007 14:57 2.064.756 sebmclwy.ini
07.07.2007 04:34 13.956 bbeeg.ini
06.07.2007 23:46 12.769 bbeeg.tmp
06.07.2007 21:14 6.362 bbeeg.bak1
06.07.2007 21:14 266.304 geebb.VIR
06.07.2007 21:09 287.254 iifgecy.dll
06.07.2007 21:08 86.016 cbxvvsp.exe
06.07.2007 15:31 2.136.616 mvtldvkj.ini
06.07.2007 13:02 2.139.595 tjryuppx.ini
06.07.2007 12:58 2.132.915 rwkslsvr.ini
05.07.2007 17:48 2.133.395 shkwtkjj.ini
05.07.2007 13:03 2.011.391 xmvfjhul.ini
04.07.2007 14:59 2.012.874 syeexkmo.ini
03.07.2007 19:49 1.952.489 bkvdcjco.ini
03.07.2007 17:38 1.953.952 smrfilgv.ini
03.07.2007 13:56 1.957.164 flqomgqo.ini
03.07.2007 11:36 1.958.239 muujyrjq.ini
02.07.2007 10:37 960.165 tsddphuu.ini
01.07.2007 12:24 960.104 mgwmdlkp.ini
01.07.2007 12:18 989.738 ktughkdv.ini
30.06.2007 20:15 999.333 fcybshuk.ini
30.06.2007 19:03 817.328 dyqqmjmo.ini
30.06.2007 14:42 768.478 voytxadg.ini
30.06.2007 10:46 801.345 tmhctomg.ini
29.06.2007 13:00 877.678 tmxwgabh.ini
28.06.2007 14:32 929.622 qcfysbmj.ini
27.06.2007 15:01 914.706 ividamuy.ini
26.06.2007 15:04 914.586 mfmryeht.ini
25.06.2007 16:11 914.525 whaaqefh.ini
25.06.2007 16:09 818.087 pcbxhyqg.ini
24.06.2007 15:40 823.440 qpwqncvu.ini
23.06.2007 15:04 864.398 qtgfkfck.ini
22.06.2007 14:07 907.252 yeiaagqf.ini
22.06.2007 13:58 768.279 pvyuibcj.ini
21.06.2007 15:10 843.763 pdafdkvo.ini
20.06.2007 15:04 899.272 eansjban.ini
19.06.2007 17:58 899.782 oeeomlvc.ini
19.06.2007 15:03 899.663 nvxotqyl.ini
18.06.2007 21:07 899.543 rbvossxv.ini
18.06.2007 20:40 899.146 iljwjody.ini
18.06.2007 16:09 930.958 fyngfeam.ini
17.06.2007 13:54 922.189 pukfkbql.ini
17.06.2007 12:06 922.070 ppkljxnw.ini
16.06.2007 12:02 921.950 naxlwinq.ini
15.06.2007 17:37 405 rnjhxddi.ini
15.06.2007 13:13 4.832.742 ajluinkd.ini
15.06.2007 13:07 4.832.922 lmcvnroc.ini
14.06.2007 17:24 4.835.588 ugfektyw.ini
13.06.2007 15:09 4.787.913 shdsqdqj.ini
13.06.2007 14:59 4.576.009 hmnykkub.ini
12.06.2007 16:15 3.631.117 pvfbbpdc.ini
12.06.2007 14:58 2.686.075 jbdffowx.ini
11.06.2007 20:50 1.749.715 jenkurvg.ini
09.06.2007 14:03 1.616.904 ydgehlop.ini
09.06.2007 14:00 1.578.139 unjhwsoy.ini
08.06.2007 22:56 1.407.191 fgqxujjm.ini
08.06.2007 21:05 1.312.980 xombcqkl.ini
08.06.2007 19:38 13.844 oynqnghu.exe
08.06.2007 19:35 1.119.795 uyvprxpo.ini
31.05.2007 08:45 4.816 divxsm.tlb
31.05.2007 08:45 524.288 DivXsm.exe
31.05.2007 08:44 823.296 divx_xx07.dll
31.05.2007 08:44 823.296 divx_xx0c.dll
31.05.2007 08:44 802.816 divx_xx11.dll
31.05.2007 08:44 740.442 DivX.dll
31.05.2007 08:44 638.976 divxdec.ax
21.05.2007 17:14 779.249 fhhkj.tmp
12.05.2007 15:45 63.040 PnkBstrA.exe
2092 Datei(en) 512.324.117 Bytes
0 Verzeichnis(se), 7.558.250.496 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 780D-271D
Verzeichnis von C:\DOKUME~1\Fabian\LOKALE~1\Temp
17.07.2007 22:58 102.458 datfind.txt
17.07.2007 22:55 16.384 ~DFF26D.tmp
17.07.2007 22:50 6.763 log.txt
3 Datei(en) 125.605 Bytes
0 Verzeichnis(se), 7.558.275.072 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 780D-271D
Verzeichnis von C:\WINDOWS
17.07.2007 22:55 413.434 WindowsUpdate.log
17.07.2007 22:49 50 wiaservc.log
17.07.2007 22:49 159 wiadebug.log
17.07.2007 22:49 0 0.log
17.07.2007 22:48 2.048 bootstat.dat
17.07.2007 22:47 32.626 SchedLgU.Txt
17.07.2007 22:28 175.462 setupact.log
17.07.2007 22:05 1.038.293 setupapi.log
12.07.2007 19:59 59.972 wmsetup.log
04.07.2007 19:21 104.960 catchme.exe
17.06.2007 00:11 51.200 nircmd.exe
12.06.2007 15:41 316.640 WMSysPr9.prx
06.06.2007 18:26 470.955 DirectX.log
12.05.2007 21:20 118 CS_MD_T.ini
104 Datei(en) 10.822.305 Bytes
0 Verzeichnis(se), 7.558.270.976 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 780D-271D
Verzeichnis von C:\WINDOWS\temp
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 780D-271D
Verzeichnis von C:\WINDOWS\Downloaded Program Files
23.07.2006 01:48 65 desktop.ini
4 Datei(en) 544.833 Bytes
0 Verzeichnis(se), 7.558.270.976 Bytes frei
.
.
.
hier sind noch die pfade die von antivir mit angegeben wurden
In der Datei 'C:\WINDOWS\system32\mljjh.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Mon.Virtumonde.II' [TR/Mon.Virtumonde.II] gefunden.
In der Datei 'C:\WINDOWS\system32\awtsp.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Mon.Virtumonde.II' [TR/Mon.Virtumonde.II] gefunden.
AusIn der Datei 'C:\WINDOWS\system32\vturo.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Mon.Virtumonde.II' [TR/Mon.Virtumonde.II] gefunden.
weis jetzt nicht wie viele ich posten soll... sind noch n paar mehr dateien
schon mal vielen dank für die bemühung!