Tr\crypt.xpack.gen |
||
---|---|---|
#0
| ||
03.08.2007, 13:39
...neu hier
Beiträge: 5 |
||
|
||
03.08.2007, 17:44
Member
Beiträge: 694 |
#2
Hi,
leider keine Zeit merh, das Ding liegt hier: [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "appinit_dlls"=C:\WINDOWS\system32\__c00EECA4.dat (mit avenger beseitigen lassen und mit HJ-fixen); Das hier online prüfen lassen u. ggf. beseitigen lassen: virustotal Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen http://www.virustotal.com/flash/index_en.html (Verzeichnis C:\WINDOWS\system32) 03.08.2007 12:11 80.895 __c00EECA4.dat<-löschen 02.08.2007 13:20 0 tmp.txt<-löschen 02.08.2007 13:20 1.538 tmp.reg <-löschen 01.08.2007 23:37 69.120 __c002E62E.dat<-löschen 01.08.2007 22:39 8.704 ktrxe.dll<-prüfen 01.08.2007 22:27 2.206 wpa.dbl<-prüfen 22.07.2007 18:39 279.552 swreg.exe<-prüfen C:\WINDOWS\SYSTEM32\USRmlnkA.exe<-prüfen Segment für avenger: Avenger http://virus-protect.org/artikel/tools/avenger.html Input script manually (anhaken) kopiere in: View/edit script Zitat Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Zitat
Cureit Zusaetzlich bitte noch Cureit nutzen Anleitung: http://virus-protect.org/cureit.html Aber bitte den Download von hier nutzen http://freedrweb.com/?lng=de Poste alle Logs! Systemwiederherstellung löschen Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen (das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da). Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten; Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder). Einen ersten Restorepunkt setzten: Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen Chris (eigentlich sollte ich schon längst weg sein....) |
|
|
||
04.08.2007, 14:36
...neu hier
Themenstarter Beiträge: 5 |
#3
Vielen, vielen Dank! Es scheint nach Anwendung der von dir beschriebenen Schritte wieder alles ok zu sein (Antivir schlägt nicht mehr an, im Internetexplorer öffnen sich keine neuen Fenster). Avenger und HJ hab ich wie beschrieben ausgeführt (Logs siehe unten), genauso die Schritte mit der Systemwiederherstellung.
Cureit funktionierte anscheinend aber nicht. Folgender Fehlermeldung gab es beim ausführen der runtergeladenen Datei: "Errors encountered while performing the operation. Look at the information window for details.". In nächsten Fenster dann als Fehlermeldungen, dass folgende Dateien nicht geöffnet werden können: cureit.exe, en-drwebgui.hlp, start.exe. Hier die Logs: Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\coptsbvh ******************* Script file located at: \??\C:\WINDOWS\system32\pnwulwce.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\__c00EECA4.dat deleted successfully. File C:\WINDOWS\system32\__c002E62E.dat deleted successfully. File C:\WINDOWS\system32\tmp.txt deleted successfully. File C:\WINDOWS\system32\tmp.reg deleted successfully. File C:\WINDOWS\system32\ktrxe.dll deleted successfully. File C:\WINDOWS\system32\wpa.dbl deleted successfully. File C:\WINDOWS\system32\swreg.exe deleted successfully. File C:\WINDOWS\system32\usrmlnka.exe deleted successfully. Registry value HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully. Completed script processing. ******************* Finished! Terminate. xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:05:39, on 04.08.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\Grisoft\AVG7\avgcc.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe D:\Acrobat 7.0\Reader\reader_sl.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Daniel\Desktop\HJT\HJT.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {34E6F97C-34E0-4CE5-B92B-F83634BEDC01} - C:\Programme\Security Tools\iesplg.dll (file missing) O4 - HKLM\..\Run: [USRpdA] C:\WINDOWS\SYSTEM32\USRmlnkA.exe RunServices \Device\3cpipe-USRpdA O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office\OSA9.EXE O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\ICQLite\ICQLite.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O22 - SharedTaskScheduler: hemprich - {af8bca8b-a9f1-471d-bdcd-caa14be2bdd9} - (no file) O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe O23 - Service: Hotspot Manager (HotSpotFSvc) - Unknown owner - C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe -- End of file - 4635 bytes |
|
|
||
04.08.2007, 21:46
Ehrenmitglied
Beiträge: 1441 |
#4
Hallo 69wegi
du solltest noch mit HijackThis fixen + PC danach neustarten: O2 - BHO: (no name) - {34E6F97C-34E0-4CE5-B92B-F83634BEDC01} - C:\Programme\Security Tools\iesplg.dll (file missing) ---------------------------------------------------------------------- Hallihallo Chris fein, wie du hier den Laden schmeisst Ich habe alles vergessen - von nichts mehr Ahnung - 5 Monate sind eine lange Zeit ...... Ich schaue auf die Logs und verstehe nur Bahnhof - mal sehen, ob ich mich wieder einarbeite... Gruesse vom soweit gesunden Pinguin (Sabina) __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
05.08.2007, 22:21
...neu hier
Themenstarter Beiträge: 5 |
#5
Beim Scan mit HijackThis wird die von dir gepostete Zeile nicht angezeigt. Was tun?
|
|
|
||
06.08.2007, 12:04
Member
Beiträge: 694 |
#6
Hi,
das sollte nichts machen... @Pinguin/Sabina, schön dass Du wieder da bist! Wird bestimmt wieder alles werden! PM an Dich! Chris |
|
|
||
07.08.2007, 17:28
...neu hier
Themenstarter Beiträge: 5 |
#7
Aber wie mache ich das dann? Ich kann die Zeile ja nicht zum fixen markieren. Oder stehe ich grad total auf dem Schlauch???
|
|
|
||
08.08.2007, 07:23
Member
Beiträge: 694 |
#8
Hi,
dann scheint er schon weg zu sein, prüfe ob Du das File finden kannst (C:\Programme\Security Tools\iesplg.dll). Nenne die H-Exe auf test.com um und probiere es dann noch mal (einige Viren/Trojaner) erkennen die HJ-EXE und stellen sich dann tot bzw. manipulieren die Registery.... chris |
|
|
||
08.08.2007, 13:17
...neu hier
Themenstarter Beiträge: 5 |
#9
Datei (und Verzeichnis) ist nicht mehr vorhanden, beim Test mit umbenannten HJ wurde auch nichts erkannt. Scheint dann ja alles clean zu sein!?
|
|
|
||
18.11.2008, 23:35
...neu hier
Beiträge: 2 |
#10
Hallo Leute,
ich hab so ziemlich das gleiche Problem wie "96wegi" das hier geschildert hat. Nur das sich nicht beim Surfen die verschiedenen Seiten öffnen sondern bei der Google Suche. Sobald ich auf ein Suchergebniss von Google gehe, werde ich umgeleitet auf Spamseiten. Ich hab aber ein fehler germacht. Ich hab ausversehen bei Antivir den Trojaner zugelassen. Siehe Antivir Log: """""""""""" In der Datei 'C:\Windows\Temp\tempo-C4F.tmp' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff erlauben """""""""""" Hab dann dieses HijackThis durchlaufen lassen und folgendes Ergebniss bekommen. """""""""""" Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:17:49, on 18.11.2008 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Running processes: C:\Windows\system32\csrss.exe C:\Windows\system32\wininit.exe C:\Windows\system32\csrss.exe C:\Windows\system32\services.exe C:\Windows\system32\lsass.exe C:\Windows\system32\lsm.exe C:\Windows\system32\winlogon.exe C:\Windows\system32\svchost.exe C:\Windows\system32\svchost.exe C:\Windows\System32\svchost.exe C:\Windows\System32\svchost.exe C:\Windows\System32\svchost.exe C:\Windows\system32\svchost.exe C:\Windows\system32\SLsvc.exe C:\Windows\system32\svchost.exe C:\Windows\system32\svchost.exe C:\Windows\System32\spoolsv.exe C:\Windows\system32\Dwm.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Windows\system32\svchost.exe C:\Windows\system32\taskeng.exe C:\Windows\Explorer.EXE C:\Program Files\Windows Defender\MSASCui.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Windows\vVX3000.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe C:\Program Files\Microsoft LifeCam\MSCamS32.exe C:\Windows\system32\taskeng.exe C:\Windows\system32\svchost.exe C:\Windows\system32\svchost.exe C:\Windows\System32\svchost.exe C:\Windows\system32\SearchIndexer.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Windows\regedit.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe C:\Windows\system32\wbem\wmiprvse.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000 O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL O13 - Gopher Prefix: O17 - HKLM\System\CCS\Services\Tcpip\..\{22797F9B-7F74-4F56-8DFF-BE0B5A7040D1}: NameServer = 85.255.112.151;85.255.112.146 O17 - HKLM\System\CCS\Services\Tcpip\..\{CB4D257F-F3CB-4F63-A482-B23DFC42F8B5}: NameServer = 85.255.112.151;85.255.112.146 O17 - HKLM\System\CS1\Services\Tcpip\..\{22797F9B-7F74-4F56-8DFF-BE0B5A7040D1}: NameServer = 85.255.112.151;85.255.112.146 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: getPlus(R) Helper - Unknown owner - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe (file missing) O23 - Service: Windows Tribute Service - Unknown owner - C:\Windows\system32\kdiak.exe -- End of file - 4751 bytes """""""""""" Und jetzt hörts auf. Das sind für mich alles Böhmische Wälder. Hab keine Ahnung was ich jetzt machen muss. Ich würde mich freuen wenn sich jemand erbarmt mir das Prozedere zu erklären wie ich diesen Trojaner entfernen kann. Vielen Dank Gruß Peter |
|
|
||
19.11.2008, 00:17
Ehrenmitglied
Beiträge: 6028 |
#11
Malwarebytes Anti-Malware fuer Windows 2000,XP und Vista
Download MBAM Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet Wähle bei Reiter: “Scanner”> "Quickscan durchfuehren". “Update “> klicke “Suche nache Aktualisierungen“ “Einstellungen“ hake an “Beende Inter Explorer während des Löschvorgangs“ Scan laufen lassen Wenn am Ende infizierungen gefunden werden,anhaken und entfernen lassen Starte dein Rechner neu Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt) Poste dessen inhalt hier ins Forum Note: Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK Danach wird gefragt den Rechner neu zu starten,lass es zu Malwarebytes Anti-Malware kann man nachher behalten ! Später kann man noch ein "Vollständiger Suchlauf“durchführen Note* Solltest du Probleme mit deiner Internet Verbindung bekommen: Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste auf Default Connection (Normale Verbindung), das ist normalerweise die örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) >wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder vorhanden). -> Start->Ausführen->schreib/kopiere rein: ipconfig /flushdns (beachte das Leerzeichen hinter 'ipconfig'!) ComboFix(by sUBs) Download ComboFix und speichert es auf den Desktop! Schliesse alle Programme und Anwendungen mit Hintergrundwächtern inklusive der Firewall + Antivirusprogramme müssen deaktiviert sein Starte combofix.exe Note: Wenn ComboFix schon eher benutzt worden ist, kann es sein das eine Meldung kommt das es ein Update gibt Lass es zu das ComboFix ge-updatet wird Klicke OK im "NirCmd") Fenster klicke ja um Combofix zu starten Folge den Instruktionen in das Fenster Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt) nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen" zusammen mit ein neuen log von HijackThis __________ MfG Argus |
|
|
||
19.11.2008, 19:22
...neu hier
Beiträge: 2 |
#12
Veelen Dank für die rasche Antwort. Habs genau so durchgeführt.
Hier die LogDateien: Malwarebytes Anti-Malware: Malwarebytes' Anti-Malware 1.30 Datenbank Version: 1306 Windows 6.0.6001 Service Pack 1 19.11.2008 18:35:07 mbam-log-2008-11-19 (18-35-07).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 41227 Laufzeit: 3 minute(s), 2 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 9 Infizierte Verzeichnisse: 1 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{22797f9b-7f74-4f56-8dff-be0b5a7040d1}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.151;85.255.112.146 -> Delete on reboot. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{22797f9b-7f74-4f56-8dff-be0b5a7040d1}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.151;85.255.112.146 -> Delete on reboot. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{cb4d257f-f3cb-4f63-a482-b23dfc42f8b5}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.151;85.255.112.146 -> Delete on reboot. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{22797f9b-7f74-4f56-8dff-be0b5a7040d1}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.151;85.255.112.146 -> Delete on reboot. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{22797f9b-7f74-4f56-8dff-be0b5a7040d1}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.151;85.255.112.146 -> Delete on reboot. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{cb4d257f-f3cb-4f63-a482-b23dfc42f8b5}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.151;85.255.112.146 -> Delete on reboot. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{22797f9b-7f74-4f56-8dff-be0b5a7040d1}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.151;85.255.112.146 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{22797f9b-7f74-4f56-8dff-be0b5a7040d1}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.151;85.255.112.146 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{cb4d257f-f3cb-4f63-a482-b23dfc42f8b5}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.151;85.255.112.146 -> Quarantined and deleted successfully. Infizierte Verzeichnisse: C:\resycled (Trojan.DNSChanger) -> Quarantined and deleted successfully. Infizierte Dateien: C:\resycled\boot.com (Trojan.DNSChanger) -> Quarantined and deleted successfully. ComboFix: ComboFix 08-11-18.A2 - Peter 2008-11-19 19:01:16.1 - NTFSx86 Microsoft® Windows Vista™ Business 6.0.6001.1.1252.1.1031.18.1391 [GMT 1:00] ausgeführt von:: c:\users\Peter\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\autorun.inf c:\program files\Mozilla Firefox\components\iamfamous.dll D:\Autorun.inf D:\resycled d:\resycled\boot.com F:\Autorun.inf F:\resycled f:\resycled\boot.com . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_Windows Tribute Service ((((((((((((((((((((((( Dateien erstellt von 2008-10-19 bis 2008-11-19 )))))))))))))))))))))))))))))) . 2008-11-19 18:30 . 2008-11-19 18:30 <DIR> d-------- c:\users\Peter\AppData\Roaming\Malwarebytes 2008-11-19 18:30 . 2008-11-19 18:30 <DIR> d-------- c:\users\All Users\Malwarebytes 2008-11-19 18:30 . 2008-11-19 18:30 <DIR> d-------- c:\programdata\Malwarebytes 2008-11-19 18:30 . 2008-11-19 18:30 <DIR> d-------- c:\program files\Malwarebytes' Anti-Malware 2008-11-19 18:30 . 2008-10-22 16:10 38,496 --a------ c:\windows\System32\drivers\mbamswissarmy.sys 2008-11-19 18:30 . 2008-10-22 16:10 15,504 --a------ c:\windows\System32\drivers\mbam.sys 2008-11-18 22:58 . 2008-11-18 22:58 <DIR> d-------- c:\program files\Trend Micro 2008-11-18 21:53 . 2008-11-18 21:53 <DIR> d-------- c:\program files\MSECache 2008-11-16 21:01 . 2008-11-18 22:01 <DIR> d-------- c:\users\Peter\AppData\Roaming\skypePM 2008-11-16 21:01 . 2008-11-16 21:01 48 --ah----- c:\windows\System32\ezsidmv.dat 2008-11-16 16:56 . 2008-11-18 22:01 <DIR> d-------- c:\users\Peter\AppData\Roaming\Skype 2008-11-16 16:54 . 2008-11-16 16:54 <DIR> d-------- c:\users\All Users\Skype 2008-11-16 16:54 . 2008-11-16 16:54 <DIR> d-------- c:\programdata\Skype 2008-11-16 16:54 . 2008-11-16 16:54 <DIR> d-------- c:\program files\Skype 2008-11-16 16:54 . 2008-11-16 16:54 <DIR> d-------- c:\program files\Common Files\Skype 2008-11-16 16:05 . 2008-11-16 16:06 <DIR> d-------- c:\program files\Microsoft LifeCam 2008-11-16 16:04 . 2007-07-19 18:14 3,727,720 --a------ c:\windows\System32\d3dx9_35.dll 2008-11-16 15:42 . 2008-09-10 04:40 1,334,272 --a------ c:\windows\System32\msxml6.dll 2008-11-16 15:42 . 2008-09-05 06:14 1,191,936 --a------ c:\windows\System32\msxml3.dll 2008-11-16 15:42 . 2008-08-27 02:05 212,480 --a------ c:\windows\System32\drivers\mrxsmb10.sys 2008-11-11 21:15 . 2008-11-11 21:38 <DIR> d-------- c:\users\Peter\AppData\Roaming\vlc 2008-11-11 21:14 . 2008-11-11 21:14 <DIR> d-------- c:\program files\VideoLAN 2008-11-10 08:27 . 2008-05-27 06:18 350,208 --a------ c:\windows\System32\mssph.dll 2008-11-10 08:27 . 2008-05-27 06:18 203,776 --a------ c:\windows\System32\mssphtb.dll 2008-11-09 21:47 . 2006-10-26 19:58 30,512 --a------ c:\windows\System32\mdimon.dll 2008-11-09 21:46 . 2006-10-26 19:56 32,592 --a------ c:\windows\System32\msonpmon.dll 2008-11-09 21:45 . 2008-11-09 21:45 <DIR> d-------- c:\program files\Microsoft Works 2008-11-09 21:43 . 2008-11-09 21:43 <DIR> d-------- c:\windows\PCHEALTH 2008-11-09 21:43 . 2008-11-09 21:43 <DIR> d-------- c:\program files\Microsoft.NET 2008-11-09 21:02 . 2008-07-16 02:32 2,048 --a------ c:\windows\System32\tzres.dll 2008-11-09 20:22 . 2008-02-29 08:11 988,216 --a------ c:\windows\System32\winload.exe 2008-11-09 20:22 . 2008-02-29 08:11 927,288 --a------ c:\windows\System32\winresume.exe 2008-11-09 20:22 . 2008-02-22 06:05 615,992 --a------ c:\windows\System32\ci.dll 2008-11-09 20:22 . 2008-02-29 07:53 378,368 --a------ c:\windows\System32\srcore.dll 2008-11-09 20:22 . 2008-02-29 05:12 318,464 --a------ c:\windows\System32\rstrui.exe 2008-11-09 20:22 . 2008-02-29 07:53 46,592 --a------ c:\windows\System32\setbcdlocale.dll 2008-11-09 20:22 . 2008-02-29 07:53 40,960 --a------ c:\windows\System32\srclient.dll 2008-11-09 20:22 . 2008-02-29 08:14 19,000 --a------ c:\windows\System32\kd1394.dll 2008-11-09 20:22 . 2008-02-29 05:12 14,848 --a------ c:\windows\System32\srdelayed.exe 2008-11-09 20:22 . 2008-02-29 07:35 6,656 --a------ c:\windows\System32\kbd106n.dll 2008-11-09 20:15 . 2008-11-09 20:15 <DIR> d-------- c:\users\All Users\Avira 2008-11-09 20:15 . 2008-11-09 20:15 <DIR> d-------- c:\programdata\Avira 2008-11-09 20:15 . 2008-11-09 20:15 <DIR> d-------- c:\program files\Avira 2008-11-09 20:12 . 2008-11-17 10:58 <DIR> d-------- c:\users\All Users\Microsoft Help 2008-11-09 20:12 . 2008-11-17 10:58 <DIR> d-------- c:\programdata\Microsoft Help 2008-11-09 20:09 . 2008-11-09 20:09 <DIR> dr-h----- C:\MSOCache 2008-11-09 20:05 . 2008-11-09 20:05 <DIR> d-------- c:\program files\DAEMON Tools Lite 2008-11-09 19:53 . 2008-11-09 19:53 <DIR> d-------- C:\PerfLogs 2008-11-09 19:34 . 2008-11-09 18:53 152,576 --a------ c:\windows\System32\SPWizUI.dll 2008-11-09 19:34 . 2008-11-09 18:53 47,560 --a------ c:\windows\System32\SPReview.exe 2008-11-09 19:33 . 2008-11-09 19:33 <DIR> d-------- c:\users\Peter\AppData\Roaming\DAEMON Tools 2008-11-09 19:33 . 2008-11-09 19:33 717,296 --a------ c:\windows\System32\drivers\sptd.sys 2008-11-09 19:17 . 2008-11-09 19:19 <DIR> d-------- c:\users\All Users\Adobe 2008-11-09 19:15 . 2008-11-09 19:18 <DIR> d-------- c:\program files\Common Files\Adobe 2008-11-09 19:15 . 2008-07-31 02:13 4,240,384 --a------ c:\windows\System32\GameUXLegacyGDFs.dll 2008-11-09 19:15 . 2008-03-08 05:21 1,695,744 --a------ c:\windows\System32\gameux.dll 2008-11-09 19:15 . 2008-05-10 02:33 113,664 --a------ c:\windows\System32\drivers\rmcast.sys 2008-11-09 19:15 . 2008-07-31 04:32 28,160 --a------ c:\windows\System32\Apphlpdm.dll 2008-11-09 19:14 . 2008-06-26 02:45 12,240,896 --a------ c:\windows\System32\NlsLexicons0007.dll 2008-11-09 19:14 . 2008-06-26 02:45 2,644,480 --a------ c:\windows\System32\NlsLexicons0009.dll 2008-11-09 19:14 . 2008-06-26 04:29 801,280 --a------ c:\windows\System32\NaturalLanguage6.dll 2008-11-09 19:13 . 2008-11-18 21:56 <DIR> d--hs---- c:\windows\Installer 2008-11-09 19:11 . 2008-09-18 06:09 3,601,464 --a------ c:\windows\System32\ntkrnlpa.exe 2008-11-09 19:11 . 2008-09-18 06:09 3,549,240 --a------ c:\windows\System32\ntoskrnl.exe 2008-11-09 19:09 . 2008-11-09 19:10 <DIR> d-------- c:\users\All Users\NOS 2008-11-09 19:09 . 2008-11-09 19:10 <DIR> d-------- c:\programdata\NOS 2008-11-09 19:09 . 2008-04-26 09:08 1,314,816 --a------ c:\windows\System32\quartz.dll 2008-11-09 19:09 . 2008-01-18 23:33 193,024 --a------ c:\windows\System32\recdisc.exe 2008-11-09 19:09 . 2008-01-18 23:36 6,656 --a------ c:\windows\System32\sdspres.dll 2008-11-09 19:08 . 2008-01-18 23:33 599,552 --a------ c:\windows\System32\vsp1cln.exe 2008-11-09 19:08 . 2008-01-18 23:36 142,336 --a------ c:\windows\System32\spp.dll 2008-11-09 19:08 . 2008-01-18 23:36 28,160 --a------ c:\windows\System32\sxproxy.dll 2008-11-09 19:06 . 2008-01-18 23:33 5,714,432 --a------ c:\windows\System32\logon.scr 2008-11-09 19:05 . 2008-01-18 23:38 4,595,712 --a------ c:\windows\System32\AuthFWSnapin.dll 2008-11-09 18:56 . 2008-11-19 00:06 <DIR> d-------- c:\program files\Winexit 2008-11-09 18:55 . 2008-11-09 20:35 <DIR> d-------- c:\program files\Google 2008-11-09 18:55 . 2008-01-18 23:33 44,032 --a------ c:\windows\System32\cbsra.exe 2008-11-09 18:53 . 2008-11-09 19:35 49,152 --a------ c:\windows\SPInstall.etl 2008-11-09 18:45 . 2008-11-09 18:45 <DIR> d-------- c:\windows\System32\Macromed 2008-11-09 18:32 . 2008-11-09 18:32 <DIR> d-------- c:\users\Peter\AppData\Roaming\FlashGet 2008-11-09 18:26 . 2008-11-09 18:26 0 --a------ c:\windows\nsreg.dat 2008-11-09 18:13 . 2008-11-09 18:13 <DIR> dr------- c:\users\Peter\Videos 2008-11-09 18:13 . 2008-11-09 18:13 <DIR> dr------- c:\users\Peter\Searches 2008-11-09 18:13 . 2008-11-09 18:13 <DIR> dr------- c:\users\Peter\Saved Games 2008-11-09 18:13 . 2008-11-18 15:47 <DIR> dr------- c:\users\Peter\Pictures 2008-11-09 18:13 . 2008-11-09 18:13 <DIR> dr------- c:\users\Peter\Music 2008-11-09 18:13 . 2008-11-09 18:13 <DIR> dr------- c:\users\Peter\Links 2008-11-09 18:13 . 2008-11-09 19:02 <DIR> dr------- c:\users\Peter\Downloads 2008-11-09 18:13 . 2008-11-19 17:58 <DIR> dr------- c:\users\Peter\Documents 2008-11-09 18:13 . 2008-11-09 18:13 <DIR> dr------- c:\users\Peter\Contacts 2008-11-09 18:13 . 2008-11-09 18:13 <DIR> d--h----- c:\users\Peter\AppData 2008-11-09 18:13 . 2008-11-16 16:16 <DIR> d-------- c:\users\Peter 2008-11-09 18:09 . 2008-11-09 18:09 <DIR> dr------- c:\windows\System32\config\systemprofile\Contacts 2008-11-09 18:05 . 2008-11-09 18:05 0 --a------ c:\windows\System32\atiicdxx.dat 2008-11-09 18:03 . 2008-11-18 02:02 <DIR> d-------- c:\windows\System32\catroot2 2008-11-09 18:03 . 2008-11-09 20:54 <DIR> d-------- c:\windows\Debug 2008-11-09 18:00 . 2008-11-09 18:06 <DIR> d-------- c:\windows\Panther 2008-11-09 18:00 . 2008-11-09 20:04 <DIR> d--hs---- C:\Boot 2008-11-09 18:00 . 2008-01-18 23:45 333,203 -rahs---- C:\bootmgr 2008-11-09 18:00 . 2008-11-09 18:00 8,192 -ra-s---- C:\BOOTSECT.BAK . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-11-09 20:15 --------- d-----w c:\program files\Windows Mail 2008-11-09 19:03 174 --sha-w c:\program files\desktop.ini 2008-11-09 18:55 --------- d-----w c:\program files\Windows Sidebar 2008-11-09 18:55 --------- d-----w c:\program files\Windows Photo Gallery 2008-11-09 18:55 --------- d-----w c:\program files\Windows Journal 2008-11-09 18:55 --------- d-----w c:\program files\Windows Defender 2008-11-09 18:55 --------- d-----w c:\program files\Windows Collaboration 2008-11-09 18:55 --------- d-----w c:\program files\Windows Calendar 2008-11-09 17:09 --------- d-sh--w c:\programdata\Vorlagen 2008-11-09 17:09 --------- d-sh--w c:\programdata\Startmenü 2008-11-09 17:09 --------- d-sh--w c:\programdata\Favoriten 2008-11-09 17:09 --------- d-sh--w c:\programdata\Dokumente 2008-11-09 17:09 --------- d-sh--w c:\programdata\Anwendungsdaten 2008-11-09 17:09 --------- d-sh--w c:\program files\Gemeinsame Dateien . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "EnableLUA"= 0 (0x0) "EnableUIADesktopToggle"= 0 (0x0) [HKLM\~\startupfolder\C:^Users^Peter^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk] path=c:\users\Peter\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk backup=c:\windows\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk.Startup backupExtension=.Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] --a------ 2008-06-12 02:38 34672 c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite] --a------ 2008-04-01 10:39 486856 c:\program files\DAEMON Tools Lite\daemon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LifeCam] --a------ 2008-08-04 16:22 160800 c:\program files\Microsoft LifeCam\LifeExp.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VX3000] --a------ 2008-08-04 16:22 721936 c:\windows\vVX3000.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-203008235-2699050136-378898766-1000] "EnableNotificationsRef"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules] "TCP Query User{8811E062-95F8-49EB-87E1-080846ECF94C}c:\\program files\\flashget\\flashget.exe"= UDP:c:\program files\flashget\flashget.exe:FlashGet "UDP Query User{EF793C57-20E5-4107-B9CA-5840C15FAAF2}c:\\program files\\flashget\\flashget.exe"= TCP:c:\program files\flashget\flashget.exe:FlashGet "{C70EC4B8-9E72-4A1E-A31E-6B96B8EFACCC}"= TCP:6004|c:\program files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook "{5E506DBF-3E4D-46C0-8A1E-B2CA75A253D3}"= UDP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote "{07770976-CDBE-4236-8E46-07D3B10E3FDE}"= TCP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote "{849C2BAB-5CCC-4C32-9018-DD57FD775DB1}"= UDP:c:\program files\Microsoft LifeCam\LifeCam.exe:LifeCam.exe "{7B36BB14-2E5E-4089-B2E4-EBB6345E1366}"= TCP:c:\program files\Microsoft LifeCam\LifeCam.exe:LifeCam.exe "{F59DD0A0-F4C0-4D46-90A7-BC2EBC71C40F}"= UDP:c:\program files\Microsoft LifeCam\LifeEnC2.exe:LifeEnC2.exe "{2DF06E85-9ABD-4E53-8D35-D1A72A199257}"= TCP:c:\program files\Microsoft LifeCam\LifeEnC2.exe:LifeEnC2.exe "{8F86B2C5-0C1B-4FB1-A7FA-B7D955137A50}"= UDP:c:\program files\Microsoft LifeCam\LifeExp.exe:LifeExp.exe "{6B9C7B80-833F-4F47-A8D5-F2C50CF21042}"= TCP:c:\program files\Microsoft LifeCam\LifeExp.exe:LifeExp.exe "{AD3DD464-BFF3-426E-BF3F-503409C7C9E1}"= UDP:c:\program files\Microsoft LifeCam\LifeTray.exe:LifeTray.exe "{091AB8DC-FF77-4D60-809B-A77A986D95B3}"= TCP:c:\program files\Microsoft LifeCam\LifeTray.exe:LifeTray.exe "{D27C39D7-0FC0-428D-AE05-8BE1E18E0D36}"= c:\program files\Skype\Phone\Skype.exe:Skype [HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile] "EnableFirewall"= 0 (0x0) R2 MSCamSvc;MSCamSvc;"c:\program files\Microsoft LifeCam\MSCamS32.exe" [2008-08-04 164896] S3 getPlus(R) Helper;getPlus(R) Helper;c:\program files\NOS\bin\getPlus_HelperSvc.exe [] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc . Inhalt des "geplante Tasks" Ordners 2008-11-19 c:\windows\Tasks\User_Feed_Synchronization-{BDE3018D-781C-4C22-A2EB-7E9CB950AAB5}.job - c:\windows\system32\msfeedssync.exe [2008-01-18 23:33] . - - - - Entfernte verwaiste Registrierungseinträge - - - - MSConfigStartUp-D29 - c:\windows\temp\D29.tmp . ------- Zusätzlicher Suchlauf ------- . FireFox -: Profile - c:\users\Peter\AppData\Roaming\Mozilla\Firefox\Profiles\lbjwikbf.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.de FF -: plugin - c:\program files\Mozilla Firefox\plugins\np_gp.dll FF -: plugin - c:\users\Peter\AppData\Roaming\Mozilla\Firefox\Profiles\lbjwikbf.default\extensions\{CF40ACC5-E1BB-4aff-AC72-04C2F616BCA7}\plugins\np_gp.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-11-19 19:09:55 Windows 6.0.6001 Service Pack 1 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\System32\audiodg.exe c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe c:\program files\Common Files\microsoft shared\VS7DEBUG\mdm.exe c:\windows\System32\conime.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-11-19 19:13:17 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2008-11-19 18:13:02 Vor Suchlauf: 15 Verzeichnis(se), 33.941.798.912 Bytes frei Nach Suchlauf: 15 Verzeichnis(se), 33,609,031,680 Bytes frei 224 --- E O F --- 2008-11-18 01:15:04 HijackThis : Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:13:55, on 19.11.2008 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\system32\conime.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Windows\Explorer.exe C:\Windows\system32\SearchProtocolHost.exe C:\Windows\system32\SearchFilterHost.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000 O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL O13 - Gopher Prefix: O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: getPlus(R) Helper - Unknown owner - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe (file missing) -- End of file - 2527 bytes Besten Dank noch mal für die rasche Hilfe! |
|
|
||
19.11.2008, 23:25
Ehrenmitglied
Beiträge: 6028 |
||
|
||
COMBOFIX
ComboFix 07-08-03.4 - "Daniel" 2007-08-03 12:44:36.1 [GMT 2:00] - NTFS
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.Wahr
* Created a new restore point
((((((((((((((((((((((((( Files Created from 2007-07-03 to 2007-08-03 )))))))))))))))))))))))))))))))
2007-08-03 12:41 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-03 12:28 6,774 --a------ C:\dnsbak.reg
2007-08-02 14:16 <DIR> d-------- C:\kav
2007-08-02 14:13 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-08-02 13:22 <DIR> d-------- C:\Programme\Smart PC Solutions
2007-08-02 13:18 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-08-02 13:18 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-08-02 13:18 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-08-02 13:18 1,538 --a------ C:\WINDOWS\system32\tmp.reg
2007-08-02 13:18 <DIR> d-------- C:\SmitfraudFix
2007-08-02 13:14 886,519 --a------ C:\SmitfraudFix.exe
2007-08-02 00:40 <DIR> d-------- C:\Programme\Lavasoft
2007-08-02 00:40 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Lavasoft
2007-08-02 00:39 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\AntiVir PersonalEdition Classic
2007-08-02 00:38 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-08-01 23:37 80,895 --------- C:\WINDOWS\system32\__c00EECA4.dat
2007-08-01 23:37 69,120 --a------ C:\WINDOWS\system32\__c002E62E.dat
2007-08-01 23:37 <DIR> d-a------ C:\DOKUME~1\ALLUSE~1\ANWEND~1\TEMP
2007-08-01 22:39 <DIR> d-------- C:\WINDOWS\system32\appmgmt
2007-07-30 20:52 53,760 -ra------ C:\WINDOWS\system32\avmadd32.dll
2007-07-30 20:52 <DIR> d-------- C:\Programme\FRITZ!Box
2007-07-30 20:46 <DIR> d-------- C:\WINDOWS\Downloaded Installations
2007-07-30 20:46 <DIR> d-------- C:\DOKUME~1\Daniel\ANWEND~1\T-DSL Manager
2007-07-30 20:46 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\T-DSL Manager
2007-07-03 14:21 <DIR> d--h----- C:\Programme\InstallShield Installation Information
2007-07-03 14:21 <DIR> d-------- C:\DOKUME~1\Daniel\ANWEND~1\ICQ
2007-07-03 14:18 <DIR> d-------- C:\Programme\ICQ6
2007-07-03 14:17 <DIR> d-------- C:\Programme\Gemeinsame Dateien\InstallShield
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-08-02 13:17 1768 --a------ C:\WINDOWS\system32\drivers\fwdrv.err
2007-08-01 22:39 8704 --a-s---- C:\WINDOWS\system32\ktrxe.dll
2007-06-04 15:18 9344 --a------ C:\WINDOWS\system32\drivers\NSDriver.sys
2007-06-04 15:17 8320 --a------ C:\WINDOWS\system32\drivers\AWRTRD.sys
2007-06-04 15:14 6272 --a------ C:\WINDOWS\system32\drivers\AWRTPD.sys
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{34E6F97C-34E0-4CE5-B92B-F83634BEDC01}]
C:\Programme\Security Tools\iesplg.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"USRpdA"="C:\WINDOWS\SYSTEM32\USRmlnkA.exe" [2004-11-11 14:00]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-07-03 14:14]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-02 10:35]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-11-11 14:00]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2007-04-25 12:29]
C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - D:\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 05:44:06]
Microsoft Office.lnk - D:\Microsoft Office\Office\OSA9.EXE [1999-04-29 22:00:00]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=C:\WINDOWS\system32\__c00EECA4.dat
R1 avgio;avgio;\??\C:\Programme\AntiVir PersonalEdition Classic\avgio.sys
R1 avipbb;avipbb;C:\WINDOWS\system32\DRIVERS\avipbb.sys
R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys
R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys
R1 ssmdrv;ssmdrv;C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
R2 SPF4;Sunbelt Personal Firewall 4;"C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe"
R3 avgntflt;avgntflt;\??\C:\Programme\AntiVir PersonalEdition Classic\avgntflt.sys
R3 USRpdA;U.S. Robotics 56K PCI Faxmodem Driver;C:\WINDOWS\system32\DRIVERS\USRpdA.sys
S3 HotSpotFSvc;Hotspot Manager;"C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe"
S3 TSMPacket;T-DSL Manager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys
**************************************************************************
catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-03 12:49:00
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
Completion time: 2007-08-03 12:52:28
--- E O F ---
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
HIJACKTHIS:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:00:03, on 03.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\SYSTEM32\USRmlnkA.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\SYSTEM32\USRshutA.exe
C:\WINDOWS\SYSTEM32\USRmlnkA.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Daniel\Desktop\HJT\HJT.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {34E6F97C-34E0-4CE5-B92B-F83634BEDC01} - C:\Programme\Security Tools\iesplg.dll (file missing)
O4 - HKLM\..\Run: [USRpdA] C:\WINDOWS\SYSTEM32\USRmlnkA.exe RunServices \Device\3cpipe-USRpdA
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00EECA4.dat
O22 - SharedTaskScheduler: hemprich - {af8bca8b-a9f1-471d-bdcd-caa14be2bdd9} - (no file)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Hotspot Manager (HotSpotFSvc) - Unknown owner - C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
--
End of file - 4532 bytes
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
LOGFILE MIT DATFIND.BAT
Verzeichnis von C:\WINDOWS\system32
03.08.2007 12:11 80.895 __c00EECA4.dat
02.08.2007 13:20 0 tmp.txt
02.08.2007 13:20 1.538 tmp.reg
01.08.2007 23:37 69.120 __c002E62E.dat
01.08.2007 22:39 8.704 ktrxe.dll
01.08.2007 22:27 2.206 wpa.dbl
22.07.2007 18:39 279.552 swreg.exe
1889 Datei(en) 323.295.390 Bytes
0 Verzeichnis(se), 2.062.909.440 Bytes frei
.
.
.
Verzeichnis von C:\DOKUME~1\Daniel\LOKALE~1\Temp
03.08.2007 13:02 92.225 datfind.txt
1 Datei(en) 92.225 Bytes
0 Verzeichnis(se), 2.062.946.304 Bytes frei
.
.
.
Verzeichnis von C:\WINDOWS
03.08.2007 12:37 366.588 WindowsUpdate.log
03.08.2007 12:30 0 0.log
03.08.2007 12:30 2.048 bootstat.dat
03.08.2007 12:28 30.606 SchedLgU.Txt
02.08.2007 14:13 229.657 setupapi.log
02.08.2007 13:40 201.710 ntbtlog.txt
02.08.2007 13:21 185.850 setupact.log
02.08.2007 12:05 9.776 EventSystem.log
30.07.2007 21:19 248 accessdll.log
30.07.2007 20:52 105 avmsysnet.log
30.07.2007 20:52 1.473 avmadd32.log
30.07.2007 20:39 27.596 ModemLog_U.S. Robotics 56K Fax Win.txt
20.07.2007 00:47 109.056 catchme.exe
12.07.2007 21:26 216 wiadebug.log
12.07.2007 21:03 50 wiaservc.log
17.06.2007 00:11 51.200 nircmd.exe
87 Datei(en) 6.292.931 Bytes
0 Verzeichnis(se), 2.062.942.208 Bytes frei