IE öffnet sich immer automatisch |
||
---|---|---|
#0
| ||
10.08.2007, 12:37
...neu hier
Beiträge: 7 |
||
|
||
10.08.2007, 14:34
Member
Beiträge: 694 |
#2
Hi,
bitte online prüfen lasse: virustotal Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen http://www.virustotal.com/flash/index_en.html Zitat C:\WINDOWS\System32\winsys2.exeNach dem hier sollte das ein Trojaner sein (C:\WINDOWS\System32\winsys2.exe)... http://www.liutilities.com/products/wintaskspro/processlibrary/winsys2/ Und daher mache wir ihn jetzt ein bisschen platt ;o).... Also: Avenger http://virus-protect.org/artikel/tools/avenger.html Input script manually (anhaken) kopiere in: View/edit script Zitat Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Zitat
Chris |
|
|
||
10.08.2007, 18:14
...neu hier
Themenstarter Beiträge: 7 |
#3
Also, soweit alles gemacht
hier die ergebnisse von virustotal beim anhand ansonsten den rest so ausgeführt wie angesagt danke mfg EDIT: IE öffnet sich immer noch :/ Anhang: Desktop.rar Dieser Beitrag wurde am 10.08.2007 um 18:20 Uhr von e-hh editiert.
|
|
|
||
10.08.2007, 21:11
Member
Beiträge: 694 |
||
|
||
10.08.2007, 21:14
...neu hier
Themenstarter Beiträge: 7 |
#5
eine leere seite nun (about.blank)
vorher kam immer die startseite |
|
|
||
11.08.2007, 14:26
Member
Beiträge: 694 |
#6
Hi,
die Gretchenfrage ist, ob der IE was über die Leitung macht, oder nur hochgefahren wird (Autostart) bzw. über eine andere SW gestartet wird... (Nur wo sehe ich nicht, auch sonst nichts mehr auffälliges) Bei den Logs der restlichen Dateien fehlt leider der interessante Teil mit dem Ergebnissen der einzelnen Scanner... Scannen wir mal mit einer Alternative: Download drWeb-cureit zum Desktop (ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe) Alternativ Download (http://download.drweb.com/drweb+cureit/) Doppelklick drweb-cureit.exe und erlaube den express scan zu starten. Wenn etwas gefunden wird,und die Frage kommt ‘cure it?’klicke den Knopf ‘Yes to all’ Stellen wir zunächst unter "Language" im aufpoppenden Menu "Deutsch" ein Wenn dieser scan beendet ist,klick Optionen >Einstellungen aendern Waehle "ueberpruefen"-tab und entferne das haeckchen bei "Heuristic analyse" Starte deinen Recher im abgesicherten Modus neu. Zurueck im Hauptfenster kann man die Drives selektieren die man scannen lassen will Klick danach den gruenen Pfeil um den scan zu starten Klick 'Yes to all' wenn gefragt wird um cure oder move auszufuehren Jetzt werden die Dateien die nicht Desinfiziert werden können nach %userprofile%\DoctorWeb\quarantaine-folder versetzt. Klicke oben auf ‘Datei’und waehle “Pruefbericht speichern” Das log auf den Desktop aufheben und hier posten Schliesse Dr.Web Cureit. Starte neu in normal Modus!! Poste nachher den log von Dr.Web Cureit mit einem log von HijackThis Chris |
|
|
||
11.08.2007, 16:05
...neu hier
Themenstarter Beiträge: 7 |
#7
Also,
hab drweb cureit ausgeführt, er hat keine viren gefunden, konnte jedoch kein bericht abspeichern hab nun wieder den pc seit einer std an und bis jetzt kam nichts......... naja hier nochmal der hjackthis bericht Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:01:02, on 11.08.2007 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Java\jre1.6.0_02\bin\jusched.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe C:\WINDOWS\System32\wuauclt.exe C:\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SW20] C:\WINDOWS\System32\sw20.exe O4 - HKLM\..\Run: [SW24] C:\WINDOWS\System32\sw24.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll (file missing) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll (file missing) O17 - HKLM\System\CCS\Services\Tcpip\..\{5F074BB6-69AC-46DB-BA97-FBA2640370E5}: NameServer = 213.191.74.11 213.191.92.82 O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe -- End of file - 5027 bytes danke mfg |
|
|
||
13.08.2007, 08:15
Member
Beiträge: 694 |
||
|
||
13.08.2007, 10:29
...neu hier
Themenstarter Beiträge: 7 |
#9
jo bis jetzt kam auch nichts mehr, werde mal den IE updaten.
Soweit erstmal recht herzlichen dank. Eine Frage hätte ich noch: Gibt´s nicht ein Prog womit man solche attacken blockieren kann um in Zukunft solche probleme nicht zu haben? danke im vorraus mfg |
|
|
||
13.08.2007, 10:43
Member
Beiträge: 694 |
#10
Hi,
da müssen verschiedene Komponenten zusammenspielen, z.B. Firewall, proaktiver Schutz (Überwachung der Registry) und ein Realtimescanner sowie ein immer upgedatetes System. Wobei auch das nicht immer hilft, z.. das sich die Sachen über einen Exploit eines "berechtigten" Programmes einschleichen und so neu sind, das kein Scanner sie kennt. -> Daher immer mit begrenzten User-Rechten Surfen (niemals als Admin), oder den IE in einer Sandbox (http://www.sandboxie.com/) laufen lassen. Das ist bis jetzt sehr sicher, wobei es bereits Proof-of-concept Ansätze gibt das Betriebssystem in eine Art "virtuellen PC" zu sperren, wobei der Trojaner dann als virtuelle Maschine agiert. -> Er kontrolliert alles und der User und die gesamte Sicherheits-SW merkt davon rein garnichts.... Das kann noch sehr "lustig" werden... Chris |
|
|
||
14.08.2007, 09:40
...neu hier
Themenstarter Beiträge: 7 |
||
|
||
combofix runtergeladen und ausgeführt, hier der bericht:
ComboFix 07-08-09.3 - "lo" 2007-08-10 12:31:30.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.0.1252.1.1031.18.758 [GMT 2:00]
* Created a new restore point
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
C:\DOKUME~1\lo\Desktop\internet.lnk
C:\WINDOWS\system32\winsys.exe
((((((((((((((((((((((((( Files Created from 2007-07-10 to 2007-08-10 )))))))))))))))))))))))))))))))
2007-08-10 12:30 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-10 12:30 1,412,580 --a------ C:\ComboFix.exe
2007-08-10 12:27 50,688 --a------ C:\ATF-Cleaner.exe
2007-08-06 16:19 <DIR> d-------- C:\!KillBox
2007-08-06 11:40 8,317,384 --a------ C:\2W_UPGRADE_11_to_12.exe
2007-08-06 11:40 79,593,151 --a------ C:\2W_UPGRADE_11.exe
2007-08-06 11:40 63,965,463 --a------ C:\2W_UPGRADE_12_to_13.exe
2007-08-06 11:40 185,135,469 --a------ C:\2W_PATCH_13_to_14.exe
2007-08-06 11:32 <DIR> d-------- C:\WINDOWS\system32\AGEIA
2007-08-06 11:32 <DIR> d-------- C:\Programme\AGEIA Technologies
2007-08-06 11:31 81,768 --a------ C:\WINDOWS\system32\xinput1_3.dll
2007-08-06 11:31 443,752 --a------ C:\WINDOWS\system32\d3dx10_33.dll
2007-08-06 11:31 3,495,784 --a------ C:\WINDOWS\system32\d3dx9_33.dll
2007-08-06 11:31 261,480 --a------ C:\WINDOWS\system32\xactengine2_7.dll
2007-08-06 11:31 15,128 --a------ C:\WINDOWS\system32\x3daudio1_1.dll
2007-08-06 11:31 1,123,696 --a------ C:\WINDOWS\system32\D3DCompiler_33.dll
2007-08-06 11:30 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-08-06 11:24 <DIR> d-------- C:\Programme\Reality Pump
2007-08-05 12:27 9,600 --a--c--- C:\WINDOWS\system32\dllcache\hidusb.sys
2007-08-05 12:27 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2007-08-04 22:18 98,304 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2007-08-04 22:18 8,704 --a--c--- C:\WINDOWS\system32\dllcache\kbdjpn.dll
2007-08-04 22:18 8,704 --a------ C:\WINDOWS\system32\kbdjpn.dll
2007-08-04 22:18 8,192 --a--c--- C:\WINDOWS\system32\dllcache\kbdkor.dll
2007-08-04 22:18 8,192 --a------ C:\WINDOWS\system32\kbdkor.dll
2007-08-04 22:18 6,144 --a--c--- C:\WINDOWS\system32\dllcache\kbd106.dll
2007-08-04 22:18 6,144 --a--c--- C:\WINDOWS\system32\dllcache\kbd101c.dll
2007-08-04 22:18 6,144 --a--c--- C:\WINDOWS\system32\dllcache\kbd101b.dll
2007-08-04 22:18 6,144 --a------ C:\WINDOWS\system32\kbd106.dll
2007-08-04 22:18 6,144 --a------ C:\WINDOWS\system32\kbd101c.dll
2007-08-04 22:18 6,144 --a------ C:\WINDOWS\system32\kbd101b.dll
2007-08-04 22:18 5,632 --a--c--- C:\WINDOWS\system32\dllcache\kbd103.dll
2007-08-04 22:18 5,632 --a------ C:\WINDOWS\system32\kbd103.dll
2007-08-04 22:14 <DIR> d-------- C:\Programme\KONAMI
2007-07-30 18:23 271,360 --a------ C:\WINDOWS\system32\drivers\atksgt.sys
2007-07-30 18:23 18,048 --a------ C:\WINDOWS\system32\drivers\lirsgt.sys
2007-07-28 22:31 <DIR> d-------- C:\DOKUME~1\lo\ANWEND~1\temp
2007-07-28 22:16 <DIR> d-------- C:\Programme\EA SPORTS
2007-07-28 21:49 <DIR> d-------- C:\EA SPORTS
2007-07-25 22:01 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Messenger Plus!
2007-07-25 20:35 <DIR> d-------- C:\Programme\Windows Live
2007-07-25 20:35 <DIR> d-------- C:\Programme\Messenger Plus! Live
2007-07-25 17:56 <DIR> d-------- C:\Programme\Google
2007-07-23 11:47 <DIR> d-------- C:\Programme\Real
2007-07-23 11:47 <DIR> d-------- C:\Programme\Gemeinsame Dateien\xing shared
2007-07-23 11:47 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Real
2007-07-23 11:47 <DIR> d-------- C:\DOKUME~1\lo\ANWEND~1\Real
2007-07-23 11:42 <DIR> d-------- C:\DOKUME~1\lo\ANWEND~1\vlc
2007-07-23 11:39 <DIR> d-------- C:\DOKUME~1\lo\ANWEND~1\dvdcss
2007-07-23 11:38 <DIR> d-------- C:\Programme\VideoLAN
2007-07-23 11:36 <DIR> d--hs---- C:\WINDOWS\ftpcache
2007-07-22 14:42 62,744 --a------ C:\WINDOWS\system32\xinput1_2.dll
2007-07-22 14:42 3,426,072 --a------ C:\WINDOWS\system32\d3dx9_32.dll
2007-07-22 14:42 255,848 --a------ C:\WINDOWS\system32\xactengine2_6.dll
2007-07-22 14:42 251,672 --a------ C:\WINDOWS\system32\xactengine2_5.dll
2007-07-22 14:42 237,848 --a------ C:\WINDOWS\system32\xactengine2_4.dll
2007-07-22 14:42 236,824 --a------ C:\WINDOWS\system32\xactengine2_3.dll
2007-07-22 14:42 2,414,360 --a------ C:\WINDOWS\system32\d3dx9_31.dll
2007-07-22 14:42 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll
2007-07-22 14:42 <DIR> d-------- C:\WINDOWS\RegisteredPackages
2007-07-22 14:41 98,816 --a--c--- C:\WINDOWS\system32\dllcache\dmstyle.dll
2007-07-22 14:41 98,816 --a------ C:\WINDOWS\system32\dmstyle.dll
2007-07-22 14:41 974,848 --a--c--- C:\WINDOWS\system32\dllcache\dxdiag.exe
2007-07-22 14:41 974,848 --a------ C:\WINDOWS\system32\dxdiag.exe
2007-07-22 14:41 83,968 --a--c--- C:\WINDOWS\system32\dllcache\nabtsfec.sys
2007-07-22 14:41 83,968 --a------ C:\WINDOWS\system32\drivers\nabtsfec.sys
2007-07-22 14:41 80,896 --a--c--- C:\WINDOWS\system32\dllcache\dpvsetup.exe
2007-07-22 14:41 80,896 --a------ C:\WINDOWS\system32\dpvsetup.exe
2007-07-22 14:41 8,192 --a--c--- C:\WINDOWS\system32\dllcache\d3d8thk.dll
2007-07-22 14:41 8,192 --a------ C:\WINDOWS\system32\d3d8thk.dll
2007-07-22 14:41 797,184 --a--c--- C:\WINDOWS\system32\dllcache\d3dim700.dll
2007-07-22 14:41 797,184 --a------ C:\WINDOWS\system32\d3dim700.dll
2007-07-22 14:41 79,360 --a--c--- C:\WINDOWS\system32\dllcache\dpwsockx.dll
2007-07-22 14:41 79,360 --a------ C:\WINDOWS\system32\dpwsockx.dll
2007-07-22 14:41 77,824 --a--c--- C:\WINDOWS\system32\dllcache\dpmodemx.dll
2007-07-22 14:41 77,824 --a------ C:\WINDOWS\system32\dpmodemx.dll
2007-07-22 14:41 76,800 --a--c--- C:\WINDOWS\system32\dllcache\dmscript.dll
2007-07-22 14:41 76,800 --a------ C:\WINDOWS\system32\dmscript.dll
2007-07-22 14:41 733,184 --a--c--- C:\WINDOWS\system32\dllcache\qedwipes.dll
2007-07-22 14:41 733,184 --a------ C:\WINDOWS\system32\qedwipes.dll
2007-07-22 14:41 723,968 --a--c--- C:\WINDOWS\system32\dllcache\dpnet.dll
2007-07-22 14:41 723,968 --a------ C:\WINDOWS\system32\dpnet.dll
2007-07-22 14:41 7,424 --a--c--- C:\WINDOWS\system32\dllcache\mskssrv.sys
2007-07-22 14:41 7,424 --a------ C:\WINDOWS\system32\drivers\mskssrv.sys
2007-07-22 14:41 68,096 --a--c--- C:\WINDOWS\system32\dllcache\dpnhupnp.dll
2007-07-22 14:41 68,096 --a------ C:\WINDOWS\system32\dpnhupnp.dll
2007-07-22 14:41 667,648 --a--c--- C:\WINDOWS\system32\dllcache\dinput8.dll
2007-07-22 14:41 667,648 --a------ C:\WINDOWS\system32\dinput8.dll
2007-07-22 14:41 66,408 --a------ C:\WINDOWS\system32\dxdllreg.exe
2007-07-22 14:41 648,704 --a--c--- C:\WINDOWS\system32\dllcache\dinput.dll
2007-07-22 14:41 648,704 --a------ C:\WINDOWS\system32\dinput.dll
2007-07-22 14:41 64,512 --a--c--- C:\WINDOWS\system32\dllcache\amstream.dll
2007-07-22 14:41 64,512 --a------ C:\WINDOWS\system32\amstream.dll
2007-07-22 14:41 602,624 --a--c--- C:\WINDOWS\system32\dllcache\dx7vb.dll
2007-07-22 14:41 602,624 --a------ C:\WINDOWS\system32\dx7vb.dll
2007-07-22 14:41 590,336 --a--c--- C:\WINDOWS\system32\dllcache\d3dramp.dll
2007-07-22 14:41 590,336 --a------ C:\WINDOWS\system32\d3dramp.dll
2007-07-22 14:41 58,368 --a--c--- C:\WINDOWS\system32\dllcache\dmcompos.dll
2007-07-22 14:41 58,368 --a------ C:\WINDOWS\system32\dmcompos.dll
2007-07-22 14:41 52,096 --a--c--- C:\WINDOWS\system32\dllcache\msdv.sys
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-07-21 23:13 48156 --a------ C:\WINDOWS\system32\perfc007.dat
2007-07-21 23:13 316594 --a------ C:\WINDOWS\system32\perfh007.dat
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2003-08-19 14:21]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2007-04-12 17:44]
"nwiz"="nwiz.exe" [2007-04-12 17:44 C:\WINDOWS\system32\nwiz.exe]
"SW20"="C:\WINDOWS\System32\sw20.exe" [2006-12-15 04:58]
"SW24"="C:\WINDOWS\System32\sw24.exe" [2006-12-15 04:58]
"WinSys2"="C:\WINDOWS\System32\winsys2.exe" [2006-12-15 04:59]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2007-04-12 17:44]
"Symantec NetDriver Monitor"="C:\PROGRA~1\SYMNET~1\SNDMon.exe" [2007-07-21 22:11]
"SoundMan"="SOUNDMAN.EXE" [2006-03-02 01:22 C:\WINDOWS\soundman.exe]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-07-23 11:47]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-18 12:00]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-04-04 00:29]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^FRITZ!DSL Startcenter.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\FRITZ!DSL Startcenter.lnk
backup=C:\WINDOWS\pss\FRITZ!DSL Startcenter.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"C:\Programme\Messenger\msmsgs.exe" /background
R1 AmdK8;AMD Processor Driver;C:\WINDOWS\System32\DRIVERS\AmdK8.sys
S3 GMSIPCI;GMSIPCI;\??\E:\INSTALL\GMSIPCI.SYS
S3 MSICPL;MSICPL;\??\E:\install4\MSICPL.sys
S3 NTACCESS;NTACCESS;\??\E:\NTACCESS.sys
S3 SetupNTGLM7X;SetupNTGLM7X;\??\E:\NTGLM7X.sys
Contents of the 'Scheduled Tasks' folder
2007-07-21 20:01:59 C:\WINDOWS\Tasks\Norton AntiVirus - Meinen Computer prüfen.job
2007-07-21 19:52:34 C:\WINDOWS\Tasks\Norton SystemWorks One Button Checkup.job
2007-08-09 22:00:00 C:\WINDOWS\Tasks\Symantec Drmc.job
2007-08-10 09:35:53 C:\WINDOWS\Tasks\Symantec NetDetect.job
**************************************************************************
catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-10 12:32:06
Windows 5.1.2600 NTFS
scanning hidden processes ...
scanning hidden registry entries ...
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:00000638
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
Completion time: 2007-08-10 12:32:31
C:\ComboFix-quarantined-files.txt ... 2007-08-10 12:32
--- E O F ---
MIt hjiack this auch durchgescannt hier der bericht:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:35:38, on 10.08.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\winsys2.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\WINDOWS\explorer.exe
C:\Programme\WinRAR\WinRAR.exe
C:\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\System32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\System32\sw24.exe
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\System32\winsys2.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{5F074BB6-69AC-46DB-BA97-FBA2640370E5}: NameServer = 213.191.74.11 213.191.92.82
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
--
End of file - 5162 bytes
ich hoffe das reicht um erstmal paar tips zu erhalten, danke im vorraus
mfg