Home » Viren, Trojaner & Malware Forum » sdbot-Wurm auf PC geunden, sowie div. Fehlermeldungen » Themenansicht
sdbot-Wurm auf PC geunden, sowie div. Fehlermeldungen |
||
|---|---|---|
| #0
| ||
|
09.09.2007, 14:59
...neu hier
Beiträge: 6 |
||
 
|
|
|
|
09.09.2007, 16:00
Ehrenmitglied
 Beiträge: 6028 |
#2
Verborgene Dateien sichtbar machen
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren. Bitte den TeaTimer von Spybot S & D deaktivieren: C:\Programme\Spybot - Search & Destroy\TeaTimer.exe abstellen! Starte dazu Spybot S&D, deaktiviere den "Resident "TeaTimer". Klicke auf "Advanced mode" > "JA" > "Tools" -Menu > klicke auf "Resident" > das Häkchen entfernen aus der "Resident TeaTimer" (Schutz aller Systemeinstellungen) > "exit". (der TeaTimer be- bzw. verhindert alle weiteren Reinigungmaßnahmen!) cfscript.txt 1. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. File:: C:\WINDOWS\system32\hbqybsl.exe C:\WINDOWS\system32\ystdz.exe C:\WINDOWS\system32\hxcxv.exe C:\WINDOWS\system32\TFTP1412 C:\WINDOWS\system32\TFTP1680 C:\WINDOWS\system32\TFTP1036 C:\WINDOWS\system32\TFTP308 C:\WINDOWS\system32\yglr.exe C:\WINDOWS\system32\TFTP1748 C:\WINDOWS\system32\TFTP1176 C:\WINDOWS\system32\TFTP1712 C:\WINDOWS\system32\TFTP1188 C:\WINDOWS\system32\bjhge.exe C:\WINDOWS\system32\TFTP368 C:\WINDOWS\system32\cnehz.exe C:\WINDOWS\system32\ionlalv.exe C:\WINDOWS\system32\TFTP1524 2. Sleppe diese Datei zum ComboFix.exe(sehe Bild) ComboFix wird jetzt starten und die Daten ausfuehren Nach neustart des Rechners,poste das log von ComboFix  __________ MfG Argus |
|
|
|
|
|
|
09.09.2007, 18:11
...neu hier
Themenstarter Beiträge: 6 |
#3
Danke schon mal,
hier das neue log: ComboFix 07-09-09.4 - "Administrator" 09.09.2007 18:15:53.3 - NTFSx86 Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1031.18.739 [GMT 2:00] . ((((((((((((((((((((((( Dateien erstellt von 2007-08-09 bis 2007-09-09 )))))))))))))))))))))))))))))) . 2007-09-09 18:15 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_364.dat 2007-09-09 16:05 <DIR> d-------- C:\Programme\Netzwerktrieber Rasppoe 2007-09-09 16:04 <DIR> d-------- C:\Programme\Neuer Ordner 2007-09-09 10:48 51,200 --a------ C:\WINNT\NirCmd.exe 2007-09-08 13:47 <DIR> d-------- C:\W2KpostSP4update 2007-09-08 12:47 70,656 --ah----- C:\WINNT\system32\ystdz.exe 2007-09-08 12:47 24,064 --ah----- C:\WINNT\system32\hxcxv.exe 2007-09-08 12:44 10,240 --ah----- C:\WINNT\system32\hbqybsl.exe 2007-09-08 11:34 3,584 --ah----- C:\WINNT\system32\yglr.exe 2007-09-06 11:20 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_568.dat 2007-09-06 10:57 16,896 --ah----- C:\WINNT\system32\bjhge.exe 2007-09-06 10:32 0 --ah----- C:\WINNT\system32\cnehz.exe 2007-09-05 18:35 20,928 --ah----- C:\WINNT\system32\ionlalv.exe 2007-09-05 18:33 17,264 --a------ C:\WINNT\suecmdial.dll 2007-09-05 13:19 42,982 --a------ C:\WINNT\system32\PDDSLADP.DLL 2007-09-05 13:19 15,571 --a------ C:\WINNT\system32\drivers\PDDSLADP.SYS 2007-09-05 13:19 15,187 --a------ C:\WINNT\system32\drivers\PDDSLHND.SYS 2007-09-05 13:18 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Alice 2007-09-05 13:18 <DIR> d-------- C:\Programme\Alice 2007-08-26 13:12 <DIR> d-------- C:\WINNT\Cache 2007-08-22 09:19 12,592 --a--c--- C:\WINNT\system32\dllcache\usbscan.sys 2007-08-22 09:19 12,592 --a------ C:\WINNT\system32\drivers\usbscan.sys . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 28.05.06 13:15 271 ---h----- C:\Programme\desktop.ini 28.05.06 13:15 22080 ---h----- C:\Programme\folder.htt 26.06.07 15:27 235280 --a------ C:\WINNT\system32\GDI32.DLL 24.07.02 13:00 32528 --a------ C:\WINNT\inf\wbfirdma.sys 22.08.07 09:20 --------- d-a------ C:\Programme\Lexmark X74-X75 08.09.07 13:17 --------- d-a------ C:\Programme\Opera 08.09.07 11:00 --------- d--h----- C:\Programme\InstallShield Installation Information 07.09.07 19:10 --------- d-------- C:\Programme\StarMoney 5.0 S-Edition 07.06.07 12:20 1119232 --a------ C:\WINNT\system32\msxml3.dll 06.09.07 10:46 --------- d-a------ C:\DOKUME~1\ALLUSE~1\ANWEND~1\AntiVir PersonalEdition Classic . ((((((((((((((((((((((((((((( snapshot_So 09.09.2007_104932,90 ))))))))))))))))))))))))))))))))))))))))) . ----a-w 62,016 2007-09-09 10:27:45 C:\WINNT\system32\drivers\avipbb.sys . ----a-w 62,016 2007-09-06 08:33:39 C:\WINNT\system32\drivers\avipbb.sys . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Synchronization Manager"="mobsync.exe" [19.06.03 12:05 C:\WINNT\system32\mobsync.exe] "NvCplDaemon"="C:\WINNT\system32\NvCpl.dll" [10.10.05 22:49 ] "nwiz"="nwiz.exe" [10.10.05 22:49 C:\WINNT\system32\nwiz.exe] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [06.09.07 10:33 ] "SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" [10.11.05 14:03 ] "NvMediaCenter"="C:\WINNT\system32\NvMcTray.dll" [10.10.05 22:49 ] "SoundMan"="SOUNDMAN.EXE" [22.09.05 10:42 C:\WINNT\soundman.exe] "Lexmark X74-X75"="C:\Programme\Lexmark X74-X75\lxbbbmgr.exe" [14.10.02 16:12 ] "FLMOFFICE4DMOUSE"="C:\Programme\Browser Mouse\mouse32a.exe" [31.08.06 15:49 ] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [15.07.06 15:45 ] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [01.09.06 16:57 ] "Ashampoo FireWall"="E:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe" [23.08.06 16:21 ] [HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce] "^SetupICWDesktop"=C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop C:\DOKUME~1\ALLUSE~1\STARTM~1\PROGRA~1\AUTOST~1\ Acrobat Assistant.lnk - C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe [2006-06-18 19:33:42] Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 02:48:20] Adobe Reader Synchronizer.lnk - C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 01:01:50] Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 21:05:56] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys] @="Driver" R0 avgntmgr;avgntmgr;C:\WINNT\system32\drivers\avgntmgr.sys R0 PDDSLHND;PDDSLHND;C:\WINNT\system32\drivers\PDDSLHND.sys R1 avgntdd;avgntdd;C:\WINNT\system32\DRIVERS\avgntdd.sys R1 gemwdm;AMD PowerNow! (tm) Technology;C:\WINNT\system32\DRIVERS\gemwdm.sys R2 DgiVecp;Team MFP Comm Driver;C:\WINNT\system32\Drivers\DgiVecp.sys R3 openhci;Microsoft USB-Open Host-Controllertreiber;C:\WINNT\system32\DRIVERS\openhci.sys R3 PDDSLADP;ProDyne DSL Adapter;C:\WINNT\system32\DRIVERS\PDDSLADP.SYS R3 usbhub20;USB 2.0-Root-Hub-Support;C:\WINNT\system32\DRIVERS\usbhub20.sys S1 sglfb;sglfb;C:\WINNT\system32\drivers\sglfb.sys S3 PDNMp50;PDNMp50 NDIS Protocol Driver;\??\C:\WINNT\system32\drivers\PDNMp50.sys S3 PDNSp50;PDNSp50 NDIS Protocol Driver;\??\C:\WINNT\system32\drivers\PDNSp50.sys S3 StMp3Rec;Player Recovery Device Control Driver;C:\WINNT\system32\Drivers\StMp3Rec.sys . Inhalt des "geplante Tasks" Ordners "2007-02-07 14:53:01 C:\WINNT\Tasks\AppleSoftwareUpdate.job" - C:\Programme\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-09-09 18:16:46 Windows 5.0.2195 Service Pack 4 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 09.09.2007 18:17:06 C:\ComboFix2.txt ... 09.09.07 18:10 C:\ComboFix3.txt ... 09.09.07 10:49 . --- E O F --- |
|
|
|
|
|
|
09.09.2007, 18:49
Ehrenmitglied
Beiträge: 6028 |
#4
Hat also nicht funktioniert
Download Avenger zum Desktop Alle Fenster muessen geschlossen sein Starte Avenger Anhaken “Input script manually” Die "Lupe" rechts anklicken - View/edit script (wird sich öffnen) kopiere rein: Files to delete: C:\WINDOWS\system32\hbqybsl.exe C:\WINDOWS\system32\ystdz.exe C:\WINDOWS\system32\hxcxv.exe C:\WINDOWS\system32\TFTP1412 C:\WINDOWS\system32\TFTP1680 C:\WINDOWS\system32\TFTP1036 C:\WINDOWS\system32\TFTP308 C:\WINDOWS\system32\yglr.exe C:\WINDOWS\system32\TFTP1748 C:\WINDOWS\system32\TFTP1176 C:\WINDOWS\system32\TFTP1712 C:\WINDOWS\system32\TFTP1188 C:\WINDOWS\system32\bjhge.exe C:\WINDOWS\system32\TFTP368 C:\WINDOWS\system32\cnehz.exe C:\WINDOWS\system32\ionlalv.exe C:\WINDOWS\system32\TFTP1524 Klicke die grüne Ampel das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten nach dem Neustart erscheint ein Log vom Avenger, kopiere es ab - mit rechtem Mausklick - kopieren - einfügen __________ MfG Argus |
|
|
|
|
|
|
09.09.2007, 19:59
...neu hier
Themenstarter Beiträge: 6 |
#5
Das funktioniert nicht! Nach dem Reboot kommt die Meldung : "Der Prozess kann nicht auf die Datei zurgeifen, da sie von einem anderen Prozess genutzt wird."
Hab mir das logfile über Avenger kopiert: Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\akoutmth ******************* Script file located at: \??\C:\WINNT\system32\jvqebpxp.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Deletion of file C:\WINDOWS\system32\hbqybsl.exe failed! Status: 0xc000014f Deletion of file C:\WINDOWS\system32\ystdz.exe failed! Status: 0xc000014f Deletion of file C:\WINDOWS\system32\hxcxv.exe failed! Status: 0xc000014f Deletion of file C:\WINDOWS\system32\TFTP1412 failed! Status: 0xc000014f Deletion of file C:\WINDOWS\system32\TFTP1680 failed! Status: 0xc000014f Deletion of file C:\WINDOWS\system32\TFTP1036 failed! Status: 0xc000014f Deletion of file C:\WINDOWS\system32\TFTP308 failed! Status: 0xc000014f Deletion of file C:\WINDOWS\system32\yglr.exe failed! Status: 0xc000014f Deletion of file C:\WINDOWS\system32\TFTP1748 failed! Status: 0xc000014f Deletion of file C:\WINDOWS\system32\TFTP1176 failed! Status: 0xc000014f Deletion of file C:\WINDOWS\system32\TFTP1712 failed! Status: 0xc000014f Deletion of file C:\WINDOWS\system32\TFTP1188 failed! Status: 0xc000014f Deletion of file C:\WINDOWS\system32\bjhge.exe failed! Status: 0xc000014f Deletion of file C:\WINDOWS\system32\TFTP368 failed! Status: 0xc000014f Deletion of file C:\WINDOWS\system32\cnehz.exe failed! Status: 0xc000014f Deletion of file C:\WINDOWS\system32\ionlalv.exe failed! Status: 0xc000014f Deletion of file C:\WINDOWS\system32\TFTP1524 failed! Status: 0xc000014f Completed script processing. ******************* Finished! Terminate. Beim Neustart taucht kurz ein Eingabefenster auf, mit einer Meldung, die jedoch zu schnell wieder verschwindet :-(. Was sind das für Dateien die da gelöscht werden sollen? Danke! |
|
|
|
|
|
|
09.09.2007, 20:08
Ehrenmitglied
Beiträge: 6028 |
#6
Entferne auf C:\avenger\backup.zip -->Papierkorb leeren
Ich geh davon aus Teile deine Infektion Scanne mit DrWeb-CureIt! http://board.protecus.de/t29350.htm __________ MfG Argus |
|
|
|
|
|
|
09.09.2007, 21:45
...neu hier
Themenstarter Beiträge: 6 |
#7
Done!
HJT-log neu: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:39:49, on 09.09.2007 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\LEXBCES.EXE C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\LEXPPS.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AMD\Cool'n'Quiet\GemServ.exe C:\Programme\AMD\Cool'n'Quiet\gemback.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\WINNT\system32\RUNDLL32.EXE C:\WINNT\SOUNDMAN.EXE C:\Programme\Lexmark X74-X75\lxbbbmgr.exe C:\Programme\Lexmark X74-X75\lxbbbmon.exe C:\Programme\Browser Mouse\mouse32a.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\QuickTime\qttask.exe E:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe C:\Dokumente und Einstellungen\Administrator\Desktop\Downloads\HiJackThis\HJT.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe" O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser Mouse\mouse32a.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Ashampoo FireWall] "E:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user') O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - E:\Programme\Haufe\HaufeReader\HRInstmon.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: AMD PowerNow! (tm) Technology Service (GemServ) - Advanced Micro Devices - C:\Programme\AMD\Cool'n'Quiet\GemServ.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe -- End of file - 5140 bytes Hier die gefundenen Pfade des drweb logs [Prüfpfad] C:\ C:\Dokumente und Einstellungen\Administrator\NTUSER.DAT - Lesefehler C:\Dokumente und Einstellungen\Administrator\NTUSER~1.LOG - Lesefehler C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Lesefehler C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\USRCLA~1.LOG - Lesefehler >C:\Programme\StarMoney 5.0 S-Edition\bpd\ceptoffl\280\006rz.201C:\WINNT\system32\bjhge.exe infiziert mit BackDoor.IRC.Sdbot.901 - gelöscht C:\WINNT\system32\hxcxv.exe infiziert mit BackDoor.IRC.Sdbot.901 - gelöscht C:\WINNT\system32\ionlalv.exe infiziert mit Win32.HLLW.MyBot - gelöscht C:\WINNT\system32\TFTP1712 infiziert mit Win32.HLLW.MyBot - gelöscht C:\WINNT\system32\ystdz.exe infiziert mit Win32.HLLW.MyBot - gelöscht C:\WINNT\system32\config\default - Lesefehler C:\WINNT\system32\config\default.LOG - Lesefehler C:\WINNT\system32\config\SAM - Lesefehler C:\WINNT\system32\config\SAM.LOG - Lesefehler C:\WINNT\system32\config\SECURITY - Lesefehler C:\WINNT\system32\config\SECURITY.LOG - Lesefehler C:\WINNT\system32\config\software - Lesefehler C:\WINNT\system32\config\software.LOG - Lesefehler C:\WINNT\system32\config\system - Lesefehler C:\WINNT\system32\config\SYSTEM.ALT - Lesefehler [Prüfpfad] E:\ [Prüfpfad] F:\ [Prüfpfad] G:\ ----------------------------------------------------------------------------- Prüfstatistiken ----------------------------------------------------------------------------- Geprüfte Objekte: 101687 Infizierte Objekte gefunden: 5 Objekte mit Modifikation gefunden: 0 Verdächtige Objekte gefunden: 0 Adware-Programm gefunden: 0 Dialer-Programm gefunden: 0 Scherz-Programm gefunden: 0 Riskware programm gefunden: 0 Hacktool-Programm gefunden: 0 Desinfizierte Objekte: 0 Gelöschte Objekte: 5 Umbenannte Objekte: 0 Verschobene Objekte: 0 Ignorierte Objekte: 0 Leistung:: 199 Kb/s Dauer:: 00:58:21 ----------------------------------------------------------------------------- ============================================================================= Gesamte Sitzungsstatistik ============================================================================= Geprüfte Objekte: 101958 Infizierte Objekte gefunden: 5 Objekte mit Modifikation gefunden: 0 Verdächtige Objekte gefunden: 0 Adware-Programm gefunden: 0 Dialer-Programm gefunden: 0 Scherz-Programm gefunden: 0 Riskware programm gefunden: 0 Hacktool-Programm gefunden: 0 Desinfizierte Objekte: 0 Gelöschte Objekte: 5 Umbenannte Objekte: 0 Verschobene Objekte: 0 Ignorierte Objekte: 0 Leistung:: 217 Kb/s Dauer:: 00:58:44 =============================== Komplett siehe Anhang Ist Deiner Meinung nach jetzt alles sauber? Was muss ich ansonsten noch tun? Anhang: DrWeb.csv
|
|
|
|
|
|
|
09.09.2007, 22:07
Ehrenmitglied
Beiträge: 6028 |
#8
Dein Java software ist veraltet,
Download jre-6u2-windows-i586-p.exe Scrolle runter nach ---->Java Runtime Environment (JRE) 6u2 The Java SE Runtime Environment (JRE) allows end-users to run Java applications. Klicke auf "Download" Setze in haeckchen bei --->"Accept License Agreement". Klicke “Windows Offline Installation, Multi-language” um “jre-6-windows-i586.exe”zum Desktop zu installieren Schliesse alle Programme auch dein Webbrowser Ueber "Start -> Einstellungen -> Systemsteuerung -> Software Und entferne alle aeltere versionen von Java Runtime Environment (JRE of J2SE) Auch auf C:\Programme\Java entfernen! Nachdem alles entfernt wurde --->Rechner neu starten Installiere jetzt vom Desktop aus ---> “jre-6u2-windows-i586-p.exe” Benutze ATF cleaner http://board.protecus.de/t23188.htm edit Installiere AVG Anti Spyware 7.5 http://board.protecus.de/t29853.htm __________ MfG Argus |
|
|
|
|
|
|
10.09.2007, 07:56
...neu hier
Themenstarter Beiträge: 6 |
#9
Vielen Dank Arnold!
AVG hat den Downloader.Delf.ain gefunden! Ich hoffe ich bin den Kram jetzt los, aber glauben mag ich es noch nicht. Hier HJT Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 07:57:33, on 10.09.2007 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\LEXBCES.EXE C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\LEXPPS.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AMD\Cool'n'Quiet\GemServ.exe C:\Programme\AMD\Cool'n'Quiet\gemback.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINNT\system32\RUNDLL32.EXE C:\WINNT\SOUNDMAN.EXE C:\Programme\Lexmark X74-X75\lxbbbmgr.exe C:\Programme\Lexmark X74-X75\lxbbbmon.exe C:\Programme\Browser Mouse\mouse32a.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\QuickTime\qttask.exe E:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\Alice\Signup\AliceCnn.exe C:\Programme\Opera\Opera.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\Dokumente und Einstellungen\Administrator\Desktop\Downloads\HiJackThis\HJT.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe" O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser Mouse\mouse32a.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Ashampoo FireWall] "E:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user') O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{90442E0A-E458-415D-ACED-28864787A75D}: NameServer = 213.191.74.11 213.191.92.82 O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - E:\Programme\Haufe\HaufeReader\HRInstmon.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: AMD PowerNow! (tm) Technology Service (GemServ) - Advanced Micro Devices - C:\Programme\AMD\Cool'n'Quiet\GemServ.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe -- End of file - 5555 bytes Sieht das für Dich jetzt sauber aus? |
|
|
|
|
|
|
10.09.2007, 08:16
Ehrenmitglied
Beiträge: 6028 |
#10
Poste nochmal die Daten von datfind und nicht nur von system32
Und ob dieser noch da ist C:\WINNT\system32\kzyhbpr.exe Stelle Antivir so ein wie hier beschrieben http://board.protecus.de/t23979.htm __________ MfG Argus |
|
|
|
|
|
|
10.09.2007, 19:02
...neu hier
Themenstarter Beiträge: 6 |
#11
Ok, hier datfind von WINNT
10.09.2007 18:41 99.086 datfind.txt 1 Datei(en) 99.086 Bytes 0 Verzeichnis(se), 9.899.188.224 Bytes frei . . . Datentr„ger in Laufwerk C: ist System Datentr„gernummer: E885-8900 Verzeichnis von C:\WINNT 10.09.2007 08:17 32.628 SchedLgU.Txt 10.09.2007 08:17 923.892 ShellIconCache 09.09.2007 20:31 31.556 ntbtlog.txt 08.09.2007 13:57 3.878 spupdsvc.log 08.09.2007 13:52 205.029 comsetup.log 08.09.2007 13:52 390.028 iis5.log 08.09.2007 13:52 1.410 imsins.log 08.09.2007 13:52 14.669 KB938829.log 08.09.2007 13:52 10.883 ockodak.log 08.09.2007 13:52 168.997 ocgen.log 08.09.2007 13:52 43.314 updspapi.log 08.09.2007 13:52 1.410 imsins.BAK 08.09.2007 13:52 12.547 KB921503.log 08.09.2007 13:52 12.170 KB936021.log 08.09.2007 13:52 12.215 KB926122.log 08.09.2007 13:51 10.922 KB925398.log 08.09.2007 13:51 65.968 KB911564.log 08.09.2007 13:51 8.527 KB938127-IE6SP1-20070626.120000.log 08.09.2007 13:51 9.179 KB905495-IE6SP1-20050805.184113.log 08.09.2007 13:51 10.544 KB937143-IE6SP1-20070717.120000.log 08.09.2007 13:09 4.778 KB823980.log 08.09.2007 12:22 973.707 setupapi.log 05.09.2007 13:19 2.978 netcfg.log 05.09.2007 13:19 224 awprotoc.txt 05.09.2007 13:19 61 awerror.txt 26.08.2007 13:16 54.156 QTFont.qfn 22.08.2007 10:00 714 LEXSTAT.INI 20.07.2007 00:47 109.056 catchme.exe 02.07.2007 16:38 12.980 KB893803v2.log 30.06.2007 17:40 5.602 cdplayer.ini 17.06.2007 00:11 51.200 NirCmd.exe HJT Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:04:35, on 10.09.2007 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\LEXBCES.EXE C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\LEXPPS.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Programme\AMD\Cool'n'Quiet\GemServ.exe C:\Programme\AMD\Cool'n'Quiet\gemback.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINNT\system32\RUNDLL32.EXE C:\WINNT\SOUNDMAN.EXE C:\Programme\Lexmark X74-X75\lxbbbmgr.exe C:\Programme\Lexmark X74-X75\lxbbbmon.exe C:\Programme\Browser Mouse\mouse32a.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\QuickTime\qttask.exe E:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe C:\Programme\Java\jre1.6.0_02\bin\jusched.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\Alice\Signup\AliceCnn.exe C:\Programme\Opera\Opera.exe C:\Dokumente und Einstellungen\Administrator\Desktop\Downloads\HiJackThis\HJT.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe" O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser Mouse\mouse32a.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Ashampoo FireWall] "E:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user') O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{90442E0A-E458-415D-ACED-28864787A75D}: NameServer = 213.191.74.11 213.191.92.82 O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - E:\Programme\Haufe\HaufeReader\HRInstmon.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: AMD PowerNow! (tm) Technology Service (GemServ) - Advanced Micro Devices - C:\Programme\AMD\Cool'n'Quiet\GemServ.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe -- End of file - 5602 bytes C:\WINNT\system32\kzyhbpr.exe konnte ich nicht finden, scheint also weg zu sein. Wie kann ich eigentlich meine Firewall überprüfen auf offene Ports? Vielen Dank :-) |
|
|
|
|
|
|
10.09.2007, 19:11
Ehrenmitglied
Beiträge: 6028 |
#12
http://www.grc.com/x/ne.dll?rh1dkyd2
http://www.hackerwatch.org/probe/ Und vielleicht gibt es auch noch Deutsche Seiten __________ MfG Argus |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
hoffe hier auf Hilfe. Wir sind umgezogen und ich habe von meinem Provider Alice ein neues Modem bekommen. Einwahl erfolgt über die Alice-Software. Seitdem ich das erste Mal online gegangen bin wird meldet Antivir einen Virus
C:\WINNT\system32\kzyhbpr.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Sdbot.45568.70
zweite Meldung:
In der Datei 'C:\WINNT\system32\TFTP1496'
wurde ein Virus oder unerwünschtes Programm 'PCK/Enigma' [PCK/Enigma] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
Avert Stinger meldet folgendes:
McAfee® Stinger Version 3.4.9 built on Apr 20 2007
Copyright © 2007 McAfee, Inc. All Rights Reserved.
Virus data file v1000 created on Apr 20 2007.
Ready to scan for 187 viruses, trojans and variants.
Scan initiated on Sun Sep 09 09:09:45 2007
C:\WINNT\system32\i
Found the W32/Sdbot.worm!ftp virus !!!
C:\WINNT\system32\i has been deleted.
Number of clean files: 138795
Number of infected files: 1
Number of files deleted: 1
Vorher war das System absolut fehlerfrei. Es läuft neben der aktuellen Antivir Version noch ne Firewall von Ashampoo.
Achja, ganz zu Beginn tauchte ein Nachrichtenfenster auf mit einem Hinweis das es Probleme mit dem System gibt und man solle doch regupdate.org oder so besuchen. Hab durch das deaktivieren des Nachrichtendienstes dieses Problem aber scheinbar beseitigt.
HJT-Log
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:56:05, on 09.09.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AMD\Cool'n'Quiet\GemServ.exe
C:\Programme\AMD\Cool'n'Quiet\gemback.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\WINNT\SOUNDMAN.EXE
C:\Programme\Lexmark X74-X75\lxbbbmgr.exe
C:\Programme\Lexmark X74-X75\lxbbbmon.exe
C:\Programme\Browser Mouse\mouse32a.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
E:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe
E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\Downloads\stinger_3.4.9.exe
C:\Programme\Opera\Opera.exe
C:\Programme\Alice\Signup\AliceCnn.exe
C:\WINNT\explorer.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\Downloads\HiJackThis\HJT.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser Mouse\mouse32a.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Ashampoo FireWall] "E:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{90442E0A-E458-415D-ACED-28864787A75D}: NameServer = 213.191.74.11 213.191.92.82
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - E:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: AMD PowerNow! (tm) Technology Service (GemServ) - Advanced Micro Devices - C:\Programme\AMD\Cool'n'Quiet\GemServ.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
--
End of file - 5506 bytes
datfind
.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: E885-8900
Verzeichnis von C:\WINNT\system32
09.09.2007 10:48 16.384 Perflib_Perfdata_364.dat
09.09.2007 09:08 39.291 nvapps.xml
08.09.2007 12:48 10.240 hbqybsl.exe
08.09.2007 12:47 70.656 ystdz.exe
08.09.2007 12:47 24.064 hxcxv.exe
08.09.2007 12:46 0 TFTP1412
08.09.2007 12:37 0 TFTP1680
08.09.2007 12:19 0 TFTP1036
08.09.2007 12:09 0 TFTP308
08.09.2007 11:34 3.584 yglr.exe
07.09.2007 19:21 0 scconfig.ini
07.09.2007 19:10 0 TFTP1748
07.09.2007 19:08 0 TFTP1176
07.09.2007 18:16 77.824 TFTP1712
06.09.2007 11:20 16.384 Perflib_Perfdata_568.dat
06.09.2007 11:18 0 TFTP1188
06.09.2007 11:03 16.896 bjhge.exe
06.09.2007 10:50 0 TFTP368
06.09.2007 10:32 0 cnehz.exe
05.09.2007 18:37 20.928 ionlalv.exe
05.09.2007 18:32 0 TFTP1524
22.07.2007 18:39 279.552 swreg.exe
26.06.2007 15:27 235.280 GDI32.DLL
12.06.2007 12:59 582.144 WININET.DLL
12.06.2007 12:59 463.872 URLMON.DLL
12.06.2007 12:59 498.176 MSTIME.DLL
12.06.2007 12:59 2.704.896 MSHTML.DLL
12.06.2007 12:59 236.032 IEPEERS.DLL
12.06.2007 12:59 70.144 INSENG.DLL
12.06.2007 12:28 403.456 SHLWAPI.DLL
12.06.2007 12:28 1.340.416 SHDOCVW.DLL
12.06.2007 12:28 132.096 MSRATING.DLL
12.06.2007 12:28 144.384 CDFVIEW.DLL
12.06.2007 12:28 1.017.856 BROWSEUI.DLL
12.06.2007 11:11 12.288 JSPROXY.DLL
12.06.2007 11:09 34.816 PNGFILT.DLL
12.06.2007 11:09 351.744 DXTMSFT.DLL
12.06.2007 11:09 192.512 DXTRANS.DLL
07.06.2007 12:20 1.119.232 msxml3.dll
combofix
ComboFix 07-09-09.4 - "Administrator" 09.09.2007 10:48:41.1 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1031.18.725 [GMT 2:00]
.
((((((((((((((((((((((( Dateien erstellt von 2007-08-09 bis 2007-09-09 ))))))))))))))))))))))))))))))
.
2007-09-09 10:48 51,200 --a------ C:\WINNT\NirCmd.exe
2007-09-09 10:48 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_364.dat
2007-09-08 13:47 <DIR> d-------- C:\W2KpostSP4update
2007-09-08 12:47 70,656 --ah----- C:\WINNT\system32\ystdz.exe
2007-09-08 12:47 24,064 --ah----- C:\WINNT\system32\hxcxv.exe
2007-09-08 12:44 10,240 --ah----- C:\WINNT\system32\hbqybsl.exe
2007-09-08 11:34 3,584 --ah----- C:\WINNT\system32\yglr.exe
2007-09-06 11:20 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_568.dat
2007-09-06 10:57 16,896 --ah----- C:\WINNT\system32\bjhge.exe
2007-09-06 10:32 0 --ah----- C:\WINNT\system32\cnehz.exe
2007-09-05 18:35 20,928 --ah----- C:\WINNT\system32\ionlalv.exe
2007-09-05 18:33 17,264 --a------ C:\WINNT\suecmdial.dll
2007-09-05 13:19 42,982 --a------ C:\WINNT\system32\PDDSLADP.DLL
2007-09-05 13:19 15,571 --a------ C:\WINNT\system32\drivers\PDDSLADP.SYS
2007-09-05 13:19 15,187 --a------ C:\WINNT\system32\drivers\PDDSLHND.SYS
2007-09-05 13:18 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Alice
2007-09-05 13:18 <DIR> d-------- C:\Programme\Alice
2007-08-26 13:12 <DIR> d-------- C:\WINNT\Cache
2007-08-22 09:19 12,592 --a--c--- C:\WINNT\system32\dllcache\usbscan.sys
2007-08-22 09:19 12,592 --a------ C:\WINNT\system32\drivers\usbscan.sys
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
28.05.06 13:15 271 ---h----- C:\Programme\desktop.ini
28.05.06 13:15 22080 ---h----- C:\Programme\folder.htt
26.06.07 15:27 235280 --a------ C:\WINNT\system32\GDI32.DLL
24.07.02 13:00 32528 --a------ C:\WINNT\inf\wbfirdma.sys
22.08.07 09:20 --------- d-a------ C:\Programme\Lexmark X74-X75
08.09.07 13:17 --------- d-a------ C:\Programme\Opera
08.09.07 11:00 --------- d--h----- C:\Programme\InstallShield Installation Information
07.09.07 19:10 --------- d-------- C:\Programme\StarMoney 5.0 S-Edition
07.06.07 12:20 1119232 --a------ C:\WINNT\system32\msxml3.dll
06.09.07 10:46 --------- d-a------ C:\DOKUME~1\ALLUSE~1\ANWEND~1\AntiVir PersonalEdition Classic
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [19.06.03 12:05 C:\WINNT\system32\mobsync.exe]
"NvCplDaemon"="C:\WINNT\system32\NvCpl.dll" [10.10.05 22:49 ]
"nwiz"="nwiz.exe" [10.10.05 22:49 C:\WINNT\system32\nwiz.exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [06.09.07 10:33 ]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" [10.11.05 14:03 ]
"NvMediaCenter"="C:\WINNT\system32\NvMcTray.dll" [10.10.05 22:49 ]
"SoundMan"="SOUNDMAN.EXE" [22.09.05 10:42 C:\WINNT\soundman.exe]
"Lexmark X74-X75"="C:\Programme\Lexmark X74-X75\lxbbbmgr.exe" [14.10.02 16:12 ]
"FLMOFFICE4DMOUSE"="C:\Programme\Browser Mouse\mouse32a.exe" [31.08.06 15:49 ]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [15.07.06 15:45 ]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [01.09.06 16:57 ]
"Ashampoo FireWall"="E:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe" [23.08.06 16:21 ]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="E:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [31.05.05 02:04 ]
[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"^SetupICWDesktop"=C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop
C:\DOKUME~1\ALLUSE~1\STARTM~1\PROGRA~1\AUTOST~1\
Acrobat Assistant.lnk - C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe [2006-06-18 19:33:42]
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 02:48:20]
Adobe Reader Synchronizer.lnk - C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 01:01:50]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 21:05:56]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"
R0 avgntmgr;avgntmgr;C:\WINNT\system32\drivers\avgntmgr.sys
R0 PDDSLHND;PDDSLHND;C:\WINNT\system32\drivers\PDDSLHND.sys
R1 avgntdd;avgntdd;C:\WINNT\system32\DRIVERS\avgntdd.sys
R1 gemwdm;AMD PowerNow! (tm) Technology;C:\WINNT\system32\DRIVERS\gemwdm.sys
R2 DgiVecp;Team MFP Comm Driver;C:\WINNT\system32\Drivers\DgiVecp.sys
R3 openhci;Microsoft USB-Open Host-Controllertreiber;C:\WINNT\system32\DRIVERS\openhci.sys
R3 PDDSLADP;ProDyne DSL Adapter;C:\WINNT\system32\DRIVERS\PDDSLADP.SYS
R3 usbhub20;USB 2.0-Root-Hub-Support;C:\WINNT\system32\DRIVERS\usbhub20.sys
S1 sglfb;sglfb;C:\WINNT\system32\drivers\sglfb.sys
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;\??\C:\WINNT\system32\drivers\PDNMp50.sys
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;\??\C:\WINNT\system32\drivers\PDNSp50.sys
S3 StMp3Rec;Player Recovery Device Control Driver;C:\WINNT\system32\Drivers\StMp3Rec.sys
*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2007-02-07 14:53:01 C:\WINNT\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************
catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-09 10:49:22
Windows 5.0.2195 Service Pack 4 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 09.09.2007 10:49:49
.
--- E O F ---
Nach Beseitigung der Probleme ist erstmal eine Weile Ruhe aber dann werden die entsprechenden Viren wieder gefunden. System wird manchmal langsamer und es taucht die Meldung auf svchost.exe hat Fehler verursacht und wird geschlossen.
Ich hoffe Ihr könnt mir weiterhelfen!
Besten Dank!