Problem mit Winlogon.exe |
||
---|---|---|
#0
| ||
16.09.2007, 00:46
...neu hier
Beiträge: 7 |
||
|
||
16.09.2007, 10:50
Moderator
Beiträge: 7805 |
#2
Poste bitte ein Combofix Report: http://board.protecus.de/t23188.htm
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
16.09.2007, 11:41
...neu hier
Themenstarter Beiträge: 7 |
#3
hi,
hier der Combofix Report: ComboFix 07-09-14.2 - "prio" 2007-09-16 11:38:13.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.502 [GMT 2:00] * Created a new restore point . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\Cfx32.lic C:\WINDOWS\system32\cfx32.ocx C:\WINDOWS\system32\sysdm.exe . ((((((((((((((((((((((( Dateien erstellt von 2007-08-16 bis 2007-09-16 )))))))))))))))))))))))))))))) . 2007-09-16 11:37 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-09-16 11:29 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\MailFrontier 2007-09-15 16:51 110,592 --a------ C:\WINDOWS\system32\ccrpbds6.dll 2007-09-15 16:51 1,703,936 --a------ C:\WINDOWS\system32\gdiplus.dll 2007-09-12 16:55 <DIR> d-------- C:\Programme\FileZilla Client 2007-09-12 16:55 <DIR> d-------- C:\DOKUME~1\prio\ANWEND~1\FileZilla 2007-09-07 18:26 <DIR> d-------- C:\Programme\DFX 2007-09-02 20:08 33,792 -----c--- C:\WINDOWS\system32\dllcache\custsat.dll 2007-09-02 18:38 <DIR> d-------- C:\DOKUME~1\prio\ANWEND~1\Ahead 2007-09-02 18:38 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Ahead 2007-09-02 18:36 <DIR> d-------- C:\Programme\Nero 2007-09-02 18:36 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ahead 2007-09-02 18:36 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Nero 2007-09-02 17:30 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\AntiVir PersonalEdition Classic 2007-08-29 15:54 <DIR> d-------- C:\Programme\CCleaner 2007-08-25 00:35 14 --a------ C:\DOKUME~1\prio\getfile.dat 2007-08-22 00:46 <DIR> d--h----- C:\Programme\InstallShield Installation Information 2007-08-21 21:42 <DIR> d-------- C:\DOKUME~1\prio\ANWEND~1\My Games 2007-08-21 20:39 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll 2007-08-21 11:34 <DIR> d-------- C:\Programme\ICQ61 2007-08-21 11:20 <DIR> d-------- C:\DOKUME~1\prio\ANWEND~1\InstallShield 2007-08-21 10:53 21,840 --a----t- C:\WINDOWS\system32\SIntfNT.dll 2007-08-21 10:53 17,212 --a----t- C:\WINDOWS\system32\SIntf32.dll 2007-08-21 10:53 12,067 --a----t- C:\WINDOWS\system32\SIntf16.dll 2007-08-19 17:09 <DIR> d-------- C:\DOKUME~1\prio\ANWEND~1\Sierra . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-09-16 11:39 145440 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat 2007-09-16 11:30 1460 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx 2007-09-16 11:28 75932 --a------ C:\WINDOWS\system32\drivers\klick.dat 2007-09-16 11:28 74396 --a------ C:\WINDOWS\system32\drivers\klin.dat 2007-09-15 22:18 --------- d-------- C:\DOKUME~1\prio\ANWEND~1\teamspeak2 2007-09-13 21:39 --------- d-------- C:\Programme\HLSW 2007-09-12 22:07 --------- d-------- C:\Programme\mIRC 2007-09-11 10:28 --------- d---s---- C:\Programme\Xfire 2007-09-09 20:44 --------- d-------- C:\DOKUME~1\prio\ANWEND~1\Skype 2007-09-08 11:07 --------- d-------- C:\DOKUME~1\prio\ANWEND~1\Azureus 2007-09-08 10:29 --------- d-------- C:\Programme\Winamp 2007-09-04 23:03 --------- d-------- C:\DOKUME~1\prio\ANWEND~1\Xfire 2007-09-02 18:36 --------- d-------- C:\Programme\ICQToolbar 2007-08-29 16:32 --------- d-------- C:\Programme\eMule 2007-08-23 14:50 --------- d-------- C:\Programme\Opera 2007-08-23 14:50 --------- d-------- C:\Programme\Macrogaming 2007-08-23 14:49 --------- d-------- C:\Programme\Ahead 2007-08-23 14:40 --------- d-------- C:\Programme\QuickTime 2007-08-23 09:50 --------- d-------- C:\Programme\Trillian 2007-08-21 11:34 --------- d-------- C:\DOKUME~1\prio\ANWEND~1\ICQ 2007-08-21 08:34 --------- d-------- C:\Programme\Azureus 2007-08-15 23:25 --------- d-------- C:\DOKUME~1\prio\ANWEND~1\Screenshot Sender 2007-08-11 15:42 --------- d-------- C:\Programme\Image-Line 2007-08-10 01:09 33952 --a------ C:\WINDOWS\system32\drivers\oreans32.sys 2007-08-09 20:51 --------- d-------- C:\DOKUME~1\NETWOR~1\ANWEND~1\Xfire 2007-08-08 13:50 --------- d-------- C:\Programme\Lavalys 2007-08-07 15:01 --------- d-------- C:\DOKUME~1\LOCALS~1\ANWEND~1\Xfire 2007-08-03 21:44 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Messenger Plus! 2007-08-02 19:32 --------- d-------- C:\DOKUME~1\prio\ANWEND~1\dvdcss 2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll 2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll 2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe 2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll 2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll 2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll 2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll 2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll 2007-07-29 12:43 --------- d-------- C:\Programme\pics-factory Toolbar 2007-07-29 11:47 --------- d-------- C:\Programme\Kaspersky Lab 2007-07-28 02:22 --------- d-------- C:\DOKUME~1\prio\ANWEND~1\Desktop Sidebar 2007-06-26 08:08 1104896 --a------ C:\WINDOWS\system32\msxml3.dll 2007-06-21 21:55 54672 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll 2007-06-21 21:55 42384 --a------ C:\WINDOWS\zllsputility_loc0407.dll 2007-06-21 21:54 75248 --a------ C:\WINDOWS\zllsputility.exe 2007-06-21 21:54 21904 --a------ C:\WINDOWS\system32\imsinstall_loc0407.dll 2007-06-21 21:54 17808 --a------ C:\WINDOWS\system32\imslsp_install_loc0407.dll 2007-06-21 21:54 1086952 --a------ C:\WINDOWS\system32\zpeng24.dll 2007-06-19 15:31 282112 --a------ C:\WINDOWS\system32\gdi32.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 13:22] "razer"="C:\Programme\Razer\Copperhead\razerhid.exe" [2005-10-08 17:27] "SoundMan"="SOUNDMAN.EXE" [2006-11-17 06:42 C:\WINDOWS\soundman.exe] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43] "iconcache"="" [] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-09-06 17:43] "NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 15:57] "WinampAgent"="C:\Programme\Winamp\winampa.exe" [2007-05-15 00:22] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06] "ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-21 21:54] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 14:00] "msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 12:55] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24] "ICQ"="C:\Programme\ICQ61\ICQ.exe" [2007-08-08 17:03] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-05-16 09:27] "Steam"="d:\spiele\steam\steam.exe" [2007-09-15 23:20] [HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce] "WUAppSetup"=C:\Programme\Gemeinsame Dateien\logishrd\WUApp32.exe -v 0x046d -p 0x08ad -f video -m logitech -d 10.5.1.2023 [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^prio^Startmenü^Programme^Autostart^Adobe Gamma.lnk] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^prio^Startmenü^Programme^Autostart^Xfire.lnk] backup=C:\WINDOWS\pss\Xfire.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam] "D:\Spiele\Steam\Steam.exe" -silent [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SweetIM] R1 oreans32;oreans32;\??\C:\WINDOWS\system32\drivers\oreans32.sys R3 Razerlow;Razer Copperhead Driver;C:\WINDOWS\system32\Drivers\Razerlow.sys S3 RivaTuner32;RivaTuner32;\??\C:\Programme\RivaTuner v2.01\RivaTuner32.sys [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G] AutoRun\command- G:\EE2AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{022e1d1d-bd1a-11db-a2cc-806d6172696f}] AutoRun\command- F:\menue.exe *Newly Created Service* - CATCHME *Newly Created Service* - VSMON . Inhalt des "geplante Tasks" Ordners "2007-08-11 19:32:12 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Programme\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-09-16 11:40:04 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-09-16 11:40:49 C:\ComboFix-quarantined-files.txt ... 2007-09-16 11:40 . --- E O F --- |
|
|
||
16.09.2007, 11:51
Moderator
Beiträge: 7805 |
#4
Du hast einen Ordner c:\qoobox dort befindet sich eine Datei sysdm.vir(denke ich) teste diese bei Jotti oder Virustotal
In wie weit bremst der Rechner noch? __________ MfG Ralf SEO-Spam Hunter |
|
|
||
16.09.2007, 11:56
...neu hier
Themenstarter Beiträge: 7 |
#5
meinst du vllt sysdm.exe.vir?
habe nurll ahnung von dem hier alles, deshalb vergewissere ich mich lieber ncoh einmal. |
|
|
||
16.09.2007, 12:04
Moderator
Beiträge: 7805 |
||
|
||
16.09.2007, 12:27
...neu hier
Themenstarter Beiträge: 7 |
#7
es wurde ncihts gefunden.
Scan taken on 16 Sep 2007 10:25:34 (GMT) A-Squared Found nothing AntiVir Found nothing ArcaVir Found nothing Avast Found nothing AVG Antivirus Found nothing BitDefender Found nothing ClamAV Found nothing CPsecure Found nothing Dr.Web Found nothing F-Prot Antivirus Found nothing F-Secure Anti-Virus Found nothing Fortinet Found nothing Kaspersky Anti-Virus Found nothing NOD32 Found nothing Norman Virus Control Found nothing Panda Antivirus Found nothing Rising Antivirus Found nothing Sophos Antivirus Found nothing VirusBuster Found nothing VBA32 Found nothing habe ich denn gar keinen trojaner oder ähnliches auf meinem pc? |
|
|
||
16.09.2007, 13:03
Moderator
Beiträge: 7805 |
||
|
||
16.09.2007, 13:04
Moderator
Beiträge: 7805 |
#9
Achso, offensichtlich ist da nichts zu sehen...
Du kannst einen Kontrollscan mit Kaspersky machen http://www.kaspersky.com/de/virusscanner und dein Antivir einstellen wie hier beschrieben: http://board.protecus.de/t23979.htm __________ MfG Ralf SEO-Spam Hunter |
|
|
||
16.09.2007, 13:38
...neu hier
Themenstarter Beiträge: 7 |
#10
So AntiVir ist so konfiguriert und den online scan führe ich gerade durch. Eine infizierte datei wure gleich nach wenigen Sekunden gefunden, aber er ist noch lange nicht fertig.
|
|
|
||
16.09.2007, 13:43
Moderator
Beiträge: 7805 |
||
|
||
16.09.2007, 13:50
...neu hier
Themenstarter Beiträge: 7 |
#12
das kam bei dem onlinescanner heraus:
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER Sonntag, 16. September 2007 13:48:47 Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600) Version von Kaspersky Online Scanner: 5.0.84.1 Letztes Update der Antiviren-Datenbanken: 16/09/2007 Anzahl der Einträge in den Antiviren-Datenbanken: 393697 Scan-Einstellungen Folgende Antiviren-Datenbanken zur Untersuchung verwenden Standard Archive untersuchen ja Mail-Datenbanken untersuchen ja Untersuchungsobjekt Kritische Objekte C:\WINDOWS C:\DOKUME~1\prio\LOKALE~1\Temp\ Untersuchungsergebnisse Untersuchte Objekte insgesamt 12433 Viren gefunden 1 Infizierte Objekte gefunden 1 / 0 Verdächtige Objekte gefunden 0 Untersuchungszeit 00:11:54 Name des infizierten Objekts Virusname Letzte Aktion C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe Infizierte Objekte: Trojan-Dropper.Win32.Agent.bwf übersprungen C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\Internet Logs\fwdbglog.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\Internet Logs\fwpktlog.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\Internet Logs\IAMDB.RDB Das Objekt ist gesperrt übersprungen C:\WINDOWS\Internet Logs\PAUL.ldb Das Objekt ist gesperrt übersprungen C:\WINDOWS\Internet Logs\tvDebug.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\SoftwareDistribution\EventCache\{788D67D7-6859-44A7-BBDD-053988A7310F}.bin Das Objekt ist gesperrt übersprungen C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\drivers\fidbox.dat Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\drivers\fidbox.idx Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\Temp\ZLT0048c.TMP Das Objekt ist gesperrt übersprungen C:\WINDOWS\Temp\ZLT0048f.TMP Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen C:\DOKUME~1\prio\LOKALE~1\Temp\JET1BB1.tmp Das Objekt ist gesperrt übersprungen C:\DOKUME~1\prio\LOKALE~1\Temp\~DF7FB3.tmp Das Objekt ist gesperrt übersprungen |
|
|
||
16.09.2007, 13:54
Moderator
Beiträge: 7805 |
#13
Dann benenne diese Datei einmal um C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe
einen scan kannst du auch noch mit Drweb Beta: http://freedrweb.com/?lng=en und Ewido micro machen: http://downloads.ewido.net/ewido_micro.exe __________ MfG Ralf SEO-Spam Hunter |
|
|
||
16.09.2007, 14:13
...neu hier
Themenstarter Beiträge: 7 |
#14
Wie soll ich sie denn umbenennen?
hier ist dann nochmal der report vom antivir: AntiVir PersonalEdition Classic Erstellungsdatum der Reportdatei: Sonntag, 16. September 2007 13:46 Es wird nach 1069729 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Benutzername: prio Computername: PAUL Versionsinformationen: BUILD.DAT : 268 15604 Bytes 31.08.2007 13:01:00 AVSCAN.EXE : 7.0.6.1 290856 Bytes 06.09.2007 15:43:39 AVSCAN.DLL : 7.0.6.0 57384 Bytes 06.09.2007 15:43:39 LUKE.DLL : 7.0.5.3 147496 Bytes 06.09.2007 15:43:40 LUKERES.DLL : 7.0.6.0 10792 Bytes 06.09.2007 15:43:40 ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 13:08:58 ANTIVIR1.VDF : 6.39.0.129 7251968 Bytes 10.07.2007 15:31:54 ANTIVIR2.VDF : 6.39.1.120 1918464 Bytes 12.09.2007 16:28:27 ANTIVIR3.VDF : 6.39.1.127 92672 Bytes 13.09.2007 16:28:27 AVEWIN32.DLL : 7.6.0.10 2789888 Bytes 13.09.2007 16:28:27 AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 09:36:23 AVPREF.DLL : 7.0.2.2 25640 Bytes 06.09.2007 15:43:39 AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 12:16:24 AVPACK32.DLL : 7.3.0.15 360488 Bytes 02.09.2007 15:31:54 AVREG.DLL : 7.0.1.6 30760 Bytes 06.09.2007 15:43:39 AVARKT.DLL : 1.0.0.20 278568 Bytes 06.09.2007 15:43:37 AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 06.09.2007 15:43:37 NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 10:09:03 RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 06.09.2007 15:43:33 RCTEXT.DLL : 7.0.62.0 90152 Bytes 06.09.2007 15:43:33 SQLITE3.DLL : 3.3.17.1 339968 Bytes 06.09.2007 15:43:40 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Manuelle Auswahl Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\PROFILES\folder.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: aus Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, Durchsuche Speicher..............: ein Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: aus Archiv Smart Extensions..........: ein Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, Makrovirenheuristik..............: ein Dateiheuristik...................: hoch Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Sonntag, 16. September 2007 13:46 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IEXPLORE.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TeamSpeak.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'usnsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'xfire.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NMIndexStoreSvr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NMIndexingService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'razerofa.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'razertra.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'soundman.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'razerhid.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'StarWindService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'HPZipm12.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'oodag.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '38' Prozesse mit '38' Modulen durchsucht Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '27' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\prio\Desktop\ComboFix.exe [0] Archivtyp: RAR SFX (self extracting) --> nircmd.exe [FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.1 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475a1908.qua' verschoben! C:\Dokumente und Einstellungen\prio\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\e4upmusz.default\Cache\C2152591d01 [0] Archivtyp: RAR SFX (self extracting) --> nircmd.exe [FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.1 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '471e18eb.qua' verschoben! C:\WINDOWS\system32\Sys32\RKLC.006 [FUND] Enthält Erkennungsmuster des SPR/Ardamax.O.33-Programmes [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47391dae.qua' verschoben! Ende des Suchlaufs: Sonntag, 16. September 2007 14:11 Benötigte Zeit: 24:54 min Der Suchlauf wurde vollständig durchgeführt. 4284 Verzeichnisse wurden überprüft 170525 Dateien wurden geprüft 3 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 3 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 170522 Dateien ohne Befall 1368 Archive wurden durchsucht 1 Warnungen 1 Hinweise |
|
|
||
16.09.2007, 15:44
Moderator
Beiträge: 7805 |
#15
Es ist egal, wie du sie umbenennst, oder du kannst die Datei auch in einen Anderen Ordner kopieren, sie darf halt nicht mehr so heissen, wie sie derzeit heisst! Du kannst einfach ein .vir an dem Dateinamen anhaengen. Schau bitte auch, was sich in diesem Ordner befindet: C:\WINDOWS\system32\Sys32 Aendere den Odner namen C:\WINDOWS\system32\Sys32 bitte in C:\WINDOWS\system32\32 um
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
seit gestern habe ich arg ein Problem. Mein pc laggt dermaßen rum, dass ich damit nichts mehr machen kann. Ich wunderte mich die ganze zeit, dass cs ruckelt aber dachte mir erst einmal ncihts dabei, dann öffnete ich den Taskmanager und sah, dass der prozess winlogon.exe 95% cpu auslastet und 120 mb verbraucht.
Ich bin auch der meinung, dass allgemein mein ganzes Steam und mein ganzes Inet dadurch abschmiert.
deshalb habe ich mal ein Hijackthis logfile gemacht und bitte euch um hilfe
logfile :
Logfile of HijackThis v1.99.1
Scan saved at 00:40:23, on 16.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Razer\Copperhead\razerhid.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ICQ61\ICQ.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Razer\Copperhead\razertra.exe
C:\Programme\Razer\Copperhead\razerofa.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Xfire\xfire.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Dokumente und Einstellungen\prio\Desktop\HijackThis.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.xfire.com/xf/firstupdate.php
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [razer] C:\Programme\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ61\ICQ.exe" silent
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Steam] "d:\spiele\steam\steam.exe" -silent
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: pics-factory Toolbar - {661294F7-1833-46B3-99EA-7AF25A41FC33} - (no file)
O9 - Extra 'Tools' menuitem: pics-factory Toolbar - {661294F7-1833-46B3-99EA-7AF25A41FC33} - (no file)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Spiele\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Spiele\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ61\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ61\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F5A33BFF-C397-429D-BEC5-AADB5F320D1A}: NameServer = 192.168.178.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
ich hoffe ihr könnt mir weiter helfen und ich muss meinen PC nicht formatieren ^^