monitor wird schwarz, kein virus zu finden - hijack logfile erstelltThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
12.10.2007, 21:03
Member
Beiträge: 23 |
||
|
||
12.10.2007, 21:38
Ehrenmitglied
Beiträge: 6028 |
#2
Spybot S&D TeaTimer
Bitte den TeaTimer von Spybot S & D deaktivieren: C:\Programme\Spybot - Search & Destroy\TeaTimer.exe abstellen! Starte dazu Spybot S&D, deaktiviere den "Resident "TeaTimer". Klicke auf "Advanced mode" > "JA" > "Tools" -Menu > klicke auf "Resident" > das Häkchen entfernen aus der "Resident TeaTimer" (Schutz aller Systemeinstellungen) > "exit". (der TeaTimer be- bzw. verhindert alle weiteren Reinigungmaßnahmen!) ComboFix Download ComboFix und speichert es auf den Desktop! Alle Fenster schliessen und combofix.exe starten Folge den Instruktionen in das Fenster Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\combofix.txt ) nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" Wenn dein Virenscanner meckert,ignorieren ! Entferne HijackThis v1.98.2 Als erstes mach ein neuen Ordner auf C:\ z.b. C:\HijackThis,download HijackThis.exe dahin Download: HijackThis202 Doppelklick HijackThis.exe und installiere das Tool in C:\Programme Am Ende steht auf dein Desktop eine verknüpfung Starte Hijack This und klicke “Do a system scan and safe a logfile” Save log --> hijackthis.log - Save - es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" __________ MfG Argus |
|
|
||
12.10.2007, 22:11
Member
Themenstarter Beiträge: 23 |
#3
Danke für die Tipps.
Ich muss morgen den angeblich infizierten Rechner erstmal hier an das Internet anschliessen, um combofix dort laufen zu lassen. Ich stelle jetzt von meinem Rechner mal das Ergebnis von combofix ein ----------------------------------------------------------------------------- ComboFix 07-10-12.4 - ********2007-10-12 21:54:57.1 - [color=red]FAT32[/color]x86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.571 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\********\Eigene Dateien\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\********\Anwendungsdaten\rbap500.dll C:\Dokumente und Einstellungen\********\Desktop\internet.lnk . ((((((((((((((((((((((( Dateien erstellt von 2007-09-12 bis 2007-10-12 )))))))))))))))))))))))))))))) . 2007-10-12 21:52 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-10-10 18:34 584,192 --------- C:\WINDOWS\system32\dllcache\rpcrt4.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-10-12 20:01 13,440 ----a-w C:\WINDOWS\system32\drivers\USBCRFT.SYS 2007-09-06 10:09 801,144 ----a-w C:\WINDOWS\system32\aswBoot.exe 2007-09-06 10:05 94,416 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys 2007-09-06 10:05 92,848 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys 2007-09-06 10:03 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys 2007-09-06 10:02 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys 2007-09-06 10:00 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.scr 2007-09-06 10:00 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys 2007-09-04 21:34 1,223,476 ----a-w C:\ccwabcde.exe 2007-09-04 21:34 1,223,056 ----a-w C:\horrorrr.exe 2007-09-03 13:25 --------- d-----w C:\Programme\fc-prints optimierte fotos 2007-08-22 12:56 96,768 ----a-w C:\WINDOWS\system32\dllcache\inseng.dll 2007-08-22 12:56 671,232 ----a-w C:\WINDOWS\system32\dllcache\wininet.dll 2007-08-22 12:56 620,032 ----a-w C:\WINDOWS\system32\dllcache\urlmon.dll 2007-08-22 12:56 55,808 ----a-w C:\WINDOWS\system32\dllcache\extmgr.dll 2007-08-22 12:56 532,480 ----a-w C:\WINDOWS\system32\dllcache\mstime.dll 2007-08-22 12:56 474,624 ------w C:\WINDOWS\system32\dllcache\shlwapi.dll 2007-08-22 12:56 449,024 ----a-w C:\WINDOWS\system32\dllcache\mshtmled.dll 2007-08-22 12:56 39,424 ----a-w C:\WINDOWS\system32\dllcache\pngfilt.dll 2007-08-22 12:56 357,888 ----a-w C:\WINDOWS\system32\dllcache\dxtmsft.dll 2007-08-22 12:56 3,085,824 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll 2007-08-22 12:56 251,904 ----a-w C:\WINDOWS\system32\dllcache\iepeers.dll 2007-08-22 12:56 205,824 ----a-w C:\WINDOWS\system32\dllcache\dxtrans.dll 2007-08-22 12:56 16,384 ----a-w C:\WINDOWS\system32\dllcache\jsproxy.dll 2007-08-22 12:56 152,064 ------w C:\WINDOWS\system32\dllcache\cdfview.dll 2007-08-22 12:56 146,432 ----a-w C:\WINDOWS\system32\dllcache\msrating.dll 2007-08-22 12:56 1,498,112 ----a-w C:\WINDOWS\system32\dllcache\shdocvw.dll 2007-08-22 12:56 1,056,256 ------w C:\WINDOWS\system32\dllcache\danim.dll 2007-08-22 12:56 1,022,976 ------w C:\WINDOWS\system32\dllcache\browseui.dll 2007-08-21 10:19 18,432 ----a-w C:\WINDOWS\system32\dllcache\iedw.exe 2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll 2007-08-21 06:16 683,520 ------w C:\WINDOWS\system32\dllcache\inetcomm.dll 2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll 2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll 2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll 2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll 2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe 2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe 2007-07-30 17:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll 2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll 2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll 2007-07-30 17:19 271,224 ----a-w C:\WINDOWS\system32\mucltui.dll 2007-07-30 17:19 207,736 ----a-w C:\WINDOWS\system32\muweb.dll 2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll 2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll 2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll 2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll 2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\wups.dll 2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\dllcache\wups.dll 2007-03-22 12:23 20 ---h--w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLbz.DAT 2005-01-01 11:12 30 ----a-w C:\Programme\Exiferupdate.ini 2004-03-11 11:27 40,960 ----a-w C:\Programme\Uninstall_CDS.exe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Omnipage"="C:\Programme\ScanSoft\OmniPageSE\opware32.exe" [2002-06-03 11:38] "Wise-FTP Scheduler"="" [] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 12:06] "ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-03-22 21:05] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2005-01-06 21:44] "WheelMouse"="C:\EDNETW~1\wh_exec.exe" [2002-12-21 11:41] "RemoteControl"="C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2003-12-08 17:35] "InCD"="C:\Programme\Ahead\InCD\InCD.exe" [2004-09-07 15:25] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50] "DIT"="Dit.exe" [2004-01-29 09:31 C:\WINDOWS\Dit.exe] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-03-06 08:26] "Easy-PrintToolBox"="C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.exe" [2004-01-14 03:10] "ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:15] "Ulead AutoDetector v2"="C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" [2004-11-26 11:43] "Google Desktop Search"="C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" [2007-08-12 01:33] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 08:57] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24] "Wise-FTP Scheduler"="C:\Programme\AceBIT\WISE-FTP\WF_Scheduler.exe" [2003-07-15 12:18] "ATI Launchpad"="C:\Programme\ATI Multimedia\main\launchpd.exe" [2000-08-14 09:45] "SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 01:04] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce] "ICQ Lite"=C:\Programme\ICQLite\ICQLite.exe -trayboot [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "appinit_dlls"=C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys R1 kbfilter;Keyboard Filter Driver;C:\WINDOWS\system32\drivers\kbfilter.sys R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys R2 Pctspk;PCTEL Speaker Phone;C:\WINDOWS\system32\pctspk.exe R2 SPF4;Sunbelt Personal Firewall 4;"C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe" R3 CardReaderFilter;Card Reader Filter;\??\C:\WINDOWS\system32\Drivers\USBCRFT.SYS S2 msagent;FireDaemon Service: msagent;C:\WINDOWS\security\FireDaemon.exe -s S2 netclient;FireDaemon Service: netclient;C:\WINDOWS\security\FireDaemon.exe -s S2 winsecure;FireDaemon Service: winsecure;C:\WINDOWS\security\FireDaemon.exe -s S3 Ptserlp;PCTEL Serial Device Driver for PCI;C:\WINDOWS\system32\DRIVERS\ptserlp.sys . ************************************************************************** catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-10-12 22:01:35 Windows 5.1.2600 Service Pack 2 FAT NTAPI Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2007-10-12 22:03:54 - machine was rebooted . --- E O F --- --------------------------------------------------------------------------- oder reicht es, wenn ich das Ganze nur mit Hijack This 202 mache? LG minu |
|
|
||
12.10.2007, 22:26
Ehrenmitglied
Beiträge: 6028 |
||
|
||
12.10.2007, 22:32
Member
Themenstarter Beiträge: 23 |
#5
ja, dieser combofix ist von meinem PC.
Da ist eigentlich alles ok. Das combofix vom angeblich infizierten Rechner kann ich erst morgen erstellen. Sorry, wenn ich euch durcheinanderbringe. |
|
|
||
12.10.2007, 22:34
Ehrenmitglied
Beiträge: 6028 |
||
|
||
12.10.2007, 22:35
Member
Themenstarter Beiträge: 23 |
#7
mach ich und Danke für deine Mühe. :-)
|
|
|
||
12.10.2007, 22:50
Ehrenmitglied
Beiträge: 6028 |
#8
Auf dein ersten Rechner
Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei O4 - HKCU\..\Run: [BD] "C:\DOKUME~1\THOMAS~1\LOKALE~1\Temp\dc.exe" O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} - http://webinstall.tscash.com/webinstall.cab klicke: Fix checked Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst Scanne diesen rechner Online bei http://www.bitdefender.de/scan8/ie.html __________ MfG Argus |
|
|
||
12.10.2007, 23:41
Member
Themenstarter Beiträge: 23 |
#9
016 war wohl ein dialer!?
und das erste? morgen werde ich den Rechner über bitdefender scannen. Mir raucht der Kopf ;-) |
|
|
||
12.10.2007, 23:44
Ehrenmitglied
Beiträge: 6028 |
#10
C:\DOKUME~1\THOMAS~1\LOKALE~1\Temp\dc.exe
http://www.avira.com/de/threats/section/fulldetails/id_vir/3596/tr_drop.agent.aay.html O16-Ist eine Seite die anscheinend besucht worden ist. __________ MfG Argus |
|
|
||
12.10.2007, 23:48
Member
Themenstarter Beiträge: 23 |
||
|
||
12.10.2007, 23:57
Ehrenmitglied
Beiträge: 6028 |
#12
Auf dein Rechner die du jetzt benutzt
Entferne auf C:\ Qoobox-->Papierkorb leeren Prüfe mal diese Datei(en) bei VirusTotal C:\ccwabcde.exe C:\horrorrr.exe Stand alone DrWeb Stand alone Kaspersky __________ MfG Argus |
|
|
||
13.10.2007, 11:38
Member
Themenstarter Beiträge: 23 |
#13
Komme nicht weiter, wenn ich den anderen PC mit dem modem von kabel deutschland verbinde, krieg ich keine Verbindung ins Internet.
"keine Konnektivität" wird angezeigt. Ich mach Pause, sonst krieg ich persönlich auch noch einen virus. :-/ so, habs nun doch geschafft und den Rechner am I-net. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:34:40, on 13.10.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\QKeys\QKeys.EXE C:\WINDOWS\SOINTGR.EXE C:\WINDOWS\PowerS.exe C:\t-online\BSW4\ISDNSP~1\Tomcat.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\Teledat\TelWeb32.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe C:\WINDOWS\system32\slserv.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Hijack This\hijackthis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startseite.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startseite.de/searchbar R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.gericom.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [QKeys] C:\Programme\QKeys\QKeys.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE O4 - HKLM\..\Run: [PowerS] C:\WINDOWS\PowerS.exe O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\t-online\BSW4\ISDNSP~1\Tomcat.exe" O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Web.lnk = C:\Programme\Teledat\TelWeb32.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.gericom.com O17 - HKLM\System\CCS\Services\Tcpip\..\{49970D80-6F22-4CF5-A558-D8F5CE74424E}: NameServer = 192.168.121.252,192.168.121.253 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe -- End of file - 6077 bytes Ergebnis mit Combofix. Es wurde ein Trojaner gefunden (Win32: Dadroba-EY) den ich gelöscht habe. ------------------------------------------------------------------------- ComboFix 07-10-12.4 - *********2007-10-13 12:50:55.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.261 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\********\Eigene Dateien\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . ((((((((((((((((((((((( Dateien erstellt von 2007-09-13 bis 2007-10-13 )))))))))))))))))))))))))))))) . 2007-10-13 12:48 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-10-13 12:33 <DIR> d-------- C:\Programme\Hijack This . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-10-12 21:28 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2007-10-07 13:03 --------- d-----w C:\Programme\TV Card 2007-09-06 10:05 94,416 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys 2007-09-06 10:05 92,848 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys 2007-09-06 10:03 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys 2007-09-06 10:02 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys 2007-09-06 10:00 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys 2007-09-04 16:13 --------- d-----w C:\Programme\Alwil Software 2007-03-18 17:05 25,360 ----a-w C:\Dokumente und Einstellungen\********\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2006-07-08 13:33 24,192 ----a-w C:\Dokumente und Einstellungen\********\usbsermptxp.sys 2006-07-08 13:33 22,768 ----a-w C:\Dokumente und Einstellungen\********\usbsermpt.sys 2003-08-13 08:42 1,294,624 ----a-r C:\Dokumente und Einstellungen\w32.Blaster.Worm Remove Kit\WindowsXP-KB823980-x86-DEU.exe 2003-08-13 06:04 168,640 ----a-r C:\Dokumente und Einstellungen\w32.Blaster.Worm Remove Kit\ScanFixBlast.exe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="NvQTwk" [] "nwiz"="nwiz.exe" [2002-08-08 09:51 C:\WINDOWS\system32\nwiz.exe] "SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-04-26 19:17] "QKeys"="C:\Programme\QKeys\QKeys.EXE" [2002-09-09 05:14] "NeroCheck"="C:\WINDOWS\System32\NeroCheck.exe" [2001-07-09 11:50] "SO5 Integrator Pass Two"="C:\WINDOWS\SOINTGR.EXE" [2000-05-08 06:20] "PowerS"="C:\WINDOWS\PowerS.exe" [2001-08-03 18:56] "ISDN SpeedManager"="C:\t-online\BSW4\ISDNSP~1\Tomcat.exe" [2005-06-01 16:52] "ToADiMon.exe"="C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe" [2007-02-15 11:04] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 12:06] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24] "InfoCockpit"="C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.exe" [2007-01-16 12:56] [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "InfoCockpit"=C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash R2 AVMPORT;AVMPORT;C:\WINDOWS\system32\drivers\avmport.sys R2 CX23880;Conexant 2388x Video Capture;C:\WINDOWS\system32\drivers\cx88vid.sys R2 CX88XBAR;Conexant 2388x Crossbar;C:\WINDOWS\system32\drivers\CX88XBAR.sys R2 CXTUNE;Conexant 2388x Tuner;C:\WINDOWS\system32\drivers\CX88TUNE.sys R2 MP3Driver;MP3Driver;C:\WINDOWS\system32\drivers\MP3Driver.sys R3 AVMWAN;NDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmwan.sys R3 NETPPPOI;PPP over ISDN;C:\WINDOWS\system32\DRIVERS\NETPPPOI.SYS R3 SiS7012;Service for AC'97 Sample Driver (WDM);C:\WINDOWS\system32\drivers\sis7012.sys R3 TOMCATWAN;T-Online DynamicISDN (WDM);C:\WINDOWS\system32\DRIVERS\WTOMCAT.SYS S3 dTVdrvNT;dTVdrvNT;\??\C:\Programme\TV Card\dTVdrvNT.sys S3 FXUSBASE;Teledat X120 (WinXP/2000);C:\WINDOWS\system32\DRIVERS\fxusbase.sys S3 MIINPazX;MIINPazX NDIS Protocol Driver;\??\C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;\??\C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E] AutoRun\command - E:\LaunchU3.exe -a [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{33be62f0-482d-11dc-b043-544f4d4c3100}] AutoRun\command - E:\LaunchU3.exe -a . ************************************************************************** catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-10-13 12:54:57 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2007-10-13 12:56:47 - machine was rebooted . --- E O F --- Dieser Beitrag wurde am 13.10.2007 um 13:58 Uhr von minu editiert.
|
|
|
||
13.10.2007, 14:02
Ehrenmitglied
Beiträge: 6028 |
#14
Benutze ATF Cleaner http://board.protecus.de/t23188.htm
Installiere AVG Anti Spyware 7.5 http://board.protecus.de/t29853.htm Systemwiederherstellung Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. Neu Starten Dann wieder aktivieren (Häkchen entfernen) __________ MfG Argus |
|
|
||
13.10.2007, 14:19
Member
Themenstarter Beiträge: 23 |
#15
ATF Cleaner ausgeführt.
Spybot ebenfalls. Danach das Prozedere mit der Systemwiederherstellung, oder vorher? Denk bitte dran, Du schreibst mit einem DAU. ;-) |
|
|
||
ich versuchs kurz zu machen ;-)
PC wird plötzlich schwarz und muss neu gestartet werden.
avast findet keinen virus.
habe eben ein logfile erstellt.
Logfile of HijackThis v1.98.2
Scan saved at 20:32:58, on 12.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\QKeys\QKeys.EXE
C:\WINDOWS\SOINTGR.EXE
C:\WINDOWS\PowerS.exe
C:\t-online\BSW4\ISDNSP~1\Tomcat.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Teledat\TelWeb32.exe
C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\WINDOWS\system32\wuauclt.exe
D:\hijackthis_198\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startseite.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startseite.de/searchbar
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.gericom.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [QKeys] C:\Programme\QKeys\QKeys.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [PowerS] C:\WINDOWS\PowerS.exe
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\t-online\BSW4\ISDNSP~1\Tomcat.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BD] "C:\DOKUME~1\THOMAS~1\LOKALE~1\Temp\dc.exe"
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Web.lnk = C:\Programme\Teledat\TelWeb32.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.gericom.com
O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} - http://webinstall.tscash.com/webinstall.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{49970D80-6F22-4CF5-A558-D8F5CE74424E}: NameServer = 192.168.121.252,192.168.121.253
-----------------------------------------------------------------------------
leider habe ich davon null Ahnung. :-/
Kann mir jemand liebenswürdiger weise helfen und analysieren?!
LG minu