Trojaner TR/Spy.Agent.42496 schon das zweite mal bei mir angezeigt |
||
---|---|---|
#0
| ||
15.10.2007, 19:38
...neu hier
Beiträge: 2 |
||
|
||
15.10.2007, 19:45
Ehrenmitglied
Beiträge: 6028 |
||
|
||
17.10.2007, 18:29
...neu hier
Themenstarter Beiträge: 2 |
#3
Und alles noch einmal von vorne....
Datfind: . . Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten . . Datentr„ger in Laufwerk C: ist PROGRAMME Volumeseriennummer: 320D-180E Verzeichnis von C:\WINDOWS\system32 17.10.2007 17:35 1.158 wpa.dbl 17.10.2007 17:35 692 eRLog.ini 05.10.2007 10:07 279.552 swreg.exe 28.09.2007 07:19 18.089.592 MRT.exe 09.09.2007 18:04 249.688 TZLog.log 08.09.2007 16:08 319.544 FNTCACHE.DAT 21.08.2007 08:16 683.520 inetcomm.dll 20.08.2007 11:55 824.832 wininet.dll 20.08.2007 11:55 477.696 mshtmled.dll 20.08.2007 11:55 102.400 occache.dll 20.08.2007 11:55 671.232 mstime.dll 20.08.2007 11:55 193.024 msrating.dll 20.08.2007 11:55 105.984 url.dll 20.08.2007 11:55 232.960 webcheck.dll 20.08.2007 11:55 1.152.000 urlmon.dll 20.08.2007 11:55 3.584.512 mshtml.dll 20.08.2007 11:55 6.058.496 ieframe.dll 20.08.2007 11:55 52.224 msfeedsbs.dll 20.08.2007 11:55 44.544 iernonce.dll 20.08.2007 11:55 459.264 msfeeds.dll 20.08.2007 11:55 1.824.768 inetcpl.cpl 20.08.2007 11:55 267.776 iertutil.dll 20.08.2007 11:55 27.648 jsproxy.dll 20.08.2007 11:55 230.400 ieaksie.dll 20.08.2007 11:55 383.488 ieapfltr.dll 20.08.2007 11:55 384.512 iedkcs32.dll 20.08.2007 11:55 214.528 dxtrans.dll 20.08.2007 11:55 153.088 ieakeng.dll 20.08.2007 11:55 132.608 extmgr.dll 20.08.2007 11:55 124.928 advpack.dll 20.08.2007 11:55 63.488 icardie.dll 17.08.2007 12:19 63.488 ie4uinit.exe 17.08.2007 12:19 13.824 ieudinit.exe 17.08.2007 09:34 161.792 ieakui.dll 30.07.2007 19:20 30.040 wuaucpl.cpl.mui 30.07.2007 19:20 30.040 wuapi.dll.mui 30.07.2007 19:19 1.712.984 wuaueng.dll 30.07.2007 19:19 549.720 wuapi.dll 30.07.2007 19:19 325.976 wucltui.dll 30.07.2007 19:19 216.408 wuaucpl.cpl 30.07.2007 19:19 203.096 wuweb.dll 30.07.2007 19:19 92.504 cdm.dll 30.07.2007 19:19 53.080 wuauclt.exe 30.07.2007 19:19 43.352 wups2.dll 30.07.2007 19:18 34.136 wucltui.dll.mui 30.07.2007 19:18 33.624 wups.dll 30.07.2007 19:18 20.824 wuaueng.dll.mui 20.07.2007 16:48 411.050 perfh007.dat 20.07.2007 16:48 60.504 perfc009.dat 20.07.2007 16:48 914.622 PerfStringBackup.INI 20.07.2007 16:48 397.316 perfh009.dat 20.07.2007 16:48 72.874 perfc007.dat 18.07.2007 14:42 60.416 tzchange.exe 09.07.2007 15:11 584.192 rpcrt4.dll 2177 Datei(en) 422.091.938 Bytes 0 Verzeichnis(se), 21.746.155.520 Bytes frei . . . Datentr„ger in Laufwerk C: ist PROGRAMME Volumeseriennummer: 320D-180E Verzeichnis von C:\DOKUME~1\Saturn\LOKALE~1\Temp 17.10.2007 17:48 106.425 datfind.txt 1 Datei(en) 106.425 Bytes 0 Verzeichnis(se), 21.747.105.792 Bytes frei . . . Datentr„ger in Laufwerk C: ist PROGRAMME Volumeseriennummer: 320D-180E Verzeichnis von C:\WINDOWS 17.10.2007 17:35 4.164 ModemLog_SoftV92 Data Fax Modem with SmartCP.txt 17.10.2007 17:35 159 wiadebug.log 17.10.2007 17:35 0 0.log 17.10.2007 17:34 2.048 bootstat.dat 16.10.2007 22:08 32.622 SchedLgU.Txt 16.10.2007 22:08 50 wiaservc.log 16.10.2007 22:08 12 bthservsdp.dat 16.10.2007 22:08 1.106.248 WindowsUpdate.log 15.10.2007 18:27 230.390 setupact.log 12.10.2007 18:58 600.504 setupapi.log 11.10.2007 17:29 259.364 tsoc.log 11.10.2007 17:29 105.606 iis6.log 11.10.2007 17:29 1.393 imsins.log 11.10.2007 17:29 323.678 ocgen.log 11.10.2007 17:29 15.187 KB933729.log 11.10.2007 17:29 36.580 ocmsn.log 11.10.2007 17:29 33.486 msgsocm.log 11.10.2007 17:29 229.089 comsetup.log 11.10.2007 17:29 137.234 ntdtcsetup.log 11.10.2007 17:29 684.448 FaxSetup.log 11.10.2007 17:29 76.677 updspapi.log 11.10.2007 17:28 24.263 KB939653-IE7.log 11.10.2007 17:28 1.393 imsins.BAK 11.10.2007 17:27 10.759 KB941202.log 07.10.2007 14:37 4.549 tm.ini 07.10.2007 14:35 124 tdf.dii 28.09.2007 09:06 135.168 catchme.exe 09.09.2007 18:04 25.096 KB937143-IE7.log 09.09.2007 18:04 22.265 KB933360.log 09.09.2007 18:03 11.796 KB938127-IE7.log 08.09.2007 20:35 1.409 QTFont.for 08.09.2007 20:35 54.156 QTFont.qfn 24.08.2007 22:20 49 NeroDigital.ini 19.08.2007 22:10 8.405 spupdsvc.log 19.08.2007 22:07 22.866 ie7_main.log 19.08.2007 22:07 63.137 ie7.log 19.08.2007 22:05 14.278 IDNMitigationAPIs.log 19.08.2007 22:05 14.031 NLSDownlevelMapping.log 19.08.2007 22:04 11.800 KB915865.log 19.08.2007 22:03 5.992 KB914440.log 19.08.2007 22:03 31.477 KB937143.log 19.08.2007 22:03 11.743 KB904942.log 19.08.2007 18:29 54.252 wmsetup.log 17.08.2007 14:41 17.357 KB936021.log 17.08.2007 14:41 16.872 KB938828.log 17.08.2007 14:41 14.045 KB936782.log 17.08.2007 14:40 15.763 KB921503.log 17.08.2007 14:40 15.565 KB938829.log 17.08.2007 14:40 508.574 msxml6-KB933579-enu-x86.LOG 17.08.2007 14:39 15.325 KB938127.log 17.08.2007 14:38 283.444 msxml4-KB936181-enu.LOG 15.08.2007 14:45 512 wmsetup10.log 20.07.2007 16:49 37.277 KB933566.log 17.07.2007 20:31 12.505 KB929123.log 17.07.2007 20:31 11.801 KB935840.log 17.07.2007 20:29 11.747 KB935839.log 282 Datei(en) 24.260.260 Bytes 0 Verzeichnis(se), 21.747.105.792 Bytes frei . . . Datentr„ger in Laufwerk C: ist PROGRAMME Volumeseriennummer: 320D-180E Verzeichnis von C:\WINDOWS\temp . . . Datentr„ger in Laufwerk C: ist PROGRAMME Volumeseriennummer: 320D-180E Verzeichnis von C:\WINDOWS\Downloaded Program Files 11.06.2007 12:21 5.021 swflash.inf 27.12.2004 12:07 65 desktop.ini 2 Datei(en) 5.086 Bytes 0 Verzeichnis(se), 21.747.105.792 Bytes frei . . . Highjackthis: Logfile of HijackThis v1.99.1 Scan saved at 17:47:57, on 17.10.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16544) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Arcade\PCMService.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\acer\epm\epm-dm.exe C:\Programme\Java\j2re1.4.2_07\bin\jusched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\acer\eRecovery\Monitor.exe C:\Acer\eManager\anbmServ.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\MODI\11.0\MSPVIEW.EXE C:\WINDOWS\system32\WISPTIS.EXE C:\WINDOWS\explorer.exe C:\Dokumente und Einstellungen\Saturn\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe, O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Hilfsobjekt für Encarta Web-Begleiter - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL O2 - BHO: NavHelper Class - {C1E58A84-95B3-4630-B8C2-D06B77B7A0FC} - C:\Programme\NavExcel\NavHelper\v2.0.4a\NHelper.dll O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll O3 - Toolbar: Encarta Web-Begleiter - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll O3 - Toolbar: Rightdown Software SearchBar - {D6F180CB-E683-41a3-8CD2-C53DBAA0530D} - C:\Programme\Rightdown Software SearchBar\rssb.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Arcade\PCMService.exe" O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_07\bin\jusched.exe O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Printkey2000.lnk = C:\Programme\PrintKey2000\Printkey2000.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_07\bin\npjpi142_07.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_07\bin\npjpi142_07.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Encarta Suchleiste - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe ComboFox: ComboFix 07-10-12.4 - Saturn 2007-10-17 17:40:22.2 - [color=red]FAT32[/color]x86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.231 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Saturn\Desktop\ComboFix.exe . ((((((((((((((((((((((( Dateien erstellt von 2007-09-17 bis 2007-10-17 )))))))))))))))))))))))))))))) . 2007-10-15 18:49 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-10-09 12:16 <DIR> d-------- C:\Programme\PrintKey2000 2007-10-07 16:18 <DIR> d-------- C:\Programme\flatster 2007-10-07 16:18 98,304 --a------ C:\WINDOWS\system32\unzip32.dll 2007-10-03 14:02 <DIR> d-------- C:\Programme\Avira 2007-10-03 14:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2007-09-25 15:44 954,640 --a------ C:\Temp\mfc42.dll 2007-09-25 15:44 612,352 --a------ C:\Temp\Simon.exe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-09-08 17:05 --------- d-----w C:\Dokumente und Einstellungen\Saturn\Anwendungsdaten\DataDesign 2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll 2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\dllcache\inetcomm.dll 2007-08-20 09:55 824,832 ----a-w C:\WINDOWS\system32\dllcache\wininet.dll 2007-08-20 09:55 671,232 ----a-w C:\WINDOWS\system32\dllcache\mstime.dll 2007-08-20 09:55 63,488 ------w C:\WINDOWS\system32\dllcache\icardie.dll 2007-08-20 09:55 6,058,496 ------w C:\WINDOWS\system32\dllcache\ieframe.dll 2007-08-20 09:55 52,224 ------w C:\WINDOWS\system32\dllcache\msfeedsbs.dll 2007-08-20 09:55 477,696 ----a-w C:\WINDOWS\system32\dllcache\mshtmled.dll 2007-08-20 09:55 459,264 ------w C:\WINDOWS\system32\dllcache\msfeeds.dll 2007-08-20 09:55 44,544 ----a-w C:\WINDOWS\system32\dllcache\iernonce.dll 2007-08-20 09:55 384,512 ----a-w C:\WINDOWS\system32\dllcache\iedkcs32.dll 2007-08-20 09:55 383,488 ------w C:\WINDOWS\system32\dllcache\ieapfltr.dll 2007-08-20 09:55 3,584,512 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll 2007-08-20 09:55 27,648 ----a-w C:\WINDOWS\system32\dllcache\jsproxy.dll 2007-08-20 09:55 267,776 ------w C:\WINDOWS\system32\dllcache\iertutil.dll 2007-08-20 09:55 232,960 ----a-w C:\WINDOWS\system32\dllcache\webcheck.dll 2007-08-20 09:55 230,400 ----a-w C:\WINDOWS\system32\dllcache\ieaksie.dll 2007-08-20 09:55 214,528 ----a-w C:\WINDOWS\system32\dllcache\dxtrans.dll 2007-08-20 09:55 193,024 ----a-w C:\WINDOWS\system32\dllcache\msrating.dll 2007-08-20 09:55 153,088 ----a-w C:\WINDOWS\system32\dllcache\ieakeng.dll 2007-08-20 09:55 132,608 ----a-w C:\WINDOWS\system32\dllcache\extmgr.dll 2007-08-20 09:55 124,928 ----a-w C:\WINDOWS\system32\dllcache\advpack.dll 2007-08-20 09:55 105,984 ----a-w C:\WINDOWS\system32\dllcache\url.dll 2007-08-20 09:55 102,400 ----a-w C:\WINDOWS\system32\dllcache\occache.dll 2007-08-20 09:55 1,152,000 ----a-w C:\WINDOWS\system32\dllcache\urlmon.dll 2007-08-17 12:40 --------- d-----w C:\Programme\MSXML 6.0 2007-08-17 10:20 625,152 ----a-w C:\WINDOWS\system32\dllcache\iexplore.exe 2007-08-17 10:19 63,488 ----a-w C:\WINDOWS\system32\dllcache\ie4uinit.exe 2007-08-17 10:19 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe 2007-08-17 07:34 161,792 ----a-w C:\WINDOWS\system32\dllcache\ieakui.dll 2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll 2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll 2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll 2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll 2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe 2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe 2007-07-30 17:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll 2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll 2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll 2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll 2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll 2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll 2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll 2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\wups.dll 2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\dllcache\wups.dll 2005-09-14 09:58 20,480 ----a-w C:\Programme\Gemeinsame Dateien\UninstallDrv.exe . ((((((((((((((((((((((((((((( snapshot@2007-10-15_18.59.32.43 ))))))))))))))))))))))))))))))))))))))))) . + 2007-03-13 08:57:12 163,328 ----a-w C:\WINDOWS\erdnt\subs\F3M\ERDNT.EXE - 2007-10-15 16:58:02 16,384 ------w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat + 2007-10-17 15:35:08 16,384 ------w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat - 2007-10-15 16:58:02 32,768 ------w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat + 2007-10-17 15:35:08 32,768 ------w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat - 2007-10-15 16:58:02 32,768 ------w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat + 2007-10-17 15:35:08 32,768 ------w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C1E58A84-95B3-4630-B8C2-D06B77B7A0FC}] 2004-05-17 21:57 135168 -rah----- C:\Programme\NavExcel\NavHelper\v2.0.4a\NHelper.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D80C4E21-C346-4E21-8E64-20746AA20AEB}] 2007-01-12 15:33 331776 --a------ C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{5AA06644-BC46-4220-A460-47A6EB47C96D}"= C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll [2007-01-12 15:33 331776] "{D6F180CB-E683-41a3-8CD2-C53DBAA0530D}"= C:\Programme\Rightdown Software SearchBar\rssb.dll [2007-03-02 01:57 339968] [HKEY_CLASSES_ROOT\CLSID\{5AA06644-BC46-4220-A460-47A6EB47C96D}] [HKEY_CLASSES_ROOT\NavExcelBar.NavExcelBarObj.1] [HKEY_CLASSES_ROOT\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}] [HKEY_CLASSES_ROOT\NavExcelBar.NavExcelBarObj] [HKEY_CLASSES_ROOT\CLSID\{D6F180CB-E683-41a3-8CD2-C53DBAA0530D}] [HKEY_CLASSES_ROOT\Pugi.PugiObj.1] [HKEY_CLASSES_ROOT\TypeLib\{6D3F5DE4-E980-4407-A10F-9AC771ABAAE6}] [HKEY_CLASSES_ROOT\Pugi.PugiObj] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{5AA06644-BC46-4220-A460-47A6EB47C96D}"= C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll [2007-01-12 15:33 331776] "{D6F180CB-E683-41A3-8CD2-C53DBAA0530D}"= C:\Programme\Rightdown Software SearchBar\rssb.dll [2007-03-02 01:57 339968] [HKEY_CLASSES_ROOT\CLSID\{5AA06644-BC46-4220-A460-47A6EB47C96D}] [HKEY_CLASSES_ROOT\NavExcelBar.NavExcelBarObj.1] [HKEY_CLASSES_ROOT\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}] [HKEY_CLASSES_ROOT\NavExcelBar.NavExcelBarObj] [HKEY_CLASSES_ROOT\CLSID\{D6F180CB-E683-41A3-8CD2-C53DBAA0530D}] [HKEY_CLASSES_ROOT\Pugi.PugiObj.1] [HKEY_CLASSES_ROOT\TypeLib\{6D3F5DE4-E980-4407-A10F-9AC771ABAAE6}] [HKEY_CLASSES_ROOT\Pugi.PugiObj] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LaunchApp"="Alaunch" [] "SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-10-07 22:44] "SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-10-07 22:43] "BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 05:00 C:\WINDOWS\system32\bthprops.cpl] "IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-04 05:00] "MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 05:00] "PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 05:00] "PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 05:00] "IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [] "HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2004-10-07 16:27] "PCMService"="C:\Programme\Arcade\PCMService.exe" [2004-08-27 16:50] "ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-12-07 21:10] "EPM-DM"="c:\acer\epm\epm-dm.exe" [2005-01-25 14:02] "ePowerManagement"="C:\Acer\ePM\ePM.exe" [2005-01-21 15:21] "eRecoveryService"="C:\Windows\System32\Check.exe" [2004-11-24 17:34] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2005-09-15 16:56] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50] "SunJavaUpdateSched"="C:\Programme\Java\j2re1.4.2_07\bin\jusched.exe" [2005-01-15 12:24] "DU Meter"="C:\Programme\DU Meter\DUMeter.exe" [2006-11-27 15:21] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 19:46] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 05:00] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "Userinit"="C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe," R1 SSHDRV86;SSHDRV86;\??\C:\WINDOWS\system32\drivers\SSHDRV86.sys R1 UBHelper;MRW remapping;C:\WINDOWS\system32\drivers\UBHelper.sys R2 EpmPsd;Acer EPM Power Scheme Driver;\??\C:\WINDOWS\system32\drivers\epm-psd.sys R2 EpmShd;Acer EPM System Hardware Driver;\??\C:\WINDOWS\system32\drivers\epm-shd.sys R3 int15.sys;int15.sys;\??\C:\Programme\acer\eRecovery\int15.sys S3 CEDTV;USBDTV USB2.0 DVB-T device;C:\WINDOWS\system32\Drivers\DTVM5P2.sys S3 CEDTVLDR;DVB-T USB2.0 device firmware loader;C:\WINDOWS\system32\Drivers\CEDTVLDR.sys S3 HRService;Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope;"C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe" . ************************************************************************** catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-10-17 17:44:05 Windows 5.1.2600 Service Pack 2 FAT NTAPI Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... C:\WINDOWS\system32ntos.exe 393216 bytes C:\WINDOWS\system32wsnpoem Scan erfolgreich abgeschlossen versteckte Dateien: 2 ************************************************************************** . Zeit der Fertigstellung: 2007-10-17 17:46:01 C:\ComboFix2.txt ... 2007-10-15 19:01 . --- E O F --- Eine andere Antwort wäre mir jetzt lieber.... :-( LG |
|
|
||
17.10.2007, 20:57
Ehrenmitglied
Beiträge: 6028 |
#4
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe, O2 - BHO: NavHelper Class - {C1E58A84-95B3-4630-B8C2-D06B77B7A0FC} - C:\Programme\NavExcel\NavHelper\v2.0.4a\NHelper.dll O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll O3 - Toolbar: Rightdown Software SearchBar - {D6F180CB-E683-41a3-8CD2-C53DBAA0530D} - C:\Programme\Rightdown Software SearchBar\rssb.dll klicke: Fix checked Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst Entferne auf C:\Programme\NavExcel C:\Programme\NavExcel Search Toolbar C:\Programme\Rightdown Software SearchBar cfscript.txt 1. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. file:: C:\WINDOWS\system32\ntos.exe C:\WINDOWS\system32\wsnpoem 2. Sleppe diese Datei in ComboFix.exe(sehe Bild) ComboFix wird jetzt starten und die Daten ausfuehren Nach neustart des Rechners,poste das log von ComboFix Und ein log von Hijack This __________ MfG Argus |
|
|
||
20.10.2007, 18:08
Member
Beiträge: 32 |
#5
Auch bei mir zeigt AntiVir den Fund: TR/Spy.Agent.42496 in C:/Windows/System32/ntos.exe.
Habe die Vorarbeit erledigt. Vielen Dank im Voraus. ComboFix: ComboFix 07-10-20.6 - Chris 2007-10-20 16:44:04.2 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.265 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Chris\Desktop\ComboFix.exe . ((((((((((((((((((((((( Dateien erstellt von 2007-09-20 bis 2007-10-20 )))))))))))))))))))))))))))))) . 2007-10-20 14:33 <DIR> d-------- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Grisoft 2007-10-20 14:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft 2007-10-20 14:33 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2007-10-20 13:05 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-10-12 11:01 582,656 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll 2007-10-03 14:29 <DIR> d-------- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Image Zone Express 2007-09-23 18:25 <DIR> d-------- C:\Dokumente und Einstellungen\Chris\Contacts 2007-09-23 18:23 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE 2007-09-23 18:23 <DIR> d-------- C:\Programme\MSN Messenger . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-10-03 12:27 --------- d-----w C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\HP 2007-09-14 10:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Last.fm 2007-09-04 13:54 --------- d-----w C:\Programme\MSXML 4.0 2007-09-03 14:21 --------- d-----w C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\HP 2007-09-03 14:16 --------- d-----w C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Image Zone Express 2007-09-03 14:03 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HP 2007-09-03 14:02 --------- d-----w C:\Programme\HP 2007-09-03 14:02 --------- d-----w C:\Programme\Gemeinsame Dateien\HP 2007-09-03 13:58 --------- d-----w C:\Programme\Hewlett-Packard 2007-09-03 13:58 --------- d-----w C:\Programme\Gemeinsame Dateien\Hewlett-Packard 2007-08-23 11:26 --------- d-----w C:\Programme\Google 2007-08-23 11:19 --------- d--h--w C:\Programme\InstallShield Installation Information 2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll 2007-08-10 19:56 93,128 ----a-w C:\WINDOWS\system32\ElbyCDIO.dll 2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll 2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll 2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe 2007-07-30 17:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll 2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll 2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll 2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll 2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\wups.dll 2005-12-31 13:03 25,736 ----a-w C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\GDIPFONTCACHEV1.DAT . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50] "InCD"="D:\Christian\Programme\Nero 6\InCD\InCD.exe" [2004-03-24 12:41] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 15:05] "iTunesHelper"="D:\Christian\Programme\iTunes_Quicktime\iTunesHelper.exe" [2005-10-18 12:58] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-01-29 16:38] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-01-23 20:33] "routcnf"="D:\Christian\Programme\ta 33 usb\routcnf.exe" [] "Adobe Reader Speed Launcher"="D:\Christian\Programme\Adobe Reader\Reader\Reader_sl.exe" [2007-05-11 03:06] "TomTomHOME.exe"="D:\TomTomHOME.exe" [] "HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 02:41] "!AVG Anti-Spyware"="D:\Christian\Programme\anti spyware 7.5\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57] "McAfee.InstantUpdate.Monitor"="C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" [] "BlackFooX 3"="D:\Christian\Programme\Any DVD\AnyDVD_v6.1.3.2_+_Loader_(Dr-PcPutte)crack\AnyDVD\BlackFooX3.exe" [] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "Userinit"="C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe," R2 SetupNT;SetupNT;C:\WINDOWS\system32\SetupNT.sys R3 3xHybrid;Pinnacle PCTV Stereo service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys S3 Dual Mode;Dual Mode Video Capture;C:\WINDOWS\system32\DRIVERS\CoachVc.sys S3 pctvvbi;PCTVVBI;C:\WINDOWS\system32\DRIVERS\pctvvbi.sys S3 ulisa;DeTeWe ISDN-Adapter (USB);C:\WINDOWS\system32\Drivers\ulisa.sys *Newly Created Service* - AVG_ANTI-SPYWARE_DRIVER *Newly Created Service* - AVG_ANTI-SPYWARE_GUARD . HijackThis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:58, on 2007-10-20 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16544) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe D:\Christian\Programme\Nero 6\InCD\InCDsrv.exe C:\WINDOWS\system32\spoolsv.exe D:\Christian\Programme\Nero 6\InCD\InCD.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe D:\Christian\Programme\iTunes_Quicktime\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe D:\Christian\Programme\Last FM\Last.fm\LastFMHelper.exe C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\CTsvcCDA.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\Programme\iPod\bin\iPodService.exe D:\Christian\Programme\Last FM\Last.fm\LastFM.exe C:\Programme\MSN Messenger\usnsvc.exe D:\Christian\Programme\anti spyware 7.5\AVG Anti-Spyware 7.5\guard.exe D:\Christian\Programme\anti spyware 7.5\AVG Anti-Spyware 7.5\avgas.exe C:\PROGRA~1\Versatel\Versatel.exe C:\WINDOWS\explorer.exe D:\Christian\Programme\Hijack this\HJT\HJT.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe, O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] D:\Christian\Programme\Nero 6\InCD\InCD.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [iTunesHelper] "D:\Christian\Programme\iTunes_Quicktime\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [routcnf] D:\Christian\Programme\ta 33 usb\routcnf.exe /capiactive O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Christian\Programme\Adobe Reader\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [TomTomHOME.exe] D:\TomTomHOME.exe -s O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\Christian\Programme\anti spyware 7.5\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR O4 - HKCU\..\Run: [BlackFooX 3] D:\Christian\Programme\Any DVD\AnyDVD_v6.1.3.2_+_Loader_(Dr-PcPutte)crack\AnyDVD\BlackFooX3.exe O4 - HKLM\..\Policies\Explorer\Run: [SystemManager] C:\WINDOWS\system32\avsys.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Last.fm Helper.lnk = D:\Christian\Programme\Last FM\Last.fm\LastFMHelper.exe O4 - Global Startup: Microsoft Office.lnk = D:\Christian\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{3B39E9B2-7622-4487-8E6A-FADE3DE42B29}: NameServer = 62.220.18.8 89.246.64.8 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - D:\Christian\Programme\anti spyware 7.5\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - D:\Christian\Programme\Nero 6\InCD\InCDsrv.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe -- End of file - 6519 bytes datFind: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 486D-E041 Verzeichnis von C:\WINDOWS\system32 2007-10-20 13:39 13,646 wpa.dbl 2007-10-20 13:36 288 DVCState-{00000000-00000000-0000000B-00001102-00000002-100A1102}.dat 2007-10-20 13:36 288 DVCStateBkp-{00000000-00000000-0000000B-00001102-00000002-100A1102}.dat 2007-10-20 13:36 1,080 settings.sfm 2007-10-20 13:36 1,080 settingsbkup.sfm 2007-10-20 13:36 24,144 BMXBkpCtrlState-{00000000-00000000-0000000B-00001102-00000002-100A1102}.rfx 2007-10-20 13:36 16,376 BMXStateBkp-{00000000-00000000-0000000B-00001102-00000002-100A1102}.rfx 2007-10-20 13:36 24,144 BMXCtrlState-{00000000-00000000-0000000B-00001102-00000002-100A1102}.rfx 2007-10-20 13:36 16,376 BMXState-{00000000-00000000-0000000B-00001102-00000002-100A1102}.rfx 2007-10-05 10:07 279,552 swreg.exe 2007-09-28 07:19 18,089,592 MRT.exe 2007-09-13 11:01 138,056 FNTCACHE.DAT 2007-08-29 16:42 249,852 TZLog.log 2007-08-21 08:16 683,520 inetcomm.dll 2007-08-20 11:55 671,232 mstime.dll 2007-08-20 11:55 105,984 url.dll 2007-08-20 11:55 824,832 wininet.dll 2007-08-20 11:55 1,152,000 urlmon.dll 2007-08-20 11:55 102,400 occache.dll 2007-08-20 11:55 232,960 webcheck.dll 2007-08-20 11:55 3,584,512 mshtml.dll 2007-08-20 11:55 477,696 mshtmled.dll 2007-08-20 11:55 193,024 msrating.dll 2007-08-20 11:55 52,224 msfeedsbs.dll 2007-08-20 11:55 459,264 msfeeds.dll 2007-08-20 11:55 6,058,496 ieframe.dll 2007-08-20 11:55 27,648 jsproxy.dll 2007-08-20 11:55 1,824,768 inetcpl.cpl 2007-08-20 11:55 44,544 iernonce.dll 2007-08-20 11:55 267,776 iertutil.dll 2007-08-20 11:55 230,400 ieaksie.dll 2007-08-20 11:55 384,512 iedkcs32.dll 2007-08-20 11:55 383,488 ieapfltr.dll 2007-08-20 11:55 63,488 icardie.dll 2007-08-20 11:55 132,608 extmgr.dll 2007-08-20 11:55 153,088 ieakeng.dll 2007-08-20 11:55 214,528 dxtrans.dll 2007-08-20 11:55 124,928 advpack.dll 2007-08-17 12:19 63,488 ie4uinit.exe 2007-08-17 12:19 13,824 ieudinit.exe 2007-08-17 09:34 161,792 ieakui.dll 2007-08-10 21:56 93,128 ElbyCDIO.dll 2007-07-30 19:20 30,040 wuaucpl.cpl.mui 2007-07-30 19:20 30,040 wuapi.dll.mui 2007-07-30 19:19 1,712,984 wuaueng.dll 2007-07-30 19:19 549,720 wuapi.dll 2007-07-30 19:19 325,976 wucltui.dll 2007-07-30 19:19 203,096 wuweb.dll 2007-07-30 19:19 216,408 wuaucpl.cpl 2007-07-30 19:19 92,504 cdm.dll 2007-07-30 19:19 53,080 wuauclt.exe 2007-07-30 19:19 43,352 wups2.dll 2007-07-30 19:18 34,136 wucltui.dll.mui 2007-07-30 19:18 33,624 wups.dll 2007-07-30 19:18 20,824 wuaueng.dll.mui 2007-07-18 14:42 60,416 tzchange.exe Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 486D-E041 Verzeichnis von C:\DOKUME~1\Chris\LOKALE~1\Temp 2007-10-20 17:02 103,095 datfind.txt 2007-10-20 16:47 53,248 rjexejkn.dll 2007-10-20 14:37 16,384 Perflib_Perfdata_db8.dat 2007-10-20 14:34 32,768 ~DF891B.tmp 2007-10-20 13:39 2,842 hpodvd09.log 5 Datei(en) 208,337 Bytes 0 Verzeichnis(se), 3,743,379,456 Bytes frei . . . Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 486D-E041 Verzeichnis von C:\WINDOWS 2007-10-20 15:37 253,321 wmsetup.log 2007-10-20 15:37 1,633,596 WindowsUpdate.log 2007-10-20 13:39 0 0.log 2007-10-20 13:38 159 wiadebug.log 2007-10-20 13:38 50 wiaservc.log 2007-10-20 13:37 2,048 bootstat.dat 2007-10-20 13:36 32,604 SchedLgU.Txt 2007-10-20 06:03 136,192 catchme.exe 2007-10-17 15:31 69 NeroDigital.ini 2007-10-12 13:05 51,325 ocmsn.log 2007-10-12 13:05 190,231 ntdtcsetup.log 2007-10-12 13:05 145,967 iis6.log 2007-10-12 13:05 1,393 imsins.log 2007-10-12 13:05 314,404 comsetup.log 2007-10-12 13:05 358,250 tsoc.log 2007-10-12 13:05 11,722 KB933729.log 2007-10-12 13:05 455,382 ocgen.log 2007-10-12 13:05 46,722 msgsocm.log 2007-10-12 13:05 919,671 FaxSetup.log 2007-10-12 13:05 445,294 setupapi.log 2007-10-12 13:05 89,631 updspapi.log 2007-10-12 13:03 1,393 imsins.BAK 2007-10-12 13:03 22,318 KB939653-IE7.log 2007-10-12 13:03 10,301 KB941202.log 2007-10-04 11:58 54,156 QTFont.qfn 2007-10-03 17:19 1,409 QTFont.for 2007-09-23 18:23 6,078 DPINST.LOG 2007-09-04 15:54 283,112 msxml4-KB936181-enu.LOG 2007-09-03 16:04 132,529 hpoins11.dat 2007-09-03 16:03 648 win.ini 2007-08-31 15:21 8,330 KB939683.log 2007-08-29 16:42 21,644 KB933360.log 2007-08-25 13:29 24 SC29CBB87.tmp 2007-08-15 21:38 42,947 spupdsvc.log 2007-08-15 14:05 20,623 KB936021.log 2007-08-15 14:05 20,125 KB938828.log 2007-08-15 14:05 19,585 KB921503.log 2007-08-15 14:05 19,427 KB938829.log 2007-08-15 14:02 23,923 KB937143-IE7.log 2007-08-15 14:01 12,083 KB938127-IE7.log 2007-08-15 14:00 9,626 KB936782.log 2007-08-08 20:58 390 lexstat.ini Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 486D-E041 Verzeichnis von C:\WINDOWS\temp . . . Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 486D-E041 Verzeichnis von C:\WINDOWS\Downloaded Program Files 2007-03-23 12:17 1,292 erma.inf |
|
|
||
20.10.2007, 23:25
Ehrenmitglied
Beiträge: 6028 |
#6
Verborgene Dateien sichtbar machen
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren. Prüfe mal diese Datei(en) bei VirusTotal oder Jotti C:\DOKUME~1\Chris\LOKALE~1\Temp\rjexejkn.dll Stand alone DrWeb Stand alone Kaspersky __________ MfG Argus |
|
|
||
21.10.2007, 13:06
Member
Beiträge: 32 |
#7
Habe es mit VirusTotal und DrWeb geprüft, beide haben nichts gefunden!
|
|
|
||
21.10.2007, 13:27
Ehrenmitglied
Beiträge: 6028 |
#8
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe, O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) klicke: Fix checked Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst cfscript.txt 1. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. file:: C:\WINDOWS\system32\ntos.exe 2. Sleppe diese Datei in ComboFix.exe(sehe Bild) ComboFix wird jetzt starten und die Daten ausfuehren Nach neustart des Rechners,poste das log von ComboFix Und ein log von Hijack This __________ MfG Argus |
|
|
||
21.10.2007, 17:34
Member
Beiträge: 32 |
#9
Nach dem Klicken auf Fix Checked erscheint bei mir kein Text.
|
|
|
||
21.10.2007, 17:37
Ehrenmitglied
Beiträge: 6028 |
||
|
||
21.10.2007, 22:39
Member
Beiträge: 32 |
#11
Hatte zuvor in der Anleitung was falsch verstanden, habe jetzt aber alles ausgeführt. Hier sind die logs:
ComboFix: ComboFix 07-10-20.6 - Chris 2007-10-21 22:17:21.4 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.250 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Chris\Desktop\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\Chris\Desktop\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt FILE:: C:\WINDOWS\system32\ntos.exe . ((((((((((((((((((((((( Dateien erstellt von 2007-09-21 bis 2007-10-21 )))))))))))))))))))))))))))))) . 2007-10-21 11:20 <DIR> d-------- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Grisoft 2007-10-20 14:33 <DIR> d-------- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Grisoft 2007-10-20 14:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft 2007-10-20 14:33 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2007-10-20 13:05 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-10-12 11:01 582,656 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll 2007-10-03 14:29 <DIR> d-------- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Image Zone Express 2007-09-23 18:25 <DIR> d-------- C:\Dokumente und Einstellungen\Chris\Contacts 2007-09-23 18:23 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE 2007-09-23 18:23 <DIR> d-------- C:\Programme\MSN Messenger . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-10-03 12:27 --------- d-----w C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\HP 2007-09-14 10:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Last.fm 2007-09-04 13:54 --------- d-----w C:\Programme\MSXML 4.0 2007-09-03 14:21 --------- d-----w C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\HP 2007-09-03 14:16 --------- d-----w C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Image Zone Express 2007-09-03 14:03 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HP 2007-09-03 14:02 --------- d-----w C:\Programme\HP 2007-09-03 14:02 --------- d-----w C:\Programme\Gemeinsame Dateien\HP 2007-09-03 13:58 --------- d-----w C:\Programme\Hewlett-Packard 2007-09-03 13:58 --------- d-----w C:\Programme\Gemeinsame Dateien\Hewlett-Packard 2007-08-23 11:26 --------- d-----w C:\Programme\Google 2007-08-23 11:19 --------- d--h--w C:\Programme\InstallShield Installation Information 2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll 2007-08-10 19:56 93,128 ----a-w C:\WINDOWS\system32\ElbyCDIO.dll 2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll 2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll 2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe 2007-07-30 17:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll 2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll 2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll 2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll 2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\wups.dll 2005-12-31 13:03 25,736 ----a-w C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\GDIPFONTCACHEV1.DAT . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50] "InCD"="D:\Christian\Programme\Nero 6\InCD\InCD.exe" [2004-03-24 12:41] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 15:05] "iTunesHelper"="D:\Christian\Programme\iTunes_Quicktime\iTunesHelper.exe" [2005-10-18 12:58] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-01-29 16:38] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-01-23 20:33] "routcnf"="D:\Christian\Programme\ta 33 usb\routcnf.exe" [] "Adobe Reader Speed Launcher"="D:\Christian\Programme\Adobe Reader\Reader\Reader_sl.exe" [2007-05-11 03:06] "TomTomHOME.exe"="D:\TomTomHOME.exe" [] "HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 02:41] "!AVG Anti-Spyware"="D:\Christian\Programme\anti spyware 7.5\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57] "McAfee.InstantUpdate.Monitor"="C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" [] "BlackFooX 3"="D:\Christian\Programme\Any DVD\AnyDVD_v6.1.3.2_+_Loader_(Dr-PcPutte)crack\AnyDVD\BlackFooX3.exe" [] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "Userinit"="C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe," R2 SetupNT;SetupNT;C:\WINDOWS\system32\SetupNT.sys R3 3xHybrid;Pinnacle PCTV Stereo service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys S3 Dual Mode;Dual Mode Video Capture;C:\WINDOWS\system32\DRIVERS\CoachVc.sys S3 pctvvbi;PCTVVBI;C:\WINDOWS\system32\DRIVERS\pctvvbi.sys S3 ulisa;DeTeWe ISDN-Adapter (USB);C:\WINDOWS\system32\Drivers\ulisa.sys . ************************************************************************** catchme 0.3.1232 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-10-21 22:20:37 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... C:\WINDOWS\system32\wsnpoem ************************************************************************** . Zeit der Fertigstellung: 2007-10-21 22:22:38 C:\ComboFix2.txt ... 2007-10-21 21:25 . --- E O F --- HijackThis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:29:21, on 21.10.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16544) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe D:\Christian\Programme\Nero 6\InCD\InCDsrv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE D:\Christian\Programme\Nero 6\InCD\InCD.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe D:\Christian\Programme\iTunes_Quicktime\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe D:\Christian\Programme\Adobe Reader\Reader\Reader_sl.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe D:\Christian\Programme\anti spyware 7.5\AVG Anti-Spyware 7.5\avgas.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe D:\Christian\Programme\Last FM\Last.fm\LastFMHelper.exe C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe D:\Christian\Programme\anti spyware 7.5\AVG Anti-Spyware 7.5\guard.exe C:\WINDOWS\system32\CTsvcCDA.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\System32\wbem\wmiprvse.exe C:\WINDOWS\system32\wuauclt.exe D:\Christian\Programme\Hijack this\HJT\HJT.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe, O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] D:\Christian\Programme\Nero 6\InCD\InCD.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [iTunesHelper] "D:\Christian\Programme\iTunes_Quicktime\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [routcnf] D:\Christian\Programme\ta 33 usb\routcnf.exe /capiactive O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Christian\Programme\Adobe Reader\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [TomTomHOME.exe] D:\TomTomHOME.exe -s O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\Christian\Programme\anti spyware 7.5\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR O4 - HKCU\..\Run: [BlackFooX 3] D:\Christian\Programme\Any DVD\AnyDVD_v6.1.3.2_+_Loader_(Dr-PcPutte)crack\AnyDVD\BlackFooX3.exe O4 - HKLM\..\Policies\Explorer\Run: [SystemManager] C:\WINDOWS\system32\avsys.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Last.fm Helper.lnk = D:\Christian\Programme\Last FM\Last.fm\LastFMHelper.exe O4 - Global Startup: Microsoft Office.lnk = D:\Christian\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - D:\Christian\Programme\anti spyware 7.5\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - D:\Christian\Programme\Nero 6\InCD\InCDsrv.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe -- End of file - 6494 bytes |
|
|
||
21.10.2007, 22:58
Ehrenmitglied
Beiträge: 6028 |
#12
Entferne auf C:\ Qoobox-->Papierkorb leeren
1. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. file:: C:\DOKUME~1\Chris\LOKALE~1\Temp\rjexejkn.dll C:\WINDOWS\system32\wsnpoem 2. Sleppe diese Datei in ComboFix.exe(sehe Bild) ComboFix wird jetzt starten und die Daten ausfuehren Nach neustart des Rechners,poste das log von ComboFix --------------------- Download SDFix zum Desktop Starte im abgesicherten Modus: http://www.bsi.bund.de/av/texte/wiederher.htm SDFix.zip entpacken unter C:\ findet man nun den SDFix-Ordner Doppelklick RunThis.bat Schreibe: Y folge allen Anweisungen Dann wird der Rechner neustarten SDFix entfernt jetzt die gefundene Objekte Kopiere den Inhalt des Berichts SophosReport.txt ” der jetzt auf dein Desktop steht in diesen Thread Und ein log von Hijack This __________ MfG Argus |
|
|
||
22.10.2007, 10:47
Member
Beiträge: 32 |
#13
Das log von ComboFix:
ComboFix 07-10-20.6 - Chris 2007-10-22 10:24:46.5 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.244 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Chris\Desktop\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\Chris\Desktop\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt FILE:: C:\DOKUME~1\Chris\LOKALE~1\Temp\rjexejkn.dll C:\WINDOWS\system32\wsnpoem . ((((((((((((((((((((((( Dateien erstellt von 2007-09-22 bis 2007-10-22 )))))))))))))))))))))))))))))) . 2007-10-21 11:20 <DIR> d-------- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Grisoft 2007-10-20 14:33 <DIR> d-------- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Grisoft 2007-10-20 14:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft 2007-10-20 14:33 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2007-10-20 13:05 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-10-12 11:01 582,656 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll 2007-10-03 14:29 <DIR> d-------- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Image Zone Express 2007-09-23 18:25 <DIR> d-------- C:\Dokumente und Einstellungen\Chris\Contacts 2007-09-23 18:23 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE 2007-09-23 18:23 <DIR> d-------- C:\Programme\MSN Messenger . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-10-03 12:27 --------- d-----w C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\HP 2007-09-14 10:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Last.fm 2007-09-04 13:54 --------- d-----w C:\Programme\MSXML 4.0 2007-09-03 14:21 --------- d-----w C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\HP 2007-09-03 14:16 --------- d-----w C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Image Zone Express 2007-09-03 14:03 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HP 2007-09-03 14:02 --------- d-----w C:\Programme\HP 2007-09-03 14:02 --------- d-----w C:\Programme\Gemeinsame Dateien\HP 2007-09-03 13:58 --------- d-----w C:\Programme\Hewlett-Packard 2007-09-03 13:58 --------- d-----w C:\Programme\Gemeinsame Dateien\Hewlett-Packard 2007-08-23 11:26 --------- d-----w C:\Programme\Google 2007-08-23 11:19 --------- d--h--w C:\Programme\InstallShield Installation Information 2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll 2007-08-10 19:56 93,128 ----a-w C:\WINDOWS\system32\ElbyCDIO.dll 2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll 2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll 2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe 2007-07-30 17:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll 2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll 2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll 2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll 2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\wups.dll 2005-12-31 13:03 25,736 ----a-w C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\GDIPFONTCACHEV1.DAT . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50] "InCD"="D:\Christian\Programme\Nero 6\InCD\InCD.exe" [2004-03-24 12:41] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 15:05] "iTunesHelper"="D:\Christian\Programme\iTunes_Quicktime\iTunesHelper.exe" [2005-10-18 12:58] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-01-29 16:38] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-01-23 20:33] "routcnf"="D:\Christian\Programme\ta 33 usb\routcnf.exe" [] "Adobe Reader Speed Launcher"="D:\Christian\Programme\Adobe Reader\Reader\Reader_sl.exe" [2007-05-11 03:06] "TomTomHOME.exe"="D:\TomTomHOME.exe" [] "HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 02:41] "!AVG Anti-Spyware"="D:\Christian\Programme\anti spyware 7.5\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57] "McAfee.InstantUpdate.Monitor"="C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" [] "BlackFooX 3"="D:\Christian\Programme\Any DVD\AnyDVD_v6.1.3.2_+_Loader_(Dr-PcPutte)crack\AnyDVD\BlackFooX3.exe" [] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "Userinit"="C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe," R2 SetupNT;SetupNT;C:\WINDOWS\system32\SetupNT.sys R3 3xHybrid;Pinnacle PCTV Stereo service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys S3 Dual Mode;Dual Mode Video Capture;C:\WINDOWS\system32\DRIVERS\CoachVc.sys S3 pctvvbi;PCTVVBI;C:\WINDOWS\system32\DRIVERS\pctvvbi.sys S3 ulisa;DeTeWe ISDN-Adapter (USB);C:\WINDOWS\system32\Drivers\ulisa.sys . ************************************************************************** catchme 0.3.1232 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-10-22 10:28:15 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... C:\WINDOWS\system32\wsnpoem ************************************************************************** . Zeit der Fertigstellung: 2007-10-22 10:30:20 C:\ComboFix2.txt ... 2007-10-21 22:22 C:\ComboFix3.txt ... 2007-10-21 21:25 . --- E O F --- der Bericht von SophosReport.txt: SDFix: Version 1.110 Run by Chris on 22.10.2007 at 11:26 Microsoft Windows XP [Version 5.1.2600] Running From: C:\DOKUME~1\Chris\Desktop\SDFix\SDFix Safe Mode: Checking Services: Restoring Windows Registry Values Restoring Windows Default Hosts File Rebooting... Normal Mode: Checking Files: Trojan Files Found: C:\WINDOWS\system32\wsnpoem\audio.dll - Deleted C:\WINDOWS\system32\wsnpoem\video.dll - Deleted C:\WINDOWS\system32\ntos.exe - Deleted Removing Temp Files... ADS Check: C:\WINDOWS No streams found. C:\WINDOWS\system32 No streams found. C:\WINDOWS\system32\svchost.exe No streams found. C:\WINDOWS\system32\ntoskrnl.exe No streams found. Final Check: Remaining Services: ------------------ Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] Remaining Files: --------------- File Backups: - C:\DOKUME~1\Chris\Desktop\SDFix\SDFix\backups\backups.zip Files with Hidden Attributes: Sat 25 Aug 2007 24 ..SH. --- "C:\WINDOWS\SC29CBB87.tmp" Wed 10 Nov 2004 4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak" Thu 15 Feb 2007 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv02.tmp" Finished! log von HijackThis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:38:25, on 22.10.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16544) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe D:\Christian\Programme\Nero 6\InCD\InCDsrv.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe D:\Christian\Programme\anti spyware 7.5\AVG Anti-Spyware 7.5\guard.exe C:\WINDOWS\system32\CTsvcCDA.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\MsPMSPSv.exe D:\Christian\Programme\Nero 6\InCD\InCD.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe D:\Christian\Programme\iTunes_Quicktime\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe D:\Christian\Programme\Adobe Reader\Reader\Reader_sl.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe D:\Christian\Programme\anti spyware 7.5\AVG Anti-Spyware 7.5\avgas.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe D:\Christian\Programme\Last FM\Last.fm\LastFMHelper.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe D:\Christian\Programme\Hijack this\HJT\HJT.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] D:\Christian\Programme\Nero 6\InCD\InCD.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [iTunesHelper] "D:\Christian\Programme\iTunes_Quicktime\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [routcnf] D:\Christian\Programme\ta 33 usb\routcnf.exe /capiactive O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Christian\Programme\Adobe Reader\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [TomTomHOME.exe] D:\TomTomHOME.exe -s O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\Christian\Programme\anti spyware 7.5\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR O4 - HKCU\..\Run: [BlackFooX 3] D:\Christian\Programme\Any DVD\AnyDVD_v6.1.3.2_+_Loader_(Dr-PcPutte)crack\AnyDVD\BlackFooX3.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Last.fm Helper.lnk = D:\Christian\Programme\Last FM\Last.fm\LastFMHelper.exe O4 - Global Startup: Microsoft Office.lnk = D:\Christian\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - D:\Christian\Programme\anti spyware 7.5\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - D:\Christian\Programme\Nero 6\InCD\InCDsrv.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe -- End of file - 6119 bytes Dieser Beitrag wurde am 22.10.2007 um 11:52 Uhr von chris_h editiert.
|
|
|
||
23.10.2007, 17:34
Ehrenmitglied
Beiträge: 6028 |
#14
Entferne auf C:\SDFix\ backups -->papierkorb leeren
Systemwiederherstellung Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. Neu Starten Dann wieder aktivieren (Häkchen entfernen) Entferne CombiFix von dein Rechner Start > Ausführen>Kopiere rein ComboFix /u OK __________ MfG Argus |
|
|
||
24.10.2007, 13:31
Member
Beiträge: 32 |
#15
Habe alles erledigt.
|
|
|
||
habe bei euch gelesen, dass ihr einigen helfen konntent. Ich hoffe sehr, dass es bei mir auch funktioniert... Habe die Schritte zur beseitigung durchgeführt und hänge mal die Dateien an....
HIER EINMAL DAS DATFIND:
.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datentr„ger in Laufwerk C: ist PROGRAMME
Volumeseriennummer: 320D-180E
Verzeichnis von C:\WINDOWS\system32
15.10.2007 18:59 692 eRLog.ini
15.10.2007 18:59 1.158 wpa.dbl
05.10.2007 10:07 279.552 swreg.exe
28.09.2007 07:19 18.089.592 MRT.exe
09.09.2007 18:04 249.688 TZLog.log
08.09.2007 16:08 319.544 FNTCACHE.DAT
21.08.2007 08:16 683.520 inetcomm.dll
20.08.2007 11:55 477.696 mshtmled.dll
20.08.2007 11:55 671.232 mstime.dll
20.08.2007 11:55 824.832 wininet.dll
20.08.2007 11:55 3.584.512 mshtml.dll
20.08.2007 11:55 105.984 url.dll
20.08.2007 11:55 232.960 webcheck.dll
20.08.2007 11:55 193.024 msrating.dll
20.08.2007 11:55 102.400 occache.dll
20.08.2007 11:55 1.152.000 urlmon.dll
20.08.2007 11:55 267.776 iertutil.dll
20.08.2007 11:55 52.224 msfeedsbs.dll
20.08.2007 11:55 459.264 msfeeds.dll
20.08.2007 11:55 44.544 iernonce.dll
20.08.2007 11:55 6.058.496 ieframe.dll
20.08.2007 11:55 1.824.768 inetcpl.cpl
20.08.2007 11:55 27.648 jsproxy.dll
20.08.2007 11:55 384.512 iedkcs32.dll
20.08.2007 11:55 230.400 ieaksie.dll
20.08.2007 11:55 383.488 ieapfltr.dll
20.08.2007 11:55 153.088 ieakeng.dll
20.08.2007 11:55 63.488 icardie.dll
20.08.2007 11:55 132.608 extmgr.dll
20.08.2007 11:55 124.928 advpack.dll
20.08.2007 11:55 214.528 dxtrans.dll
17.08.2007 12:19 63.488 ie4uinit.exe
17.08.2007 12:19 13.824 ieudinit.exe
17.08.2007 09:34 161.792 ieakui.dll
30.07.2007 19:20 30.040 wuaucpl.cpl.mui
30.07.2007 19:20 30.040 wuapi.dll.mui
30.07.2007 19:19 1.712.984 wuaueng.dll
30.07.2007 19:19 549.720 wuapi.dll
30.07.2007 19:19 325.976 wucltui.dll
30.07.2007 19:19 216.408 wuaucpl.cpl
30.07.2007 19:19 203.096 wuweb.dll
30.07.2007 19:19 92.504 cdm.dll
30.07.2007 19:19 53.080 wuauclt.exe
30.07.2007 19:19 43.352 wups2.dll
30.07.2007 19:18 34.136 wucltui.dll.mui
30.07.2007 19:18 33.624 wups.dll
30.07.2007 19:18 20.824 wuaueng.dll.mui
20.07.2007 16:48 411.050 perfh007.dat
20.07.2007 16:48 72.874 perfc007.dat
20.07.2007 16:48 914.622 PerfStringBackup.INI
20.07.2007 16:48 60.504 perfc009.dat
20.07.2007 16:48 397.316 perfh009.dat
18.07.2007 14:42 60.416 tzchange.exe
09.07.2007 15:11 584.192 rpcrt4.dll
2176 Datei(en) 421.730.978 Bytes
0 Verzeichnis(se), 21.749.694.464 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist PROGRAMME
Volumeseriennummer: 320D-180E
Verzeichnis von C:\DOKUME~1\Saturn\LOKALE~1\Temp
15.10.2007 19:04 106.379 datfind.txt
1 Datei(en) 106.379 Bytes
0 Verzeichnis(se), 21.750.644.736 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist PROGRAMME
Volumeseriennummer: 320D-180E
Verzeichnis von C:\WINDOWS
15.10.2007 18:59 4.888 ModemLog_SoftV92 Data Fax Modem with SmartCP.txt
15.10.2007 18:58 159 wiadebug.log
15.10.2007 18:57 0 0.log
15.10.2007 18:57 2.048 bootstat.dat
15.10.2007 18:56 32.622 SchedLgU.Txt
15.10.2007 18:56 50 wiaservc.log
15.10.2007 18:56 12 bthservsdp.dat
15.10.2007 18:27 230.390 setupact.log
15.10.2007 00:48 1.086.118 WindowsUpdate.log
12.10.2007 18:58 600.504 setupapi.log
11.10.2007 17:29 259.364 tsoc.log
11.10.2007 17:29 105.606 iis6.log
11.10.2007 17:29 1.393 imsins.log
11.10.2007 17:29 323.678 ocgen.log
11.10.2007 17:29 15.187 KB933729.log
11.10.2007 17:29 36.580 ocmsn.log
11.10.2007 17:29 33.486 msgsocm.log
11.10.2007 17:29 229.089 comsetup.log
11.10.2007 17:29 137.234 ntdtcsetup.log
11.10.2007 17:29 684.448 FaxSetup.log
11.10.2007 17:29 76.677 updspapi.log
11.10.2007 17:28 24.263 KB939653-IE7.log
11.10.2007 17:28 1.393 imsins.BAK
11.10.2007 17:27 10.759 KB941202.log
07.10.2007 14:37 4.549 tm.ini
07.10.2007 14:35 124 tdf.dii
28.09.2007 09:06 135.168 catchme.exe
09.09.2007 18:04 25.096 KB937143-IE7.log
09.09.2007 18:04 22.265 KB933360.log
09.09.2007 18:03 11.796 KB938127-IE7.log
08.09.2007 20:35 1.409 QTFont.for
08.09.2007 20:35 54.156 QTFont.qfn
24.08.2007 22:20 49 NeroDigital.ini
19.08.2007 22:10 8.405 spupdsvc.log
19.08.2007 22:07 22.866 ie7_main.log
19.08.2007 22:07 63.137 ie7.log
19.08.2007 22:05 14.278 IDNMitigationAPIs.log
19.08.2007 22:05 14.031 NLSDownlevelMapping.log
19.08.2007 22:04 11.800 KB915865.log
19.08.2007 22:03 5.992 KB914440.log
19.08.2007 22:03 31.477 KB937143.log
19.08.2007 22:03 11.743 KB904942.log
19.08.2007 18:29 54.252 wmsetup.log
17.08.2007 14:41 17.357 KB936021.log
17.08.2007 14:41 16.872 KB938828.log
17.08.2007 14:41 14.045 KB936782.log
17.08.2007 14:40 15.763 KB921503.log
17.08.2007 14:40 15.565 KB938829.log
17.08.2007 14:40 508.574 msxml6-KB933579-enu-x86.LOG
17.08.2007 14:39 15.325 KB938127.log
17.08.2007 14:38 283.444 msxml4-KB936181-enu.LOG
15.08.2007 14:45 512 wmsetup10.log
20.07.2007 16:49 37.277 KB933566.log
17.07.2007 20:31 12.505 KB929123.log
17.07.2007 20:31 11.801 KB935840.log
17.07.2007 20:29 11.747 KB935839.log
282 Datei(en) 24.240.854 Bytes
0 Verzeichnis(se), 21.750.644.736 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist PROGRAMME
Volumeseriennummer: 320D-180E
Verzeichnis von C:\WINDOWS\temp
.
.
.
Datentr„ger in Laufwerk C: ist PROGRAMME
Volumeseriennummer: 320D-180E
Verzeichnis von C:\WINDOWS\Downloaded Program Files
11.06.2007 12:21 5.021 swflash.inf
27.12.2004 12:07 65 desktop.ini
2 Datei(en) 5.086 Bytes
0 Verzeichnis(se), 21.750.644.736 Bytes frei
.
.
.
HIER EINMAL DAS HIJACKTHIS:
Logfile of HijackThis v1.99.1
Scan saved at 19:03:41, on 15.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\rundll32.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\Arcade\PCMService.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\acer\epm\epm-dm.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\j2re1.4.2_07\bin\jusched.exe
C:\Programme\DU Meter\DUMeter.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\PrintKey2000\Printkey2000.exe
C:\Programme\acer\eRecovery\Monitor.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Saturn\Desktop\HijackThis.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\MODI\11.0\MSPVIEW.EXE
C:\WINDOWS\system32\WISPTIS.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Hilfsobjekt für Encarta Web-Begleiter - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O2 - BHO: NavHelper Class - {C1E58A84-95B3-4630-B8C2-D06B77B7A0FC} - C:\Programme\NavExcel\NavHelper\v2.0.4a\NHelper.dll
O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
O3 - Toolbar: Encarta Web-Begleiter - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
O3 - Toolbar: Rightdown Software SearchBar - {D6F180CB-E683-41a3-8CD2-C53DBAA0530D} - C:\Programme\Rightdown Software SearchBar\rssb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_07\bin\jusched.exe
O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Printkey2000.lnk = C:\Programme\PrintKey2000\Printkey2000.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_07\bin\npjpi142_07.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_07\bin\npjpi142_07.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Encarta Suchleiste - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
Ich hoffe, dass es reicht, ansonsten bitte ich um antwort, was ich noch machen kann um diese "Seuche" los zu werden!
GLG Daniela