mein pc hängt sich total auf wenn ich im netz bin |
||
---|---|---|
#0
| ||
28.10.2007, 21:56
Member
Beiträge: 39 |
||
|
||
29.10.2007, 07:43
Member
Beiträge: 694 |
#2
Hi,
bitte das hier abarbeiten: http://board.protecus.de/t23188.htm - Erstellen eines Hijackthis-Logfiles ((http://sicher-ins-netz.info/analyse/hjt.html) - CleanUp (temporaeren Dateien loeschen) - Combofix - Logfiles mittels datfind.bat (alle Files, nur die letzten 3-6 Monate posten) chris |
|
|
||
29.10.2007, 21:40
Member
Themenstarter Beiträge: 39 |
#3
Hallo,
hier die gewünschten Logfiles Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:36:43, on 29.10.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0011) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Microsoft IntelliType Pro\itype.exe C:\Programme\Microsoft IntelliPoint\ipoint.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\alg32.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe C:\WINDOWS\system32\NOTEPAD.EXE H:\Eigene Dateien\!Ralph\Tool's\Security\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = : O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe" O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [rw service] C:\WINDOWS\system32\alg32.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1184180273343 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 4860 bytes ----------------------------------------------------------------------- ComboFix 07-10-29.1 - Name 2007-10-29 21:39:17.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.488 [GMT 1:00] ausgeführt von:: H:\Eigene Dateien\!Name\Tool's\Security\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\nvrssk.dll C:\WINDOWS\system32\nvrssl.dll C:\WINDOWS\system32\snpuhyny.dll C:\WINDOWS\system32\vcwbwqdr.dll C:\WINDOWS\system32\ynyhupns.ini . ((((((((((((((((((((((( Dateien erstellt von 2007-09-28 bis 2007-10-29 )))))))))))))))))))))))))))))) . Keine neuen Dateien erstellt in diesem Zeitraum . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-10-27 19:37 --------- d-----w C:\Programme\Winamp 2007-10-20 20:47 --------- d-----w C:\Dokumente und Einstellungen\Greilberger\Anwendungsdaten\Skype 2007-09-20 19:19 --------- d-----w C:\Programme\MSN Messenger 2007-09-15 19:16 --------- d-----w C:\Programme\Gemeinsame Dateien\Macromedia 2007-09-15 19:15 --------- d-----w C:\Programme\Macromedia 2007-08-30 21:21 --------- d-----w C:\Programme\BitLord 2007-08-28 20:04 --------- d-----w C:\Programme\TweakPower 2007-08-28 18:19 --------- d-----w C:\Dokumente und Einstellungen\Greilberger\Anwendungsdaten\CDZilla . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMan"="SOUNDMAN.EXE" [2002-09-11 03:57 C:\WINDOWS\SOUNDMAN.EXE] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2003-02-14 08:55] "nwiz"="nwiz.exe" [2003-02-14 08:56 C:\WINDOWS\system32\nwiz.exe] "ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 00:02] "itype"="C:\Programme\Microsoft IntelliType Pro\itype.exe" [2006-11-22 02:08] "IntelliPoint"="C:\Programme\Microsoft IntelliPoint\ipoint.exe" [2006-11-22 02:09] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57] "rw service"="C:\WINDOWS\system32\alg32.exe" [2007-06-23 00:14] S2 Ca533av;Cam 3200, WDM Video Capture;C:\WINDOWS\system32\Drivers\Ca533av.sys S3 USBCamera;DSC Still Image Capture (CA100);C:\WINDOWS\system32\Drivers\Bulk533.sys . ************************************************************************** catchme 0.3.1239 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-10-29 21:42:19 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2007-10-29 21:44:09 - machine was rebooted . --- E O F --- -------------------------------------------------------------------------- Datenträger in Laufwerk C: ist SYSTEM Volumeseriennummer: 2405-E75A Verzeichnis von c:\ 29.10.2007 21:49 0 dirdat.txt 29.10.2007 21:41 804.839.424 hiberfil.sys 29.10.2007 21:41 1.207.959.552 pagefile.sys 22.10.2007 17:04 5.263 hpfr3740.log 15.03.2007 23:59 87 AUTOEXEC.BAT 01.03.2007 22:22 0 MSDOS.SYS 01.03.2007 22:22 0 IO.SYS 01.03.2007 22:22 0 CONFIG.SYS 01.03.2007 21:57 211 boot.ini 12 Datei(en) 2.013.108.237 Bytes 0 Verzeichnis(se), 9.156.595.712 Bytes frei Datenträger in Laufwerk C: ist SYSTEM Volumeseriennummer: 2405-E75A Verzeichnis von C:\WINDOWS\system32 29.10.2007 21:46 401.220 perfh009.dat 29.10.2007 21:46 412.660 perfh007.dat 29.10.2007 21:46 61.360 perfc009.dat 29.10.2007 21:46 72.412 perfc007.dat 29.10.2007 21:46 958.756 PerfStringBackup.INI 29.10.2007 21:43 55.080 vsconfig.xml 27.10.2007 19:03 2.206 wpa.dbl 17.09.2007 18:54 438.144 FNTCACHE.DAT 22.07.2007 18:39 279.552 swreg.exe 23.06.2007 00:14 21.504 alg32.exe 08.05.2007 20:56 4.212 zllictbl.dat 05.05.2007 22:25 0 tmp.txt 05.05.2007 22:25 2.194 tmp.reg 05.05.2007 22:12 593.327 stutv.ini 05.05.2007 21:07 1.464.162 nrvkwwcp.ini 01.05.2007 20:10 143 mcrh.tmp 01.05.2007 20:03 578.692 cccdd.tmp 24.04.2007 10:32 1.485.696 LegitCheckControl.dll 16.04.2007 21:47 33.624 wups.dll 16.04.2007 21:47 30.040 wuapi.dll.mui 16.04.2007 21:47 30.040 wuaucpl.cpl.mui 16.04.2007 21:45 1.710.936 wuaueng.dll 16.04.2007 21:45 549.720 wuapi.dll 16.04.2007 21:45 325.976 wucltui.dll 16.04.2007 21:45 216.408 wuaucpl.cpl 16.04.2007 21:45 92.504 cdm.dll 16.04.2007 21:45 20.824 wuaueng.dll.mui 16.04.2007 21:45 53.080 wuauclt.exe 16.04.2007 21:45 43.352 wups2.dll 16.04.2007 21:44 34.136 wucltui.dll.mui 16.04.2007 21:43 203.096 wuweb.dll 31.03.2007 20:33 3.157 jupdate-1.4.2_03-b02.log 24.03.2007 22:12 1.744 d3d9caps.dat 16.03.2007 00:18 46 blue.SITENAME 16.03.2007 00:07 2.250.192 MSDELog.log 09.03.2007 00:02 54.936 vsutil_loc0407.dll 09.03.2007 00:02 18.072 imslsp_install_loc0407.dll 09.03.2007 00:02 22.168 imsinstall_loc0407.dll 09.03.2007 00:02 394.192 vsdatant.sys 09.03.2007 00:01 1.087.216 zpeng24.dll 09.03.2007 00:01 71.408 zlcommdb.dll 09.03.2007 00:01 100.080 vsxml.dll 09.03.2007 00:01 46.832 vswmi.dll 09.03.2007 00:01 83.696 zlcomm.dll 09.03.2007 00:01 472.816 vsutil.dll 09.03.2007 00:01 71.408 vsregexp.dll 09.03.2007 00:01 104.176 vsmonapi.dll 09.03.2007 00:01 276.208 vspubapi.dll 09.03.2007 00:01 157.424 vsinit.dll 09.03.2007 00:01 83.696 vsdata.dll 09.03.2007 00:01 796.312 libeay32_0.9.6l.dll 01.03.2007 23:57 1.632 d3d8caps.dat 01.03.2007 22:25 261 $winnt$.inf 01.03.2007 22:22 2.951 CONFIG.NT 01.03.2007 22:21 16.832 amcompat.tlb 01.03.2007 22:21 23.392 nscompat.tlb 01.03.2007 22:20 488 logonui.exe.manifest 01.03.2007 22:20 488 WindowsLogon.manifest 01.03.2007 22:20 749 nwc.cpl.manifest 01.03.2007 22:20 749 wuaucpl.cpl.manifest 01.03.2007 22:20 749 sapi.cpl.manifest 01.03.2007 22:20 749 cdplayer.exe.manifest 01.03.2007 22:20 749 ncpa.cpl.manifest 01.03.2007 22:18 21.740 emptyregdb.dat 01.03.2007 21:57 0 h323log.txt 2186 Datei(en) 418.379.533 Bytes 0 Verzeichnis(se), 9.156.583.424 Bytes frei Datenträger in Laufwerk C: ist SYSTEM Volumeseriennummer: 2405-E75A Verzeichnis von C:\WINDOWS 29.10.2007 21:43 0 0.log 29.10.2007 21:42 159 wiadebug.log 29.10.2007 21:42 (50) wiaservc.log 29.10.2007 21:41 2.048 bootstat.dat 29.10.2007 21:41 (32.610) SchedLgU.Txt 29.10.2007 21:41 (1.240.789) WindowsUpdate.log 28.10.2007 22:04 250 gmer.ini 26.10.2007 09:51 136.192 catchme.exe 22.10.2007 17:26 14.671 setupapi.log 17.10.2007 20:05 116 NeroDigital.ini 17.10.2007 19:07 43 gswin32.ini 20.09.2007 20:19 6.078 DPINST.LOG 17.06.2007 00:11 51.200 nircmd.exe 03.05.2007 23:30 0 gmer.bat 03.05.2007 23:30 0 gmer.reg 03.05.2007 23:16 80 gmer_uninstall.cmd 03.05.2007 23:16 573.503 gmer.dll 12.04.2007 16:04 577.536 gmer.exe 24.03.2007 22:14 1.208 VFO.INI 21.03.2007 15:35 252 AIM_RACE_STUDIO.INI 21.03.2007 15:24 30 AIM_NTIMES.INI 21.03.2007 15:24 65 AIM_UNITS.INI 21.03.2007 15:24 2.049 AIM_RSANALYSIS.INI 16.03.2007 21:05 827 win.ini 16.03.2007 00:23 455 VFO.VST 16.03.2007 00:00 316.640 WMSysPr9.prx 09.03.2007 00:02 42.648 zllsputility_loc0407.dll 09.03.2007 00:02 75.512 zllsputility.exe 03.03.2007 20:11 (0) Sti_Trace.log 02.03.2007 00:26 400 ODBC.INI 01.03.2007 23:41 10.602 hpdj3740.ini 01.03.2007 23:41 209.972 hpdj3740.his 01.03.2007 23:37 229.936 hpdj3740.hi1 01.03.2007 23:37 9.181 hpdj3740.bu1 01.03.2007 23:31 494 demo.INI 01.03.2007 22:26 8.192 REGLOCS.OLD 01.03.2007 22:22 0 control.ini 01.03.2007 22:21 4.161 ODBCINST.INI 01.03.2007 22:20 749 WindowsShell.Manifest 01.03.2007 22:18 37 vbaddin.ini 01.03.2007 22:18 36 vb.ini 01.03.2007 21:51 231 system.ini 134 Datei(en) 10.864.134 Bytes 0 Verzeichnis(se), 9.156.599.808 Bytes frei Datenträger in Laufwerk C: ist SYSTEM Volumeseriennummer: 2405-E75A Verzeichnis von C:\DOKUME~1\GREILB~1\LOKALE~1\Temp |
|
|
||
30.10.2007, 07:37
Member
Beiträge: 694 |
#4
Hi,
bitte online prüfen lassen: Zitat C:\WINDOWS\system32\alg32.exehttp://www.virustotal.com/flash/index_en.html Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen Poste die Ergebnisse mit Filename! Das hier ist nicht sauber, das sind einige Sachen von Virtumundo, Combofix hat schon einiges erledigt: C:\WINDOWS\system32\tmp.txt C:\WINDOWS\system32\tmp.reg C:\WINDOWS\system32\stutv.ini C:\WINDOWS\system32\nrvkwwcp.ini C:\WINDOWS\system32\mcrh.tmp C:\WINDOWS\system32\cccdd.tmp Avenger Falls eines der beiden online zu prüfen Files erkannt wurde, unten mit Pfad reinkopieren und löschen lassen! http://virus-protect.org/artikel/tools/avenger.html Input script manually (anhaken) kopiere in: View/edit script Zitat Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten Weiterhin ist Dein Java total veraltet: http://java.sun.com/javase/downloads/index.jsp Scrolle runter nach ---->Java Runtime Environment (JRE) 6u2 The Java SE Runtime Environment (JRE) allows end-users to run Java applications. Klicke auf "Download" Setze ein Haeckchen bei --->"Accept License Agreement". Klicke “Windows Offline Installation, Multi-language” um “jre-6-windows-i586.exe”zum Desktop zu installieren Schliesse alle Programme auch Deinen Webbrowser Über "Start -> Einstellungen -> Systemsteuerung -> Software entferne alle aelteren Versionen von Java Runtime Environment (JRE of J2SE) Auch auf C:\Programme\Java entfernen! Nachdem alles entfernt wurde --->Rechner neu starten Installiere jetzt vom Desktop aus ---> “jre-6u2-windows-i586-p.exe” http://www.java.com/de/download/help/5000010800.xml Arbeite dann noch das hier ab und poste den Report: http://board.protecus.de/t29350.htm chris |
|
|
||
30.10.2007, 22:10
Member
Themenstarter Beiträge: 39 |
#5
so, habe alles abgearbeitet......
C:\WINDOWS\system32\alg32.exe AhnLab-V3 2007.10.31.0 2007.10.30 Win-AppCare/Remotewatch.21504 AntiVir 7.6.0.30 2007.10.30 - Authentium 4.93.8 2007.10.30 - Avast 4.7.1074.0 2007.10.30 Win32:Adware-gen AVG 7.5.0.503 2007.10.30 Adware Generic.PTR BitDefender 7.2 2007.10.30 Trojan.Spy.Remotewatch CAT-QuickHeal 9.00 2007.10.30 AdWare.LoopAd.a (Not a Virus) ClamAV 0.91.2 2007.10.30 - DrWeb 4.44.0.09170 2007.10.30 - eSafe 7.0.15.0 2007.10.28 Win32.TrojanHorse eTrust-Vet 31.2.5253 2007.10.30 Win32/Oplads.A Ewido 4.0 2007.10.30 Adware.LoopAd FileAdvisor 1 2007.10.30 - Fortinet 3.11.0.0 2007.10.19 W32/LoopAD!tr F-Prot 4.3.2.48 2007.10.30 W32/Adware.ECH F-Secure 6.70.13030.0 2007.10.30 - Ikarus T3.1.1.12 2007.10.30 not-a-virus:AdWare.Win32.LoopAd.a Kaspersky 7.0.0.125 2007.10.30 not-a-virus:AdWare.Win32.LoopAd.a McAfee 5151 2007.10.29 Generic Spy.e Microsoft 1.2908 2007.10.30 TrojanDropper:Win32/Hupigon NOD32v2 2627 2007.10.30 Win32/Adware.LoopAd Norman 5.80.02 2007.10.30 W32/LoopAd.C Panda 9.0.0.4 2007.10.30 Adware/LoopAd Prevx1 V2 2007.10.30 - Rising 19.47.12.00 2007.10.30 Trojan.Agent.dip Sophos 4.23.0 2007.10.30 LoopAds Sunbelt 2.2.907.0 2007.10.29 Adware.LoopAd Symantec 10 2007.10.30 Trojan Horse TheHacker 6.2.9.110 2007.10.27 Adware/LoopAd.a VBA32 3.12.2.4 2007.10.28 AdWare.Win32.LoopAd.a VirusBuster 4.3.26:9 2007.10.30 Trojan.DL.AdLoad.GM Webwasher-Gateway 6.6.1 2007.10.30 Riskware.Remotewatch weitere Informationen File size: 21504 bytes MD5: ee6eafbddc31cbcbe0231fae504ff0e6 SHA1: 9f5acfb3e2bbb48b0a617e5494283f564101c9a9 packers: UPX packers: PE_Patch.UPX, UPX ----------------------------------------------------- C:\WINDOWS\system32\swreg.exe AhnLab-V3 2007.10.31.0 2007.10.30 - AntiVir 7.6.0.30 2007.10.30 - Authentium 4.93.8 2007.10.30 - Avast 4.7.1074.0 2007.10.30 - AVG 7.5.0.503 2007.10.30 - BitDefender 7.2 2007.10.30 - CAT-QuickHeal 9.00 2007.10.30 - ClamAV 0.91.2 2007.10.30 - DrWeb 4.44.0.09170 2007.10.30 - eSafe 7.0.15.0 2007.10.28 suspicious Trojan/Worm eTrust-Vet 31.2.5253 2007.10.30 - Ewido 4.0 2007.10.30 - FileAdvisor 1 2007.10.30 - Fortinet 3.11.0.0 2007.10.19 - F-Prot 4.3.2.48 2007.10.30 - F-Secure 6.70.13030.0 2007.10.30 - Ikarus T3.1.1.12 2007.10.30 - Kaspersky 7.0.0.125 2007.10.30 - McAfee 5152 2007.10.30 - Microsoft 1.2908 2007.10.30 - NOD32v2 2627 2007.10.30 - Norman 5.80.02 2007.10.30 - Panda 9.0.0.4 2007.10.30 - Prevx1 V2 2007.10.30 - Rising 19.47.12.00 2007.10.30 - Sophos 4.23.0 2007.10.30 - Sunbelt 2.2.907.0 2007.10.29 - Symantec 10 2007.10.30 - TheHacker 6.2.9.110 2007.10.27 - VBA32 3.12.2.4 2007.10.28 - VirusBuster 4.3.26:9 2007.10.30 - weitere Informationen File size: 279552 bytes MD5: 5dbee2a187ff4ba477c1c8b08682a585 SHA1: 5697e3c37b81f5e97da0b38227b408ee6a4112a5 packers: UPX packers: UPX packers: UPX ------------------------------------------------------- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:24:53, on 30.10.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0011) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Microsoft IntelliType Pro\itype.exe C:\Programme\Microsoft IntelliPoint\ipoint.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe C:\WINDOWS\system32\wuauclt.exe H:\Eigene Dateien\!Ralph\Tool's\Security\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe" O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [rw service] C:\WINDOWS\system32\alg32.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1184180273343 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 4971 bytes |
|
|
||
31.10.2007, 07:26
Member
Beiträge: 694 |
#6
Hi,
wir killen noch die alg32.exe uns swreg.exe: Wieder Avenger: Zitat Files to delete:Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Achtung: Alle Anwendungen bis auf HJ müssen geschlossen sein!) Zitat
Poste dann noch mal ein neues HJ-Log... chris |
|
|
||
01.11.2007, 22:09
Member
Themenstarter Beiträge: 39 |
#7
so, hier nochmal das HJ-log. aber irgendwie scheint mir mein pc noch immer nicht so richtig sauber zu sein.
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:19:03, on 01.11.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0011) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Microsoft IntelliType Pro\itype.exe C:\Programme\Microsoft IntelliPoint\ipoint.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe H:\Eigene Dateien\!Ralph\Tool's\Security\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = : O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe" O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1184180273343 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 4963 bytes |
|
|
||
02.11.2007, 07:28
Member
Beiträge: 694 |
#8
Hi,
das HJ-Log sieht sauber aus.... Warum glaubst ist der Rechner nicht sauber...? Erweiterte Informationen: SilentRunner: Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen. Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten. http://www.silentrunners.org/Silent%20Runners.zip Dann noch ein Scann mit Dr. Web gemäß Anleitung von Arni: http://board.protecus.de/t29350.htm Poste auch dieses Log... Wenn wir dann nichts finden, wird es interessant (Rootkit?) chris |
|
|
||
03.11.2007, 00:26
Member
Themenstarter Beiträge: 39 |
#9
hallo,
irgendwie ist der rechner noch immer komisch, hängt sich manchmal total auf wenn ich im netz bin. auch lässt er sich öfters einfach nicht mehr abschalten, muss dann reset oder gar den netzstecker ziehen.... hier mal die gewünschten log's. "Silent Runners.vbs", revision 52, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "SoundMan" = "SOUNDMAN.EXE" ["Avance Logic, Inc."] "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS] "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"] "ZoneAlarm Client" = ""C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"" ["Zone Labs, LLC"] "itype" = ""C:\Programme\Microsoft IntelliType Pro\itype.exe"" [MS] "IntelliPoint" = ""C:\Programme\Microsoft IntelliPoint\ipoint.exe"" [MS] "SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"" ["Sun Microsystems, Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "Adobe PDF Reader Link Helper" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop-Explorer" -> {HKLM...CLSID} = "Desktop-Explorer" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler" -> {HKLM...CLSID} = "Microsoft Office Outlook" \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler" -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung" \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS] "{AC1DB655-4F9A-4c39-8AD2-A65324A4C446}" = "Autodesk Drawing Preview" -> {HKLM...CLSID} = "ACTHUMBNAIL" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Autodesk Shared\Thumbnail\AcThumbnail16.dll" ["Autodesk"] "{36A21736-36C2-4C11-8ACB-D4136F2B57BD}" = "Symbol-Overlay-Steuerprogramm für AutoCAD Digitale Signaturen" -> {HKLM...CLSID} = "AcSignIcon" \InProcServer32\(Default) = "C:\WINDOWS\system32\AcSignIcon.dll" ["Autodesk"] "{6DEA92E9-8682-4b6a-97DE-354772FE5727}" = "Autodesk DWF Preview" -> {HKLM...CLSID} = "ACDWFTHMBPRXY" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Autodesk Shared\Thumbnail\AcDwfThmbPrxy16.dll" ["Autodesk"] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler" -> {HKLM...CLSID} = "NeroDigitalIconHandler Class" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"] "{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler" -> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"] "{79BC0345-1015-11D2-A299-006008312725}" = "blue.shell" -> {HKLM...CLSID} = "Studio.Project" \InProcServer32\(Default) = "C:\Programme\Pinnacle\Studio 10\programs\BlueShellExt.dll" [null data] "{2582A520-4E2C-11D0-944A-00608CB854B7}" = "Micrografx Designer Schnellansicht" -> {HKLM...CLSID} = "Micrografx Designer Schnellansicht" \InProcServer32\(Default) = "fvds70.dll" ["Micrografx, Inc."] "{D0FAC080-AE1A-11ce-8016-CE90976DC901}" = "Picture Publisher Schnellansicht" -> {HKLM...CLSID} = "Picture Publisher File Viewer" \InProcServer32\(Default) = "ppiv20.dll" [null data] "{D9872D13-7651-4471-9EEE-F0A00218BEBB}" = "Multiscan" -> {HKLM...CLSID} = "ZLAVShExt Class" \InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"] "{1825D0FA-5B0C-4e20-A929-3EFD15B6DF71}" = "IntelliType Pro Touchpad Control Property Page" -> {HKLM...CLSID} = "IntelliType Pro Touchpad Control Property Page" \InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliType Pro\itcpltp.dll"" [MS] "{A2569D1F-4E06-43EC-9825-0088B471BE47}" = "IntelliType Pro Wireless Control Panel Property Page" -> {HKLM...CLSID} = "IntelliType Pro Wireless Control Panel Property Page" \InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliType Pro\itcplwir.dll"" [MS] "{97FA8AA2-EE77-4FF2-9449-424D8924EF21}" = "IntelliType Pro Zooming Control Panel Property Page" -> {HKLM...CLSID} = "IntelliType Pro Zooming Property Page" \InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliType Pro\itcplzm.dll"" [MS] "{111D8120-25EB-4E1C-A4DF-C9EE5FCA35CB}" = "IntelliType Pro Scrolling Control Panel Property Page" -> {HKLM...CLSID} = "IntelliType Pro Scrolling Property Page" \InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliType Pro\itcplwhl.dll"" [MS] "{ED6E87C6-8A83-43aa-8208-8DBC8247F4D2}" = "IntelliType Pro Key Settings Control Panel Property Page" -> {HKLM...CLSID} = "IntelliType Pro Key Settings Property Page" \InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliType Pro\itcplkey.dll"" [MS] "{20082881-FC36-4E47-9A7A-644C95FF749F}" = "IntelliPoint Wireless Control Panel Property Page" -> {HKLM...CLSID} = "Schnurlose Eigenschaften" \InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliPoint\ipcplwir.dll"" [MS] "{AF90F543-6A3A-4C1B-8B16-ECEC073E69BE}" = "IntelliPoint Wheel Control Panel Property Page" -> {HKLM...CLSID} = "Scrollrad-Eigenschaftenseite" \InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliPoint\ipcplwhl.dll"" [MS] "{653DCCC2-13DB-45B2-A389-427885776CFE}" = "IntelliPoint Activities Control Panel Property Page" -> {HKLM...CLSID} = "Aktivitäten-Eigenschaftenseite" \InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliPoint\ipcplact.dll"" [MS] "{124597D8-850A-41AE-849C-017A4FA99CA2}" = "IntelliPoint Buttons Control Panel Property Page" -> {HKLM...CLSID} = "Tasten-Eigenschaftenseite" \InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliPoint\ipcplbtn.dll"" [MS] "{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders" -> {HKLM...CLSID} = "Meine freigegebenen Ordner" \InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS] HKLM\Software\Classes\PROTOCOLS\Filter\ <<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS] HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler" -> {HKLM...CLSID} = "NeroDigitalColumnHandler Class" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"] {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}" -> {HKLM...CLSID} = "ZLAVShExt Class" \InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}" -> {HKLM...CLSID} = "ZLAVShExt Class" \InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"] Default executables: -------------------- HKCU\Software\Classes\.scr\(Default) = "AutoCADScriptFile" <<!>> HKCU\Software\Classes\AutoCADScriptFile\shell\open\command\(Default) = ""C:\WINDOWS\system32\notepad.exe" "%1"" [MS] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ "ClearRecentDocsOnExit" = (REG_DWORD) hex:0x00000001 {unrecognized setting} HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\Greilberger\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 19 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{F2CF5485-4E02-4F68-819C-B92DE9277049}" -> {HKLM...CLSID} = "&Links" \InProcServer32\(Default) = "C:\WINDOWS\system32\ieframe.dll" [MS] Explorer Bars HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\ {9455301C-CF6B-11D3-A266-00C04F689C50}\(Default) = (no title provided) -> {HKLM...CLSID} = "Encarta &Recherche-Assistent" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL" [MS] HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren" Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar] InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}" -> {HKCU...CLSID} = "Java Plug-in 1.6.0_03" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."] -> {HKLM...CLSID} = "Java Plug-in 1.6.0_03" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll" ["Sun Microsystems, Inc."] {92780B25-18CC-41C8-B9BE-3C9C571A8263}\ "ButtonText" = "Recherchieren" {9455301C-CF6B-11D3-A266-00C04F689C50}\ "ButtonText" = "Recherche-Assistent" {B205A35E-1FC4-4CE3-818B-899DBBB3388C}\ {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE"" [MS] MSSQL$PINNACLESYS, MSSQL$PINNACLESYS, ""C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS" [MS] NVIDIA Driver Helper Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"] Pinnacle Systems Media Service, PinnacleSys.MediaServer, "c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe" [null data] TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs, LLC"] Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ hpzsnt10\Driver = "hpzsnt10.dll" ["HP"] Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS] Redirected Port\Driver = "redmonnt.dll" [null data] ---------- (launch time: 2007-11-02 22:21:15) <<!>>: Suspicious data at a malware launch point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer "No" at the first message box and "Yes" at the second message box. ---------- (total run time: 51 seconds, including 4 seconds for message boxes) --------------------------------------------------------------------- pspv.exe H:\Eigene Dateien\!Ralph\Tool's Tool.PassView Verschoben. Process.exe H:\Eigene Dateien\!Ralph\Tool's\Security\SmitfraudFix Tool.Prockill Verschoben. restart.exe H:\Eigene Dateien\!Ralph\Tool's\Security\SmitfraudFix Tool.ShutDown.11 Verschoben. hfcp.exe C:\Program Files\Hide Files Program.HideFiles snpuhyny.dll.vir C:\qoobox\Quarantine\C\WINDOWS\system32 Trojan.Virtumod Gelöscht. vcwbwqdr.dll.vir C:\qoobox\Quarantine\C\WINDOWS\system32 Trojan.Virtumod Gelöscht. A0000003.dll C:\System Volume Information\_restore{2176714C-61E3-480A-B687-F429CD1FE220}\RP2 Trojan.Virtumod Gelöscht. A0000004.dll C:\System Volume Information\_restore{2176714C-61E3-480A-B687-F429CD1FE220}\RP2 Trojan.Virtumod Gelöscht. A0002188.exe C:\System Volume Information\_restore{2176714C-61E3-480A-B687-F429CD1FE220}\RP4 Adware.LoopAd Verschoben. |
|
|
||
05.11.2007, 17:04
Member
Beiträge: 694 |
#10
Hi,
das Log von Dr.Web ist nicht ganz vollständig, kannst Du das bitten nochmal posten. Jetzt schon zu erkennen ist, das die Systemwiederherstellung bereinigt werden muß: http://www.bsi.bund.de/av/texte/wiederher.htm Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt: Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten; Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder). Einen ersten Restorepunkt setzten: Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen chris |
|
|
||
05.11.2007, 22:15
Member
Themenstarter Beiträge: 39 |
#11
hallo,
mehr stand aber nicht im log von Dr.Web, das war die ganze *.csv datei. Oder habe ich was falsch gemacht?????? Jedenfalls habe ich mal die Systemwiederherstellungspunkte gelöscht und einen neuen erstellt. Was brauchst du um zu überprüfen ob mein system jetzt sauber ist? siggi666 |
|
|
||
06.11.2007, 07:34
Member
Beiträge: 694 |
#12
Hi,
Du solltest z. B. Antivir installieren (oder AVG) und dann einen Fullscann machen: Antivir:http://www.free-av.de/ Einstellung: http://board.protecus.de/t23979.htm (Nach dem Scann die Heuristik auf "mittel" zurückdrehen... Poste das Ergebnis, zusätzlich kannst Du noch mit Ewido-Microscanner suchen, der ist auch recht gut (Poste auch dort das Ergebnis, allerdings ohne Cookies)... Ewido Micro: http://downloads.ewido.net/ewido_micro.exe Chris |
|
|
||
07.11.2007, 23:08
Member
Themenstarter Beiträge: 39 |
#13
hallo,
hier das antivir log-file, ewido hab ich als zweites gescannt hat aber nichts gefunden. AntiVir PersonalEdition Classic Erstellungsdatum der Reportdatei: Dienstag, 6. November 2007 23:02 Es wird nach 920191 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Benutzername: SYSTEM Computername: GREILPC001 Versionsinformationen: BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00 AVSCAN.EXE : 7.0.6.1 290856 Bytes 23.08.2007 13:16:24 AVSCAN.DLL : 7.0.6.0 57384 Bytes 14.08.2007 15:48:28 LUKE.DLL : 7.0.5.3 147496 Bytes 14.08.2007 15:32:43 LUKERES.DLL : 7.0.6.0 10792 Bytes 14.08.2007 15:49:04 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 14:27:15 ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13.09.2007 14:26:55 ANTIVIR2.VDF : 7.0.0.172 1092608 Bytes 05.11.2007 21:54:12 ANTIVIR3.VDF : 7.0.0.179 54784 Bytes 06.11.2007 21:54:12 AVEWIN32.DLL : 7.6.0.34 3125760 Bytes 06.11.2007 21:54:12 AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 10:36:23 AVPREF.DLL : 7.0.2.2 25640 Bytes 18.07.2007 07:16:50 AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:16:24 AVPACK32.DLL : 7.3.0.15 360488 Bytes 03.08.2007 08:46:00 AVREG.DLL : 7.0.1.6 30760 Bytes 18.07.2007 07:17:02 AVARKT.DLL : 1.0.0.20 278568 Bytes 28.08.2007 12:26:28 AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18.07.2007 07:10:14 NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 11:09:03 RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07.08.2007 12:37:51 RCTEXT.DLL : 7.0.62.0 90152 Bytes 21.08.2007 12:50:28 SQLITE3.DLL : 3.3.17.1 339968 Bytes 23.07.2007 09:37:21 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: H:, Durchsuche Speicher..............: ein Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: aus Archiv Smart Extensions..........: ein Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, Makrovirenheuristik..............: ein Dateiheuristik...................: hoch Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Dienstag, 6. November 2007 23:02 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PMSHost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sqlservr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ipoint.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'itype.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '30' Prozesse mit '30' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [HINWEIS] Es wurde kein Virus gefunden! Masterbootsektor HD1 [HINWEIS] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'D:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'H:\' [HINWEIS] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '21' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <SYSTEM> C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Greilberger\DoctorWeb\Quarantine\A0002188.exe [FUND] Enthält Erkennungsmuster des SPR/Remotewatch-Programmes [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4760e4ef.qua' verschoben! C:\Dokumente und Einstellungen\Greilberger\DoctorWeb\Quarantine\pspv.exe [FUND] Enthält Erkennungsmuster des SPR/PSW.PassView.B-Programmes [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47a0e53a.qua' verschoben! C:\Dokumente und Einstellungen\Greilberger\DoctorWeb\Quarantine\restart.exe [FUND] Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47a3e531.qua' verschoben! C:\System Volume Information\_restore{2176714C-61E3-480A-B687-F429CD1FE220}\RP3\A0002028.exe [FUND] Enthält Erkennungsmuster des SPR/Remotewatch-Programmes [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4760ed3e.qua' verschoben! C:\System Volume Information\_restore{2176714C-61E3-480A-B687-F429CD1FE220}\RP3\A0002029.exe [FUND] Enthält Erkennungsmuster des SPR/PSW.PassView.B-Programmes [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46078137.qua' verschoben! C:\System Volume Information\_restore{2176714C-61E3-480A-B687-F429CD1FE220}\RP3\A0002030.exe [FUND] Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4760ed30.qua' verschoben! Beginne mit der Suche in 'D:\' <VIDEO> Beginne mit der Suche in 'H:\' <HOME> H:\Eigene Dateien\!Ralph\Tool's\MP3 Tools\freeripmp3.exe [FUND] Enthält Erkennungsmuster des Droppers DR/MyWebSearch.1162962 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4795efab.qua' verschoben! H:\Eigene Dateien\!Ralph\Tool's\Security\avenger.exe [FUND] Enthält Erkennungsmuster des SPR/Avenger-Programmes [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4795f00e.qua' verschoben! H:\Eigene Dateien\!Ralph\Tool's\Security\SmitfraudFix\Reboot.exe [FUND] Enthält Erkennungsmuster des SPR/Tool.Reboot.C-Programmes [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4792f015.qua' verschoben! Ende des Suchlaufs: Dienstag, 6. November 2007 23:54 Benötigte Zeit: 51:42 min Der Suchlauf wurde vollständig durchgeführt. 4393 Verzeichnisse wurden überprüft 224715 Dateien wurden geprüft 9 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 9 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 224706 Dateien ohne Befall 1557 Archive wurden durchsucht 2 Warnungen 105 Hinweise |
|
|
||
09.11.2007, 07:40
Member
Beiträge: 694 |
#14
Hi,
Ok, bis auf das hier: H:\Eigene Dateien\!Ralph\Tool's\MP3 Tools\freeripmp3.exe Ist das meiste die Tools mit denen wir gearbeitet haben, ev. noch mal die Systemwiederherstellung löschen... Chris |
|
|
||
es geht gar nichts mehr, die maus reagiert nicht mehr und ich kann auch mit Strg+Alt+Entf den taskmanager nicht starten. alles was bleibt ist die Reset-Taste zu drücken.
ich hoffe es kann mir jemand helfen denn ich denke das ein virus oder trojaner dahinter steckt.
mfg