Trojaner TR/Qhost.PH lässt sich nicht entfernen. |
||
---|---|---|
#0
| ||
29.10.2007, 09:13
Member
Beiträge: 104 |
||
|
||
29.10.2007, 10:44
Ehrenmitglied
Beiträge: 6028 |
||
|
||
29.10.2007, 11:56
Member
Themenstarter Beiträge: 104 |
#3
hier der Combofix report:
ComboFix 07-10-29.1 - Besitzer 2007-10-29 11:34:12.1 - NTFSx86 ausgeführt von:: C:\Dokumente und Einstellungen\Besitzer\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\4_exception.nls C:\WINDOWS\system32\drivers\ip6fw.sys C:\WINDOWS\system32\drivers\runtime2.sys C:\WINDOWS\system32\sulimo.dat . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\LEGACY_RUNTIME -------\LEGACY_RUNTIME2 -------\runtime ((((((((((((((((((((((( Dateien erstellt von 2007-09-28 bis 2007-10-29 )))))))))))))))))))))))))))))) . 2007-10-29 11:32 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-10-29 11:28 20,992 --a------ C:\WINDOWS\daedae.exe 2007-10-29 11:28 16,384 --a------ C:\WINDOWS\xlavba6.exe 2007-10-24 10:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2007-10-23 19:09 582,656 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-10-29 10:43 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype 2007-10-29 10:25 --------- d-----w C:\Programme\MDT6 2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll 2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll 2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll 2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe 2007-07-30 17:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll 2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll 2007-07-30 17:19 271,224 ----a-w C:\WINDOWS\system32\mucltui.dll 2007-07-30 17:19 207,736 ----a-w C:\WINDOWS\system32\muweb.dll 2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll 2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll 2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\wups.dll 2002-09-04 09:26 62,264 ----a-w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\GDIPFONTCACHEV1.DAT . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Apoint"="C:\Programme\Apoint\Apoint.exe" [2003-09-19 14:35] "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-05-02 15:51] "SigmaTel StacMon"="C:\Programme\SigmaTel\C-Major Audio\stacmon.exe" [2003-03-26 18:19] "Mouse Suite 98 Daemon"="ICO.EXE" [2002-03-14 16:46 C:\WINDOWS\system32\ico.exe] "ezShieldProtector for Px"="C:\WINDOWS\System32\ezSP_Px.exe" [2002-08-20 10:29] "HKSERV.EXE"="C:\Programme\Sony\HotKey Utility\HKserv.exe" [2003-08-14 10:00] "MaxtorOneTouch"="C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe" [2003-05-21 14:30] "MXO Auto Loader"="C:\WINDOWS\MXOALDR.EXE" [2003-04-07 17:09] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2004-01-13 15:30] "HPDJ Taskbar Utility"="C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe" [2003-09-01 12:42] "HP Software Update"="C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [2003-06-25 10:24] "HP Component Manager"="C:\Programme\HP\hpcoretech\hpcmpmgr.exe" [2003-10-23 18:51] "DeviceDiscovery"="C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" [2003-05-21 17:37] "Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2004-03-22 14:23 C:\WINDOWS\KHALMNPR.Exe] "CONNECTScheduler"="C:\Programme\Sony\CONNECTAutoUpdate\CONNECTScheduler.exe" [2005-10-12 03:29] "ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 11:15] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2002-09-11 13:25] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LDM"="C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe" [2004-10-02 15:22] "Skype"="C:\Programme\Skype\Phone\Skype.exe" [2005-07-08 16:56] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 08:57] "SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 15:46] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce] "ICQ Lite"=C:\Programme\ICQLite\ICQLite.exe -trayboot C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ Acrobat Assistant.lnk - C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-07-30 02:52:00] CONNECTAUTrayApp.lnk - C:\Programme\sony\CONNECTAutoUpdate\CONNECTAUTrayApp.exe [2005-10-14 02:18:13] Logitech Desktop Messenger.lnk - C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2004-10-02 15:22:22] Logitech SetPoint.lnk - C:\Programme\Logitech\SetPoint\kem.exe [2004-10-02 15:21:34] Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 00:01:04] PowerPanel.lnk - C:\Programme\powerpanel\Program\PcfMgr.exe [2003-11-18 14:22:47] R3 HSFHWSIS;HSFHWSIS;C:\WINDOWS\system32\DRIVERS\HSFHWSIS.sys R3 SPI;Sony Programmable I/O Control Device;C:\WINDOWS\system32\DRIVERS\SonyPI.sys [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E] AutoRun\command - E:\autorun.exe readit\command - notepad readme.doc . ************************************************************************** catchme 0.3.1239 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-10-29 11:53:23 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2007-10-29 11:54:33 - machine was rebooted . --- E O F --- HIJACK LOG: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:59:28, on 29.10.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16544) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\PROGRA~1\Dantz\RETROS~1\retrorun.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\sony\vaio media music server\SSSvr.exe C:\Programme\sony\photo server\appsrv\PhotoAppSrv.exe C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\sv_httpd.exe C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\UPnPFramework.exe C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe C:\Programme\Apoint\Apoint.exe C:\Programme\SigmaTel\C-Major Audio\stacmon.exe C:\WINDOWS\system32\ICO.EXE C:\WINDOWS\System32\ezSP_Px.exe C:\Programme\Sony\HotKey Utility\HKserv.exe C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe C:\WINDOWS\MXOALDR.EXE C:\Programme\Apoint\Apntex.exe C:\Programme\Sony\HotKey Utility\HKWnd.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\Sony\CONNECTAutoUpdate\CONNECTScheduler.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\sony\CONNECTAutoUpdate\CONNECTAUTrayApp.exe C:\Programme\Logitech\SetPoint\kem.exe C:\Programme\Gemeinsame Dateien\Sony Shared\GMR\GMRMan.exe C:\Programme\powerpanel\Program\PcfMgr.exe C:\Programme\Logitech\SetPoint\KHALMNPR.EXE C:\Programme\sony\CONNECTAutoUpdate\CONNECTAutoUpdate.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Besitzer\Desktop\HiJackThis\HJT.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programme\SigmaTel\C-Major Audio\stacmon.exe O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe O4 - HKLM\..\Run: [MXO Auto Loader] C:\WINDOWS\MXOALDR.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [CONNECTScheduler] "C:\Programme\Sony\CONNECTAutoUpdate\CONNECTScheduler.exe" /RUN_SCHEDULER O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: CONNECTAUTrayApp.lnk = C:\Programme\sony\CONNECTAutoUpdate\CONNECTAUTrayApp.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Logitech SetPoint.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: PowerPanel.lnk = ? O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/ O15 - Trusted Zone: *.sony-europe.com O15 - Trusted Zone: *.sonystyle-europe.com O15 - Trusted Zone: *.vaio-link.com O16 - DPF: {07041BB2-F22C-413C-9597-622D474EE889} (DLCFRAME (version 1,2,4,25)) - http://service.wuerth.de/duebeltechnik/DLCFrame.cab O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\MDT6\InstFred.ocx O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1184525456312 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1184525432015 O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\MDT6\AcDcToday.ocx O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\MDT6\InstBanr.ocx O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/activex/IPSUploader.cab O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\MDT6\AcPreview.ocx O17 - HKLM\System\CCS\Services\Tcpip\..\{7900459A-10CE-4A1D-9B4B-89EEE8A78C14}: NameServer = 192.168.100.1 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe O23 - Service: Retrospect Launcher (RetroLauncher) - Dantz Development Corporation - C:\PROGRA~1\Dantz\RETROS~1\retrorun.exe O23 - Service: Sony SCSI Helper Service - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\Fsk\SonySCSIHelperService.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe O23 - Service: VAIO Media Music Server (VAIOMediaPlatform-MusicServer-AppServer) - Sony Corporation - C:\Programme\sony\vaio media music server\SSSvr.exe O23 - Service: VAIO Media Music Server (HTTP) (VAIOMediaPlatform-MusicServer-HTTP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\sv_httpd.exe O23 - Service: VAIO Media Music Server (UPnP) (VAIOMediaPlatform-MusicServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\UPnPFramework.exe O23 - Service: VAIO Media Photo Server (VAIOMediaPlatform-PhotoServer-AppServer) - Sony Corporation - C:\Programme\sony\photo server\appsrv\PhotoAppSrv.exe O23 - Service: VAIO Media Photo Server (HTTP) (VAIOMediaPlatform-PhotoServer-HTTP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe O23 - Service: VAIO Media Photo Server (UPnP) (VAIOMediaPlatform-PhotoServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe -- End of file - 11735 bytes DATFIND: 29.10.2007 09:19 427.790 perfh009.dat 29.10.2007 09:19 66.574 perfc009.dat 29.10.2007 09:19 443.014 perfh007.dat 29.10.2007 09:19 78.558 perfc007.dat 29.10.2007 09:19 1.028.816 PerfStringBackup.INI 29.10.2007 09:06 1.158 wpa.dbl 23.10.2007 19:26 249.936 TZLog.log 27.09.2007 21:19 18.089.592 MRT.exe 21.08.2007 07:16 683.520 inetcomm.dll 20.08.2007 10:55 102.400 occache.dll 20.08.2007 10:55 824.832 wininet.dll 20.08.2007 10:55 232.960 webcheck.dll 20.08.2007 10:55 105.984 url.dll 20.08.2007 10:55 671.232 mstime.dll 20.08.2007 10:55 1.152.000 urlmon.dll 20.08.2007 10:55 3.584.512 mshtml.dll 20.08.2007 10:55 193.024 msrating.dll 20.08.2007 10:55 477.696 mshtmled.dll 20.08.2007 10:55 459.264 msfeeds.dll 20.08.2007 10:55 52.224 msfeedsbs.dll 20.08.2007 10:55 27.648 jsproxy.dll 20.08.2007 10:55 1.824.768 inetcpl.cpl 20.08.2007 10:55 267.776 iertutil.dll 20.08.2007 10:55 44.544 iernonce.dll 20.08.2007 10:55 6.058.496 ieframe.dll 20.08.2007 10:55 383.488 ieapfltr.dll 20.08.2007 10:55 384.512 iedkcs32.dll 20.08.2007 10:55 230.400 ieaksie.dll 20.08.2007 10:55 132.608 extmgr.dll 20.08.2007 10:55 153.088 ieakeng.dll 20.08.2007 10:55 214.528 dxtrans.dll 20.08.2007 10:55 63.488 icardie.dll 20.08.2007 10:55 124.928 advpack.dll 17.08.2007 11:19 13.824 ieudinit.exe 17.08.2007 11:19 63.488 ie4uinit.exe 17.08.2007 08:34 161.792 ieakui.dll 30.07.2007 18:20 30.040 wuaucpl.cpl.mui 30.07.2007 18:20 30.040 wuapi.dll.mui 30.07.2007 18:19 1.712.984 wuaueng.dll 30.07.2007 18:19 549.720 wuapi.dll 30.07.2007 18:19 325.976 wucltui.dll 30.07.2007 18:19 216.408 wuaucpl.cpl 30.07.2007 18:19 203.096 wuweb.dll 30.07.2007 18:19 92.504 cdm.dll 30.07.2007 18:19 53.080 wuauclt.exe 30.07.2007 18:19 43.352 wups2.dll 30.07.2007 18:19 271.224 mucltui.dll 30.07.2007 18:19 207.736 muweb.dll 30.07.2007 18:18 34.136 wucltui.dll.mui 30.07.2007 18:18 30.072 mucltui.dll.mui 30.07.2007 18:18 33.624 wups.dll 30.07.2007 18:18 20.824 wuaueng.dll.mui 22.07.2007 18:39 279.552 swreg.exe 18.07.2007 13:42 60.416 tzchange.exe 15.07.2007 20:38 236.760 FNTCACHE.DAT 15.07.2007 20:06 23.392 nscompat.tlb 15.07.2007 20:06 16.832 amcompat.tlb 09.07.2007 14:16 582.656 rpcrt4.dll Also der Antivir meldet andauernt den Trojaner und blockiert damit ständig alle andern funktionen.Ich bin nur die fenster vom antivir am zuklicken. Der TR befindet sich in C:/WINDOWS/system32/sulimo.dat Dieser Beitrag wurde am 29.10.2007 um 12:08 Uhr von Dasmo editiert.
|
|
|
||
29.10.2007, 12:10
Ehrenmitglied
Beiträge: 6028 |
#4
Entferne auf C:\ Qoobox-->Papierkorb leeren
Verborgene Dateien sichtbar machen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren. Prüfe mal diese Datei(en) bei VirusTotal oder Jotti C:\WINDOWS\daedae.exe C:\WINDOWS\xlavba6.exe Stand alone DrWeb Stand alone Kaspersky __________ MfG Argus |
|
|
||
29.10.2007, 12:39
Member
Themenstarter Beiträge: 104 |
#5
und dann??? der hat da 4 sachen gefunden.
|
|
|
||
29.10.2007, 12:41
Ehrenmitglied
Beiträge: 6028 |
||
|
||
29.10.2007, 12:42
Member
Themenstarter Beiträge: 104 |
#7
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.10.27.0 2007.10.29 - AntiVir 7.6.0.30 2007.10.29 HEUR/Malware Authentium 4.93.8 2007.10.28 - Avast 4.7.1074.0 2007.10.28 - AVG 7.5.0.503 2007.10.28 - BitDefender 7.2 2007.10.29 - CAT-QuickHeal 9.00 2007.10.26 (Suspicious) - DNAScan ClamAV 0.91.2 2007.10.29 - DrWeb 4.44.0.09170 2007.10.29 - eSafe 7.0.15.0 2007.10.28 - eTrust-Vet 31.2.5250 2007.10.29 - Ewido 4.0 2007.10.28 - FileAdvisor 1 2007.10.29 - Fortinet 3.11.0.0 2007.10.19 - F-Prot 4.3.2.48 2007.10.29 - F-Secure 6.70.13030.0 2007.10.29 - Ikarus T3.1.1.12 2007.10.29 - Kaspersky 7.0.0.125 2007.10.29 - McAfee 5150 2007.10.26 - Microsoft 1.2908 2007.10.29 - NOD32v2 2622 2007.10.28 - Norman 5.80.02 2007.10.26 - Panda 9.0.0.4 2007.10.28 Suspicious file Prevx1 V2 2007.10.29 - Rising 19.47.02.00 2007.10.29 - Sophos 4.23.0 2007.10.29 - Sunbelt 2.2.907.0 2007.10.27 - Symantec 10 2007.10.29 - TheHacker 6.2.9.110 2007.10.27 - VBA32 3.12.2.4 2007.10.28 - VirusBuster 4.3.26:9 2007.10.28 - Webwasher-Gateway 6.6.1 2007.10.29 Heuristic.Malware Die daedae.exe nimmt der nicht an |
|
|
||
29.10.2007, 12:47
Ehrenmitglied
Beiträge: 6028 |
#8
cfscript.txt
1. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. file:: C:\WINDOWS\daedae.exe C:\WINDOWS\xlavba6.exe 2. Sleppe diese Datei in ComboFix.exe(sehe Bild) ComboFix wird jetzt starten und die Daten ausfuehren Nach neustart des Rechners,poste das log von ComboFix __________ MfG Argus |
|
|
||
29.10.2007, 12:50
Member
Themenstarter Beiträge: 104 |
#9
mit folgenden text meinst du was genau??
meinst du das hier? file:: C:\WINDOWS\daedae.exe C:\WINDOWS\xlavba6.exe |
|
|
||
29.10.2007, 12:53
Ehrenmitglied
Beiträge: 6028 |
#10
Du kopierst das ganze total
file:: C:\WINDOWS\daedae.exe C:\WINDOWS\xlavba6.exe __________ MfG Argus |
|
|
||
29.10.2007, 13:01
Member
Themenstarter Beiträge: 104 |
#11
ComboFix 07-10-29.1 - Besitzer 2007-10-29 12:57:46.2 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Besitzer\Desktop\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\Besitzer\Desktop\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt FILE:: C:\WINDOWS\daedae.exe C:\WINDOWS\xlavba6.exe . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\daedae.exe C:\WINDOWS\xlavba6.exe . ((((((((((((((((((((((( Dateien erstellt von 2007-09-28 bis 2007-10-29 )))))))))))))))))))))))))))))) . 2007-10-29 11:32 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-10-24 10:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2007-10-23 19:09 582,656 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-10-29 10:43 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype 2007-10-29 10:25 --------- d-----w C:\Programme\MDT6 2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll 2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll 2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll 2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe 2007-07-30 17:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll 2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll 2007-07-30 17:19 271,224 ----a-w C:\WINDOWS\system32\mucltui.dll 2007-07-30 17:19 207,736 ----a-w C:\WINDOWS\system32\muweb.dll 2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll 2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll 2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\wups.dll 2002-09-04 09:26 62,264 ----a-w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\GDIPFONTCACHEV1.DAT . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Apoint"="C:\Programme\Apoint\Apoint.exe" [2003-09-19 14:35] "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-05-02 15:51] "SigmaTel StacMon"="C:\Programme\SigmaTel\C-Major Audio\stacmon.exe" [2003-03-26 18:19] "Mouse Suite 98 Daemon"="ICO.EXE" [2002-03-14 16:46 C:\WINDOWS\system32\ico.exe] "ezShieldProtector for Px"="C:\WINDOWS\System32\ezSP_Px.exe" [2002-08-20 10:29] "HKSERV.EXE"="C:\Programme\Sony\HotKey Utility\HKserv.exe" [2003-08-14 10:00] "MaxtorOneTouch"="C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe" [2003-05-21 14:30] "MXO Auto Loader"="C:\WINDOWS\MXOALDR.EXE" [2003-04-07 17:09] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2004-01-13 15:30] "HPDJ Taskbar Utility"="C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe" [2003-09-01 12:42] "HP Software Update"="C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [2003-06-25 10:24] "HP Component Manager"="C:\Programme\HP\hpcoretech\hpcmpmgr.exe" [2003-10-23 18:51] "DeviceDiscovery"="C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" [2003-05-21 17:37] "Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2004-03-22 14:23 C:\WINDOWS\KHALMNPR.Exe] "CONNECTScheduler"="C:\Programme\Sony\CONNECTAutoUpdate\CONNECTScheduler.exe" [2005-10-12 03:29] "ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 11:15] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2002-09-11 13:25] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LDM"="C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe" [2004-10-02 15:22] "Skype"="C:\Programme\Skype\Phone\Skype.exe" [2005-07-08 16:56] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 08:57] "SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 15:46] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce] "ICQ Lite"=C:\Programme\ICQLite\ICQLite.exe -trayboot C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ Acrobat Assistant.lnk - C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-07-30 02:52:00] CONNECTAUTrayApp.lnk - C:\Programme\sony\CONNECTAutoUpdate\CONNECTAUTrayApp.exe [2005-10-14 02:18:13] Logitech Desktop Messenger.lnk - C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2004-10-02 15:22:22] Logitech SetPoint.lnk - C:\Programme\Logitech\SetPoint\kem.exe [2004-10-02 15:21:34] Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 00:01:04] PowerPanel.lnk - C:\Programme\powerpanel\Program\PcfMgr.exe [2003-11-18 14:22:47] R3 HSFHWSIS;HSFHWSIS;C:\WINDOWS\system32\DRIVERS\HSFHWSIS.sys R3 SPI;Sony Programmable I/O Control Device;C:\WINDOWS\system32\DRIVERS\SonyPI.sys [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E] AutoRun\command - E:\autorun.exe readit\command - notepad readme.doc . ************************************************************************** catchme 0.3.1239 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-10-29 13:00:29 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2007-10-29 13:01:08 C:\ComboFix2.txt ... 2007-10-29 11:54 . --- E O F --- |
|
|
||
29.10.2007, 13:09
Ehrenmitglied
Beiträge: 6028 |
#12
Entferne auf C:\ Qoobox-->Papierkorb leeren
Systemwiederherstellung Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. Neu Starten Dann wieder aktivieren (Häkchen entfernen) Antivir Stelle Antivir so ein wie hier beschrieben http://board.protecus.de/t23979.htm JAVA Dein Java software ist veraltet, Download jre-6u3-windows-i586-p.exe Scrolle runter nach ----> Java Runtime Environment (JRE) 6 Update 3 The Java SE Runtime Environment (JRE) allows end-users to run Java applications. Klicke auf Download Setze in haeckchen bei --->"Accept License Agreement". Klicke “Windows Offline Installation, Multi-language” um “jre-6u3-windows-i586-p.exe” zum Desktop zu installieren Schliesse alle Programme auch dein Webbrowser Ueber "Start -> Einstellungen -> Systemsteuerung -> Software Und entferne alle aeltere versionen von Java Runtime Environment (JRE of J2SE) Auch auf C:\Programme\Java entfernen! Nachdem alles entfernt wurde --->Rechner neu starten Installiere jetzt vom Desktop aus ---> jre-6u3-windows-i586-p.exe Entferne CombiFix bitte von dein Rechner Start > Ausführen>Kopiere rein ComboFix /u OK __________ MfG Argus |
|
|
||
29.10.2007, 13:46
Member
Themenstarter Beiträge: 104 |
#13
so alles erledigt.und jetzt?
|
|
|
||
29.10.2007, 14:01
Ehrenmitglied
Beiträge: 6028 |
||
|
||
29.10.2007, 16:16
Member
Themenstarter Beiträge: 104 |
#15
Jo schonmal vielen vielen dank.Werd jetzt nochmal den antivir durchjagen um zu schaun ob der noch was findet.Aber wenn die sulimo weg ist dürfte der ja nix finden.Nochmal vielen dank.
|
|
|
||
Ich hab folgendes Problem.
Ich hab seit ner weile den Trojaner TR/Qhost.PH auf meinem Lappi und bekomme den einfach net weg.Hab schon verschiedene Programme probiert um den zu entfernen wie z.B Antivir , Kaspersky , Spybot ,Norton...Antivir findet den zwar aber kann den nicht entfernen.Der TR befindet sich im Windows ordner ( C:/WINDOWS/system32/sulimo.dat)
Kann mir da jemand helfen????
Dqanke im Vorraus.