Virus - total ! |
||
|---|---|---|
| #0
| ||
|
30.11.2007, 07:17
Member
 Beiträge: 694 |
||
 
|
|
|
|
01.12.2007, 13:14
Member
Themenstarter Beiträge: 262 |
#47
regsvr32 \windows\system32\MSCOMCTL.OCX
fehlt - habe probeme beim Öffnen von Killbox, wo bekomme ich die Datei her bitte genaue Anweisung. |
|
|
|
|
|
|
01.12.2007, 14:57
Member
Themenstarter Beiträge: 262 |
#48
Ok ich habs geschafft
habs reinkopiert: C:\WINDOWS\system32\rpteexbl.dll habe auf delete gedrückt und er zeigt an: This file doesnt seem to exist. |
|
|
|
|
|
|
01.12.2007, 15:08
Member
Themenstarter Beiträge: 262 |
#49
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:07:00, on 01.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\avmwlanstick\WlanNetService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\pctspk.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\internet explorer\iexplore.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\WINDOWS\explorer.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: {36f4502d-0491-b6fa-4c94-dcd9af1d2ea2} - {2ae2d1fa-9dcd-49c4-af6b-1940d2054f63} - C:\WINDOWS\system32\rpteexbl.dll (file missing) O2 - BHO: (no name) - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - (no file) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [50dcca10] rundll32.exe "C:\WINDOWS\system32\yobkvnsc.dll",b O4 - HKLM\..\Run: [pilnglnm] C:\WINDOWS\system32\zxrmblkx.exe O4 - HKLM\..\Run: [IntelAudioStudio] "C:\Programme\Intel Audio Studio\IntelAudioStudio.exe" BOOT O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?8a2b2848eaca4216b2237966fce29887 O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?8a2b2848eaca4216b2237966fce29887 O18 - Protocol: haufereader - (no CLSID) - (no file) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 5307 bytes |
|
|
|
|
|
|
01.12.2007, 15:30
Ehrenmitglied
 Beiträge: 6028 |
#50
CombiFix entfernen
Start > Ausführen>Kopiere rein Combofix /u OK ComboFix Download ComboFix und speichert es auf den Desktop! Alle Fenster schliessen und combofix.exe starten Folge den Instruktionen in das Fenster Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\combofix.txt) nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" Wenn dein Virenscanner meckert,ignorieren ! __________ MfG Argus |
|
|
|
|
|
|
01.12.2007, 15:55
Ehrenmitglied
Beiträge: 6028 |
#51
Tag,Suzi
Wenn in der Anleitung von ComboFix stet Zitat Download ComboFix und speichert es auf den Desktop!Warum wird es dann nicht so gemacht? __________ MfG Argus |
|
|
|
|
|
|
01.12.2007, 15:59
Member
Themenstarter Beiträge: 262 |
#52
Sorry ich habs in dem Downlod Ordner gespeichert, ich machs nochmal
|
|
|
|
|
|
|
01.12.2007, 16:06
Member
Themenstarter Beiträge: 262 |
#53
ComboFix 07-11-19.4C - SUZAN SHALABI 2007-12-01 16:02:44.5 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.548 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\SUZAN SHALABI\Desktop\ComboFix.exe . ((((((((((((((((((((((( Dateien erstellt von 2007-11-01 bis 2007-12-01 )))))))))))))))))))))))))))))) . 2007-12-01 14:53 1,066,176 --a------ C:\WINDOWS\system32\MSCOMCTL.OCX 2007-12-01 14:50 1,072,201 --a------ C:\WINDOWS\system32\MSCOMCTL[1].OCX 2007-11-29 09:58 <DIR> d-------- C:\Programme\goop 2007-11-29 09:58 <DIR> d-------- C:\Programme\eMule 2007-11-21 17:50 <DIR> d-------- C:\Programme\Avira 2007-11-21 17:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2007-11-20 18:06 <DIR> d-------- C:\Programme\Windows Live 2007-11-20 18:06 <DIR> d--hsc--- C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller 2007-11-20 18:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller 2007-11-12 18:15 <DIR> d-------- C:\Programme\Philips Vesta Camera 2007-11-12 16:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier 2007-11-12 16:32 54,672 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll 2007-11-12 16:32 21,904 --a------ C:\WINDOWS\system32\imsinstall_loc0407.dll 2007-11-12 16:32 17,808 --a------ C:\WINDOWS\system32\imslsp_install_loc0407.dll 2007-11-12 16:26 <DIR> d-------- C:\WINDOWS\Internet Logs 2007-11-12 16:13 <DIR> d-------- C:\Temp 2007-11-12 16:13 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx 2007-11-09 14:22 <DIR> d-------- C:\Programme\Trend Micro 2007-11-08 12:20 143 --a------ C:\WINDOWS\system32\mcrh.tmp 2007-11-05 19:00 569,902 ---hs---- C:\WINDOWS\system32\qofxfabl.ini 2007-11-03 18:01 <DIR> d-------- C:\Tivola 2007-11-03 17:14 582,774 ---hs---- C:\WINDOWS\system32\dgewgjxi.ini . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-01 15:04 --------- d-----w C:\Dokumente und Einstellungen\SUZAN SHALABI\Anwendungsdaten\Skype 2007-12-01 10:28 6,740 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2007-12-01 10:28 483,360 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat 2007-11-22 17:26 --------- d-----w C:\Programme\Windows Live Toolbar 2007-11-15 08:20 --------- d-----w C:\Dokumente und Einstellungen\SUZAN SHALABI\Anwendungsdaten\AdobeUM 2007-11-12 15:32 75,932 ----a-w C:\WINDOWS\system32\drivers\klick.dat 2007-11-12 15:32 74,396 ----a-w C:\WINDOWS\system32\drivers\klin.dat 2007-10-29 16:27 --------- d-----w C:\Dokumente und Einstellungen\SUZAN SHALABI\Anwendungsdaten\TuneUp Software 2007-10-29 14:38 --------- d-----w C:\Programme\TuneUp Utilities 2007 2007-10-29 14:38 --------- d-----w C:\Dokumente und Einstellungen\ROBERT SHALABI\Anwendungsdaten\TuneUp Software 2007-10-29 14:38 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software 2007-10-29 14:37 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2007-10-18 10:31 51,224 ----a-w C:\WINDOWS\system32\sirenacm.dll 2007-10-14 18:39 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Napster 2007-10-10 16:15 --------- d-----w C:\Dokumente und Einstellungen\ROBERT SHALABI\Anwendungsdaten\AdobeUM 2006-06-30 10:26 774,144 ----a-w C:\Programme\RngInterstitial.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2ae2d1fa-9dcd-49c4-af6b-1940d2054f63}] C:\WINDOWS\system32\rpteexbl.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{59879FA4-4790-461c-A1CC-4EC4DE4CA483}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "msnmsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00] "Skype"="C:\Programme\Skype\Phone\Skype.exe" [2006-06-12 16:33] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="RUNDLL32.exe" [2004-08-04 13:00 C:\WINDOWS\system32\rundll32.exe] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-12-28 21:24] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-11-30 11:07] "ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-21 21:54] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-09-10 11:52] "50dcca10"="C:\WINDOWS\system32\yobkvnsc.dll" [] "pilnglnm"="C:\WINDOWS\system32\zxrmblkx.exe" [] "IntelAudioStudio"="C:\Programme\Intel Audio Studio\IntelAudioStudio.exe" [2005-04-08 19:37] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^hpoddt01.exe.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\hpoddt01.exe.lnk backup=C:\WINDOWS\pss\hpoddt01.exe.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Lexware Info Service.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Lexware Info Service.lnk backup=C:\WINDOWS\pss\Lexware Info Service.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AltnetPointsManager] C:\Program Files\Altnet\Points Manager\Points Manager.exe -s [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVMWlanClient] 2006-02-23 00:04 1499136 -ra------ C:\Programme\avmwlanstick\wlangui.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] 2004-08-04 13:00 15360 --a------ C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FLMOFFICE4DMOUSE] 2006-03-28 11:23 958464 --a------ C:\Programme\Labtec\Desktop\V5.1\moffice.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search] C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe /startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update] 2005-05-11 22:12 49152 --a------ C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32 [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelAudioStudio] C:\Programme\Intel Audio Studio\IntelAudioStudio.exe TRAY [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KAZAA] C:\Programme\Kazaa\kazaa.exe /SYSTRAY [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] 2001-07-09 09:50 155648 --a------ C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz] nwiz.exe /install [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OFFICEKB] 2006-03-28 11:23 387584 --a------ C:\Programme\Labtec\Desktop\V5.1\kbdap32a.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SemanticInsight] C:\Programme\RXToolBar\Semantic Insight\SemanticInsight.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 2005-06-03 03:52 36975 --a------ C:\Programme\Java\jre1.5.0_04\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\tbon] C:\Programme\TBONBin\tbon.exe /r [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot R2 Pctspk;PCTEL Speaker Phone;C:\WINDOWS\system32\pctspk.exe R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe -k netsvcs R3 Ptserlp;PCTEL Serial Device Driver for PCI;C:\WINDOWS\system32\DRIVERS\ptserlp.sys S0 tfgaqmyf;tfgaqmyf;C:\WINDOWS\system32\drivers\gjebhpfr.sys S3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys S3 HRService;Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope;"C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe" S3 phil2vid;Philips VGA-Kamera (USB);C:\WINDOWS\system32\DRIVERS\philcam2.sys HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2a3c3cb4-03af-11db-bfa3-00132061f2e3}] \Shell\AutoRun\command - F:\pushinst.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{429b9829-02eb-11db-bf9f-00132061f2e3}] \Shell\AutoRun\command - F:\preinst.exe . Inhalt des "geplante Tasks" Ordners "2007-10-29 14:38:32 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe "2007-12-01 14:40:03 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job" - C:\Programme\Windows Live Toolbar\MSNTBUP.EXE . ************************************************************************** catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-01 16:04:46 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2007-12-01 16:05:43 C:\ComboFix2.txt ... 2007-12-01 15:40 C:\ComboFix3.txt ... 2007-12-01 15:03 . --- E O F --- |
|
|
|
|
|
|
01.12.2007, 16:13
Ehrenmitglied
Beiträge: 6028 |
#54
Verborgene Dateien sichtbar machen
Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren Und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren. Prüfe mal diese Datei(en) bei VirusTotal oder Jotti C:\WINDOWS\system32\drivers\gjebhpfr.sys Stand alone DrWeb Stand alone Kaspersky __________ MfG Argus |
|
|
|
|
|
|
01.12.2007, 16:13
Member
Themenstarter Beiträge: 262 |
#55
Bei jedem Hochfahren des Rechner zeigt er mir immer dieses Fenster an:
Die Datei C:\windows\system32\yoblensc.dll kann nicht gefunden werden. |
|
|
|
|
|
|
01.12.2007, 16:18
Member
Themenstarter Beiträge: 262 |
||
|
|
|
|
|
01.12.2007, 16:21
Ehrenmitglied
Beiträge: 6028 |
#57
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei O2 - BHO: {36f4502d-0491-b6fa-4c94-dcd9af1d2ea2} - {2ae2d1fa-9dcd-49c4-af6b-1940d2054f63} - C:\WINDOWS\system32\rpteexbl.dll (file missing) O2 - BHO: (no name) - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - (no file) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [50dcca10] rundll32.exe "C:\WINDOWS\system32\yobkvnsc.dll",b O4 - HKLM\..\Run: [pilnglnm] C:\WINDOWS\system32\zxrmblkx.exe klicke: Fix checked Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst cfscript.txt 1. Den folgenden blauen Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. file:: C:\WINDOWS\system32\mcrh.tmp C:\WINDOWS\system32\qofxfabl.ini C:\WINDOWS\system32\dgewgjxi.ini C:\WINDOWS\system32\yobkvnsc.dll C:\WINDOWS\system32\zxrmblkx.exe C:\WINDOWS\system32\drivers\gjebhpfr.sys Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "50dcca10"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "pilnglnm"=- [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\tbon] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SemanticInsight] 2. Sleppe diese Datei in ComboFix.exe(sehe Bild) ComboFix wird jetzt starten und die Daten ausfuehren Nach neustart des Rechners,poste das log von ComboFix  __________ MfG Argus |
|
|
|
|
|
|
01.12.2007, 16:36
Member
Themenstarter Beiträge: 262 |
#58
ComboFix 07-11-19.4C - SUZAN SHALABI 2007-12-01 16:27:58.6 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.614 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\SUZAN SHALABI\Desktop\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\SUZAN SHALABI\Desktop\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt . ((((((((((((((((((((((( Dateien erstellt von 2007-11-01 bis 2007-12-01 )))))))))))))))))))))))))))))) . 2007-12-01 14:53 1,066,176 --a------ C:\WINDOWS\system32\MSCOMCTL.OCX 2007-12-01 14:50 1,072,201 --a------ C:\WINDOWS\system32\MSCOMCTL[1].OCX 2007-11-29 09:58 <DIR> d-------- C:\Programme\goop 2007-11-29 09:58 <DIR> d-------- C:\Programme\eMule 2007-11-21 17:50 <DIR> d-------- C:\Programme\Avira 2007-11-21 17:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2007-11-20 18:06 <DIR> d-------- C:\Programme\Windows Live 2007-11-20 18:06 <DIR> d--hsc--- C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller 2007-11-20 18:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller 2007-11-12 18:15 <DIR> d-------- C:\Programme\Philips Vesta Camera 2007-11-12 16:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier 2007-11-12 16:32 54,672 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll 2007-11-12 16:32 21,904 --a------ C:\WINDOWS\system32\imsinstall_loc0407.dll 2007-11-12 16:32 17,808 --a------ C:\WINDOWS\system32\imslsp_install_loc0407.dll 2007-11-12 16:26 <DIR> d-------- C:\WINDOWS\Internet Logs 2007-11-12 16:13 <DIR> d-------- C:\Temp 2007-11-12 16:13 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx 2007-11-09 14:22 <DIR> d-------- C:\Programme\Trend Micro 2007-11-08 12:20 143 --a------ C:\WINDOWS\system32\mcrh.tmp 2007-11-05 19:00 569,902 ---hs---- C:\WINDOWS\system32\qofxfabl.ini 2007-11-03 18:01 <DIR> d-------- C:\Tivola 2007-11-03 17:14 582,774 ---hs---- C:\WINDOWS\system32\dgewgjxi.ini . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-01 15:30 526,368 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat 2007-12-01 15:11 --------- d-----w C:\Dokumente und Einstellungen\SUZAN SHALABI\Anwendungsdaten\Skype 2007-12-01 10:28 6,740 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2007-11-22 17:26 --------- d-----w C:\Programme\Windows Live Toolbar 2007-11-15 08:20 --------- d-----w C:\Dokumente und Einstellungen\SUZAN SHALABI\Anwendungsdaten\AdobeUM 2007-11-12 15:32 75,932 ----a-w C:\WINDOWS\system32\drivers\klick.dat 2007-11-12 15:32 74,396 ----a-w C:\WINDOWS\system32\drivers\klin.dat 2007-10-29 16:27 --------- d-----w C:\Dokumente und Einstellungen\SUZAN SHALABI\Anwendungsdaten\TuneUp Software 2007-10-29 14:38 --------- d-----w C:\Programme\TuneUp Utilities 2007 2007-10-29 14:38 --------- d-----w C:\Dokumente und Einstellungen\ROBERT SHALABI\Anwendungsdaten\TuneUp Software 2007-10-29 14:38 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software 2007-10-29 14:37 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2007-10-18 10:31 51,224 ----a-w C:\WINDOWS\system32\sirenacm.dll 2007-10-14 18:39 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Napster 2007-10-10 16:15 --------- d-----w C:\Dokumente und Einstellungen\ROBERT SHALABI\Anwendungsdaten\AdobeUM 2006-06-30 10:26 774,144 ----a-w C:\Programme\RngInterstitial.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "msnmsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00] "Skype"="C:\Programme\Skype\Phone\Skype.exe" [2006-06-12 16:33] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="RUNDLL32.exe" [2004-08-04 13:00 C:\WINDOWS\system32\rundll32.exe] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-12-28 21:24] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-11-30 11:07] "ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-21 21:54] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-09-10 11:52] "IntelAudioStudio"="C:\Programme\Intel Audio Studio\IntelAudioStudio.exe" [2005-04-08 19:37] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^hpoddt01.exe.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\hpoddt01.exe.lnk backup=C:\WINDOWS\pss\hpoddt01.exe.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Lexware Info Service.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Lexware Info Service.lnk backup=C:\WINDOWS\pss\Lexware Info Service.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AltnetPointsManager] C:\Program Files\Altnet\Points Manager\Points Manager.exe -s [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVMWlanClient] 2006-02-23 00:04 1499136 -ra------ C:\Programme\avmwlanstick\wlangui.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] 2004-08-04 13:00 15360 --a------ C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FLMOFFICE4DMOUSE] 2006-03-28 11:23 958464 --a------ C:\Programme\Labtec\Desktop\V5.1\moffice.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search] C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe /startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update] 2005-05-11 22:12 49152 --a------ C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32 [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelAudioStudio] C:\Programme\Intel Audio Studio\IntelAudioStudio.exe TRAY [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KAZAA] C:\Programme\Kazaa\kazaa.exe /SYSTRAY [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] 2001-07-09 09:50 155648 --a------ C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz] nwiz.exe /install [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OFFICEKB] 2006-03-28 11:23 387584 --a------ C:\Programme\Labtec\Desktop\V5.1\kbdap32a.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SemanticInsight] C:\Programme\RXToolBar\Semantic Insight\SemanticInsight.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 2005-06-03 03:52 36975 --a------ C:\Programme\Java\jre1.5.0_04\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\tbon] C:\Programme\TBONBin\tbon.exe /r [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot R2 Pctspk;PCTEL Speaker Phone;C:\WINDOWS\system32\pctspk.exe R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe -k netsvcs R3 Ptserlp;PCTEL Serial Device Driver for PCI;C:\WINDOWS\system32\DRIVERS\ptserlp.sys S0 tfgaqmyf;tfgaqmyf;C:\WINDOWS\system32\drivers\gjebhpfr.sys S3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys S3 HRService;Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope;"C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe" S3 phil2vid;Philips VGA-Kamera (USB);C:\WINDOWS\system32\DRIVERS\philcam2.sys HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2a3c3cb4-03af-11db-bfa3-00132061f2e3}] \Shell\AutoRun\command - F:\pushinst.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{429b9829-02eb-11db-bf9f-00132061f2e3}] \Shell\AutoRun\command - F:\preinst.exe . Inhalt des "geplante Tasks" Ordners "2007-10-29 14:38:32 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe "2007-12-01 14:40:03 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job" - C:\Programme\Windows Live Toolbar\MSNTBUP.EXE . ************************************************************************** catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-01 16:30:43 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2007-12-01 16:31:40 C:\ComboFix2.txt ... 2007-12-01 16:05 C:\ComboFix3.txt ... 2007-12-01 15:40 . --- E O F --- |
|
|
|
|
|
|
01.12.2007, 16:51
Ehrenmitglied
Beiträge: 6028 |
#59
Avenger
Download Avenger zum Desktop Alle Fenster muessen geschlossen sein Starte Avenger Anhaken Input script manually Die "Lupe" rechts anklicken - View/edit script (wird sich öffnen) kopiere rein: Files to delete: C:\WINDOWS\system32\mcrh.tmp C:\WINDOWS\system32\qofxfabl.ini C:\WINDOWS\system32\dgewgjxi.ini C:\WINDOWS\system32\yobkvnsc.dll C:\WINDOWS\system32\zxrmblkx.exe C:\WINDOWS\system32\drivers\gjebhpfr.sys Klicke die grüne Ampel das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten nach dem Neustart erscheint ein Log vom Avenger, kopiere es ab - mit rechtem Mausklick - kopieren - einfügen __________ MfG Argus |
|
|
|
|
|
|
01.12.2007, 17:02
Member
Themenstarter Beiträge: 262 |
#60
Logfile of The Avenger version 1, by Swandog46
Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\pixorccc ******************* Script file located at: \??\C:\WINDOWS\fcxrjqpo.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\mcrh.tmp deleted successfully. File C:\WINDOWS\system32\qofxfabl.ini deleted successfully. File C:\WINDOWS\system32\dgewgjxi.ini deleted successfully. File C:\WINDOWS\system32\yobkvnsc.dll not found! Deletion of file C:\WINDOWS\system32\yobkvnsc.dll failed! Could not process line: C:\WINDOWS\system32\yobkvnsc.dll Status: 0xc0000034 File C:\WINDOWS\system32\zxrmblkx.exe not found! Deletion of file C:\WINDOWS\system32\zxrmblkx.exe failed! Could not process line: C:\WINDOWS\system32\zxrmblkx.exe Status: 0xc0000034 File C:\WINDOWS\system32\drivers\gjebhpfr.sys not found! Deletion of file C:\WINDOWS\system32\drivers\gjebhpfr.sys failed! Could not process line: C:\WINDOWS\system32\drivers\gjebhpfr.sys Status: 0xc0000034 Completed script processing. ******************* Finished! Terminate. |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
dann löschen wir den erkannten:
it der Killbox folgende Einträge löschen:
http://virus-protect.org/killbox.html
oder
http://www.wintotal.de/Software/index.php?id=4101
Options: Delete on Reboot --> anhaken
reinkopieren:
C:\WINDOWS\system32\rpteexbl.dll
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "yes"
PC neustarten
Danach bitte ein neues HJ-Log, nenne vor der Ausführung die HJ-EXE auf test.com um.
Chris