wieder Security Toolbar 7.1 (altes Topic leider schon geschlossen) |
||
---|---|---|
#0
| ||
16.11.2007, 08:01
Member
Beiträge: 32 |
||
|
||
16.11.2007, 08:36
Member
Beiträge: 694 |
#2
Hi,
das sieht nicht gut aus, jede Menge übrig... Das mit der Spitze des Eisbergs trifft es gut, vielleicht gleich besser neu aufsetzten? Notdürftige Reinigung folgt gleich... Chris |
|
|
||
16.11.2007, 08:44
Member
Beiträge: 694 |
#3
Hi,
Bitte folgende Files prüfen: Zitat C:\WINDOWS\system32\drivers\phooks.syshttp://www.virustotal.com/flash/index_en.html Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen Falls eines der Files nicht erkannt wird, unten beim Avenger rausnehmen! Also: Avenger Abgesicherter Modus, keine anderen Programme am Laufen, Teatimer deaktivieren! http://virus-protect.org/artikel/tools/avenger.html Input script manually (anhaken) kopiere in: View/edit script Zitat Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Zitat
Deine Javasoftware ist veraltet, Download jre-6u2-windows-i586-p.exe Scrolle runter nach ---->Java Runtime Environment (JRE) 6u2 The Java SE Runtime Environment (JRE) allows end-users to run Java applications. Klicke auf "Download" Setze ein Haeckchen bei --->"Accept License Agreement". Klicke “Windows Offline Installation, Multi-language” um “jre-6-windows-i586.exe”zum Desktop zu installieren Schliesse alle Programme auch Deinen Webbrowser Über "Start -> Einstellungen -> Systemsteuerung -> Software entferne alle aelteren Versionen von Java Runtime Environment (JRE of J2SE) Auch auf C:\Programme\Java entfernen! Nachdem alles entfernt wurde --->Rechner neu starten Installiere jetzt vom Desktop aus ---> “jre-6u2-windows-i586-p.exe” Danach bitte das hier abarbeiten: http://board.protecus.de/t29350.htm Poste das Log und ein neues HJ-Log... Chris Dieser Beitrag wurde am 16.11.2007 um 09:06 Uhr von Chris4You editiert.
|
|
|
||
17.11.2007, 10:10
Member
Themenstarter Beiträge: 32 |
#4
Hier erstmal die Untersuchungsberichte aus Virustotal. Der Rest kommt später.
Vrsteh nicht ganz was Du mit "cstyp.ex <- suchen" meinst ? Wie, wo ? Datei phooks.sys empfangen 2007.11.17 09:50:26 (CET)Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.11.17.0 2007.11.16 - AntiVir 7.6.0.34 2007.11.16 - Authentium 4.93.8 2007.11.17 - Avast 4.7.1074.0 2007.11.16 - AVG 7.5.0.503 2007.11.17 - BitDefender 7.2 2007.11.17 - CAT-QuickHeal 9.00 2007.11.16 - ClamAV 0.91.2 2007.11.17 - DrWeb 4.44.0.09170 2007.11.17 - eSafe 7.0.15.0 2007.11.14 - eTrust-Vet 31.2.5302 2007.11.17 - Ewido 4.0 2007.11.16 - FileAdvisor 1 2007.11.17 - Fortinet 3.11.0.0 2007.10.19 - F-Prot 4.4.2.54 2007.11.16 - F-Secure 6.70.13030.0 2007.11.16 - Ikarus T3.1.1.12 2007.11.17 - Kaspersky 7.0.0.125 2007.11.17 - McAfee 5165 2007.11.16 - Microsoft 1.3007 2007.11.17 - NOD32v2 2665 2007.11.17 - Norman 5.80.02 2007.11.16 - Panda 9.0.0.4 2007.11.17 - Prevx1 V2 2007.11.17 - Rising 20.18.50.00 2007.11.17 - Sophos 4.23.0 2007.11.17 - Sunbelt 2.2.907.0 2007.11.17 - Symantec 10 2007.11.17 - TheHacker 6.2.9.132 2007.11.16 - VBA32 3.12.2.5 2007.11.16 - VirusBuster 4.3.26:9 2007.11.16 - Webwasher-Gateway 6.0.1 2007.11.16 - weitere Informationen File size: 23552 bytes MD5: bf017d9a12d049fde1591f9f96c63431 SHA1: e0632f3e62c00445d4b514a5f254b3b00dcab8d4 _______________________________________________________________ Datei kwscckqr2.exe empfangen 2007.11.17 09:59:01 (CET)Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.11.17.0 2007.11.16 Win-Trojan/Fotomoto.71232 AntiVir 7.6.0.34 2007.11.16 TR/Fotomoto.F.1 Authentium 4.93.8 2007.11.17 - Avast 4.7.1074.0 2007.11.16 - AVG 7.5.0.503 2007.11.17 Obfustat.VUL BitDefender 7.2 2007.11.17 Trojan.Fotomoto.F CAT-QuickHeal 9.00 2007.11.16 Trojan.Obfuscated.kp ClamAV 0.91.2 2007.11.17 Trojan.Agent-9085 DrWeb 4.44.0.09170 2007.11.17 Trojan.EzulaAd eSafe 7.0.15.0 2007.11.14 Suspicious File eTrust-Vet 31.2.5302 2007.11.17 Win32/Abetear.H Ewido 4.0 2007.11.16 - FileAdvisor 1 2007.11.17 - Fortinet 3.11.0.0 2007.10.19 - F-Prot 4.4.2.54 2007.11.16 - F-Secure 6.70.13030.0 2007.11.16 Trojan.Win32.Obfuscated.kp Ikarus T3.1.1.12 2007.11.17 Trojan.Fotomoto.F Kaspersky 7.0.0.125 2007.11.17 Trojan.Win32.Obfuscated.kp McAfee 5165 2007.11.16 Vundo.dr Microsoft 1.3007 2007.11.17 - NOD32v2 2665 2007.11.17 Win32/Adware.Ezula Norman 5.80.02 2007.11.16 W32/Virtumonde.IIO Panda 9.0.0.4 2007.11.17 Spyware/Virtumonde Prevx1 V2 2007.11.17 ADWARE.FOTOMOTO.F Rising 20.18.50.00 2007.11.17 - Sophos 4.23.0 2007.11.17 - Sunbelt 2.2.907.0 2007.11.17 - Symantec 10 2007.11.17 Adware.Ezula TheHacker 6.2.9.132 2007.11.16 Trojan/Obfuscated.kp VBA32 3.12.2.5 2007.11.16 - VirusBuster 4.3.26:9 2007.11.16 Adware.Vundo.V.Gen Webwasher-Gateway 6.0.1 2007.11.16 Trojan.Fotomoto.F.1 weitere Informationen File size: 71232 bytes MD5: fa09c66e108743a844dfe1923f132d74 SHA1: 1d276c213c2ca37081d9e187064d8ed05748780c Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=43CE5E4C40E6C39B16680193ADD46E0054A1BC4D _______________________________________________________ Datei lmvthove.dll empfangen 2007.11.17 10:06:35 (CET)Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.11.17.0 2007.11.16 - AntiVir 7.6.0.34 2007.11.16 TR/Vundo.AU Authentium 4.93.8 2007.11.17 - Avast 4.7.1074.0 2007.11.16 - AVG 7.5.0.503 2007.11.17 Lop BitDefender 7.2 2007.11.17 - CAT-QuickHeal 9.00 2007.11.16 - ClamAV 0.91.2 2007.11.17 - DrWeb 4.44.0.09170 2007.11.17 - eSafe 7.0.15.0 2007.11.14 - eTrust-Vet 31.2.5302 2007.11.17 - Ewido 4.0 2007.11.16 - FileAdvisor 1 2007.11.17 - Fortinet 3.11.0.0 2007.10.19 - F-Prot 4.4.2.54 2007.11.16 - F-Secure 6.70.13030.0 2007.11.16 - Ikarus T3.1.1.12 2007.11.17 not-a-virus:AdWare.Win32.Virtumonde.aps Kaspersky 7.0.0.125 2007.11.17 not-a-virus:AdWare.Win32.Virtumonde.aps McAfee 5165 2007.11.16 - Microsoft 1.3007 2007.11.17 - NOD32v2 2665 2007.11.17 - Norman 5.80.02 2007.11.16 W32/Virtumonde.IME Panda 9.0.0.4 2007.11.17 - Prevx1 V2 2007.11.17 Trojan.Vundo Rising 20.18.50.00 2007.11.17 - Sophos 4.23.0 2007.11.17 - Sunbelt 2.2.907.0 2007.11.17 - Symantec 10 2007.11.17 Trojan.Vundo TheHacker 6.2.9.132 2007.11.16 - VBA32 3.12.2.5 2007.11.16 - VirusBuster 4.3.26:9 2007.11.16 Adware.Vundo.V.Gen Webwasher-Gateway 6.0.1 2007.11.16 Trojan.Vundo.AU weitere Informationen File size: 85056 bytes MD5: 4bea8eb4ba37ccb6dc9258641ab05ec9 SHA1: 29534e371d2436c10fb07d2aa828a2ba3ab876c3 Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=27FE2CC940AA4F114C82011F89EA8700D48A0D7F __________________________________________________________ |
|
|
||
17.11.2007, 13:43
Member
Beiträge: 202 |
#5
die datei cstyp.exe <- suchen
über die windows funftion suchen start - suchen dort dateien und ordner auswählen Unterpunkt - Weitere Optionen - Versteckte elemente durchsuchen , Systemordner dursuchen und unterordner durchsuchen aktivieren dann im suchfenster cstyp.exe eingeben wenn die datei gefunden würd bei virustotal oder Jotti untersuchen |
|
|
||
17.11.2007, 15:58
Member
Themenstarter Beiträge: 32 |
#6
So, da bin ich wieder. Hat glaube ich leider nicht alles so einwandfrei funktioniert. Die cstyp.exe wurde nicht gefunden.
Hier das Log vom Dr.Web: eim.exe;c:\windows\system32;Win32.HLLW.MyBot;Verschoben.; FND0.NFI;C:\Programme\ESET\cache;Win32.HLLW.MyBot;Gelöscht.; install_en[1].exe.vir;C:\qoobox\Quarantine\C\Dokumente und Einstellungen\Florian\Anwendungsdaten;Trojan.DownLoader.36408;Gelöscht.; Process.exe;C:\SDFix\apps;Tool.Prockill;Verschoben.; A0000013.exe;C:\System Volume Information\_restore{D1B849AD-3ACC-4188-96F2-2D5EBB0D7E4D}\RP2;Trojan.DownLoader.36408;Gelöscht.; A0002099.exe;C:\System Volume Information\_restore{D1B849AD-3ACC-4188-96F2-2D5EBB0D7E4D}\RP2;Trojan.EzulaAd;Gelöscht.; A0002101.exe;C:\System Volume Information\_restore{D1B849AD-3ACC-4188-96F2-2D5EBB0D7E4D}\RP2;Trojan.EzulaAd;Gelöscht.; A0002241.exe;C:\System Volume Information\_restore{D1B849AD-3ACC-4188-96F2-2D5EBB0D7E4D}\RP4;Win32.HLLW.MyBot;Gelöscht.; A0002242.exe;C:\System Volume Information\_restore{D1B849AD-3ACC-4188-96F2-2D5EBB0D7E4D}\RP4;Tool.Prockill;Verschoben.; Process.exe;C:\WINDOWS\system32;Tool.Prockill;Verschoben.; Process.exe;D:\Eigene Dateien\Vir.Remove\SmitfraudFix;Tool.Prockill;Verschoben.; restart.exe;D:\Eigene Dateien\Vir.Remove\SmitfraudFix;Tool.ShutDown.11;Verschoben.; A0002244.exe;D:\System Volume Information\_restore{D1B849AD-3ACC-4188-96F2-2D5EBB0D7E4D}\RP4;Tool.Prockill;Verschoben.; A0002245.exe;D:\System Volume Information\_restore{D1B849AD-3ACC-4188-96F2-2D5EBB0D7E4D}\RP4;Tool.ShutDown.11;Verschoben.; A0001917.exe;E:\System Volume Information\_restore{0C3E027F-D109-473D-9414-C15E0F989257}\RP9;Tool.ASEye.2;Verschoben.; _____________________________________________________________ Und anbei das Hijackthis-Log. Nicht mehr dabei war "O23 - Service: DomainService - Unknown owner - C:\WINDOWS\System32\kwscckqr.exe (file missing)" konnte ich also auch nicht fixen. Dafür kommt mir dies nicht so ganz astrein vor: O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\SYSTEM32\jwyyduvm.dll (file missing) Auch fixen ? Anhang: hijackthis2.txt
|
|
|
||
17.11.2007, 17:35
Member
Beiträge: 202 |
#7
Schalte mal die systemwiederherstellung ab
http://www.bsi.de/av/texte/wiederher.htm Oder frende dich wirklisch mit ner neuinstallation an is wahrscheinlisch einfacher. |
|
|
||
17.11.2007, 17:53
Member
Themenstarter Beiträge: 32 |
#8
Und anschließend alles nochmal durchführen ? oder was ist zu tun ?
|
|
|
||
18.11.2007, 09:37
Ehrenmitglied
Beiträge: 6028 |
#9
Entferne auf C:\ Qoobox-->Papierkorb leeren
CombiFix entfernen Start > Ausführen>Kopiere rein Combofix /u OK Download ComboFix nochmal ComboFix Download ComboFix und speichert es auf den Desktop! Alle Fenster schliessen und combofix.exe starten Folge den Instruktionen in das Fenster Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\combofix.txt) nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" Wenn dein Virenscanner meckert,ignorieren ! zusammen mit ein neuen log von HijackThis __________ MfG Argus |
|
|
||
18.11.2007, 17:39
Member
Themenstarter Beiträge: 32 |
#10
Hi Arnold, hab plötzlich ein Problem mit Combofix.
Hab alles so gemacht, jedoch kommt beim Starten immer folgende Fehlermeldung: "Jetziges Datum ist 18.11.2007. Diese Kopie von Combofix ist abgelaufen. Lösche diese Kopie bevor Du eine neue Version herunterlädst." Was soll ich da tun ? Ach ja, noch was: Mein Media Player funktioniert auch nicht mehr und läßt sich nicht mehr neu installieren. SP2 hab ich mittlerweile drauf gemacht. |
|
|
||
18.11.2007, 18:44
Ehrenmitglied
Beiträge: 6028 |
#11
Versuch es nochmal
Download ComboFix und speichert es auf den Desktop! Alle Fenster schliessen und combofix.exe starten Folge den Instruktionen in das Fenster Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner Wenn das Tool fertig ist,oeffnet sich ein logfile(C:\combofix.txt ) nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" Wenn dein Virenscanner meckert,ignorieren ! zusammen mit ein neuen log von HijackThis __________ MfG Argus |
|
|
||
18.11.2007, 20:42
Member
Themenstarter Beiträge: 32 |
#12
So, diesmal hats funktioniert - Danke. Hier die Logs:
Hijack: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:39:58, on 18.11.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\Programme\Eset\nod32krn.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\HPZipm12.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Eset\nod32kui.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} - O16 - DPF: {CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA} (Java Plug-in 1.5.0_09) - O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 3768 bytes Anhang: log.txt
|
|
|
||
18.11.2007, 20:59
Ehrenmitglied
Beiträge: 6028 |
#13
Entferne auf C:\ Qoobox-->Papierkorb leeren
Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} - O16 - DPF: {CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA} (Java Plug-in 1.5.0_09) – klicke: Fix checked Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst Poste nochmal die Daten von Datfindbat http://board.protecus.de/t23188.htm __________ MfG Argus |
|
|
||
18.11.2007, 21:35
Member
Themenstarter Beiträge: 32 |
#14
So, erledigt.
Datfind-Log im Anhang. Kannst Du mir noch nen Tip geben, wieso ich den Mediaplayer nicht mehr installiert bekomm ("...wurde nicht odrnungsgemäß installiert...") ? - wenn nicht, ists auch nicht schlimm. Bin Dir so und so für die Hilfe dankbar. Anhang: datfind.txt
|
|
|
||
18.11.2007, 22:01
Ehrenmitglied
Beiträge: 6028 |
#15
ATF cleaner
Benutze ATF Cleaner http://board.protecus.de/t23188.htm Systemwiederherstellung Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. Neu Starten Dann wieder aktivieren (Häkchen entfernen) Ueber Mediaplayer kann ich nichts sagen,benutze Spider player http://spider-player.com/ __________ MfG Argus |
|
|
||
Bekomm den Mist mit konventionellen Mittel (z.B. "SuperAntispyware" - hätte helfen sollen) zwar erkannt, aber nicht gelöscht.
Ich häng mal das Hijackthis-log und dann noch dass Combofix-Log an.
Ich weiß, dass es ein Fehler ist, SP2 nicht drauf zu haben. Wills gelich drauf machen wenn wieder alles sauber ist.
Wäre sehr nett wenn mir jemand helfen kann.
O.k., immer noch keine Antwort auf den eigenen Post erlaubt und nur ein Anhang möglich => Combofix:
ComboFix 07-11-08.1 - Florian 2007-11-15 22:59:11.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.1.1252.1.1031.18.222 [GMT 1:00]
ausgeführt von:: D:\Eigene Dateien\Vir.Remove\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.
Nicht in der Lage Systemrechte zu erhalten
(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Dokumente und Einstellungen\Administrator.KOMI.001\Desktop\Live Safety Center.lnk
C:\Dokumente und Einstellungen\Administrator.KOMI.001\Desktop\Online Security Guide.lnk
C:\Dokumente und Einstellungen\Administrator.KOMI.001\Favoriten\Online Security Guide.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Live Safety Center.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.lnk
C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\install_en[1].exe
C:\Dokumente und Einstellungen\Florian\Desktop\Live Safety Center.lnk
C:\Dokumente und Einstellungen\Florian\Desktop\Online Security Guide.lnk
C:\Dokumente und Einstellungen\Florian\Favoriten\Online Security Guide.lnk
C:\WINDOWS\system32\__c0085FC9.dat
C:\WINDOWS\system32\__c00927F9.dat
C:\WINDOWS\system32\__c00DCE25.dat
C:\WINDOWS\system32\__c00E7DA2.dat
C:\WINDOWS\system32\atovvyda.dll
C:\WINDOWS\system32\ccbeg.bak1
C:\WINDOWS\system32\ccbeg.bak2
C:\WINDOWS\system32\ccbeg.ini
C:\WINDOWS\system32\ccbeg.ini2
C:\WINDOWS\system32\ccbeg.tmp
C:\WINDOWS\system32\gebcc.dll
C:\WINDOWS\system32\geekvobw.dll
C:\WINDOWS\system32\iubddgqr.dll
C:\WINDOWS\system32\jobmwwcj.dll
C:\WINDOWS\system32\jwyyduvm.dllbox
C:\WINDOWS\system32\jxwrsibg.dll
C:\WINDOWS\system32\wsbtrbxo.dll
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\LEGACY_DOMAINSERVICE
-------\LEGACY_SCSIPSRVC
-------\DomainService
-------\scsipsrvc
((((((((((((((((((((((( Dateien erstellt von 2007-10-15 bis 2007-11-15 ))))))))))))))))))))))))))))))
.
2007-11-15 22:57 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-15 22:11 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator.KOMI.001\Anwendungsdaten\SUPERAntiSpyware.com
2007-11-15 21:27 <DIR> d-------- C:\Programme\SUPERAntiSpyware
2007-11-15 21:27 <DIR> d-------- C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\SUPERAntiSpyware.com
2007-11-15 21:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2007-11-14 22:25 <DIR> d-------- C:\WINDOWS\ERUNT
2007-11-14 22:22 1,208,569 --a------ C:\SDFix.exe
2007-11-14 21:34 85,056 --a------ C:\WINDOWS\system32\lmvthove.dll
2007-11-14 21:34 71,232 --a------ C:\WINDOWS\system32\dhjogpbx.exe
2007-11-14 21:28 71,232 --a------ C:\WINDOWS\system32\kwscckqr2.exe
2007-11-14 21:06 512,096 --a------ C:\WINDOWS\system32\drivers\amon.sys
2007-11-14 21:06 298,104 --a------ C:\WINDOWS\system32\imon.dll
2007-11-14 21:06 15,424 --a------ C:\WINDOWS\system32\drivers\nod32drv.sys
2007-11-14 20:51 1,007,104 --a------ C:\WINDOWS\Kopie von explorer.exe
2007-11-14 20:49 1,007,104 --a--c--- C:\WINDOWS\system32\dllcache\explorer.exe
2007-11-14 20:49 1,007,104 --a------ C:\WINDOWS\explorer.exe
2007-11-13 22:11 <DIR> d-------- C:\Programme\Trend Micro
2007-11-13 21:42 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2007-11-13 21:42 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-11-13 21:42 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-11-13 21:42 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-11-13 21:42 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2007-11-13 21:42 2,342 --a------ C:\WINDOWS\system32\tmp.reg
2007-11-12 22:10 <DIR> d-------- C:\kav
2007-11-12 21:36 23,552 --a------ C:\WINDOWS\system32\drivers\phooks.sys
2007-11-12 21:35 <DIR> d-------- C:\Dokumente und Einstellungen\Florian\Pavark
2007-11-11 21:39 88,128 --a------ C:\WINDOWS\system32\wqwuxbwo.dll
2007-11-11 21:38 79,936 --a------ C:\WINDOWS\system32\xvjvlavt.dll
2007-11-11 21:31 145,984 --------- C:\WINDOWS\system32\jwyyduvm.dll
2007-11-11 21:30 145,984 --a------ C:\WINDOWS\system32\nrfpcwwc.dll
2007-11-10 17:15 <DIR> d-------- C:\Programme\Incomplete
2007-11-10 17:11 147,456 --a------ C:\WINDOWS\system32\vbzip10.dll
2007-11-10 17:09 36,352 --a------ C:\WINDOWS\system32\yaywxvt.dll
2007-11-10 16:23 307,200 --a------ C:\Programme\xp-AntiSpy.exe
2007-10-20 22:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Cone Layout
2007-10-20 22:15 <DIR> d-------- C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\LimeWire
2007-10-20 22:05 <DIR> d-------- C:\Programme\LimeWire
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-14 20:17 --------- d-----w C:\Programme\RegCleaner
2007-11-14 19:54 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-11-10 16:11 --------- d-----w C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\FrostWire
2007-11-10 15:27 --------- d-----w C:\Programme\XPcleanv5
2007-10-24 20:33 --------- d-----w C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\AdobeUM
2001-11-23 04:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}]
2007-11-11 21:31 145984 --------- C:\WINDOWS\SYSTEM32\jwyyduvm.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{11A69AE4-FBED-4832-A2BF-45AF82825583}"= C:\WINDOWS\SYSTEM32\jwyyduvm.dll [2007-11-11 21:31 145984]
[HKEY_CLASSES_ROOT\CLSID\{11A69AE4-FBED-4832-A2BF-45AF82825583}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2004-03-24 09:04]
"nod32kui"="C:\Programme\Eset\nod32kui.exe" [2007-11-14 21:03]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TuneUp MemOptimizer"="C:\Programme\TuneUpUtilities2006\MemOptimizer.exe" [2005-08-24 02:29]
"SUPERAntiSpyware"="C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-06-21 14:06]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoBandCustomize"=0 (0x0)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Programme\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"System"="cstyp.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Programme\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Programme\SUPERAntiSpyware\SASWINLO.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jwyyduvm]
jwyyduvm.dll 2007-11-11 21:31 145984 C:\WINDOWS\system32\jwyyduvm.dll
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\System32\gebcc.dll
R0 ElbyVCD;ElbyVCD;C:\WINDOWS\System32\DRIVERS\ElbyVCD.sys
R0 phooks;phooks;C:\WINDOWS\System32\drivers\phooks.sys
R3 WDMCAPI;ISDN PCI CAPI;C:\WINDOWS\System32\DRIVERS\WDMCAPI.sys
R3 WDMWANMP;NDIS WAN miniport;C:\WINDOWS\System32\DRIVERS\wdmwanmp.sys
S4 a2AntiDialer;a-squared Anti-Dialer Service;C:\Programme\a-squared Anti-Dialer\a2service.exe
.
Inhalt des "geplante Tasks" Ordners
"2007-11-10 18:06:54 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
.
**************************************************************************
catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-15 23:06:42
Windows 5.1.2600 Service Pack 1 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Eintr„ge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
Zeit der Fertigstellung: 2007-11-15 23:07:27 - machine was rebooted
.
--- E O F ---