TR/Vundo.Gen eingefangenThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
17.11.2007, 18:19
...neu hier
Beiträge: 6 |
||
|
||
17.11.2007, 19:30
Ehrenmitglied
Beiträge: 6028 |
||
|
||
17.11.2007, 20:09
...neu hier
Themenstarter Beiträge: 6 |
#3
Das ist von datfind.bat:
Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 130C-10DF Verzeichnis von C:\WINDOWS\system32 11/17/2007 07:56 PM 1,158 wpa.dbl 11/17/2007 03:44 PM 98 jkbvrcvp.txt 11/17/2007 09:00 AM 38,912 vtuvvsr.dll 11/17/2007 09:00 AM 38,912 fccaawv.dll 11/02/2007 08:12 AM 18,238,072 MRT.exe 10/29/2007 04:35 PM 123,904 xpsp3res.dll 10/28/2007 07:17 AM 138,848 FNTCACHE.DAT 10/25/2007 05:55 PM 8,495,616 shell32.dll 08/30/2007 09:07 PM 249,852 TZLog.log 08/22/2007 03:13 PM 664,576 wininet.dll 08/22/2007 03:13 PM 474,624 shlwapi.dll 08/22/2007 03:13 PM 1,494,528 shdocvw.dll 08/22/2007 03:13 PM 617,472 urlmon.dll 08/22/2007 03:13 PM 532,480 mstime.dll 08/22/2007 03:13 PM 39,424 pngfilt.dll 08/22/2007 03:13 PM 3,079,168 mshtml.dll 08/22/2007 03:13 PM 16,384 jsproxy.dll 08/22/2007 03:13 PM 146,432 msrating.dll 08/22/2007 03:13 PM 55,808 extmgr.dll 08/22/2007 03:13 PM 449,024 mshtmled.dll 08/22/2007 03:13 PM 205,312 dxtrans.dll 08/22/2007 03:13 PM 251,392 iepeers.dll 08/22/2007 03:13 PM 96,768 inseng.dll 08/22/2007 03:13 PM 1,022,976 browseui.dll 08/22/2007 03:13 PM 152,064 cdfview.dll 08/22/2007 03:13 PM 1,056,256 danim.dll 08/22/2007 03:13 PM 357,888 dxtmsft.dll 08/21/2007 08:16 AM 683,520 inetcomm.dll 08/19/2007 07:47 AM 16,832 amcompat.tlb 08/19/2007 07:47 AM 23,392 nscompat.tlb das ist von combofix: ComboFix 07-11-08.1 - media 2007-11-17 19:49:58.7 - [color=red]FAT32[/color]x86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.191 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\media\Desktop\ComboFix.exe . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\ututv.ini C:\WINDOWS\system32\ututv.ini2 C:\WINDOWS\system32\vtutu.dll . ---- Previous Run ------- . C:\Dokumente und Einstellungen\media\Anwendungsdaten\AntiSpywareBot C:\Dokumente und Einstellungen\media\Anwendungsdaten\AntiSpywareBot\Log\2007 Nov 17 - 05_46_01 PM_031.log C:\Dokumente und Einstellungen\media\Anwendungsdaten\AntiSpywareBot\Log\2007 Nov 17 - 05_46_03 PM_812.log C:\Dokumente und Einstellungen\media\Anwendungsdaten\AntiSpywareBot\rs.dat C:\Dokumente und Einstellungen\media\Anwendungsdaten\AntiSpywareBot\Settings\CustomScan.stg C:\Dokumente und Einstellungen\media\Anwendungsdaten\AntiSpywareBot\Settings\IgnoreList.stg C:\Dokumente und Einstellungen\media\Anwendungsdaten\AntiSpywareBot\Settings\ScanInfo.stg C:\Dokumente und Einstellungen\media\Anwendungsdaten\AntiSpywareBot\Settings\ScanResults.stg C:\Dokumente und Einstellungen\media\Anwendungsdaten\AntiSpywareBot\Settings\SelectedFolders.stg C:\Dokumente und Einstellungen\media\Anwendungsdaten\AntiSpywareBot\Settings\Settings.stg C:\Programme\AntiSpywareBot C:\Programme\AntiSpywareBot\AntiSpywareBot.exe C:\Programme\Windows Media Player\sadux.dll C:\WINDOWS\system32\bbadd.ini C:\WINDOWS\system32\bbadd.ini2 C:\WINDOWS\system32\ddabb.dll C:\WINDOWS\Tasks.\AntiSpywareBot Scheduled Scan.job C:\WINDOWS\tk58.exe C:\WINDOWS\TTC-4444.exe . ((((((((((((((((((((((( Dateien erstellt von 2007-10-17 bis 2007-11-17 )))))))))))))))))))))))))))))) . 2007-11-17 12:19 <DIR> d-------- C:\VundoFix Backups 2007-11-17 11:54 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-11-17 09:00 <DIR> d-------- C:\WINDOWS\system32\rMa01yy 2007-11-17 09:00 38,912 --a------ C:\WINDOWS\system32\vtuvvsr.dll 2007-11-17 09:00 38,912 --a------ C:\WINDOWS\system32\fccaawv.dll 2007-11-16 13:11 <DIR> d-------- C:\Programme\OO Software 2007-11-05 18:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus! 2007-11-05 15:22 <DIR> d-------- C:\Programme\Windows Live 2007-11-05 15:22 <DIR> d-------- C:\Programme\Messenger Plus! Live 2007-11-02 15:05 <DIR> d-------- C:\Programme\SysTracer 2007-10-20 07:49 584,192 --------- C:\WINDOWS\system32\dllcache\rpcrt4.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-10-25 16:55 8,495,616 ------w C:\WINDOWS\system32\dllcache\shell32.dll 2007-08-22 14:13 96,768 ------w C:\WINDOWS\system32\dllcache\inseng.dll 2007-08-22 14:13 664,576 ------w C:\WINDOWS\system32\dllcache\wininet.dll 2007-08-22 14:13 617,472 ------w C:\WINDOWS\system32\dllcache\urlmon.dll 2007-08-22 14:13 55,808 ------w C:\WINDOWS\system32\dllcache\extmgr.dll 2007-08-22 14:13 532,480 ------w C:\WINDOWS\system32\dllcache\mstime.dll 2007-08-22 14:13 474,624 ------w C:\WINDOWS\system32\dllcache\shlwapi.dll 2007-08-22 14:13 449,024 ------w C:\WINDOWS\system32\dllcache\mshtmled.dll 2007-08-22 14:13 39,424 ------w C:\WINDOWS\system32\dllcache\pngfilt.dll 2007-08-22 14:13 357,888 ------w C:\WINDOWS\system32\dllcache\dxtmsft.dll 2007-08-22 14:13 3,079,168 ------w C:\WINDOWS\system32\dllcache\mshtml.dll 2007-08-22 14:13 251,392 ------w C:\WINDOWS\system32\dllcache\iepeers.dll 2007-08-22 14:13 205,312 ------w C:\WINDOWS\system32\dllcache\dxtrans.dll 2007-08-22 14:13 16,384 ------w C:\WINDOWS\system32\dllcache\jsproxy.dll 2007-08-22 14:13 152,064 ------w C:\WINDOWS\system32\dllcache\cdfview.dll 2007-08-22 14:13 146,432 ------w C:\WINDOWS\system32\dllcache\msrating.dll 2007-08-22 14:13 1,494,528 ------w C:\WINDOWS\system32\dllcache\shdocvw.dll 2007-08-22 14:13 1,056,256 ------w C:\WINDOWS\system32\dllcache\danim.dll 2007-08-22 14:13 1,022,976 ------w C:\WINDOWS\system32\dllcache\browseui.dll 2007-08-21 11:30 18,432 ------w C:\WINDOWS\system32\dllcache\iedw.exe 2007-08-21 07:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll 2007-08-21 07:16 683,520 ------w C:\WINDOWS\system32\dllcache\inetcomm.dll . ((((((((((((((((((((((((((((( snapshot@2007-11-17_11.58.59.70 ))))))))))))))))))))))))))))))))))))))))) . + 2007-03-13 09:57:12 163,328 ----a-w C:\WINDOWS\erdnt\subs\F3M\ERDNT.EXE . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0140DF95-9128-4053-AE72-F43F0CFCA062}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2C80EAD3-74CD-4700-83A4-AA878CD1C03C}] 2007-11-17 09:00 38912 --a------ C:\WINDOWS\system32\fccaawv.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C8EEFD2F-0360-424F-B0FB-3FB7B21620B7}] 2007-08-02 14:44 282624 --a------ C:\Programme\Internet Explorer\porefomet4444.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CADD239F-14B0-4473-8970-D2AC697A18A3}] 2007-08-02 14:44 282624 --a------ C:\Programme\Internet Explorer\porefomet83122.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 18:15] "Cmaudio"="cmicnfg.cpl" [] "SoundMan"="SOUNDMAN.EXE" [2005-10-04 14:12 C:\WINDOWS\soundman.exe] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-20 09:58] "LXCICATS"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCItime.dll" [2005-09-08 20:44] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-09-11 08:13] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57] "Vidalia"="C:\Programme\Vidalia\vidalia.exe" [2006-08-31 02:01] [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0] Source= C:\Programme\Windows Media Player\wuomym.html FriendlyName= [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{2C80EAD3-74CD-4700-83A4-AA878CD1C03C}"= C:\WINDOWS\system32\fccaawv.dll [2007-11-17 09:00 38912] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fccaawv] fccaawv.dll 2007-11-17 09:00 38912 C:\WINDOWS\system32\fccaawv.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] "Authentication Packages"= msv1_0 C:\WINDOWS\system32\vtutu.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^media^Startmenü^Programme^Autostart^ADILOOK Deutsche Version auf Laufwerk C.LNK] path=C:\Dokumente und Einstellungen\media\Startmenü\Programme\Autostart\ADILOOK Deutsche Version auf Laufwerk C.LNK backup=C:\WINDOWS\pss\ADILOOK Deutsche Version auf Laufwerk C.LNKStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EzPrint] "C:\Programme\Lexmark 7300 Series\ezprint.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\lxcimon.exe] "C:\Programme\Lexmark 7300 Series\lxcimon.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys S0 bthvlgkr;bthvlgkr;C:\WINDOWS\system32\drivers\mympnlec.sys S0 emrysxns;emrysxns;C:\WINDOWS\system32\drivers\vdueacrg.sys S2 Ca533av;DV Series Video Capture;C:\WINDOWS\system32\Drivers\Ca533av.sys S3 lxci_device;lxci_device;C:\WINDOWS\system32\lxcicoms.exe -service S3 PAC207;Trust WB-1200p Mini Webcam;C:\WINDOWS\system32\DRIVERS\pfc027.sys S3 USBCamera;DV Series Digital Camera;C:\WINDOWS\system32\Drivers\Bulk533.sys . Inhalt des "geplante Tasks" Ordners "2007-11-17 18:49:02 C:\WINDOWS\Tasks\Symantec NetDetect.job" - C:\Programme\Symantec\LiveUpdate\NDetect.exe . ************************************************************************** catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-11-17 19:56:27 Windows 5.1.2600 Service Pack 2 FAT NTAPI Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2007-11-17 19:56:54 - machine was rebooted C:\ComboFix2.txt ... 2007-11-17 17:13 C:\ComboFix3.txt ... 2007-11-17 17:07 . --- E O F --- Antivir: AntiVir PersonalEdition Classic Erstellungsdatum der Reportdatei: Samstag, 17. November 2007 14:06 Es wird nach 932510 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Benutzername: SYSTEM Computername: OEM-VBN3UJW2LGT Versionsinformationen: BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00 AVSCAN.EXE : 7.0.6.1 290856 Bytes 14.09.2007 11:15:26 AVSCAN.DLL : 7.0.6.0 57384 Bytes 14.09.2007 11:15:26 LUKE.DLL : 7.0.5.3 147496 Bytes 14.09.2007 11:15:28 LUKERES.DLL : 7.0.6.0 10792 Bytes 14.09.2007 11:15:28 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 09:40:22 ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13.09.2007 12:37:40 ANTIVIR2.VDF : 7.0.0.198 1206272 Bytes 11.11.2007 15:05:22 ANTIVIR3.VDF : 7.0.0.226 98304 Bytes 16.11.2007 08:23:42 AVEWIN32.DLL : 7.6.0.34 3125760 Bytes 11.11.2007 04:18:28 AVWINLL.DLL : 1.0.0.7 14376 Bytes 03.05.2007 13:41:22 AVPREF.DLL : 7.0.2.2 25640 Bytes 14.09.2007 11:15:26 AVREP.DLL : 7.0.0.1 155688 Bytes 03.05.2007 13:41:24 AVPACK32.DLL : 7.3.0.15 360488 Bytes 07.08.2007 07:41:42 AVREG.DLL : 7.0.1.6 30760 Bytes 14.09.2007 11:15:26 AVARKT.DLL : 1.0.0.20 278568 Bytes 14.09.2007 11:15:26 AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 14.09.2007 11:15:26 NETNT.DLL : 7.0.0.0 7720 Bytes 03.05.2007 13:41:24 RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 14.09.2007 11:15:22 RCTEXT.DLL : 7.0.62.0 90152 Bytes 14.09.2007 11:15:22 SQLITE3.DLL : 3.3.17.1 339968 Bytes 14.09.2007 11:15:28 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: aus Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, Durchsuche Speicher..............: ein Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: aus Beginn des Suchlaufs: Samstag, 17. November 2007 14:06 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WLLoginProxy.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'tor.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'privoxy.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'vidalia.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'cidaemon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lxcicoms.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PAStiSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'cisvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IGDCTRL.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '31' Prozesse mit '31' Modulen durchsucht Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '27' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Ende des Suchlaufs: Samstag, 17. November 2007 14:22 Benötigte Zeit: 16:02 min Der Suchlauf wurde abgebrochen! 172 Verzeichnisse wurden überprüft 39137 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 39136 Dateien ohne Befall 5464 Archive wurden durchsucht 1 Warnungen 0 Hinweise Das ist als sich Antivir gemeldet hat, aber davon gibts viele, der Name ändert sich immer: z.B.: In der Datei 'C:\WINDOWS\system32\vtutu.dll' wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [TR/Vundo.Gen] gefunden. Ausgeführte Aktion: Zugriff verweigern das wurde auch mal gefunden: In der Datei 'C:\WINDOWS\system32\f1\bemwdll3.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ULPM.Gen' [TR/Crypt.ULPM.Gen] gefunden. Ausgeführte Aktion: Datei in Quarantäne verschieben oder das: In der Datei 'C:\WINDOWS\system32\pmnnn.dll' wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [TR/Vundo.Gen] gefunden. Ausgeführte Aktion: Datei in Quarantäne verschieben Ich hab von der Sache nicht viel Ahnung, bitte sagt wenn ihr sonst noch was braucht. Der andere Log ist im ersten Posting viele Grüsse jutta2 |
|
|
||
17.11.2007, 20:54
Ehrenmitglied
Beiträge: 6028 |
#4
Unter Punkt 3.stet doch deutlich "Entferne HijackThis version 1.99.1 von dein Rechner und download 2.0.2"
Zitat Der andere Log ist im ersten PostingEntferne auf C:\ Qoobox-->Papierkorb leeren cfscript.txt 1. Den folgenden blauen Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. file:: C:\WINDOWS\system32\rMa01yy C:\WINDOWS\system32\vtuvvsr.dll C:\WINDOWS\system32\fccaawv.dll C:\WINDOWS\system32\jkbvrcvp.txt Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{2C80EAD3-74CD-4700-83A4-AA878CD1C03C}"=- [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fccaawv] 2. Sleppe diese Datei in ComboFix.exe(sehe Bild) ComboFix wird jetzt starten und die Daten ausfuehren Nach neustart des Rechners,poste das log von ComboFix Und ein log von Hijack This 2.0.2 __________ MfG Argus |
|
|
||
17.11.2007, 21:44
...neu hier
Themenstarter Beiträge: 6 |
#5
okay, das ist combofix:
ComboFix 07-11-08.1 - media 2007-11-17 21:29:49.9 - [color=red]FAT32[/color]x86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.217 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\media\Desktop\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\media\Desktop\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt FILE C:\WINDOWS\system32\fccaawv.dll C:\WINDOWS\system32\jkbvrcvp.txt C:\WINDOWS\system32\rMa01yy C:\WINDOWS\system32\vtuvvsr.dll . Nicht in der Lage Systemrechte zu erhalten (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\fccaawv.dll . ---- Previous Run ------- . C:\WINDOWS\system32\jkbvrcvp.txt C:\WINDOWS\system32\vtuvvsr.dll . ((((((((((((((((((((((( Dateien erstellt von 2007-10-17 bis 2007-11-17 )))))))))))))))))))))))))))))) . 2007-11-17 11:54 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-11-17 09:00 <DIR> d-------- C:\WINDOWS\system32\rMa01yy 2007-11-16 13:11 <DIR> d-------- C:\Programme\OO Software 2007-11-05 18:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus! 2007-11-05 15:22 <DIR> d-------- C:\Programme\Windows Live 2007-11-05 15:22 <DIR> d-------- C:\Programme\Messenger Plus! Live 2007-11-02 15:05 <DIR> d-------- C:\Programme\SysTracer 2007-10-20 07:49 584,192 --------- C:\WINDOWS\system32\dllcache\rpcrt4.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-10-25 16:55 8,495,616 ------w C:\WINDOWS\system32\dllcache\shell32.dll 2007-08-22 14:13 96,768 ------w C:\WINDOWS\system32\dllcache\inseng.dll 2007-08-22 14:13 664,576 ------w C:\WINDOWS\system32\dllcache\wininet.dll 2007-08-22 14:13 617,472 ------w C:\WINDOWS\system32\dllcache\urlmon.dll 2007-08-22 14:13 55,808 ------w C:\WINDOWS\system32\dllcache\extmgr.dll 2007-08-22 14:13 532,480 ------w C:\WINDOWS\system32\dllcache\mstime.dll 2007-08-22 14:13 474,624 ------w C:\WINDOWS\system32\dllcache\shlwapi.dll 2007-08-22 14:13 449,024 ------w C:\WINDOWS\system32\dllcache\mshtmled.dll 2007-08-22 14:13 39,424 ------w C:\WINDOWS\system32\dllcache\pngfilt.dll 2007-08-22 14:13 357,888 ------w C:\WINDOWS\system32\dllcache\dxtmsft.dll 2007-08-22 14:13 3,079,168 ------w C:\WINDOWS\system32\dllcache\mshtml.dll 2007-08-22 14:13 251,392 ------w C:\WINDOWS\system32\dllcache\iepeers.dll 2007-08-22 14:13 205,312 ------w C:\WINDOWS\system32\dllcache\dxtrans.dll 2007-08-22 14:13 16,384 ------w C:\WINDOWS\system32\dllcache\jsproxy.dll 2007-08-22 14:13 152,064 ------w C:\WINDOWS\system32\dllcache\cdfview.dll 2007-08-22 14:13 146,432 ------w C:\WINDOWS\system32\dllcache\msrating.dll 2007-08-22 14:13 1,494,528 ------w C:\WINDOWS\system32\dllcache\shdocvw.dll 2007-08-22 14:13 1,056,256 ------w C:\WINDOWS\system32\dllcache\danim.dll 2007-08-22 14:13 1,022,976 ------w C:\WINDOWS\system32\dllcache\browseui.dll 2007-08-21 11:30 18,432 ------w C:\WINDOWS\system32\dllcache\iedw.exe 2007-08-21 07:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll 2007-08-21 07:16 683,520 ------w C:\WINDOWS\system32\dllcache\inetcomm.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0140DF95-9128-4053-AE72-F43F0CFCA062}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C8EEFD2F-0360-424F-B0FB-3FB7B21620B7}] 2007-08-02 14:44 282624 --a------ C:\Programme\Internet Explorer\porefomet4444.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CADD239F-14B0-4473-8970-D2AC697A18A3}] 2007-08-02 14:44 282624 --a------ C:\Programme\Internet Explorer\porefomet83122.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 18:15] "Cmaudio"="cmicnfg.cpl" [] "SoundMan"="SOUNDMAN.EXE" [2005-10-04 14:12 C:\WINDOWS\soundman.exe] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-20 09:58] "LXCICATS"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCItime.dll" [2005-09-08 20:44] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-09-11 08:13] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57] "Vidalia"="C:\Programme\Vidalia\vidalia.exe" [2006-08-31 02:01] [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0] Source= C:\Programme\Windows Media Player\wuomym.html FriendlyName= [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fccaawv] fccaawv.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^media^Startmenü^Programme^Autostart^ADILOOK Deutsche Version auf Laufwerk C.LNK] path=C:\Dokumente und Einstellungen\media\Startmenü\Programme\Autostart\ADILOOK Deutsche Version auf Laufwerk C.LNK backup=C:\WINDOWS\pss\ADILOOK Deutsche Version auf Laufwerk C.LNKStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EzPrint] "C:\Programme\Lexmark 7300 Series\ezprint.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\lxcimon.exe] "C:\Programme\Lexmark 7300 Series\lxcimon.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys S0 bthvlgkr;bthvlgkr;C:\WINDOWS\system32\drivers\mympnlec.sys S0 emrysxns;emrysxns;C:\WINDOWS\system32\drivers\vdueacrg.sys S2 Ca533av;DV Series Video Capture;C:\WINDOWS\system32\Drivers\Ca533av.sys S3 lxci_device;lxci_device;C:\WINDOWS\system32\lxcicoms.exe -service S3 PAC207;Trust WB-1200p Mini Webcam;C:\WINDOWS\system32\DRIVERS\pfc027.sys S3 USBCamera;DV Series Digital Camera;C:\WINDOWS\system32\Drivers\Bulk533.sys . Inhalt des "geplante Tasks" Ordners "2007-11-17 20:34:16 C:\WINDOWS\Tasks\Symantec NetDetect.job" - C:\Programme\Symantec\LiveUpdate\NDetect.exe . ************************************************************************** Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... ************************************************************************** . Zeit der Fertigstellung: 2007-11-17 21:41:12 - machine was rebooted C:\ComboFix3.txt ... 2007-11-17 17:13 C:\ComboFix2.txt ... 2007-11-17 19:56 . --- E O F --- das ist highjack: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 9:44:34 PM, on 11/17/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\WINDOWS\System32\PAStiSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\Dokumente und Einstellungen\media\Desktop\HJT\HJT.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://us.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://www.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://www.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://www.yahoo.com R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 200.88.223.98:80 R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: (no name) - {0140DF95-9128-4053-AE72-F43F0CFCA062} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: (no name) - {C8EEFD2F-0360-424F-B0FB-3FB7B21620B7} - C:\Programme\Internet Explorer\porefomet4444.dll O2 - BHO: (no name) - {CADD239F-14B0-4473-8970-D2AC697A18A3} - C:\Programme\Internet Explorer\porefomet83122.dll O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [LXCICATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCItime.dll,_RunDLLEntry@16 O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Vidalia] "C:\Programme\Vidalia\vidalia.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Privoxy.lnk = C:\Programme\Privoxy\privoxy.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/ O15 - Trusted Zone: http://www.7search.com O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: fccaawv - fccaawv.dll (file missing) O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: lxci_device - - C:\WINDOWS\system32\lxcicoms.exe O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe O24 - Desktop Component 0: (no name) - C:\Programme\Windows Media Player\wuomym.html -- End of file - 5785 bytes wenn was falsch ist oder fehlt sag bitte bescheid grüsse jutta2 |
|
|
||
17.11.2007, 22:24
Ehrenmitglied
Beiträge: 6028 |
#6
Entferne auf C:\ Qoobox-->Papierkorb leeren
Verborgene Dateien sichtbar machen Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren. Prüfe mal diese Datei(en) bei VirusTotal oder Jotti C:\Programme\Internet Explorer\porefomet4444.dll C:\Programme\Internet Explorer\porefomet83122.dll Stand alone DrWeb Stand alone Kaspersky __________ MfG Argus |
|
|
||
18.11.2007, 07:27
...neu hier
Themenstarter Beiträge: 6 |
#7
Hallo,
danke für die Hilfe, das ist die Auswertung von Virustotal: File porefomet4444.dll received on 11.18.2007 07:19:17 (CET) Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED Result: 22/32 (68.75%) Loading server information... Your file is queued in position: 1. Estimated start time is between 36 and 52 seconds. Do not close the window until scan is complete. The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result. If you are waiting for more than five minutes you have to resend your file. Your file is being scanned by VirusTotal in this moment, results will be shown as they're generated. Compact Print results Your file has expired or does not exists. Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time. You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished. Email: Antivirus Version Last Update Result AhnLab-V3 2007.11.17.0 2007.11.16 - AntiVir 7.6.0.34 2007.11.16 ADSPY/TTC.A.5 Authentium 4.93.8 2007.11.17 - Avast 4.7.1074.0 2007.11.17 Win32:Adloader-KH AVG 7.5.0.503 2007.11.17 Adware Generic2.JEG BitDefender 7.2 2007.11.18 Adware.TTC CAT-QuickHeal 9.00 2007.11.17 AdWare.TTC.a (Not a Virus) ClamAV 0.91.2 2007.11.18 - DrWeb 4.44.0.09170 2007.11.17 - eSafe 7.0.15.0 2007.11.14 - eTrust-Vet 31.2.5304 2007.11.17 Win32/Zquest.G Ewido 4.0 2007.11.17 - FileAdvisor 1 2007.11.18 Low threat detected Fortinet 3.11.0.0 2007.10.19 Adware/TTC F-Prot 4.4.2.54 2007.11.16 W32/Adware.WWV F-Secure 6.70.13030.0 2007.11.17 - Ikarus T3.1.1.12 2007.11.18 not-a-virus:AdWare.Win32.TTC.a Kaspersky 7.0.0.125 2007.11.18 not-a-virus:AdWare.Win32.TTC.a McAfee 5165 2007.11.16 Downloader-BEC Microsoft 1.3007 2007.11.18 Program:Win32/TTC NOD32v2 2665 2007.11.17 - Norman 5.80.02 2007.11.16 W32/TTC.DX Panda 9.0.0.4 2007.11.17 Adware/TTC Prevx1 V2 2007.11.18 - Rising 20.18.52.00 2007.11.18 AdWare.Win32.TTC.d Sophos 4.23.0 2007.11.18 Troj/TTC-Gen Sunbelt 2.2.907.0 2007.11.17 Adware.TTC Symantec 10 2007.11.18 Downloader TheHacker 6.2.9.133 2007.11.17 Adware/TTC.a VBA32 3.12.2.5 2007.11.16 AdWare.Win32.TTC.a VirusBuster 4.3.26:9 2007.11.17 - Webwasher-Gateway 6.0.1 2007.11.16 Ad-Spyware.TTC.A.5 Additional information File size: 282624 bytes MD5: 0b36bd26e49f50029b240ef4c5f2f729 SHA1: 217b7851f3acac62eec1aa22fba5e282460a4d88 Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=0b36bd26e49f50029b240ef4c5f2f729 File porefomet83122.dll received on 11.18.2007 07:28:44 (CET) Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED Result: 22/32 (68.75%) Loading server information... Your file is queued in position: 2. Estimated start time is between 40 and 57 seconds. Do not close the window until scan is complete. The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result. If you are waiting for more than five minutes you have to resend your file. Your file is being scanned by VirusTotal in this moment, results will be shown as they're generated. Compact Print results Your file has expired or does not exists. Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time. You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished. Email: Antivirus Version Last Update Result AhnLab-V3 2007.11.17.0 2007.11.16 - AntiVir 7.6.0.34 2007.11.16 ADSPY/TTC.A.5 Authentium 4.93.8 2007.11.17 - Avast 4.7.1074.0 2007.11.17 Win32:Adloader-KH AVG 7.5.0.503 2007.11.17 Adware Generic2.JEG BitDefender 7.2 2007.11.18 Adware.TTC CAT-QuickHeal 9.00 2007.11.17 AdWare.TTC.a (Not a Virus) ClamAV 0.91.2 2007.11.18 - DrWeb 4.44.0.09170 2007.11.17 - eSafe 7.0.15.0 2007.11.14 - eTrust-Vet 31.2.5304 2007.11.17 Win32/Zquest.G Ewido 4.0 2007.11.17 - FileAdvisor 1 2007.11.18 Low threat detected Fortinet 3.11.0.0 2007.10.19 Adware/TTC F-Prot 4.4.2.54 2007.11.16 W32/Adware.WWV F-Secure 6.70.13030.0 2007.11.17 - Ikarus T3.1.1.12 2007.11.18 not-a-virus:AdWare.Win32.TTC.a Kaspersky 7.0.0.125 2007.11.18 not-a-virus:AdWare.Win32.TTC.a McAfee 5165 2007.11.16 Downloader-BEC Microsoft 1.3007 2007.11.18 Program:Win32/TTC NOD32v2 2665 2007.11.17 - Norman 5.80.02 2007.11.16 W32/TTC.DX Panda 9.0.0.4 2007.11.17 Adware/TTC Prevx1 V2 2007.11.18 - Rising 20.18.52.00 2007.11.18 AdWare.Win32.TTC.d Sophos 4.23.0 2007.11.18 Troj/TTC-Gen Sunbelt 2.2.907.0 2007.11.17 Adware.TTC Symantec 10 2007.11.18 Downloader TheHacker 6.2.9.133 2007.11.17 Adware/TTC.a VBA32 3.12.2.5 2007.11.16 AdWare.Win32.TTC.a VirusBuster 4.3.26:9 2007.11.17 - Webwasher-Gateway 6.0.1 2007.11.16 Ad-Spyware.TTC.A.5 Additional information File size: 282624 bytes MD5: 0b36bd26e49f50029b240ef4c5f2f729 SHA1: 217b7851f3acac62eec1aa22fba5e282460a4d88 Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=0b36bd26e49f50029b240ef4c5f2f729 Dr. Web: File size: 276.0K porefomet4444.dll contains an advertising software Adware.Ttc File size: 276.0K porefomet83122.dll contains an advertising software Adware.Ttc Das ist Kaspersky: Scanned file: porefomet4444.dll - Infected porefomet4444.dll - infected by not-a-virus:AdWare.Win32.TTC.a Statistics: Known viruses: 461117 Updated: 18-11-2007 File size (Kb): 276 Virus bodies: 1 Files: 1 Warnings: 0 Archives: 0 Suspicious: 0 Scanned file: porefomet83122.dll - Infected porefomet83122.dll - infected by not-a-virus:AdWare.Win32.TTC.a Statistics: Known viruses: 461117 Updated: 18-11-2007 File size (Kb): 276 Virus bodies: 1 Files: 1 Warnings: 0 Archives: 0 Suspicious: 0 Es scheint also in diesen Dateien zu sitzen, soll ich die löschen, Antivir scheint es ja nicht zu merken? Grüsse jutta2 Dieser Beitrag wurde am 18.11.2007 um 07:57 Uhr von jutta2 editiert.
|
|
|
||
18.11.2007, 07:53
Ehrenmitglied
Beiträge: 6028 |
#8
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: (no name) - {0140DF95-9128-4053-AE72-F43F0CFCA062} - (no file) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (no name) - {C8EEFD2F-0360-424F-B0FB-3FB7B21620B7} - C:\Programme\Internet Explorer\porefomet4444.dll O2 - BHO: (no name) - {CADD239F-14B0-4473-8970-D2AC697A18A3} - C:\Programme\Internet Explorer\porefomet83122.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O15 - Trusted Zone: http://www.7search.com O20 - Winlogon Notify: fccaawv - fccaawv.dll (file missing) O24 - Desktop Component 0: (no name) - C:\Programme\Windows Media Player\wuomym.html klicke: Fix checked Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst Antivir Stelle Antivir so ein wie hier beschrieben http://board.protecus.de/t23979.htm Und scanne nochmal Nach dem Scann die Heuristik auf "mittel" zurückdrehen __________ MfG Argus |
|
|
||
18.11.2007, 08:31
...neu hier
Themenstarter Beiträge: 6 |
#9
So, das habe ich alles gemacht.
das war nicht in der Liste: C:\Programme\Messenger\msmsgs.exe (file missing) Das hat antivir gemeldet als ich Fix checked machte: In der Datei 'C:\Programme\Windows Media Player\wuomym.html' wurde ein Virus oder unerwünschtes Programm 'HEUR/Exploit.HTML' [HEUR/Exploit.HTML] gefunden. Ausgeführte Aktion: Datei in Quarantäne verschieben Danach hat Antivir nichts gefunden: AntiVir PersonalEdition Classic Erstellungsdatum der Reportdatei: Sonntag, 18. November 2007 08:04 Es wird nach 932510 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Benutzername: SYSTEM Computername: OEM-VBN3UJW2LGT Versionsinformationen: BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00 AVSCAN.EXE : 7.0.6.1 290856 Bytes 14.09.2007 11:15:26 AVSCAN.DLL : 7.0.6.0 57384 Bytes 14.09.2007 11:15:26 LUKE.DLL : 7.0.5.3 147496 Bytes 14.09.2007 11:15:28 LUKERES.DLL : 7.0.6.0 10792 Bytes 14.09.2007 11:15:28 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 09:40:22 ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13.09.2007 12:37:40 ANTIVIR2.VDF : 7.0.0.198 1206272 Bytes 11.11.2007 15:05:22 ANTIVIR3.VDF : 7.0.0.226 98304 Bytes 16.11.2007 08:23:42 AVEWIN32.DLL : 7.6.0.34 3125760 Bytes 11.11.2007 04:18:28 AVWINLL.DLL : 1.0.0.7 14376 Bytes 03.05.2007 13:41:22 AVPREF.DLL : 7.0.2.2 25640 Bytes 14.09.2007 11:15:26 AVREP.DLL : 7.0.0.1 155688 Bytes 03.05.2007 13:41:24 AVPACK32.DLL : 7.3.0.15 360488 Bytes 07.08.2007 07:41:42 AVREG.DLL : 7.0.1.6 30760 Bytes 14.09.2007 11:15:26 AVARKT.DLL : 1.0.0.20 278568 Bytes 14.09.2007 11:15:26 AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 14.09.2007 11:15:26 NETNT.DLL : 7.0.0.0 7720 Bytes 03.05.2007 13:41:24 RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 14.09.2007 11:15:22 RCTEXT.DLL : 7.0.62.0 90152 Bytes 14.09.2007 11:15:22 SQLITE3.DLL : 3.3.17.1 339968 Bytes 14.09.2007 11:15:28 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, Durchsuche Speicher..............: ein Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: aus Archiv Smart Extensions..........: ein Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, Makrovirenheuristik..............: ein Dateiheuristik...................: hoch Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Sonntag, 18. November 2007 08:04 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PAStiSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IGDCTRL.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AVGUARD.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SCHED.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CTFMON.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AVGNT.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SPOOLSV.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EXPLORER.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LSASS.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SERVICES.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WINLOGON.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CSRSS.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SMSS.EXE' - '1' Modul(e) wurden durchsucht Es wurden '24' Prozesse mit '24' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [HINWEIS] Es wurde kein Virus gefunden! Masterbootsektor HD1 [HINWEIS] Es wurde kein Virus gefunden! [WARNUNG] Der Bootsektor konnte nicht gelesen werden! [WARNUNG] Fehlercode: 0x0015 Masterbootsektor HD2 [HINWEIS] Es wurde kein Virus gefunden! [WARNUNG] Der Bootsektor konnte nicht gelesen werden! [WARNUNG] Fehlercode: 0x0015 Masterbootsektor HD3 [HINWEIS] Es wurde kein Virus gefunden! [WARNUNG] Der Bootsektor konnte nicht gelesen werden! [WARNUNG] Fehlercode: 0x0015 Masterbootsektor HD4 [HINWEIS] Es wurde kein Virus gefunden! [WARNUNG] Der Bootsektor konnte nicht gelesen werden! [WARNUNG] Fehlercode: 0x0015 Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '25' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Ende des Suchlaufs: Sonntag, 18. November 2007 08:26 Benötigte Zeit: 21:56 min Der Suchlauf wurde vollständig durchgeführt. 4582 Verzeichnisse wurden überprüft 163752 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 163752 Dateien ohne Befall 6604 Archive wurden durchsucht 1 Warnungen 0 Hinweise ob das Ding schon weg ist? |
|
|
||
18.11.2007, 08:45
Ehrenmitglied
Beiträge: 6028 |
#10
ATF cleaner
Benutze nochmal ATF Cleaner http://board.protecus.de/t23188.htm Installiere AVG Anti Spyware 7.5 http://board.protecus.de/t29853.htm CombiFix entfernen Start > Ausführen>Kopiere rein Combofix /u OK Systemwiederherstellung Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. Neu Starten Dann wieder aktivieren (Häkchen entfernen) Shönen Sonntag noch __________ MfG Argus |
|
|
||
18.11.2007, 09:31
...neu hier
Themenstarter Beiträge: 6 |
#11
Okay, das habe ich alles gemacht, ich danke dir vielmals und wünsch dir auch noch einen schönen Sonntag
Viele grüsse jutta2 |
|
|
||
ich habe mir heute morgen TR/Vundo.Gen eingegangen obwohl ich
antivir auf dem PC habe. Jetzt bekomme ich es nicht wieder weg, habe schon alles mögliche probiert. Das Symantec tool funktioniert auch nicht.Kann mir jemand helfen?
Vielen Dank und Grüsse jutta2
Logfile of HijackThis v1.99.1
Scan saved at 18:50, on 2007-11-17
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\media\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://us.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://www.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 200.88.223.98:80
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LXCICATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCItime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Vidalia] "C:\Programme\Vidalia\vidalia.exe"
O4 - Global Startup: Privoxy.lnk = C:\Programme\Privoxy\privoxy.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/
O15 - Trusted Zone: http://www.7search.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Gatewaydienst auf Anwendungsebene (ALG) - Unknown owner - cmd.exe (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: lxci_device - - C:\WINDOWS\system32\lxcicoms.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe