Trojaner? Spyware? Bitte um Rat!!! |
||
---|---|---|
#0
| ||
05.12.2007, 19:55
Member
Beiträge: 30 |
||
|
||
05.12.2007, 21:38
Ehrenmitglied
Beiträge: 6028 |
#2
Poste mal die daten von http://board.protecus.de/t23188.htm nur punkt 2 und punkt 4
__________ MfG Argus |
|
|
||
05.12.2007, 22:01
Member
Themenstarter Beiträge: 30 |
#3
hab eben antivirus-scan laufen lassen und dabei hat sich der rechner aufgehängt.....im log stehen folgende virusfunde
virusname: Win32/Darksma.FR Filename: c:\windows\system32\__c0093B74.dat virusname: Win32/Darksma.FR Filename: c:\windows\system32\__c0054C08.dat virusname: Win32/Abetear.H Filename: c:\windows\system32\gckdnage.exe virusname: Win32/Secdrop.OF Filename: c:\Dokumente und Einstellungen\Marcel Kretschmar\Lokale Einstellungen\Temporary Internet Files\Content.IE5\RQU0N7AD\poiu[1] virusname: Win32/Darksma.FR Filename: c:\Dokumente und Einstellungen\Marcel Kretschmar\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QSVZM98N\mosx1024[1] virusname: Win32/Abetear.H Filename: c:\Dokumente und Einstellungen\Marcel Kretschmar\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1LO2ASRO\pochki20071106[1] virusname: Win32/Darksma.FR Filename: c:\DOKUME~1\MARCEL~1\LOKALE~1\Temp\mncpdjff.dll virusname: Win32/VUNDO.GX Filename: c:\windows\system32\mvsbukoe.dll Das waren die von 03.12. bis jetzt ( Oneraw.CD tauchte am 02.12. einmal auf ) was von den sachen weiterhin aktiv ist weiss ich leider grad nicht.... virusnamen: VUNDO.GX, Abetear.H, Darksma.FR, Secdrop.OF spyware stehen 14 im log und zwar wie folgt die namen Statcounter, SpecificClick, Serving-sys, Pointroll, Overture, Mediaplex, Hitbox, Doubleclick, Coremetrix, Bizrate, Atdmt, Advertising, Adtech, 2o7 ich hätte das alles gerne gelöscht haben....zonealarm ist zwar in der lage das alles vorrübergehend zu löschen aber nach neustart alles wieder da Log ComboFix::: ComboFix 07-12-02.5 - Marcel Kretschmar 2007-12-05 22:03:50.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1466 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\Marcel Kretschmar\Desktop\ComboFix.exe . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\cookies.ini C:\WINDOWS\system32\aydsthrs.dll C:\WINDOWS\system32\cbvqrgbx.ini C:\WINDOWS\system32\fgjlm.bak1 C:\WINDOWS\system32\fgjlm.bak2 C:\WINDOWS\system32\fgjlm.ini C:\WINDOWS\system32\gvcdkjuv.dll C:\WINDOWS\system32\hhklawlg.dll C:\WINDOWS\system32\mljgf.dll C:\WINDOWS\system32\xbgrqvbc.dll . ((((((((((((((((((((((( Dateien erstellt von 2007-11-05 bis 2007-12-05 )))))))))))))))))))))))))))))) . 2007-12-05 19:40 . 2007-12-05 19:40 <DIR> d-------- C:\Programme\Trend Micro 2007-12-05 16:04 . 2007-12-05 16:04 8,192 --ahs---- C:\WINDOWS\Thumbs.db 2007-12-05 15:54 . 2007-12-05 15:54 8,432 --a------ C:\WINDOWS\system32\ealregsnapshot1.reg 2007-12-05 15:38 . 2007-03-05 20:53 1,117,854 --a------ C:\WINDOWS\_detmp.1 2007-12-05 15:38 . 1999-08-12 15:03 49,152 --a------ C:\WINDOWS\_detmp.2 2007-12-05 08:48 . 2007-12-05 15:49 669,121 ---hs---- C:\WINDOWS\system32\wlsctuii.ini 2007-12-04 08:48 . 2007-12-04 08:48 792,462 ---hs---- C:\WINDOWS\system32\ybstypiq.ini 2007-12-03 08:48 . 2007-12-03 08:48 73,280 --a------ C:\WINDOWS\system32\irtmlwtr.dll 2007-12-03 08:46 . 2007-12-03 08:46 792,217 ---hs---- C:\WINDOWS\system32\eokubsvm.ini 2007-12-01 15:51 . 2007-09-27 20:44 41,905 --a------ C:\WINDOWS\wallpaper3.jpg 2007-11-30 13:50 . 2007-11-30 13:50 <DIR> d-------- C:\Programme\Smart Projects 2007-11-30 13:26 . 2007-11-30 13:26 35,840 --a------ C:\WINDOWS\system32\cbxyywt.dll 2007-11-30 13:04 . 2007-11-30 13:04 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\ImgBurn 2007-11-30 13:02 . 2007-11-30 13:02 <DIR> d-------- C:\Programme\ImgBurn 2007-11-27 13:40 . 2007-11-27 13:40 <DIR> d--h----- C:\WINDOWS\PIF 2007-11-27 08:04 . 2007-11-29 14:52 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\Microsoft Games 2007-11-27 08:04 . 2007-11-27 08:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Games 2007-11-16 12:49 . 2007-11-16 12:50 <DIR> d-------- C:\Programme\Macromedia 2007-11-16 12:49 . 2007-11-16 12:50 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Macromedia 2007-11-10 20:34 . 2007-11-10 20:34 <DIR> d-------- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Xfire 2007-11-08 15:59 . 2007-11-08 16:00 <DIR> d-------- C:\Programme\gs 2007-11-08 15:58 . 2007-11-08 16:00 <DIR> d-------- C:\Programme\WordToPDF . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-05 14:54 --------- d-----w C:\Programme\Google 2007-12-05 09:04 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys 2007-12-05 09:02 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe 2007-12-05 08:57 --------- d-----w C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\Azureus 2007-12-05 08:48 --------- d-s---w C:\Programme\Xfire 2007-12-03 11:53 --------- d-----w C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\Xfire 2007-12-01 15:08 --------- d--h--w C:\Programme\InstallShield Installation Information 2007-12-01 13:59 140,995 ----a-w C:\WINDOWS\Internet Logs\Explorer_2nd_2007_12_01_10_28_07_small.dmp.zip 2007-11-22 15:13 98,304 ----a-w C:\WINDOWS\system32\CmdLineExt.dll 2007-11-16 12:11 --------- d-----w C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\Skype 2007-11-13 15:28 --------- d-----w C:\Programme\Teamspeak2_RC2 2007-11-11 21:03 --------- d-----w C:\Programme\ICQ6 2007-11-07 18:29 --------- d-----w C:\Programme\SmartFTP Client 2007-11-06 15:52 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2007-10-29 07:13 2,215,424 ----a-w C:\WINDOWS\system32\kernel1.exe 2007-10-27 11:37 --------- d-----w C:\Programme\Winamp 2007-10-27 00:15 --------- d-----w C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\Media Player Classic 2007-10-27 00:11 --------- d-----w C:\Programme\K-Lite Codec Pack 2007-10-26 09:10 --------- d-----w C:\Programme\IrfanView 2007-10-26 08:29 --------- d-----w C:\Programme\MSXML 6.0 2007-10-26 08:20 --------- d-----w C:\Programme\Windows Media Connect 2 2007-10-18 07:41 896,472 ----a-w C:\WINDOWS\system32\drivers\vetmonnt.sys 2007-10-18 07:41 114,856 ----a-w C:\WINDOWS\system32\drivers\vetfddnt.sys 2007-10-18 07:41 1,353,016 ----a-w C:\WINDOWS\system32\vete.dll 2007-10-18 07:27 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2007-10-14 08:41 --------- d-----w C:\Programme\Java 2007-09-28 16:07 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll 2007-09-28 16:05 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll 2007-09-28 16:05 739,840 ----a-w C:\WINDOWS\system32\divx.dll . ((((((((((((((((((((((((((((( snapshot@2007-12-02_ 8.34.34.84 ))))))))))))))))))))))))))))))))))))))))) . - 2007-06-08 13:16:52 5,120 ----a-r C:\WINDOWS\Installer\{789289CA-F73A-4A16-A331-54D498CE069F}\Icon789289CA.exe + 2007-12-02 11:19:00 5,120 ----a-r C:\WINDOWS\Installer\{789289CA-F73A-4A16-A331-54D498CE069F}\Icon789289CA.exe + 2007-11-21 00:04:14 218,496 ----a-w C:\WINDOWS\system32\Macromed\Flash\FlashUtil9e.exe - 2007-06-19 18:30:09 48,238 ----a-w C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe + 2007-12-05 16:10:49 74,649 ----a-w C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe - 2007-11-30 17:45:53 4,212 ---h--w C:\WINDOWS\system32\zllictbl.dat + 2007-12-02 07:54:36 4,212 ---h--w C:\WINDOWS\system32\zllictbl.dat - 2007-12-01 14:16:07 63,768 ----a-w C:\WINDOWS\system32\ZoneLabs\boot.dat + 2007-12-05 13:10:30 63,768 ----a-w C:\WINDOWS\system32\ZoneLabs\boot.dat - 2007-12-01 14:16:07 13,264,936 ----a-w C:\WINDOWS\system32\ZoneLabs\vet.dat + 2007-12-05 13:10:30 13,299,880 ----a-w C:\WINDOWS\system32\ZoneLabs\vet.dat + 2007-12-05 08:50:14 3,072 ----a-w C:\WINDOWS\system32\ZoneLabs\zlqrtdb.dat . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-01-15 16:14] "STYLEXP"="C:\Programme\TGTSoft\StyleXP\StyleXP.exe" [2006-01-30 17:23] "SweetIM"="C:\Programme\Macrogaming\SweetIM\SweetIM.exe" [2007-08-12 10:02] "swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-10-27 13:35] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Gainward"="C:\Programme\XpertVision\TBPanel.exe" [2006-09-13 10:10] "NvCplDaemon"="RUNDLL32.exe" [2004-08-03 23:58 C:\WINDOWS\system32\rundll32.exe] "nwiz"="nwiz.exe" [2006-08-16 08:35 C:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="RUNDLL32.exe" [2004-08-03 23:58 C:\WINDOWS\system32\rundll32.exe] "SkyTel"="SkyTel.EXE" [2006-05-16 11:04 C:\WINDOWS\SkyTel.exe] "NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 15:40] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11] "SNPMI03"="C:\WINDOWS\vsnpmi03.exe" [2003-08-08 13:58] "RTHDCPL"="RTHDCPL.EXE" [2006-06-01 09:48 C:\WINDOWS\RTHDCPL.exe] "HotKey"="C:\Programme\HotKey\hotkey.exe" [2006-03-07 01:32] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51] "AVMWlanClient"="C:\Programme\avmwlanstick\FRITZWLANMini.exe" [2006-06-23 10:24] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-09-13 17:54] "SweetIM"="C:\Programme\Macrogaming\SweetIM\SweetIM.exe" [2007-08-12 10:02] "Zone Labs Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2006-02-19 17:27] "Google Desktop Search"="C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" [2007-10-26 10:12] "WinampAgent"="C:\Programme\Winamp\wianmpa.exe" [] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 23:57] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "tscuninstall"="C:\WINDOWS\system32\tscupgrd.exe" [2004-08-03 23:38] "nlpo_01"="advpack.dll" [2007-08-20 10:55 C:\WINDOWS\system32\advpack.dll] "nlpo_02"="advpack.dll" [2007-08-20 10:55 C:\WINDOWS\system32\advpack.dll] R1 SSHDRV86;SSHDRV86;\??\C:\WINDOWS\system32\drivers\SSHDRV86.sys R2 ithsgt;ithsgt;C:\WINDOWS\system32\DRIVERS\ithsgt.sys R2 lilsgt;lilsgt;C:\WINDOWS\system32\DRIVERS\lilsgt.sys R2 litsgt;litsgt;C:\WINDOWS\system32\DRIVERS\litsgt.sys R2 nvcap;nVidia WDM Video Capture (universal);C:\WINDOWS\system32\DRIVERS\nvcap.sys R2 NVXBAR;nVidia WDM A/V Crossbar;C:\WINDOWS\system32\DRIVERS\NVxbar.sys R2 tansgt;tansgt;C:\WINDOWS\system32\DRIVERS\tansgt.sys S1 aiptektp;HyperPen;C:\WINDOWS\system32\DRIVERS\aiptektp.sys S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys S3 nenum13E;nenum13E;\??\C:\DOKUME~1\MARCEL~1\LOKALE~1\Temp\nenum13E.sys S3 snpmi03;VideoCAM NB 300;C:\WINDOWS\system32\DRIVERS\snpmi03.sys [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e0f4c13e-3b07-11dc-b89d-0019660b187d}] \Shell\AutoRun\command - F:\pushinst.exe . ************************************************************************** catchme 0.3.1318 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-05 22:16:26 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2007-12-05 22:21:25 - machine was rebooted C:\ComboFix2.txt ... 2007-12-02 08:36 . --- E O F --- datfind log::: . . Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten . . Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: A430-A795 Verzeichnis von C:\WINDOWS\system32 05.12.2007 22:20 38.476 vsconfig.xml 05.12.2007 22:17 0 nmp.log 05.12.2007 22:15 81.191 nvapps.xml 05.12.2007 15:54 8.432 ealregsnapshot1.reg 05.12.2007 15:49 669.121 wlsctuii.ini 05.12.2007 10:02 107.832 PnkBstrB.exe 05.12.2007 09:49 2.206 wpa.dbl 04.12.2007 08:48 792.462 ybstypiq.ini 03.12.2007 08:48 73.280 irtmlwtr.dll 03.12.2007 08:46 792.217 eokubsvm.ini 02.12.2007 08:54 4.212 zllictbl.dat 30.11.2007 18:46 418.590 perfh009.dat 30.11.2007 18:46 433.284 perfh007.dat 30.11.2007 18:46 70.106 perfc009.dat 30.11.2007 18:46 82.870 perfc007.dat 30.11.2007 18:46 1.017.742 PerfStringBackup.INI 30.11.2007 13:26 35.840 cbxyywt.dll 22.11.2007 16:13 98.304 CmdLineExt.dll 17.11.2007 12:17 480.336 FNTCACHE.DAT 29.10.2007 08:13 2.215.424 kernel1.exe 26.10.2007 09:37 16.832 amcompat.tlb 26.10.2007 09:37 23.392 nscompat.tlb 26.10.2007 09:20 3 EUupdate.installed 26.10.2007 08:58 3.532 TZLog.log 26.10.2007 08:49 3 vbrun60sp6.installed 26.10.2007 08:39 3 Wordpad-Converter-ZLib-update.installed 22.10.2007 21:27 2.286.976 KERNEL.TMP 18.10.2007 08:41 1.353.016 vete.dll 14.10.2007 09:41 5.628 jupdate-1.6.0_03-b05.log 03.10.2007 16:03 414 lame_acm.xml 28.09.2007 17:07 3.596.288 qt-dx331.dll 28.09.2007 17:05 81.920 dpl100.dll 28.09.2007 17:05 739.840 divx.dll 26.09.2007 17:05 12.288 advpack.dll.mui 24.09.2007 22:31 69.632 javacpl.cpl 24.09.2007 22:31 139.264 javaws.exe 24.09.2007 21:30 135.168 javaw.exe 24.09.2007 21:30 135.168 java.exe 21.09.2007 19:43 23 presets.ini 21.09.2007 01:52 118.784 ac3acm.acm 13.09.2007 17:54 185.688 rmoc3260.dll 13.09.2007 17:54 5.632 pndx5032.dll 13.09.2007 17:54 6.656 pndx5016.dll 13.09.2007 06:40 5.531 jupdate-1.5.0_05-b05.log 04.09.2007 17:56 164.352 unrar.dll 26.08.2007 17:43 66.872 PnkBstrA.exe 21.08.2007 07:25 683.520 inetcomm.dll 20.08.2007 14:25 3.584.512 mshtml.dll 20.08.2007 10:55 824.832 wininet.dll 20.08.2007 10:55 105.984 url.dll 20.08.2007 10:55 1.152.000 urlmon.dll 20.08.2007 10:55 671.232 mstime.dll 20.08.2007 10:55 232.960 webcheck.dll 20.08.2007 10:55 102.400 occache.dll 20.08.2007 10:55 477.696 mshtmled.dll 20.08.2007 10:55 193.024 msrating.dll 20.08.2007 10:55 52.224 msfeedsbs.dll 20.08.2007 10:55 459.264 msfeeds.dll 20.08.2007 10:55 1.824.768 inetcpl.cpl 20.08.2007 10:55 267.776 iertutil.dll 20.08.2007 10:55 6.058.496 ieframe.dll 20.08.2007 10:55 44.544 iernonce.dll 20.08.2007 10:55 27.648 jsproxy.dll 20.08.2007 10:55 383.488 ieapfltr.dll 20.08.2007 10:55 230.400 ieaksie.dll 20.08.2007 10:55 384.512 iedkcs32.dll 20.08.2007 10:55 214.528 dxtrans.dll 20.08.2007 10:55 63.488 icardie.dll 20.08.2007 10:55 132.608 extmgr.dll 20.08.2007 10:55 153.088 ieakeng.dll 20.08.2007 10:55 124.928 advpack.dll 17.08.2007 11:20 13.824 ieudinit.exe 17.08.2007 11:19 63.488 ie4uinit.exe 17.08.2007 08:34 161.792 ieakui.dll 13.08.2007 17:54 413.696 vbscript.dll 13.08.2007 17:54 180.736 ieui.dll 13.08.2007 17:54 191.488 iepeers.dll 13.08.2007 17:54 156.160 msls31.dll 13.08.2007 17:45 443.904 html.iec 13.08.2007 17:45 78.336 ieencode.dll 13.08.2007 17:45 206.336 WinFXDocObj.exe 13.08.2007 17:44 40.960 licmgr10.dll 13.08.2007 17:39 71.680 admparse.dll 13.08.2007 17:39 55.296 iesetup.dll 13.08.2007 17:39 92.672 inseng.dll 13.08.2007 17:38 491.520 jscript.dll 13.08.2007 17:36 12.288 msfeedssync.exe 13.08.2007 17:36 44.544 pngfilt.dll 13.08.2007 17:36 36.352 imgutil.dll 13.08.2007 17:35 346.624 dxtmsft.dll 13.08.2007 17:32 45.568 mshta.exe 13.08.2007 17:32 66.560 tdc.ocx 13.08.2007 17:06 56.700 ieuinit.inf 13.08.2007 17:01 48.128 mshtmler.dll 13.08.2007 16:50 1.383.424 mshtml.tlb 13.08.2007 04:09 5.214 jupdate-1.6.0_02-b06.log 29.07.2007 16:51 7.680 ff_vfw.dll 25.07.2007 14:24 1.559.040 xvidcore.dll 22.07.2007 18:39 279.552 swreg.exe 10.07.2007 17:10 547 ff_vfw.dll.manifest 09.07.2007 14:16 582.656 rpcrt4.dll 26.06.2007 07:08 1.104.896 msxml3.dll 25.06.2007 12:41 34.064 lhacm.acm 19.06.2007 14:40 282.112 gdi32.dll 18.06.2007 23:24 373.760 xpsp3res.dll 11.06.2007 22:51 10.834.944 wmp.dll 09.06.2007 05:14 564.224 x264vfw.dll 17.05.2007 12:28 549.376 oleaut32.dll 16.05.2007 11:18 21.840 SIntfNT.dll 16.05.2007 11:18 17.212 SIntf32.dll 16.05.2007 11:18 12.067 SIntf16.dll 15.05.2007 14:43 1.320.800 msxml6.dll 08.05.2007 16:08 100.040 msxml6r.dll 08.05.2007 14:11 95.744 msxml4r.dll 08.05.2007 14:11 1.275.392 msxml4.dll 25.04.2007 15:22 144.896 schannel.dll 19.04.2007 06:30 497 new 17.04.2007 10:32 2.455.488 ieapfltr.dat 16.04.2007 17:09 1.059.840 kernel32.dll 04.04.2007 17:55 261.480 xactengine2_7.dll 04.04.2007 17:53 81.768 xinput1_3.dll 02.04.2007 07:36 546.304 hhctrl.ocx 17.03.2007 14:45 293.376 winsrv.dll 15.03.2007 15:57 443.752 d3dx10_33.dll 12.03.2007 20:49 8.464 sporder.dll 12.03.2007 15:42 1.123.696 D3DCompiler_33.dll 12.03.2007 15:42 3.495.784 d3dx9_33.dll 10.03.2007 12:51 282.624 xvidvfw.dll 08.03.2007 16:48 40.960 mf3216.dll 08.03.2007 16:48 579.584 user32.dll 08.03.2007 16:45 1.844.096 win32k.sys 08.03.2007 12:35 1 sav86032.sys 08.03.2007 12:34 1 sav84010.sys 08.03.2007 12:34 1 sav85014.sys 08.03.2007 00:51 1.628.920 pxsfs.dll 08.03.2007 00:51 187.128 pxmas.dll 08.03.2007 00:51 64.760 pxinsa64.exe 08.03.2007 00:51 129.784 pxafs.dll 08.03.2007 00:51 510.712 pxdrv.dll 08.03.2007 00:51 379.640 pxwave.dll 08.03.2007 00:51 547.576 px.dll 08.03.2007 00:51 64.760 pxcpya64.exe 08.03.2007 00:51 72.440 pxhpinst.exe 07.03.2007 21:25 212.240 RICHTX32.OCX 07.03.2007 21:25 132.880 MSINET.OCX 06.03.2007 01:24 0 h323log.txt 05.03.2007 20:40 146.650 BuzzingBee.wav 05.03.2007 20:40 940.794 LoopyMusic.wav 05.03.2007 20:33 15.475 $winnt$.inf 05.03.2007 20:30 488 logonui.exe.manifest 05.03.2007 20:30 488 WindowsLogon.manifest 05.03.2007 20:30 749 cdplayer.exe.manifest 05.03.2007 20:30 749 wuaucpl.cpl.manifest 05.03.2007 20:30 749 nwc.cpl.manifest 05.03.2007 20:30 749 sapi.cpl.manifest 05.03.2007 20:30 749 ncpa.cpl.manifest 05.03.2007 20:29 22.880 emptyregdb.dat 05.03.2007 18:28 2.951 CONFIG.NT 05.03.2007 11:42 15.128 x3daudio1_1.dll 28.02.2007 17:06 2.184.448 ntoskrnl.exe 28.02.2007 13:55 3.185 JapaneseGarden3DScreensaver.html 28.02.2007 13:55 8.773.632 Japanese Garden 3D Screensaver.scr 28.02.2007 07:06 2.061.696 ntkrnlpa.exe 23.02.2007 05:29 116.472 pxcpyi64.exe 23.02.2007 05:29 118.520 pxinsi64.exe 23.02.2007 05:29 39.672 vxblock.dll 23.02.2007 05:29 1.044.480 libdivx.dll 23.02.2007 05:29 200.704 ssldivx.dll 23.02.2007 05:25 196.608 dtu100.dll 23.02.2007 05:25 53.248 dpuGUI10.dll 23.02.2007 05:25 593.920 dpuGUI11.dll 23.02.2007 05:25 344.064 dpus11.dll 23.02.2007 05:25 57.344 dpv11.dll 23.02.2007 05:25 294.912 dpu10.dll 23.02.2007 05:25 294.912 dpu11.dll 05.02.2007 21:18 185.856 upnphost.dll 24.01.2007 14:27 255.848 xactengine2_6.dll 19.01.2007 11:53 51.056 sirenacm.dll 12.01.2007 15:48 71.208 PhysXLoader.dll 10.01.2007 16:42 1.040.384 ieframe.dll.mui 08.01.2007 18:01 17.408 corpol.dll 05.01.2007 21:23 58.920 AgCPanelTraditionalChinese.dll 05.01.2007 21:23 58.920 AgCPanelSwedish.dll 05.01.2007 21:23 58.920 AgCPanelSpanish.dll 05.01.2007 21:23 58.920 AgCPanelSimplifiedChinese.dll 05.01.2007 21:23 58.920 AgCPanelJapanese.dll 05.01.2007 21:23 58.920 AgCPanelFrench.dll 05.01.2007 21:23 58.920 AgCPanelGerman.dll 05.01.2007 21:23 58.920 AgCPanelPortugese.dll 05.01.2007 21:23 58.920 AgCPanelKorean.dll 05.01.2007 21:09 479.232 PhysX.cpl Dieser Beitrag wurde am 05.12.2007 um 22:48 Uhr von PH0ENlX editiert.
|
|
|
||
05.12.2007, 22:52
Ehrenmitglied
Beiträge: 6028 |
#4
Entferne auf C:\ Qoobox-->Papierkorb leeren
RVAXO Download: RVAXO by Smeenk,zum Desktop Danach doppelklicken Öffne die Datei RVAXO und doppelklick “RVAXO.cmd” Moeglich startet der Uninstaller von ein Roquescanner schliesse es nicht ab aber lass es seine Arbeit tun Dein Rechner wird neu gestartet,wenn nicht Rechner neu starten und nochmals “RVAXO.cmd” doppelklicken Poste nachher den logfile C:\ RVAXO-results.log in dein folgender Bericht zusammen mit ein log von HijackThis __________ MfG Argus |
|
|
||
06.12.2007, 09:33
Member
Themenstarter Beiträge: 30 |
#5
also ich weiss zwar das qoobox zu combofix gehört und hab den ordner auch gefunden....versteh allerdings nicht was ich da jetzt löschen soll.....rvaxo hat nix gebracht.....hier der log davon
----------------RVAXO.exe first run------------- Files found: Uninstallers Rogue scanners: Folders Found: Hosts-file was reset, If you use a custom hosts file please replace it... --------------RVAXO.exe last run--------------- Files found: Folders Found: --------------RVAXO.exe finished---------------- der andere log von hijack Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 09:33:00, on 06.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16544) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\avmwlanstick\WlanNetService.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe C:\WINDOWS\system32\notepad.exe C:\Programme\XpertVision\TBPanel.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\WINDOWS\vsnpmi03.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\HotKey\hotkey.exe C:\Programme\avmwlanstick\FRITZWLANMini.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Macrogaming\SweetIM\SweetIM.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\Programme\TGTSoft\StyleXP\StyleXP.exe C:\Programme\Stardock\ObjectDock\ObjectDock.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\PROGRA~1\HotKey\OSD.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\ZoneLabs\isafe.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll (file missing) O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O4 - HKLM\..\Run: [Gainward] C:\Programme\XpertVision\TBPanel.exe /A O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [SNPMI03] C:\WINDOWS\vsnpmi03.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [HotKey] C:\Programme\HotKey\hotkey.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\wianmpa.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user') O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\VIRUSfighter\Nvc\BIN\nipsvc.exe (file missing) O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 8605 bytes |
|
|
||
06.12.2007, 09:44
Ehrenmitglied
Beiträge: 6028 |
#6
In Qoobox befinden sich die Viren die durch ComboFix entfernrt wurden
RAVXO entfernt zumteil sachen die nicht durch CF entfernt werden konnten Wurde vor langer Zeit entwickelt um video codecs zu entfernen Verborgene Dateien sichtbar machen Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren Und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren. Prüfe mal diese Datei(en) bei VirusTotal oder Jotti C:\WINDOWS\vsnpmi03.exe Stand alone DrWeb Stand alone Kaspersky __________ MfG Argus |
|
|
||
06.12.2007, 09:54
Member
Themenstarter Beiträge: 30 |
#7
File vsnpmi03.exe received on 11.23.2007 16:18:41 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED Result: 0/32 (0%) Antivirus / Version / Last Update / Result AhnLab-V3 2007.11.23.1 2007.11.23 - AntiVir 7.6.0.34 2007.11.23 - Authentium 4.93.8 2007.11.21 - Avast 4.7.1074.0 2007.11.22 - AVG 7.5.0.503 2007.11.23 - BitDefender 7.2 2007.11.23 - CAT-QuickHeal 9.00 2007.11.22 - ClamAV 0.91.2 2007.11.23 - DrWeb 4.44.0.09170 2007.11.23 - eSafe 7.0.15.0 2007.11.21 - eTrust-Vet 31.3.5318 2007.11.23 - Ewido 4.0 2007.11.23 - FileAdvisor 1 2007.11.23 - Fortinet 3.14.0.0 2007.11.23 - F-Prot 4.4.2.54 2007.11.22 - F-Secure 6.70.13030.0 2007.11.23 - Ikarus T3.1.1.12 2007.11.23 - Kaspersky 7.0.0.125 2007.11.21 - McAfee 5169 2007.11.22 - Microsoft 1.3007 2007.11.23 - NOD32v2 2681 2007.11.23 - Norman 5.80.02 2007.11.22 - Panda 9.0.0.4 2007.11.23 - Prevx1 V2 2007.11.23 - Rising 20.19.41.00 2007.11.23 - Sophos 4.23.0 2007.11.23 - Sunbelt 2.2.907.0 2007.11.22 - Symantec 10 2007.11.23 - TheHacker 6.2.9.138 2007.11.22 - VBA32 3.12.2.5 2007.11.23 - VirusBuster 4.3.26:9 2007.11.23 - Webwasher-Gateway 6.0.1 2007.11.23 - Additional information File size: 32768 bytes MD5: b7a0ba3ce94a29801cc507b97db391fa SHA1: 291a6917c24c87555cee7a9841ccb66180b74f4e zusätzlich lasse ich gerade mal vundofix rennen....log folgt in kürze....steckt in phase 2...bisher keine funde nochmal zu dem combofixordner.....wo in diesem ordner muss ich was löschen |
|
|
||
06.12.2007, 09:56
Ehrenmitglied
Beiträge: 6028 |
#8
cfscript.txt
1. Den folgenden blauen Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. file:: C:\WINDOWS\system32\wlsctuii.ini C:\WINDOWS\system32\ybstypiq.ini C:\WINDOWS\system32\irtmlwtr.dll C:\WINDOWS\system32\eokubsvm.ini C:\WINDOWS\system32\cbxyywt.dll 2. Sleppe diese Datei in ComboFix.exe(sehe Bild) ComboFix wird jetzt starten und die Daten ausfuehren Nach neustart des Rechners,poste das log von ComboFix __________ MfG Argus |
|
|
||
06.12.2007, 10:06
Member
Themenstarter Beiträge: 30 |
#9
lasse ich sofort laufen....vorab....vundofix hat nichts gefunden.....spyware noch 8 durch zonelabs lokalisiert....2o7, Ads.addynamix, Atdmt, Com, Doubleclick, Hitbox, Mediaplex, Statcounter.....würde das gerne weg haben...weiss aber nicht ob da was wichtiges oder schlimmes dabei ist....lasse virus und spyware nach neustart nochmal laufen
combofix log: ComboFix 07-12-02.5 - Marcel Kretschmar 2007-12-06 10:08:50.3 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1371 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\Marcel Kretschmar\Desktop\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\Marcel Kretschmar\Desktop\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt FILE C:\WINDOWS\system32\cbxyywt.dll C:\WINDOWS\system32\eokubsvm.ini C:\WINDOWS\system32\irtmlwtr.dll C:\WINDOWS\system32\wlsctuii.ini C:\WINDOWS\system32\ybstypiq.ini . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\cbxyywt.dll C:\WINDOWS\system32\eokubsvm.ini C:\WINDOWS\system32\irtmlwtr.dll C:\WINDOWS\system32\wlsctuii.ini C:\WINDOWS\system32\ybstypiq.ini . ((((((((((((((((((((((( Dateien erstellt von 2007-11-06 bis 2007-12-06 )))))))))))))))))))))))))))))) . 2007-12-06 09:42 . 2007-12-06 09:42 <DIR> d-------- C:\VundoFix Backups 2007-12-06 09:22 . 2007-12-06 09:23 <DIR> d-------- C:\RVAXO 2007-12-06 09:21 . 2007-12-06 02:13 507,734 --a------ C:\WINDOWS\system32\RVAXO.bat 2007-12-06 09:21 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe 2007-12-05 19:40 . 2007-12-05 19:40 <DIR> d-------- C:\Programme\Trend Micro 2007-12-05 16:04 . 2007-12-05 16:04 8,192 --ahs---- C:\WINDOWS\Thumbs.db 2007-12-05 15:54 . 2007-12-05 15:54 8,432 --a------ C:\WINDOWS\system32\ealregsnapshot1.reg 2007-12-05 15:38 . 2007-03-05 20:53 1,117,854 --a------ C:\WINDOWS\_detmp.1 2007-12-05 15:38 . 1999-08-12 15:03 49,152 --a------ C:\WINDOWS\_detmp.2 2007-12-01 15:51 . 2007-09-27 20:44 41,905 --a------ C:\WINDOWS\wallpaper3.jpg 2007-11-30 13:50 . 2007-11-30 13:50 <DIR> d-------- C:\Programme\Smart Projects 2007-11-30 13:04 . 2007-11-30 13:04 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\ImgBurn 2007-11-30 13:02 . 2007-11-30 13:02 <DIR> d-------- C:\Programme\ImgBurn 2007-11-27 13:40 . 2007-11-27 13:40 <DIR> d--h----- C:\WINDOWS\PIF 2007-11-27 08:04 . 2007-11-29 14:52 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\Microsoft Games 2007-11-27 08:04 . 2007-11-27 08:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Games 2007-11-16 12:49 . 2007-11-16 12:50 <DIR> d-------- C:\Programme\Macromedia 2007-11-16 12:49 . 2007-11-16 12:50 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Macromedia 2007-11-10 20:34 . 2007-11-10 20:34 <DIR> d-------- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Xfire 2007-11-08 15:59 . 2007-11-08 16:00 <DIR> d-------- C:\Programme\gs 2007-11-08 15:58 . 2007-11-08 16:00 <DIR> d-------- C:\Programme\WordToPDF . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-05 14:54 --------- d-----w C:\Programme\Google 2007-12-05 09:04 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys 2007-12-05 08:57 --------- d-----w C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\Azureus 2007-12-05 08:48 --------- d-s---w C:\Programme\Xfire 2007-12-03 11:53 --------- d-----w C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\Xfire 2007-12-01 15:08 --------- d--h--w C:\Programme\InstallShield Installation Information 2007-12-01 13:59 140,995 ----a-w C:\WINDOWS\Internet Logs\Explorer_2nd_2007_12_01_10_28_07_small.dmp.zip 2007-11-16 12:11 --------- d-----w C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\Skype 2007-11-13 15:28 --------- d-----w C:\Programme\Teamspeak2_RC2 2007-11-11 21:03 --------- d-----w C:\Programme\ICQ6 2007-11-07 18:29 --------- d-----w C:\Programme\SmartFTP Client 2007-11-06 15:52 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2007-10-27 11:37 --------- d-----w C:\Programme\Winamp 2007-10-27 00:15 --------- d-----w C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\Media Player Classic 2007-10-27 00:11 --------- d-----w C:\Programme\K-Lite Codec Pack 2007-10-26 09:10 --------- d-----w C:\Programme\IrfanView 2007-10-26 08:29 --------- d-----w C:\Programme\MSXML 6.0 2007-10-26 08:20 --------- d-----w C:\Programme\Windows Media Connect 2 2007-10-18 07:41 896,472 ----a-w C:\WINDOWS\system32\drivers\vetmonnt.sys 2007-10-18 07:41 114,856 ----a-w C:\WINDOWS\system32\drivers\vetfddnt.sys 2007-10-18 07:27 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2007-10-14 08:41 --------- d-----w C:\Programme\Java . ((((((((((((((((((((((((((((( snapshot@2007-12-02_ 8.34.34.84 ))))))))))))))))))))))))))))))))))))))))) . - 2007-06-08 13:16:52 5,120 ----a-r C:\WINDOWS\Installer\{789289CA-F73A-4A16-A331-54D498CE069F}\Icon789289CA.exe + 2007-12-02 11:19:00 5,120 ----a-r C:\WINDOWS\Installer\{789289CA-F73A-4A16-A331-54D498CE069F}\Icon789289CA.exe + 2007-11-21 00:04:14 218,496 ----a-w C:\WINDOWS\system32\Macromed\Flash\FlashUtil9e.exe - 2007-06-19 18:30:09 48,238 ----a-w C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe + 2007-12-05 16:10:49 74,649 ----a-w C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe - 2007-12-01 20:31:45 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe + 2007-12-05 09:02:11 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe - 2007-11-30 17:45:53 4,212 ---h--w C:\WINDOWS\system32\zllictbl.dat + 2007-12-02 07:54:36 4,212 ---h--w C:\WINDOWS\system32\zllictbl.dat - 2007-12-01 14:16:07 63,768 ----a-w C:\WINDOWS\system32\ZoneLabs\boot.dat + 2007-12-06 08:38:45 63,816 ----a-w C:\WINDOWS\system32\ZoneLabs\boot.dat - 2007-12-01 14:16:07 13,264,936 ----a-w C:\WINDOWS\system32\ZoneLabs\vet.dat + 2007-12-06 08:38:45 13,305,560 ----a-w C:\WINDOWS\system32\ZoneLabs\vet.dat + 2007-12-05 08:50:14 3,072 ----a-w C:\WINDOWS\system32\ZoneLabs\zlqrtdb.dat . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-01-15 16:14] "STYLEXP"="C:\Programme\TGTSoft\StyleXP\StyleXP.exe" [2006-01-30 17:23] "SweetIM"="C:\Programme\Macrogaming\SweetIM\SweetIM.exe" [2007-08-12 10:02] "swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-10-27 13:35] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Gainward"="C:\Programme\XpertVision\TBPanel.exe" [2006-09-13 10:10] "NvCplDaemon"="RUNDLL32.exe" [2004-08-03 23:58 C:\WINDOWS\system32\rundll32.exe] "nwiz"="nwiz.exe" [2006-08-16 08:35 C:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="RUNDLL32.exe" [2004-08-03 23:58 C:\WINDOWS\system32\rundll32.exe] "SkyTel"="SkyTel.EXE" [2006-05-16 11:04 C:\WINDOWS\SkyTel.exe] "NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 15:40] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11] "SNPMI03"="C:\WINDOWS\vsnpmi03.exe" [2003-08-08 13:58] "RTHDCPL"="RTHDCPL.EXE" [2006-06-01 09:48 C:\WINDOWS\RTHDCPL.exe] "HotKey"="C:\Programme\HotKey\hotkey.exe" [2006-03-07 01:32] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51] "AVMWlanClient"="C:\Programme\avmwlanstick\FRITZWLANMini.exe" [2006-06-23 10:24] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-09-13 17:54] "SweetIM"="C:\Programme\Macrogaming\SweetIM\SweetIM.exe" [2007-08-12 10:02] "Zone Labs Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2006-02-19 17:27] "Google Desktop Search"="C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" [2007-10-26 10:12] "WinampAgent"="C:\Programme\Winamp\wianmpa.exe" [] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 23:57] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "tscuninstall"="C:\WINDOWS\system32\tscupgrd.exe" [2004-08-03 23:38] "nlpo_01"="advpack.dll" [2007-08-20 10:55 C:\WINDOWS\system32\advpack.dll] "nlpo_02"="advpack.dll" [2007-08-20 10:55 C:\WINDOWS\system32\advpack.dll] R1 SSHDRV86;SSHDRV86;\??\C:\WINDOWS\system32\drivers\SSHDRV86.sys R2 ithsgt;ithsgt;C:\WINDOWS\system32\DRIVERS\ithsgt.sys R2 lilsgt;lilsgt;C:\WINDOWS\system32\DRIVERS\lilsgt.sys R2 litsgt;litsgt;C:\WINDOWS\system32\DRIVERS\litsgt.sys R2 nvcap;nVidia WDM Video Capture (universal);C:\WINDOWS\system32\DRIVERS\nvcap.sys R2 NVXBAR;nVidia WDM A/V Crossbar;C:\WINDOWS\system32\DRIVERS\NVxbar.sys R2 tansgt;tansgt;C:\WINDOWS\system32\DRIVERS\tansgt.sys S1 aiptektp;HyperPen;C:\WINDOWS\system32\DRIVERS\aiptektp.sys S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys S3 nenum13E;nenum13E;\??\C:\DOKUME~1\MARCEL~1\LOKALE~1\Temp\nenum13E.sys S3 snpmi03;VideoCAM NB 300;C:\WINDOWS\system32\DRIVERS\snpmi03.sys [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e0f4c13e-3b07-11dc-b89d-0019660b187d}] \Shell\AutoRun\command - F:\pushinst.exe . ************************************************************************** catchme 0.3.1318 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-06 10:17:04 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2007-12-06 10:25:03 - machine was rebooted C:\ComboFix2.txt ... 2007-12-05 22:21 C:\ComboFix3.txt ... 2007-12-02 08:36 . --- E O F --- dazu nochmal log hijack: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:27:31, on 06.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16544) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\avmwlanstick\WlanNetService.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe C:\Programme\XpertVision\TBPanel.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\WINDOWS\vsnpmi03.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\HotKey\hotkey.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Macrogaming\SweetIM\SweetIM.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\Programme\TGTSoft\StyleXP\StyleXP.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe C:\PROGRA~1\HotKey\OSD.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe C:\WINDOWS\system32\notepad.exe C:\Programme\Stardock\ObjectDock\ObjectDock.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\ZoneLabs\isafe.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O4 - HKLM\..\Run: [Gainward] C:\Programme\XpertVision\TBPanel.exe /A O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [SNPMI03] C:\WINDOWS\vsnpmi03.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [HotKey] C:\Programme\HotKey\hotkey.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\wianmpa.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user') O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\VIRUSfighter\Nvc\BIN\nipsvc.exe (file missing) O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 8304 bytes C:\ Qoobox...........soll der komplett gelöscht werden?? oder nur etwas innerhalb der datei?? Dieser Beitrag wurde am 06.12.2007 um 10:39 Uhr von PH0ENlX editiert.
|
|
|
||
06.12.2007, 10:45
Ehrenmitglied
Beiträge: 6028 |
#10
Entferne auf C:\ Qoobox-->Papierkorb leeren
Entferne auf C:\ VundoFix Backups -->Papierkorb leeren Oeffne die Datei RVAXO auf dein Desktop Doppleklick Uninstall.cmd um alles von RVAXO zu entfernen Start-->Ausführen kopiere rein: sc delete NipSvc Klicke OK CombiFix entfernen Start > Ausführen>Kopiere rein Combofix /U OK ATF cleaner Benutze ATF Cleaner http://board.protecus.de/t23188.htm Systemwiederherstellung Arbeitsplatz>>Rechtsklick, dann auf Eigenschaften>>Reiter Systemwiederherstellung>> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. Neu Starten Dann wieder aktivieren (Häkchen entfernen) __________ MfG Argus |
|
|
||
06.12.2007, 10:48
Member
Themenstarter Beiträge: 30 |
#11
also beide ordner entfernt......mit dem rest warte ich noch kurz....antivirenscan und spyware laufen gerade und ein virus wurde bis jetzt lokalisiert....allerdings nichts mehr in system32 *freu*
hab nebenbei kurz den log von zonelabs gecheckt die datei befand sich in qoobox der ja mitlerweile gelöscht ist |
|
|
||
06.12.2007, 10:51
Ehrenmitglied
Beiträge: 6028 |
||
|
||
06.12.2007, 10:56
Member
Themenstarter Beiträge: 30 |
#13
wie veraltet ok bin auch schon bei atf cleaner.....aber erst gedownloaded....
vorab zum punkt systemwiederherstellung....wenn ich da etwas mache welche auswirkung hat das??? habe sehr viel aufm rechner...nicht dass mir da was verloren geht ^^ |
|
|
||
06.12.2007, 11:02
Ehrenmitglied
Beiträge: 6028 |
#14
Auf dein PC version ComboFix 07-12-02.5 letzte Version ComboFix 07-12-05.2
Das einzige was verloren geht sind die Vierchen __________ MfG Argus |
|
|
||
06.12.2007, 11:07
Member
Themenstarter Beiträge: 30 |
#15
ok cool.....noch 2 dinge....was hat es mit der spyware auf meinem rechner auf sich....und auf meinem desktop liegen noch vundofix und datfind....
datfind würde ich gerne in einen ordner aufm desktop verschieben und in meinen objektdoc ziehen dafür is der ja da ^^ |
|
|
||
gegen trojaner und so nen Schei... habe ich antivirus/spyware/firewall von zonealarm aufm rechner....selbsthilfeversuche....ballast gelöscht immer und immer wieder....sprich temporäre dateien und der gleiche (datenträgerbereinigung), defragmentieren.....habe nach etwas suchen und lesen im netz das programm combofix installiert und laufen lassen....ergebnis...einige gelöschte dateien....system ein bisschen schneller....aber weiterhin probleme....spyware wie doubleclick und dergleichen taucen ständig nach jedem neustart und löschen wieder auf (ca. 12-14) ab und zu findet mein zonelabs den ein oder anderen trojaner (zwischen 1-6) unter anderem eine datei namens win32/darksma.fr
habe mitlerweile rausbekommen dass es sich eventuell um vundo(wie auch immer) handelt....hijack (was mir unbekannt ist) installiert und log erstellt....
verstehe allerdings nur bahnhof wenn ich drauf sehe.....habe noch 2 weitere programme gedownloaded aber liegen noch aufm desktop falls benötigt.... (vundofix, avenger) bitte um hilfe!!!! folgt der log von hijack
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:40:22, on 05.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\XpertVision\TBPanel.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\vsnpmi03.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\HotKey\hotkey.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Macrogaming\SweetIM\SweetIM.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\Stardock\ObjectDock\ObjectDock.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\PROGRA~1\HotKey\OSD.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\system32\ZoneLabs\isafe.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
D:\Programme\Atari\RollerCoaster Tycoon® 3\RCT3plus.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\internet explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)
O4 - HKLM\..\Run: [Gainward] C:\Programme\XpertVision\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [SNPMI03] C:\WINDOWS\vsnpmi03.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [HotKey] C:\Programme\HotKey\hotkey.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\wianmpa.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [a430a73a] rundll32.exe "C:\WINDOWS\system32\xbgrqvbc.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c0054C08.dat
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\VIRUSfighter\Nvc\BIN\nipsvc.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
--
End of file - 8905 bytes