TR/Vundo.Gen und TR/Drop.Agent.CWD |
||
---|---|---|
#0
| ||
07.12.2007, 23:19
...neu hier
Beiträge: 6 |
||
|
||
08.12.2007, 00:14
Ehrenmitglied
Beiträge: 6028 |
#2
Verborgene Dateien sichtbar machen
Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren Und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren. Prüfe mal diese Datei(en) bei VirusTotal oder Jotti C:\WINDOWS\system32\vbzip10.dll C:\WINDOWS\system32\exp16sys.dll Stand alone DrWeb Stand alone Kaspersky __________ MfG Argus |
|
|
||
08.12.2007, 10:42
...neu hier
Themenstarter Beiträge: 6 |
#3
Habe nun alle Dateien sichtbar gemacht und auch versucht dieses zwei Programme laufen zu lassen.
Konnte das Ergebnis aber nicht wirklich verstehen. Beseitigen kann ich auftretende Viren/Trojaner nur mit der registrierten Version. Soll ich noch mal alle Dateien hier aufführen? |
|
|
||
08.12.2007, 16:40
...neu hier
Beiträge: 2 |
#4
Hallo an alle ich bin neu hier und habe das selbe Problem mit diesem sch.... Trojaner ich bin auch dabei alles so zu machen wie es im forum steht!
also eine Hijackthis los habe ich bereit Logfile of HijackThis v1.99.1 Scan saved at 16:13:39, on 08.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\PROGRA~1\MSDE\MSSQL7\binn\sqlservr.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\WgaTray.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\rundll32.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe C:\Programme\PC Connectivity Solution\ServiceLayer.exe C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe C:\Programme\PC Connectivity Solution\Transports\NclBCBTSrv.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\AntiSpywareBot\AntiSpywareBot.exe C:\Dokumente und Einstellungen\ratlos\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.eases.net/sp.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.cintek.com/default.shtml R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchforit.com/searchbar R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchforit.com/searchbar R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=56715 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://www.eases.net R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Cintek.com R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = cache.regiocom.net:3128 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;<local> R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O2 - BHO: (no name) - {937B1F7D-D382-4AAB-BD9A-27170D5AB889} - C:\WINDOWS\system32\yayxvus.dll O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1 O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray O4 - HKCU\..\Run: [AntiSpywareBot] C:\Programme\AntiSpywareBot\AntiSpywareBot.exe -boot O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten\\Preispiraten4\\preispiraten.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O12 - Plugin for .do: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O14 - IERESET.INF: START_PAGE_URL=http://www.cintek.com/default.shtml O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} - http://63.219.181.7/cax.cab O16 - DPF: {20000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com/download/cabs/VAL44006/payload2.cab O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com/download/cabs/VAL44006/valent.cab O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} - http://webinstall.tscash.com/webinstall.cab O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/15c050b0339926b9f521/netzip/RdxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102020076870 O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {A0F0D762-D1DE-43AF-B70E-D87864743EB3} - http://217.145.76.16/nslite/nslite.cab O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file) O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O20 - Winlogon Notify: yayxvus - C:\WINDOWS\SYSTEM32\yayxvus.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: Cassini - Unknown owner - D:\tecis Software\Skandia\bAV-Tools\CassiniService\CassiniService.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: Virtual CD v8 Management Service (VC8SecS) - Unknown owner - C:\Programme\Virtual CD v8\System\VC8SecS.exe (file missing) das cleanup habe ich auch gemacht aber löscht der da denn automatisch??? könnt ihr mir schonmal helfen?? |
|
|
||
09.12.2007, 10:08
Ehrenmitglied
Beiträge: 6028 |
#5
@Laxxtara
Du sollst beide dateien nacheinander uploaden zum VirusTotal um zu sehen ob Vierchen drin stecken Entferne auf C:\ Qoobox-->Papierkorb leeren Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei O2 - BHO: (no name) - {8E3FBDE2-7DBD-4040-85D9-29BBC559C129} - C:\WINDOWS\system32\fccdbbx.dll O2 - BHO: (no name) - {ADD61730-8EBC-4625-B13C-B86FD59F6F5D} - C:\WINDOWS\system32\geeba.dll O2 - BHO: {3d3ecae8-dc80-c25a-ee74-d037700fcdcb} - {bcdcf007-730d-47ee-a52c-08cd8eace3d3} - C:\WINDOWS\system32\vcugrpas.dll (file missing) O20 - Winlogon Notify: fccdbbx - C:\WINDOWS\SYSTEM32\fccdbbx.dll klicke: Fix checked Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst cfscript.txt 1. Den folgenden blauen Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. file:: C:\WINDOWS\system32\kowctruw.exe C:\WINDOWS\system32\abeeg.bak2 C:\WINDOWS\system32\abeeg.bak1 C:\WINDOWS\system32\geeba.dll C:\WINDOWS\system32\abeeg.ini C:\WINDOWS\system32\fccdbbx.dll C:\1748.bat C:\n.bat 2. Sleppe diese Datei in ComboFix.exe(sehe Bild) ComboFix wird jetzt starten und die Daten ausfuehren Nach neustart des Rechners,poste das log von ComboFix RVAXO Download: RVAXO by Smeenk,zum Desktop Danach doppelklicken Öffne die Datei RVAXO und doppelklick “RVAXO.cmd” Moeglich startet der Uninstaller von ein Roquescanner schliesse es nicht ab aber lass es seine Arbeit tun Dein Rechner wird neu gestartet,wenn nicht Rechner neu starten und nochmals “RVAXO.cmd” doppelklicken Poste nachher den logfile C:\ RVAXO-results.log in dein folgender Bericht zusammen mit ein log von HijackThis __________ MfG Argus |
|
|
||
09.12.2007, 14:56
Ehrenmitglied
Beiträge: 6028 |
#6
@DJChris82
Entferne via Software: AntiSpywareBot Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.eases.net/sp.htm R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchforit.com/searchbar R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchforit.com/searchbar R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=56715 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://www.eases.net R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O2 - BHO: (no name) - {937B1F7D-D382-4AAB-BD9A-27170D5AB889} - C:\WINDOWS\system32\yayxvus.dll O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O4 - HKCU\..\Run: [AntiSpywareBot] C:\Programme\AntiSpywareBot\AntiSpywareBot.exe –boot O16 - DPF: {20000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com/download/cabs/VAL44006/payload2.cab O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com/download/cabs/VAL44006/valent.cab O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file) O20 - Winlogon Notify: yayxvus - C:\WINDOWS\SYSTEM32\yayxvus.dll klicke: Fix checked Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst Poste mal die daten von http://board.protecus.de/t23188.htm __________ MfG Argus |
|
|
||
09.12.2007, 23:09
...neu hier
Beiträge: 2 |
#7
hallo arnold vielen dank erstmal für die antwort
es ist alles im anhang in der textdatei das einzige ist das bei dem combcfix am ende kein repor kam habe es 2 mal gemacht aber nichts passiert Anhang: 09.12.07.txt
|
|
|
||
09.12.2007, 23:14
Ehrenmitglied
Beiträge: 6028 |
#8
ComboFix schon mal benutzt?
Download FixPolicies und speichert es auf den Desktop! Doppelklick FixPolicies.exe um es zu entpacken. Klicke den knopf Install Auf dein Desktop stet jetzt ein Ordner FixPolicies Öffne diesen Ordner und doppelklick Fix_Policies.cmd Ein schwarzes Fenster wird öffnen und sofort wieder schliessen (ist normal) Und versuch CF nochmal In der Anleitung stand auch: entferne Hijack This 1.99.1 und...... __________ MfG Argus |
|
|
||
09.12.2007, 23:49
...neu hier
Themenstarter Beiträge: 6 |
#9
HI! Vielen Dank für dein schnelle Hilfe.
Habe bevor ich dieses Anleitungen von dir ausgeführt habe ein weiteres Virusprogramm laufen lassen ArcaMicroScanUpdater, der hat anscheinend schon irgendwas entfernt. Hier noch die entsprechenden Dateien ----------------RVAXO.exe first run------------- Files found: C:\WINDOWS\system32\vbzip10.dll Uninstallers Rogue scanners: Folders Found: Hosts-file was reset, If you use a custom hosts file please replace it... --------------RVAXO.exe last run--------------- Files found: Folders Found: --------------RVAXO.exe finished---------------- ComboFix 07-12-07.3 - ich 2007-12-09 23:10:42.3 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1528 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\ich\Desktop\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\ich\Desktop\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt FILE C:\1748.bat C:\n.bat C:\WINDOWS\system32\abeeg.bak1 C:\WINDOWS\system32\abeeg.bak2 C:\WINDOWS\system32\abeeg.ini C:\WINDOWS\system32\fccdbbx.dll C:\WINDOWS\system32\geeba.dll C:\WINDOWS\system32\kowctruw.exe . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\1748.bat C:\n.bat C:\WINDOWS\system32\abeeg.bak1 C:\WINDOWS\system32\abeeg.bak2 C:\WINDOWS\system32\abeeg.ini . ((((((((((((((((((((((( Dateien erstellt von 2007-11-09 bis 2007-12-09 )))))))))))))))))))))))))))))) . 2007-12-09 21:11 . 2006-12-28 00:02 147,456 -ra------ C:\WINDOWS\instwcli.dex 2007-12-08 20:15 . 2007-12-08 20:15 <DIR> d-------- C:\Dokumente und Einstellungen\ich\Anwendungsdaten\ArcaBit 2007-12-08 10:33 . 2007-12-08 10:33 <DIR> d-------- C:\Programme\Enigma Software Group 2007-12-08 00:32 . 2007-12-08 00:32 13 --a------ C:\WINDOWS\system32\e0111cd6 2007-12-06 13:58 . 2007-12-06 13:58 147,456 --a------ C:\WINDOWS\system32\vbzip10.dll 2007-12-06 13:53 . 2007-12-06 13:53 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2007-12-06 13:52 . 2007-12-06 13:52 0 --a------ C:\WINDOWS\system32\taskkill.exe 2007-12-06 12:29 . 2007-12-06 12:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\a32w 2007-12-06 12:29 . 2007-12-06 12:29 1 --a------ C:\WINDOWS\system32\exp16sys.dll 2007-12-03 12:48 . 2007-12-03 12:48 <DIR> d-------- C:\Programme\AxBx 2007-11-30 10:50 . 2007-11-30 10:50 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2007-11-30 10:50 . 2007-11-30 10:50 1,409 --a------ C:\WINDOWS\QTFont.for 2007-11-16 15:35 . 2007-11-16 15:35 0 --a------ C:\WINDOWS\ativpsrm.bin . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-09 21:41 --------- d--h--w C:\Programme\InstallShield Installation Information 2007-12-09 20:12 --------- d-----w C:\Programme\avmwlanstick 2007-12-09 20:12 --------- d-----w C:\Programme\3DO 2007-12-08 09:44 --------- d-----w C:\Programme\LimeWire 2007-12-06 12:58 --------- d-----w C:\Dokumente und Einstellungen\ich\Anwendungsdaten\LimeWire 2007-12-03 20:11 --------- d-----w C:\Programme\eMule 2007-12-01 02:11 --------- d-----w C:\Dokumente und Einstellungen\ich\Anwendungsdaten\Hamachi 2007-11-27 12:08 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OD2 2007-11-10 22:41 --------- d-----w C:\Programme\Hamachi 2007-11-04 11:54 --------- d-----w C:\Programme\THQ 2007-11-04 11:54 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield 2007-10-30 18:57 --------- d-----w C:\Programme\Trillian 2007-10-25 16:55 8,495,616 ------w C:\WINDOWS\system32\dllcache\shell32.dll 2007-10-13 22:06 --------- d-----w C:\Programme\Google 2007-10-13 12:38 --------- d-----w C:\Programme\Ubisoft 2007-10-09 13:39 --------- d-----w C:\Programme\IrfanView 2007-09-29 03:21 9,854,976 ----a-w C:\WINDOWS\system32\atioglx2.dll 2007-09-29 03:07 356,352 ----a-w C:\WINDOWS\system32\ATIDEMGX.dll 2007-09-29 03:06 268,800 ----a-w C:\WINDOWS\system32\ati2dvag.dll 2007-09-29 03:05 2,456,064 ----a-w C:\WINDOWS\system32\dllcache\ati2mtag.sys 2007-09-29 02:58 43,520 ----a-w C:\WINDOWS\system32\ati2edxx.dll 2007-09-29 02:58 26,112 ----a-w C:\WINDOWS\system32\Ati2mdxx.exe 2007-09-29 02:58 143,360 ----a-w C:\WINDOWS\system32\atipdlxx.dll 2007-09-29 02:58 122,880 ----a-w C:\WINDOWS\system32\Oemdspif.dll 2007-09-29 02:57 122,880 ----a-w C:\WINDOWS\system32\ati2evxx.dll 2007-09-29 02:56 483,328 ----a-w C:\WINDOWS\system32\ati2evxx.exe 2007-09-29 02:55 53,248 ----a-w C:\WINDOWS\system32\ATIDDC.DLL 2007-09-29 02:49 307,200 ----a-w C:\WINDOWS\system32\atiiiexx.dll 2007-09-29 02:47 3,130,720 ----a-w C:\WINDOWS\system32\ati3duag.dll 2007-09-29 02:47 172,032 ----a-w C:\WINDOWS\system32\atiok3x2.dll 2007-09-29 02:36 1,593,600 ----a-w C:\WINDOWS\system32\ativvaxx.dll 2007-09-29 02:23 5,435,392 ----a-w C:\WINDOWS\system32\atioglxx.dll 2007-09-29 02:22 376,832 ----a-w C:\WINDOWS\system32\atikvmag.dll 2007-09-29 02:20 17,408 ----a-w C:\WINDOWS\system32\atitvo32.dll 2007-09-29 02:14 499,712 ----a-w C:\WINDOWS\system32\ati2cqag.dll 2007-09-28 20:05 593,920 ------w C:\WINDOWS\system32\ati2sgag.exe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0BBD2E2E-4212-4490-B69F-C4B03D4222F9}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-09-20 20:20] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-03-25 16:53] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-01-30 10:31] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 18:35] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ NETGEAR WG111T Smart Wizard.lnk - C:\Programme\NETGEAR\WG111T Konfigurationsprogramm\wlan111t.exe [2007-09-25 17:18:51] R3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys S3 AR5523;NETGEAR WG111T USB2.0 Wireless Card Service;C:\WINDOWS\system32\DRIVERS\wg11tnd5.sys S3 ATHFMWDL;NETGEAR WG111T Bootloader driver;C:\WINDOWS\system32\Drivers\ATHFMWDL.sys S3 avmeject;AVM Eject;C:\WINDOWS\system32\drivers\avmeject.sys S3 DNINDIS5;DNINDIS5 NDIS Protocol Driver;\??\C:\WINDOWS\system32\DNINDIS5.SYS S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ed4cbe78-b080-11db-a27e-806d6172696f}] \Shell\AutoRun\command - E:\_AUTORUN\AUTORUN.EXE \Shell\instDX\command - E:\directX\dxsetup.exe \Shell\readme\command - notepad readme.txt . ************************************************************************** catchme 0.3.1318 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-09 23:11:30 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2007-12-09 23:11:50 C:\ComboFix2.txt ... 2007-12-09 10:02 C:\ComboFix3.txt ... 2007-12-07 22:59 . --- E O F --- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:40:18, on 09.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe c:\APPS\HIDSERVICE\HIDSERVICE.exe C:\Apps\Softex\OmniPass\Omniserv.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\NETGEAR\WG111T Konfigurationsprogramm\wlan111t.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\ich\Desktop\HJT.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: (no name) - {0BBD2E2E-4212-4490-B69F-C4B03D4222F9} - (no file) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: NETGEAR WG111T Smart Wizard.lnk = ? O16 - DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} (MainControl Class) - http://slimak.onet.pl/_m/wirusy/ArcaOnline.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{2A01856E-DEDF-4AFD-9463-39E366725535}: NameServer = 192.168.2.1 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing) O23 - Service: Softex OmniPass Service (omniserv) - Softex Inc. - C:\Apps\Softex\OmniPass\Omniserv.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe -- End of file - 4484 bytes |
|
|
||
10.12.2007, 00:12
Ehrenmitglied
Beiträge: 6028 |
#10
@Laxxtara
Entferne auf C:\ Qoobox-->Papierkorb leeren Oeffne die Datei RVAXO auf dein Desktop Doppleklick Uninstall.cmd um alles von RVAXO zu entfernen Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei O2 - BHO: (no name) - {0BBD2E2E-4212-4490-B69F-C4B03D4222F9} - (no file) klicke: Fix checked Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst CombiFix entfernen Start > Ausführen>Kopiere rein Combofix /U OK ATF cleaner Benutze ATF Cleaner http://board.protecus.de/t23188.htm Systemwiederherstellung Arbeitsplatz>>Rechtsklick, dann auf Eigenschaften>>Reiter Systemwiederherstellung>> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. Neu Starten Dann wieder aktivieren (Häkchen entfernen) Scanne mit dein Up-to-date Virenscanner __________ MfG Argus |
|
|
||
10.12.2007, 00:49
Ehrenmitglied
Beiträge: 6028 |
#11
@DJChris82
Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file) O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file) O2 - BHO: (no name) - {53D3C442-8FEE-4784-9A21-6297D39613F0} - (no file) O2 - BHO: (no name) - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - (no file) O2 - BHO: (no name) - {6237441B-28D8-4AA8-8089-C3BF6EE1724C} - C:\WINDOWS\system32\ssqqp.dll O2 - BHO: (no name) - {74A0AC27-3753-4080-B94E-557CC43E9E8B} - (no file) O2 - BHO: (no name) - {832BEBED-C3DA-4534-A2C2-B2FFF220C820} - (no file) O2 - BHO: (no name) - {84B94901-3645-4D80-A6B7-4D0050B19455} - (no file) O2 - BHO: (no name) - {937B1F7D-D382-4AAB-BD9A-27170D5AB889} - C:\WINDOWS\system32\yayxvus.dll O2 - BHO: (no name) - {938BAB79-DFAD-422A-BDAC-E7736A73584B} - (no file) O2 - BHO: (no name) - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - (no file) O2 - BHO: (no name) - {DB588686-F41B-8ACC-2E99-879C70B0E9C4} - (no file) O2 - BHO: (no name) - {E9E027BF-C3F3-4022-8F6B-8F6D39A59684} - (no file) O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O20 - Winlogon Notify: yayxvus - C:\WINDOWS\SYSTEM32\yayxvus.dll Avenger Download Avenger zum Desktop Alle Fenster muessen geschlossen sein Starte Avenger Anhaken Input script manually Die "Lupe" rechts anklicken - View/edit script (wird sich öffnen) kopiere rein: Files to delete: C:\WINDOWS\system32\ssqqp.dll C:\WINDOWS\system32\b4ae0868 C:\WINDOWS\system32\pbgffkya.ini C:\WINDOWS\system32\yayxvus.dll C:\DOKUME~1\ratlos\LOKALE~1\Temp\rutuljfcN.dll Klicke die grüne Ampel das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten nach dem Neustart erscheint ein Log vom Avenger, kopiere es ab - mit rechtem Mausklick - kopieren - einfügen Und ein log von Hijack This 2.0.2! __________ MfG Argus |
|
|
||
10.12.2007, 20:11
...neu hier
Themenstarter Beiträge: 6 |
#12
Hey Arnold!
So ich hoffe es dieses Mal richtig ausgeführt zu haben Kann nicht wirklich sagen, dass ich weiß was ich da getan habe und ob das auch gut war. Hab noch mal nen Hijacklog gemacht Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:06:36, on 10.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\NETGEAR\WG111T Konfigurationsprogramm\wlan111t.exe c:\APPS\HIDSERVICE\HIDSERVICE.exe C:\Apps\Softex\OmniPass\Omniserv.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe C:\Dokumente und Einstellungen\ich\Desktop\HJT.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: NETGEAR WG111T Smart Wizard.lnk = ? O16 - DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} (MainControl Class) - http://slimak.onet.pl/_m/wirusy/ArcaOnline.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{2A01856E-DEDF-4AFD-9463-39E366725535}: NameServer = 192.168.2.1 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing) O23 - Service: Softex OmniPass Service (omniserv) - Softex Inc. - C:\Apps\Softex\OmniPass\Omniserv.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe -- End of file - 4377 bytes Wie schaut es jetzt aus? |
|
|
||
10.12.2007, 20:15
Ehrenmitglied
Beiträge: 6028 |
||
|
||
10.12.2007, 20:25
...neu hier
Themenstarter Beiträge: 6 |
||
|
||
Habe nun mich an die Anleitung gehalten und hoffentlich alles beisammen.
Freue mich über Hilfe.
ComboFix 07-12-07.3 - ich 2007-12-07 22:50:45.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1610 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\ich\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.
(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Programme\outlook
C:\svchost.exe
C:\WINDOWS\b.exe
C:\WINDOWS\Fonts\a.zip
C:\WINDOWS\Fonts\Crack.exe
C:\WINDOWS\system32\bszip.dll
C:\WINDOWS\system32\cmd.com
C:\WINDOWS\system32\netstat.com
C:\WINDOWS\system32\ping.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\taskkill.com
C:\WINDOWS\system32\tasklist.com
C:\WINDOWS\system32\tracert.com
C:\x.dat
C:\z.dat
C:\WINDOWS\Fonts\'
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\LEGACY_DOMAINSERVICE
-------\DomainService
((((((((((((((((((((((( Dateien erstellt von 2007-11-07 bis 2007-12-07 ))))))))))))))))))))))))))))))
.
2007-12-07 10:14 . 2007-12-07 10:14 74,304 --a------ C:\WINDOWS\system32\kowctruw.exe
2007-12-07 10:14 . 2007-12-07 10:14 63,473 ---hs---- C:\WINDOWS\system32\abeeg.bak2
2007-12-06 14:27 . 2007-12-07 11:09 <DIR> d-------- C:\Programme\Trojancheck 6
2007-12-06 14:00 . 2007-12-06 14:00 6,496 ---hs---- C:\WINDOWS\system32\abeeg.bak1
2007-12-06 13:59 . 2007-12-06 13:59 327,264 --------- C:\WINDOWS\system32\geeba.dll
2007-12-06 13:59 . 2007-12-07 22:58 68,357 ---hs---- C:\WINDOWS\system32\abeeg.ini
2007-12-06 13:58 . 2007-12-06 13:58 147,456 --a------ C:\WINDOWS\system32\vbzip10.dll
2007-12-06 13:54 . 2007-12-06 13:54 37,376 --------- C:\WINDOWS\system32\fccdbbx.dll
2007-12-06 13:54 . 2007-12-06 13:54 260 --a------ C:\1748.bat
2007-12-06 13:54 . 2007-12-06 13:54 134 --a------ C:\n.bat
2007-12-06 13:53 . 2007-12-06 13:53 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2007-12-06 13:52 . 2007-12-06 13:52 0 --a------ C:\WINDOWS\system32\taskkill.exe
2007-12-06 12:29 . 2007-12-06 12:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\a32w
2007-12-06 12:29 . 2007-12-06 12:29 1 --a------ C:\WINDOWS\system32\exp16sys.dll
2007-12-03 12:48 . 2007-12-03 12:48 <DIR> d-------- C:\Programme\AxBx
2007-11-30 10:50 . 2007-11-30 10:50 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2007-11-30 10:50 . 2007-11-30 10:50 1,409 --a------ C:\WINDOWS\QTFont.for
2007-11-16 15:35 . 2007-11-16 15:35 0 --a------ C:\WINDOWS\ativpsrm.bin
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-06 12:58 --------- d-----w C:\Dokumente und Einstellungen\ich\Anwendungsdaten\LimeWire
2007-12-03 20:11 --------- d-----w C:\Programme\eMule
2007-12-03 12:07 --------- d-----w C:\Programme\LimeWire
2007-12-01 02:11 --------- d-----w C:\Dokumente und Einstellungen\ich\Anwendungsdaten\Hamachi
2007-11-27 12:08 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OD2
2007-11-10 22:41 --------- d-----w C:\Programme\Hamachi
2007-11-04 11:54 --------- d-----w C:\Programme\THQ
2007-11-04 11:54 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2007-10-31 19:30 --------- d-----w C:\Programme\avmwlanstick
2007-10-30 18:57 --------- d-----w C:\Programme\Trillian
2007-10-13 22:06 --------- d-----w C:\Programme\Google
2007-10-13 12:38 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-10-13 12:38 --------- d-----w C:\Programme\Ubisoft
2007-10-09 13:39 --------- d-----w C:\Programme\IrfanView
2007-09-29 03:21 9,854,976 ----a-w C:\WINDOWS\system32\atioglx2.dll
2007-09-29 03:07 356,352 ----a-w C:\WINDOWS\system32\ATIDEMGX.dll
2007-09-29 03:06 268,800 ----a-w C:\WINDOWS\system32\ati2dvag.dll
2007-09-29 02:58 43,520 ----a-w C:\WINDOWS\system32\ati2edxx.dll
2007-09-29 02:58 26,112 ----a-w C:\WINDOWS\system32\Ati2mdxx.exe
2007-09-29 02:58 143,360 ----a-w C:\WINDOWS\system32\atipdlxx.dll
2007-09-29 02:58 122,880 ----a-w C:\WINDOWS\system32\Oemdspif.dll
2007-09-29 02:57 122,880 ----a-w C:\WINDOWS\system32\ati2evxx.dll
2007-09-29 02:56 483,328 ----a-w C:\WINDOWS\system32\ati2evxx.exe
2007-09-29 02:55 53,248 ----a-w C:\WINDOWS\system32\ATIDDC.DLL
2007-09-29 02:49 307,200 ----a-w C:\WINDOWS\system32\atiiiexx.dll
2007-09-29 02:47 3,130,720 ----a-w C:\WINDOWS\system32\ati3duag.dll
2007-09-29 02:47 172,032 ----a-w C:\WINDOWS\system32\atiok3x2.dll
2007-09-29 02:36 1,593,600 ----a-w C:\WINDOWS\system32\ativvaxx.dll
2007-09-29 02:23 5,435,392 ----a-w C:\WINDOWS\system32\atioglxx.dll
2007-09-29 02:22 376,832 ----a-w C:\WINDOWS\system32\atikvmag.dll
2007-09-29 02:20 17,408 ----a-w C:\WINDOWS\system32\atitvo32.dll
2007-09-29 02:14 499,712 ----a-w C:\WINDOWS\system32\ati2cqag.dll
2007-09-28 20:05 593,920 ------w C:\WINDOWS\system32\ati2sgag.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8E3FBDE2-7DBD-4040-85D9-29BBC559C129}]
2007-12-06 13:54 37376 --------- C:\WINDOWS\system32\fccdbbx.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BA691058-6AF2-4B47-82A1-3AEE7CFE3C61}]
2007-12-06 13:59 327264 --------- C:\WINDOWS\system32\geeba.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{bcdcf007-730d-47ee-a52c-08cd8eace3d3}]
C:\WINDOWS\system32\vcugrpas.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-09-20 20:20]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-03-25 16:53]
"AVMWlanClient"="C:\Programme\avmwlanstick\wlangui.exe" [2006-12-28 00:02]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-01-30 10:31]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 18:35]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{8E3FBDE2-7DBD-4040-85D9-29BBC559C129}"= C:\WINDOWS\system32\fccdbbx.dll [2007-12-06 13:54 37376]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fccdbbx]
fccdbbx.dll 2007-12-06 13:54 37376 C:\WINDOWS\system32\fccdbbx.dll
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 C:\WINDOWS\system32\geeba.dll
R3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys
S3 AR5523;NETGEAR WG111T USB2.0 Wireless Card Service;C:\WINDOWS\system32\DRIVERS\wg11tnd5.sys
S3 ATHFMWDL;NETGEAR WG111T Bootloader driver;C:\WINDOWS\system32\Drivers\ATHFMWDL.sys
S3 avmeject;AVM Eject;C:\WINDOWS\system32\drivers\avmeject.sys
S3 DNINDIS5;DNINDIS5 NDIS Protocol Driver;\??\C:\WINDOWS\system32\DNINDIS5.SYS
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys
.
**************************************************************************
catchme 0.3.1318 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-07 22:58:13
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Eintr„ge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
Zeit der Fertigstellung: 2007-12-07 22:59:37 - machine was rebooted
.
--- E O F ---
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:43:27, on 07.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Apps\Softex\OmniPass\Omniserv.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\NETGEAR\WG111T Konfigurationsprogramm\wlan111t.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\ich\LOKALE~1\Temp\Rar$EX00.735\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {8E3FBDE2-7DBD-4040-85D9-29BBC559C129} - C:\WINDOWS\system32\fccdbbx.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {ADD61730-8EBC-4625-B13C-B86FD59F6F5D} - C:\WINDOWS\system32\geeba.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: {3d3ecae8-dc80-c25a-ee74-d037700fcdcb} - {bcdcf007-730d-47ee-a52c-08cd8eace3d3} - C:\WINDOWS\system32\vcugrpas.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: NETGEAR WG111T Smart Wizard.lnk = ?
O17 - HKLM\System\CCS\Services\Tcpip\..\{2A01856E-DEDF-4AFD-9463-39E366725535}: NameServer = 192.168.2.1
O20 - Winlogon Notify: fccdbbx - C:\WINDOWS\SYSTEM32\fccdbbx.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: Softex OmniPass Service (omniserv) - Softex Inc. - C:\Apps\Softex\OmniPass\Omniserv.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
--
End of file - 5020 bytes
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datenträger in Laufwerk C: ist HDD
Volumeseriennummer: E011-0EF7
Verzeichnis von C:\WINDOWS\system32
07.12.2007 23:09 68.357 abeeg.ini
07.12.2007 17:13 405.446 perfh009.dat
07.12.2007 17:13 77.084 perfc007.dat
07.12.2007 17:13 63.996 perfc009.dat
07.12.2007 17:13 420.812 perfh007.dat
07.12.2007 17:13 979.370 PerfStringBackup.INI
07.12.2007 10:14 74.304 kowctruw.exe
07.12.2007 10:14 63.473 abeeg.bak2
06.12.2007 14:00 6.496 abeeg.bak1
06.12.2007 13:59 327.264 geeba.dll
06.12.2007 13:58 147.456 vbzip10.dll
06.12.2007 13:54 37.376 fccdbbx.dll
06.12.2007 13:52 0 taskkill.exe
06.12.2007 12:29 1 exp16sys.dll
04.12.2007 01:00 136.704 swsc.exe
20.11.2007 18:58 1.158 wpa.dbl
02.11.2007 08:12 18.238.072 MRT.exe
29.10.2007 16:35 123.904 xpsp3res.dll
25.10.2007 17:55 8.495.616 shell32.dll
29.09.2007 04:21 9.854.976 atioglx2.dll
29.09.2007 04:07 356.352 ATIDEMGX.dll
29.09.2007 04:06 268.800 ati2dvag.dll
29.09.2007 03:58 143.360 atipdlxx.dll
29.09.2007 03:58 122.880 Oemdspif.dll
29.09.2007 03:58 26.112 Ati2mdxx.exe
29.09.2007 03:58 43.520 ati2edxx.dll
29.09.2007 03:57 122.880 ati2evxx.dll
29.09.2007 03:56 483.328 ati2evxx.exe
29.09.2007 03:55 53.248 ATIDDC.DLL
29.09.2007 03:49 307.200 atiiiexx.dll
29.09.2007 03:47 172.032 atiok3x2.dll
29.09.2007 03:47 3.130.720 ati3duag.dll
29.09.2007 03:36 1.593.600 ativvaxx.dll
29.09.2007 03:36 3.107.788 ativva5x.dat
29.09.2007 03:36 3.107.788 ativvaxx.dat
29.09.2007 03:36 972.072 ativva6x.dat
29.09.2007 03:23 5.435.392 atioglxx.dll
29.09.2007 03:22 376.832 atikvmag.dll
29.09.2007 03:20 17.408 atitvo32.dll
29.09.2007 03:14 499.712 ati2cqag.dll
28.09.2007 21:05 593.920 ati2sgag.exe
11.09.2007 16:55 263.024 FNTCACHE.DAT
29.08.2007 20:59 249.852 TZLog.log
22.08.2007 14:13 664.576 wininet.dll
22.08.2007 14:13 617.472 urlmon.dll
22.08.2007 14:13 1.494.528 shdocvw.dll
22.08.2007 14:13 474.624 shlwapi.dll
22.08.2007 14:13 39.424 pngfilt.dll
22.08.2007 14:13 532.480 mstime.dll
22.08.2007 14:13 449.024 mshtmled.dll
22.08.2007 14:13 146.432 msrating.dll
22.08.2007 14:13 3.079.168 mshtml.dll
22.08.2007 14:13 16.384 jsproxy.dll
22.08.2007 14:13 251.392 iepeers.dll
22.08.2007 14:13 55.808 extmgr.dll
22.08.2007 14:13 205.312 dxtrans.dll
22.08.2007 14:13 96.768 inseng.dll
22.08.2007 14:13 357.888 dxtmsft.dll
22.08.2007 14:13 152.064 cdfview.dll
22.08.2007 14:13 1.022.976 browseui.dll
22.08.2007 14:13 1.056.256 danim.dll
21.08.2007 07:16 683.520 inetcomm.dll
18.08.2007 11:19 146.650 BuzzingBee.wav
18.08.2007 11:19 940.794 LoopyMusic.wav
14.08.2007 22:11 156.671 atiicdxx.dat