Massenmails(Spam)- Virus? |
||
---|---|---|
#0
| ||
13.12.2007, 16:15
Member
Beiträge: 16 |
||
|
||
13.12.2007, 16:27
Moderator
Beiträge: 7805 |
#2
Arbeite bitte folgendes ab, besonders Combofix und hijackthis
http://board.protecus.de/t23187.htm __________ MfG Ralf SEO-Spam Hunter |
|
|
||
13.12.2007, 21:00
Member
Themenstarter Beiträge: 16 |
#3
Hier mal das eine von Combofix:
ComboFix 07-12-12.3 - Florian 2007-12-13 17:04:35.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.433 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\Florian\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\MBSMainPlugin1641.dll C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\MBSQTMovieExporterPlugin1677.dll C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\MBSRegistrationPlugin1636.dll C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\rbap500.dll C:\WINDOWS\system32\6_exception.nls . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\LEGACY_RUNTIME -------\runtime ((((((((((((((((((((((( Dateien erstellt von 2007-11-13 bis 2007-12-13 )))))))))))))))))))))))))))))) . 2007-12-12 19:33 . 2007-12-12 19:33 <DIR> d-------- C:\Programme\Avira 2007-12-12 19:33 . 2007-12-12 19:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2007-12-12 19:31 . 2007-12-12 19:31 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files 2007-12-12 14:05 . 2007-12-12 14:05 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien 2007-12-12 13:21 . 2007-12-12 13:21 <DIR> d-------- C:\Programme\Lavasoft 2007-12-12 13:21 . 2007-12-12 13:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2007-12-12 13:20 . 2007-12-12 13:20 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2007-12-11 23:25 . 2007-12-13 16:08 <DIR> d-------- C:\Programme\Spyware Doctor 2007-12-11 23:25 . 2007-12-11 23:25 <DIR> d-------- C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\PC Tools 2007-12-11 23:25 . 2005-09-23 08:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll 2007-12-11 23:25 . 2007-10-18 00:16 79,688 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys 2007-12-11 23:25 . 2007-10-18 00:15 62,280 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys 2007-12-11 23:25 . 2007-10-18 00:14 41,288 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys 2007-12-11 23:25 . 2007-10-18 00:16 29,000 --a------ C:\WINDOWS\system32\drivers\kcom.sys 2007-12-11 20:23 . 2007-12-11 20:23 <DIR> d-------- C:\Programme\Windows Defender 2007-12-11 16:52 . 2007-12-12 23:00 19,840 --a------ C:\WINDOWS\system32\drivers\Ejm04.sys 2007-12-05 13:54 . 2007-12-05 13:54 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Blizzard Entertainment 2007-11-30 23:57 . 2007-11-30 23:57 317,616 --a------ C:\WINDOWS\system32\drivers\srtspl.sys 2007-11-30 23:57 . 2007-11-30 23:57 279,088 --a------ C:\WINDOWS\system32\drivers\srtsp.sys 2007-11-30 23:57 . 2007-11-30 23:57 43,696 --a------ C:\WINDOWS\system32\drivers\srtspx.sys 2007-11-30 23:57 . 2007-11-30 23:57 10,549 --a------ C:\WINDOWS\system32\drivers\srtspx.cat 2007-11-30 23:57 . 2007-11-30 23:57 10,549 --a------ C:\WINDOWS\system32\drivers\srtspl.cat 2007-11-30 23:57 . 2007-11-30 23:57 10,545 --a------ C:\WINDOWS\system32\drivers\srtsp.cat 2007-11-30 23:57 . 2007-11-30 23:57 1,430 --a------ C:\WINDOWS\system32\drivers\srtspl.inf 2007-11-30 23:57 . 2007-11-30 23:57 1,421 --a------ C:\WINDOWS\system32\drivers\srtspx.inf 2007-11-30 23:57 . 2007-11-30 23:57 1,415 --a------ C:\WINDOWS\system32\drivers\srtsp.inf 2007-11-29 14:52 . 2006-07-25 17:36 100,640 -ra------ C:\WINDOWS\system32\drivers\zebrmdm.sys 2007-11-29 14:52 . 2006-07-25 17:36 9,264 -ra------ C:\WINDOWS\system32\drivers\zebrmdfl.sys 2007-11-29 14:51 . 2006-07-25 17:36 100,672 -ra------ C:\WINDOWS\system32\drivers\zebrmdmc.sys 2007-11-29 14:51 . 2006-07-25 17:36 6,176 -ra------ C:\WINDOWS\system32\drivers\zebrcmnt.sys 2007-11-29 14:51 . 2006-07-25 17:36 6,176 -ra------ C:\WINDOWS\system32\drivers\zebrcm.sys 2007-11-29 14:50 . 2006-07-25 17:35 66,656 -ra------ C:\WINDOWS\system32\drivers\zebrbus.sys 2007-11-29 14:50 . 2006-07-25 17:36 5,872 -ra------ C:\WINDOWS\system32\drivers\zebrwhnt.sys 2007-11-29 14:50 . 2006-07-25 17:36 5,872 -ra------ C:\WINDOWS\system32\drivers\zebrwh.sys 2007-11-28 13:45 . 2007-11-28 13:45 <DIR> d-------- C:\Programme\wizards of the coast 2007-11-26 22:00 . 2007-12-03 17:34 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2007-11-26 21:59 . 2007-11-26 22:00 <DIR> d-------- C:\Programme\Mobiola Video Studio 2007-11-25 15:33 . 2007-12-12 11:35 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2007-11-25 15:33 . 2007-11-25 15:33 1,409 --a------ C:\WINDOWS\QTFont.for 2007-11-16 20:43 . 2007-11-16 20:43 <DIR> dr-h----- C:\Dokumente und Einstellungen\Gabriel\Anwendungsdaten\SecuROM 2007-11-16 15:25 . 2007-11-16 15:25 <DIR> dr-h----- C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\SecuROM 2007-11-14 12:53 . 2007-11-14 12:53 <DIR> d-------- C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\Nero 2007-11-13 17:59 . 2007-11-13 18:05 <DIR> d-------- C:\Programme\TWIXTEL 2007-11-13 17:56 . 2007-11-13 17:59 <DIR> d-------- C:\Dokumente und Einstellungen\Florian\TwixTel . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-13 16:12 65,536 ----a-w C:\WINDOWS\system32\drivers\CnxE2FS.bin 2007-12-13 16:03 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec 2007-12-13 15:19 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared 2007-12-11 17:06 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan 2007-12-05 12:11 805 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.INF 2007-12-05 12:11 123,952 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.SYS 2007-12-05 12:11 10,740 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.CAT 2007-12-05 12:11 --------- d-----w C:\Programme\Symantec 2007-12-03 15:45 --------- d--h--w C:\Programme\InstallShield Installation Information 2007-12-02 21:39 --------- d-----w C:\Programme\Burn4Free 2007-12-01 14:39 --------- d-----w C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\Skype 2007-11-29 13:03 --------- d-----w C:\Programme\Common Files 2007-11-29 13:03 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony Ericsson 2007-11-29 13:00 --------- d-----w C:\Programme\Sony Ericsson 2007-11-21 19:35 --------- d-----w C:\Programme\Norton Internet Security 2007-11-16 14:05 --------- d-----w C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\Azureus 2007-11-14 12:52 --------- d-----w C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\Ahead 2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys 2007-11-10 20:15 --------- d-----w C:\Programme\Ubisoft 2007-11-10 20:12 --------- d-----w C:\Programme\Deskshare 2007-11-01 16:10 63,768 ----a-w C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2007-11-01 15:17 --------- d-----w C:\Programme\SimpleOCR 2007-10-30 18:55 39,856 ----a-w C:\WINDOWS\system32\drivers\symids.sys 2007-10-30 18:55 37,936 ----a-w C:\WINDOWS\system32\drivers\symndisv.sys 2007-10-30 18:55 35,120 ----a-w C:\WINDOWS\system32\drivers\symndis.sys 2007-10-30 18:55 27,696 ----a-w C:\WINDOWS\system32\drivers\symredrv.sys 2007-10-30 18:55 191,536 ----a-w C:\WINDOWS\system32\drivers\symtdi.sys 2007-10-30 18:55 145,968 ----a-w C:\WINDOWS\system32\drivers\symfw.sys 2007-10-30 18:55 12,848 ----a-w C:\WINDOWS\system32\drivers\symdns.sys 2007-10-30 18:24 12,963 ----a-w C:\WINDOWS\system32\drivers\SymRedir.cat 2007-10-30 18:24 1,358 ----a-w C:\WINDOWS\system32\drivers\SymRedir.inf 2007-10-25 14:49 63,768 ----a-w C:\Dokumente und Einstellungen\Ursula\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2007-10-23 16:12 --------- d-----w C:\Programme\Java 2007-10-15 16:19 --------- d-----w C:\Programme\Gemeinsame Dateien\3DO Shared 2007-10-15 16:19 --------- d-----w C:\Programme\directx 2007-10-15 16:19 --------- d-----w C:\Programme\3DO . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 08:57] "swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-03 13:32] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-10-09 11:28] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2002-09-21 08:34] "Dit"="Dit.exe" [2002-08-28 12:43 C:\WINDOWS\Dit.exe] "SoundMan"="SOUNDMAN.EXE" [2002-08-15 11:46 C:\WINDOWS\SOUNDMAN.EXE] "CapFax"="C:\Programme\Classic PhoneTools\CapFax.EXE" [2001-12-10 16:34] "Agent"="C:\Programme\Medion\PowerCinema\My_TV\Agent.exe" [2002-09-26 15:49] "MPTBox"="C:\PROGRA~1\Canon\MULTIP~1\MPTBox.exe" [2002-11-01 15:26] "ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2007-01-09 21:59] "osCheck"="C:\Programme\Norton Internet Security\osCheck.exe" [2006-09-05 18:22] "Microsoft Works Update Detection"="C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2002-07-24 18:43] "CHotKey"="mHotkey.exe" [2000-08-30 17:55 C:\WINDOWS\mHotkey.exe] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11] "NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 16:40] "BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 08:58 C:\WINDOWS\system32\bthprops.cpl] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51] "NvCplDaemon"="RUNDLL32.exe" [2004-08-04 08:58 C:\WINDOWS\system32\rundll32.exe] "nwiz"="nwiz.exe" [2006-10-22 11:22 C:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="RUNDLL32.exe" [2004-08-04 08:58 C:\WINDOWS\system32\rundll32.exe] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-06-29 05:24] "Symantec PIF AlertEng"="C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2007-03-12 09:22] "UDC Integration"="" [] "Windows Defender"="C:\Programme\Windows Defender\MSASCui.exe" [2006-11-03 18:20] "SDTray"="C:\Programme\Spyware Doctor\SDTrayApp.exe" [2007-11-02 17:24] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-12-12 19:36] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 08:57] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice] @="" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice] @="" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{524af1de-684c-11dc-82ab-000fcc311ea5}] \Shell\AutoRun\command - M:\Autorun.exe *Newly Created Service* - COMHOST [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2BF6F0FF-DB82-5078-0707-080808060604}] C:\WINDOWS\slrund.exe . Inhalt des "geplante Tasks" Ordners "2007-12-12 20:32:20 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Programme\Apple Software Update\SoftwareUpdate.exe "2007-12-13 16:15:45 C:\WINDOWS\Tasks\MP Scheduled Scan.job" - C:\Programme\Windows Defender\MpCmdRun.exe "2007-12-01 13:51:52 C:\WINDOWS\Tasks\Norton Internet Security - Vollständige Systemprüfung ausführen - Florian.job" . ************************************************************************** catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-13 17:13:25 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... ************************************************************************** . Zeit der Fertigstellung: 2007-12-13 17:19:00 - machine was rebooted . 2007-12-12 16:00:22 --- E O F --- und das Andere: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:03:32, on 13.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Spyware Doctor\svcntaux.exe C:\WINDOWS\Dit.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Classic PhoneTools\CapFax.EXE C:\Programme\Medion\PowerCinema\My_TV\Agent.exe C:\PROGRA~1\Canon\MULTIP~1\MPTBox.exe C:\WINDOWS\DitExp.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Windows Defender\MSASCui.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe C:\WINDOWS\wanmpsvc.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Spyware Doctor\swdsvc.exe C:\WINDOWS\System32\alg.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Spyware Doctor\SDTrayApp.exe C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE C:\WINDOWS\System32\wbem\wmiprvse.exe C:\Dokumente und Einstellungen\Florian\Desktop\NHNJNT\HJT.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://festzeit.ch/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\NppBho.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEInt.dll O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\UIBHO.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe O4 - HKLM\..\Run: [MPTBox] C:\PROGRA~1\Canon\MULTIP~1\MPTBox.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe" O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [CHotKey] mHotkey.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll" O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Download with Star Downloader - C:\Programme\Star Downloader\sdie.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {36AF14E3-8E6A-413E-A01F-360900AD6802} - http://www.medionshop.de (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1165871076656 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1165872132500 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe O23 - Service: EWRHZSGBFSUPCZM - Unknown owner - C:\DOKUME~1\Florian\LOKALE~1\Temp\EWRHZSGBFSUPCZM.exe (file missing) O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe O23 - Service: MpService - Canon Inc. - C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PACSPTISVR - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe O23 - Service: SonicStage Back-End Service - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SsBeSvc.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe -- End of file - 11898 bytes Hoffe das hilft mal weiter. Dieser Beitrag wurde am 13.12.2007 um 21:05 Uhr von Botaz editiert.
|
|
|
||
13.12.2007, 21:49
Moderator
Beiträge: 7805 |
#4
Besteht das Problem mit dem Versenden von Mails immer noch?
BTW. Pruefe deinen Rechner bitte mit antivir und folgenden Einstellungen: http://board.protecus.de/t23979.htm Vorher bitte antivir aktualisieren! __________ MfG Ralf SEO-Spam Hunter |
|
|
||
14.12.2007, 20:57
Member
Themenstarter Beiträge: 16 |
#5
ja nach systemstart verrsucht der virus immer noch massenweise e-mail zu versenden. Antivira hat ausserdem heute den Trojaner TR/Crypt.XPACK.Gen gefunden. Habe diesen vorerst zur quarantäne getan. Wie soll ich weiter vorgehen?
Herzlichen dank für die hilfe |
|
|
||
14.12.2007, 21:08
Moderator
Beiträge: 7805 |
#6
Wo hat Antivir diesen Trojaner gefunden/gemeldet?
Ueberpruefe bitte auch diese Datei bei Virustotal C:\WINDOWS\slrund.exe Ein DAtfind Report von http://board.protecus.de/t23187.htm koennte auch helfen. Du kannst die Datei unten unter "Anhang" auch anhaengen __________ MfG Ralf SEO-Spam Hunter |
|
|
||
15.12.2007, 11:30
Member
Themenstarter Beiträge: 16 |
#7
der Trojaner wurde gefunden unter C:\WINDOWS\TEMP\123875.exe
das Ergebnis von Virus Total: Datei slrund.exe empfangen 2007.12.15 11:32:54 (CET) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.12.15.10 2007.12.14 - AntiVir 7.6.0.45 2007.12.14 HEUR/Crypted Authentium 4.93.8 2007.12.15 - Avast 4.7.1098.0 2007.12.14 - AVG 7.5.0.503 2007.12.14 Proxy.PIL BitDefender 7.2 2007.12.15 - CAT-QuickHeal 9.00 2007.12.15 - ClamAV 0.91.2 2007.12.15 PUA.Packed.Themida DrWeb 4.44.0.09170 2007.12.14 - eSafe 7.0.15.0 2007.12.13 - eTrust-Vet 31.3.5377 2007.12.15 - Ewido 4.0 2007.12.14 - FileAdvisor 1 2007.12.15 - Fortinet 3.14.0.0 2007.12.15 - F-Prot 4.4.2.54 2007.12.14 W32/Heuristic-162!Eldorado F-Secure 6.70.13030.0 2007.12.14 SDBot.gen9 Ikarus T3.1.1.15 2007.12.15 MemScanBackdoor.Bifrose.NQ Kaspersky 7.0.0.125 2007.12.15 - McAfee 5186 2007.12.14 - Microsoft 1.3109 2007.12.15 - NOD32v2 2723 2007.12.14 - Norman 5.80.02 2007.12.13 SDBot.gen9 Panda 9.0.0.4 2007.12.14 Generic Malware Prevx1 V2 2007.12.15 - Rising 20.22.41.00 2007.12.14 - Sophos 4.24.0 2007.12.15 - Sunbelt 2.2.907.0 2007.12.15 VIPRE.Suspicious Symantec 10 2007.12.15 - TheHacker 6.2.9.160 2007.12.14 - VBA32 3.12.2.5 2007.12.15 - VirusBuster 4.3.26:9 2007.12.14 Packed/Themida Webwasher-Gateway 6.6.2 2007.12.15 Heuristic.Crypted wie soll ich weiter vorgehen? Dieser Beitrag wurde am 15.12.2007 um 11:39 Uhr von Botaz editiert.
|
|
|
||
15.12.2007, 11:43
Moderator
Beiträge: 7805 |
#8
Da haben wir deinen Uebeltaeter. Diesen musst du umbenenen, bzw loeschen.
Stelle dein Antivir bitte ein, wie hier beschrieben und mache einen neuen komplettscan deines Rechners: http://board.protecus.de/t23979.htm Du solltest vorher ATF cleaner und die DAtentraegerbereinigung nutzen. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
17.12.2007, 08:11
Member
Themenstarter Beiträge: 16 |
#9
habe jetzt den komplettscan durchgeführt. hier das logfile.
AntiVir PersonalEdition Classic Erstellungsdatum der Reportdatei: Sonntag, 16. Dezember 2007 20:22 Es wird nach 972845 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Benutzername: Florian Computername: MY-OWN Versionsinformationen: BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00 AVSCAN.EXE : 7.0.6.1 290856 Bytes 23.08.2007 13:16:24 AVSCAN.DLL : 7.0.6.0 57384 Bytes 14.08.2007 15:48:28 LUKE.DLL : 7.0.5.3 147496 Bytes 14.08.2007 15:32:43 LUKERES.DLL : 7.0.6.0 10792 Bytes 14.08.2007 15:49:04 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 14:27:15 ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14.12.2007 18:39:35 ANTIVIR2.VDF : 7.0.1.96 2048 Bytes 14.12.2007 18:39:35 ANTIVIR3.VDF : 7.0.1.98 4096 Bytes 14.12.2007 18:39:35 AVEWIN32.DLL : 7.6.0.45 3084800 Bytes 13.12.2007 18:36:51 AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 10:36:23 AVPREF.DLL : 7.0.2.2 25640 Bytes 18.07.2007 07:16:50 AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:16:24 AVPACK32.DLL : 7.3.0.15 360488 Bytes 03.08.2007 08:46:00 AVREG.DLL : 7.0.1.6 30760 Bytes 18.07.2007 07:17:02 AVARKT.DLL : 1.0.0.20 278568 Bytes 28.08.2007 12:26:28 AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18.07.2007 07:10:14 NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 11:09:03 RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07.08.2007 12:37:51 RCTEXT.DLL : 7.0.62.0 90152 Bytes 21.08.2007 12:50:28 SQLITE3.DLL : 3.3.17.1 339968 Bytes 23.07.2007 09:37:21 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Lokale Laufwerke Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\alldrives.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: L:, Durchsuche Speicher..............: ein Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: aus Archiv Smart Extensions..........: ein Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, Makrovirenheuristik..............: ein Dateiheuristik...................: hoch Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Sonntag, 16. Dezember 2007 20:22 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'symlcsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wanmpsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AppSvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'swdsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svcntaux.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NMIndexStoreSvr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mpservic.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SDTrayApp.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ccSvcHst.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'DitExp.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WkUFind.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mptbox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Agent.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'capFax.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Dit.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AluSchedulerSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MsMpEng.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '47' Prozesse mit '47' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [HINWEIS] Es wurde kein Virus gefunden! Masterbootsektor HD1 [HINWEIS] Es wurde kein Virus gefunden! [WARNUNG] Der Bootsektor konnte nicht gelesen werden! [WARNUNG] Fehlercode: 0x0015 Masterbootsektor HD2 [HINWEIS] Es wurde kein Virus gefunden! [WARNUNG] Der Bootsektor konnte nicht gelesen werden! [WARNUNG] Fehlercode: 0x0015 Masterbootsektor HD3 [HINWEIS] Es wurde kein Virus gefunden! [WARNUNG] Der Bootsektor konnte nicht gelesen werden! [WARNUNG] Fehlercode: 0x0015 Masterbootsektor HD4 [HINWEIS] Es wurde kein Virus gefunden! [WARNUNG] Der Bootsektor konnte nicht gelesen werden! [WARNUNG] Fehlercode: 0x0015 Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'D:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'E:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'H:\' [HINWEIS] Im Laufwerk 'H:\' ist kein Datenträger eingelegt! Bootsektor 'I:\' [HINWEIS] Im Laufwerk 'I:\' ist kein Datenträger eingelegt! Bootsektor 'J:\' [HINWEIS] Im Laufwerk 'J:\' ist kein Datenträger eingelegt! Bootsektor 'K:\' [HINWEIS] Im Laufwerk 'K:\' ist kein Datenträger eingelegt! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '37' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <BOOT> C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Florian\Desktop\ComboFix.exe [0] Archivtyp: RAR SFX (self extracting) --> nircmd.exe [FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.1 --> nircmd.cfexe [FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.1 [INFO] Eine Sicherungskopie wurde unter dem Namen 47d29688.qua erstellt ( QUARANTÄNE ) [INFO] Die Datei wurde gelöscht. C:\Dokumente und Einstellungen\Florian\Eigene Dateien\Eigene Downloads\Ahead.Nero.v7.5.7.0.Incl.Keymaker-EMBRACE\Nero-7.5.7.0_eng.exe [0] Archivtyp: RAR SFX (self extracting) --> server_teh_pwn.exe [FUND] Enthält verdächtigen Code: HEUR/Crypted [INFO] Eine Sicherungskopie wurde unter dem Namen 47d798c9.qua erstellt ( QUARANTÄNE ) [INFO] Die Datei wurde gelöscht. C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcrst.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Programme\Ubisoft\Heroes of Might and Magic V\dataa1\p1-data.pak [0] Archivtyp: ZIP --> Maps/SingleMissions/SXL1/mapscript.lua [FUND] Enthält verdächtigen Code: HEUR/Exploit.HTML [INFO] Eine Sicherungskopie wurde unter dem Namen 4792a7aa.qua erstellt ( QUARANTÄNE ) [INFO] Die Datei wurde gelöscht. C:\WINDOWS\NirCmd.exe [FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.1 [INFO] Eine Sicherungskopie wurde unter dem Namen 47d7a910.qua erstellt ( QUARANTÄNE ) [INFO] Die Datei wurde gelöscht. C:\WINDOWS\slrund.exe [FUND] Enthält verdächtigen Code: HEUR/Crypted [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47d7a917.qua' verschoben! C:\WINDOWS\$NtUninstallApplication Compatibility Update$\acgenral.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallApplication Compatibility Update$\aclayers.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallApplication Compatibility Update$\aclua.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallApplication Compatibility Update$\acspecfc.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallApplication Compatibility Update$\acverfyr.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallApplication Compatibility Update$\acxtrnal.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallApplication Compatibility Update$\d3d8.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallApplication Compatibility Update$\qdvd.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallApplication Compatibility Update$\udfs.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallApplication Compatibility Update$\vbscript.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallApplication Compatibility Update$\spuninst\spuninst.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ307274$\shgina.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ307274$\spuninst\spuninst.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ307869$\guitrn.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ307869$\guitrn_a.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ307869$\migwiz.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ307869$\migwiz_a.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ307869$\script.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ307869$\script_a.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ307869$\sysmod.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ307869$\sysmod_a.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ307869$\spuninst\spuninst.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ308210$\rdchost.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ308210$\sessmgr.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ308210$\spuninst\spuninst.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ308276$\smlogsvc.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ308276$\spuninst\spuninst.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ308677$\userenv.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ308677$\spuninst\spuninst.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ309376$\rdbss.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ309376$\spuninst\spuninst.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ309495$\msi.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ309495$\spuninst\spuninst.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ309521$\dxmasf.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ309521$\lsasrv.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ309521$\sfcfiles.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ309521$\ssdpapi.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ309521$\ssdpsrv.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ309521$\url.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ309521$\wininet.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ309521$\spuninst\spuninst.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ310437$\ups.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ310437$\spuninst\spuninst.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ310507$\aec.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ310507$\dxmrtp.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ310507$\splitter.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ310507$\spuninst\spuninst.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ311889$\termsrv.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ311889$\spuninst\spuninst.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ312368$\syssetup.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ312368$\spuninst\spuninst.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ312370$\usbhub.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ312370$\usbport.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ312370$\spuninst\spuninst.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ314862$\qmgr.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ314862$\spuninst\spuninst.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ315000$\netsetup.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ315000$\ssdpapi.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ315000$\ssdpsrv.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ315000$\upnp.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ315000$\spuninst\spuninst.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\Downloaded Program Files\gsda.dll [FUND] Enthält Erkennungsmuster des SPR/Dldr.SpyGame-Programmes [INFO] Eine Sicherungskopie wurde unter dem Namen 47c9aa66.qua erstellt ( QUARANTÄNE ) [INFO] Die Datei wurde gelöscht. C:\WINDOWS\system32\drivers\Ejm04.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'D:\' <BACKUP> Beginne mit der Suche in 'E:\' <RECOVER> Beginne mit der Suche in 'H:\' Der zu durchsuchende Pfad H:\ konnte nicht geöffnet werden! Das Gerät ist nicht bereit. Beginne mit der Suche in 'I:\' Der zu durchsuchende Pfad I:\ konnte nicht geöffnet werden! Das Gerät ist nicht bereit. Beginne mit der Suche in 'J:\' Der zu durchsuchende Pfad J:\ konnte nicht geöffnet werden! Das Gerät ist nicht bereit. Beginne mit der Suche in 'K:\' Der zu durchsuchende Pfad K:\ konnte nicht geöffnet werden! Das Gerät ist nicht bereit. Beginne mit der Suche in 'F:\' Der zu durchsuchende Pfad F:\ konnte nicht geöffnet werden! Das Gerät ist nicht bereit. Beginne mit der Suche in 'G:\' Der zu durchsuchende Pfad G:\ konnte nicht geöffnet werden! Das Gerät ist nicht bereit. Beginne mit der Suche in 'L:\' Ende des Suchlaufs: Montag, 17. Dezember 2007 00:07 Benötigte Zeit: 3:45:37 min Der Suchlauf wurde vollständig durchgeführt. 8622 Verzeichnisse wurden überprüft 520764 Dateien wurden geprüft 4 Viren bzw. unerwünschte Programme wurden gefunden 3 Dateien wurden als verdächtig eingestuft 5 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 6 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 65 Dateien konnten nicht durchsucht werden 520760 Dateien ohne Befall 10318 Archive wurden durchsucht 65 Warnungen 1 Hinweise sollte jetzt alles ok sein, oder muss ich die kopien in der quarantäne noch löschen? |
|
|
||
19.12.2007, 13:24
Member
Themenstarter Beiträge: 16 |
#10
hmmm.. das Problem hat sich immernoch nicht gelöst.
weis nicht ob das weiterhilft, ich habe gemerkt, dass im task-manager nach systemstart der prozess iexplorer.exe vom system aus ausgeführt wird. |
|
|
||
19.12.2007, 14:46
Moderator
Beiträge: 7805 |
#11
Teste diese Datei bitte bei Virustotal Ejm04.sys . Lade zusaetzlich ein neues Combofix herunter und erstelle mit dieser Version ein neuen Combofix report
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
23.12.2007, 18:19
Member
Themenstarter Beiträge: 16 |
#12
Avira Antivir hat heute, nachdem seit 2 Tagen alles normal gelaufen ist und heute das Problem wieder aufgetaucht ist, reagiert.
Es Hat mit dem Trojaner Dropper.Gen in den Dateien: C:\Temp\nav25.tmp nav2A.tmp nav2D.tmp nav30.tmp nav34.tmp und zwar immer doppelt angezeigt. Was soll ich tun? |
|
|
||
23.12.2007, 18:30
Moderator
Beiträge: 7805 |
#13
Was hat denn das ergeben:
Teste diese Datei bitte bei Virustotal Ejm04.sys Im Zweifelsfalle mach den Rechner platt, wenn das Problem nicht eingrenzbar wird. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
23.12.2007, 20:37
Member
Themenstarter Beiträge: 16 |
#14
hab 2 mal versucht die datei hochzuladen hat aber immer auch nach einunhalb stunden noch nicht funktioniert
|
|
|
||
24.12.2007, 22:39
Ehrenmitglied
Beiträge: 6028 |
#15
Entferne auf C:\ Qoobox-->Papierkorb leeren
Es werden zwei Antiviren programme benutzt,eine zuviel RVAXO Download: RVAXO by Smeenk,zum Desktop Danach doppelklicken Öffne die Datei RVAXO und doppelklick “RVAXO.cmd” Moeglich startet der Uninstaller von ein Roquescanner schliesse es nicht ab aber lass es seine Arbeit tun Dein Rechner wird neu gestartet,wenn nicht Rechner neu starten und nochmals “RVAXO.cmd” doppelklicken Poste nachher den logfile C:\ RVAXO-results.log in dein folgender Bericht Scanne mit Panda http://www.pandasecurity.com/homeusers/solutions/activescan/? __________ MfG Argus |
|
|
||
ich hab mir irgendetwas eingefangen aber weis nicht was.
Nach aufstarten das PC´s versucht das "Etwas" Massenmails(Spams) an irdendwelche Adressen zu senden. Die Mails werden jedoch von Norton blockiert, so dass ich viele Meldungen von Norton bekommen, dass ein senden fehlgeschlagen wäre. Ich beende dann per Taskmanager die Meldungen. Beende ich die richtige, schliessen sich alle Meldungsfenster. Norton Antivirus 2007 schaltet sich danach jedoch selbständig ab.
Kann mir jemand helfen?
[/img]