spywarefighter, trojaner, was kann ich noch tun? |
||
---|---|---|
#0
| ||
05.01.2008, 13:53
...neu hier
Beiträge: 3 |
||
|
||
05.01.2008, 14:29
Ehrenmitglied
Beiträge: 1441 |
#2
fry82
arbeite bitte combofix ab und poste hier das Log http://www.virus-protect.org/artikel/tools/combofix.html __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
05.01.2008, 14:56
...neu hier
Themenstarter Beiträge: 3 |
#3
also es stimmt ganz sicher noch was nicht. sobald ich rechtsklick auf IRGENDWAS mache startet er die installation von spywarefighter. das gleiche bei "entf" oder shift + entf. hier das logfile von combofix. pleeease help me out. ich brauche den rechner wirklich zum arbeiten.
ComboFix 08-01-04.1 - mrk 2008-01-05 14:54:36.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.479 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\mrk\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\_install.exe nicht gefunden C:\WINDOWS\system32\aspi32.exe . ((((((((((((((((((((((( Dateien erstellt von 2007-12-05 bis 2008-01-05 )))))))))))))))))))))))))))))) . 2008-01-05 14:53 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe 2008-01-05 13:32 . 2008-01-05 13:32 <DIR> d-------- C:\Programme\Avira 2008-01-05 13:32 . 2008-01-05 13:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-01-05 02:34 . 2008-01-05 02:34 <DIR> d-------- C:\Programme\TuneUp Utilities 2008 2008-01-05 02:34 . 2008-01-05 02:34 306,432 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe 2008-01-05 02:34 . 2007-12-20 10:41 29,440 --a------ C:\WINDOWS\system32\uxtuneup.dll 2008-01-05 01:39 . 2008-01-05 01:39 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Application 2007-12-20 20:16 . 2008-01-05 02:25 <DIR> d-------- C:\Programme\Microsoft IntelliPoint 2007-12-20 20:15 . 2007-12-20 20:16 <DIR> d-------- C:\Programme\Microsoft IntelliType Pro . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-05 13:56 11,581,472 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat 2008-01-05 12:13 71,396 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2008-01-05 12:12 --------- d-----w C:\Programme\Eraser 2008-01-05 01:34 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-01-05 01:34 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software 2008-01-04 23:49 --------- d-----w C:\Dokumente und Einstellungen\mrk\Anwendungsdaten\Skype 2007-12-21 22:59 --------- d-----w C:\Dokumente und Einstellungen\mrk\Anwendungsdaten\dvdcss 2007-12-20 19:13 --------- d-----w C:\Programme\Gemeinsame Dateien\Logitech 2007-12-18 23:08 --------- d-----w C:\Dokumente und Einstellungen\mrk\Anwendungsdaten\Azureus 2007-11-26 23:04 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat 2007-11-26 23:04 --------- d-----w C:\Programme\Skype 2007-11-26 23:04 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype 2007-11-26 23:04 --------- d-----w C:\Dokumente und Einstellungen\mrk\Anwendungsdaten\skypePM 2007-11-26 23:04 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype 2007-11-22 20:26 --------- d--h--w C:\Programme\InstallShield Installation Information 2007-11-22 20:25 --------- d-----w C:\Programme\Cyberlink 2007-11-16 16:33 20,330,031 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_11_16_17_08_53_full.dmp.zip 2007-11-13 14:24 75,932 ----a-w C:\WINDOWS\system32\drivers\klick.dat 2007-11-13 14:24 74,396 ----a-w C:\WINDOWS\system32\drivers\klin.dat 2007-11-13 14:24 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier 2007-11-13 10:57 --------- d-----w C:\Programme\Online-Dienste 2007-11-07 11:06 --------- d-----w C:\Dokumente und Einstellungen\mrk\Anwendungsdaten\OpenOffice.org2 2007-11-06 17:16 --------- d-----w C:\Programme\OpenOffice.org 2.3 2007-08-27 09:19 4,196,265 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip 2007-07-02 17:30 42,720 ----a-w C:\Dokumente und Einstellungen\mrk\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2007-04-18 19:52 18,275,426 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_04_18_21_51_04_full.dmp.zip . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Eraser"="C:\Programme\Eraser\eraser.exe" [2006-12-26 01:23 643072] "msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 11:55 5674352] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvMixerTray"="C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe" [2004-03-03 14:30 131072] "ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 11:12 90112] "DAEMON Tools"="D:\DAEMON Tools\daemon.exe" [2006-09-14 21:09 157592] "FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-04-25 20:05 311296] "LanguageShortcut"="D:\CyberLink\PowerDVD\Language\Language.exe" [2007-01-08 22:17 52256] "type32"="C:\Programme\Microsoft IntelliType Pro\type32.exe" [2005-06-10 10:24 196608] "IntelliPoint"="C:\Programme\Microsoft IntelliPoint\point32.exe" [2005-06-10 10:21 217088] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-08-31 12:25 249896] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2002-12-31 13:00 15360] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Image Zone Schnellstart.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Image Zone Schnellstart.lnk backup=C:\WINDOWS\pss\HP Image Zone Schnellstart.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^mrk^Startmenü^Programme^Autostart^Adobe Gamma.lnk] path=C:\Dokumente und Einstellungen\mrk\Startmenü\Programme\Autostart\Adobe Gamma.lnk backup=C:\WINDOWS\pss\Adobe Gamma.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^mrk^Startmenü^Programme^Autostart^hamachi.lnk] path=C:\Dokumente und Einstellungen\mrk\Startmenü\Programme\Autostart\hamachi.lnk backup=C:\WINDOWS\pss\hamachi.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^mrk^Startmenü^Programme^Autostart^OpenOffice.org 2.3.lnk] path=C:\Dokumente und Einstellungen\mrk\Startmenü\Programme\Autostart\OpenOffice.org 2.3.lnk backup=C:\WINDOWS\pss\OpenOffice.org 2.3.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Flashget] D:\FlashGet\flashget.exe /min [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Utility] Logi_MwX.Exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechGalleryRepair] 2002-12-10 18:32 155648 --a------ C:\Programme\Logitech\ImageStudio\ISStart.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechImageStudioTray] 2002-12-10 18:31 61440 --a------ C:\Programme\Logitech\ImageStudio\LogiTray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] C:\Programme\MSN Messenger\MsnMsgr.Exe /background [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck] 2001-07-09 11:50 155648 --a------ C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] D:\quicktime\qttask.exe -atboottime [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] D:\PowerDVD\PDVDServ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] C:\Programme\Skype\Phone\Skype.exe /nosplash /minimized [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 2006-10-18 11:42 32881 --a------ C:\Programme\Java\j2re1.4.2_13\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ulead Quick-Drop] E:\uleadmovie\Ulead DVD MovieFactory 5\Quick-Drop.exe WINDOWCALL R1 Asapi;Asapi;C:\WINDOWS\system32\drivers\Asapi.sys [2002-04-17 20:27] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2002-12-31 13:00] S2 irhost;Warndienst ;C:\WINDOWS\system32\irhost.exe [] S3 LVBulk;LVBulk Service;C:\WINDOWS\system32\DRIVERS\LVBulk.sys [2002-06-10 14:21] S3 PDNMp50;PDNMp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNMp50.sys [] S3 PDNSp50;PDNSp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNSp50.sys [] S3 PID_0900_V;Logitech ClickSmart 310(PID_0900_V);C:\WINDOWS\system32\DRIVERS\LV551AV.sys [2002-06-10 14:24] S3 SpyFighter;SpyFighter Guard Device;D:\SPYWAREfighter\spyfighter.sys [] S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-01-05 02:34] S4 SPYWAREfighterRP;SPYWAREfighterRP;"D:\SPYWAREfighter\spfprc.exe" [] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H] \Shell\AutoRun\command - H:\Autorun.exe \Shell\dinstall\command - H:\Directx\dxsetup.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I] \Shell\AutoRun\command - I:\setup.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{59e148f0-7115-11db-8e9c-806d6172696f}] \Shell\AutoRun\command - G:\setup.exe *Newly Created Service* - ANTIVIRSCHEDULER *Newly Created Service* - ANTIVIRSERVICE *Newly Created Service* - AVGIO *Newly Created Service* - AVGNTFLT *Newly Created Service* - AVIPBB *Newly Created Service* - PROCEXP90 . Inhalt des "geplante Tasks" Ordners "2008-01-05 01:34:54 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUp Utilities 2008\OneClick.exe "2007-12-19 13:04:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Programme\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-01-05 14:56:42 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-01-05 14:57:15 ComboFix-quarantined-files.txt 2008-01-05 13:57:12 |
|
|
||
05.01.2008, 16:34
Ehrenmitglied
Beiträge: 1441 |
#4
arbeite datfindbat ab - poste von jedem log nur die Daten zweier monate, das reicht aus...
http://www.virus-protect.org/datfindbat.html __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
05.01.2008, 20:06
...neu hier
Themenstarter Beiträge: 3 |
#5
hallo, danke für deine antwort / mühen. hab mein system jetzt komplett neu aufgesetzt. hab ja partitionen, von daher ist es nicht so schlimm. im abgesicherten modus konnte ich alle wichtigen daten retten. echt mal, so ne kacke. könnt mir in den arsch beissen, dass ich auf diesen mist reingefallen bin.
|
|
|
||
gleich während der installation fing das ding an probleme zu machen und die installation ließ sich auch nicht mehr abbrechen. danach endloses neustarten.
meine aktionen bisher:
- über hijackthis die betreffenden einträge gekillt ->
- abgesicherter modus ->über löschtool (sicheres löschen) den windows temp-ordner gelöscht
- das verzeichnis und alle noch auffindbaren dateien von spywarefighter gelöscht, - antivir drüberlaufen lassen
- adaware 2007 drüberlaufen lassen
- tuneup 2008 drüberlaufen lassen
ich kann den rechner zwar wieder normal starten, aber ich bin mir irgendwie immernoch nicht sicher, ob das teil jetzt komplett weg ist. hatte vorher ein verzeichnis vergessen und hab schon im normalen modus gestartet und bei einem ganz normalen rechtsklick auf das windows-temp-verzeichnis startete automatisch eine installation von spywarefighter. das lankabel war draußen, der spywarefighter-ordner längst gelöscht.
kann vl einer von euch nochmal über mein logfile drüberschauen und mir sagen, ob jetzt soweit alles wieder ok ist? wäre super. vielen dank im voraus!
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:57:28, on 1/5/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Cyberlink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
D:\DAEMON Tools\daemon.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Eraser\eraser.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
D:\Mozilla Firefox\firefox.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
D:\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O4 - HKLM\..\Run: [NvMixerTray] C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "D:\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [LanguageShortcut] D:\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\OFFICE~1\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{E2EBAE5B-820A-4716-ACFA-E41E8FDA908A}: NameServer = 192.168.2.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared files\RichVideo.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
--
End of file - 4316 bytes