der Hijackthis funktioniert nicht richtig!!

#0
05.01.2008, 13:57
Member

Beiträge: 13
#1 Hallo!
Ich habe mir den Hijackthis runter geladen.
Ich konnte auch einen Scan durchführen aber speichern konnte ich es nicht so das ich hier auch kein Logfile reinsetzen konnte.
Bitte um Hilfe weil der Internet Explorer ständig öffnet und so ist kein normales arbeiten mehr möglich.

Danke im voraus!!
Seitenanfang Seitenende
05.01.2008, 14:31
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#2 hallo,

»
lade als Alternativbrowser den Firefox
http://www.virus-protect.org/firefox.html

««
versuche es mal mit combofix - abarbeiten - scan abwarten - dann poste hier das log
http://www.virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
05.01.2008, 14:45
Member

Themenstarter

Beiträge: 13
#3 so hat zwar ein bisschen gedauert aber hier ist der logfile!!Weiß halt aber auch nicht was und vorallem wie ich das dann fixe!!



ComboFix 08-01-04.1 - Kristin 2008-01-05 15:12:38.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Kristin\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\_install.exe nicht gefunden
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten.\vidmon
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten.\vidmon\vidmon.inf
C:\Dokumente und Einstellungen\Kristin\Anwendungsdaten\CROSOF~1.NET
C:\Dokumente und Einstellungen\Kristin\Anwendungsdaten\CROSOF~1.NET\r?ndll.exe
C:\Dokumente und Einstellungen\Kristin\Anwendungsdaten\Dxcknwrd.dll
C:\Dokumente und Einstellungen\Kristin\Anwendungsdaten\Dxcuknwrd.dll
C:\Dokumente und Einstellungen\Kristin\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\ENW9VMX4\www.broadcaster.com
C:\Dokumente und Einstellungen\Kristin\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com
C:\Dokumente und Einstellungen\Kristin\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com\settings.sol
C:\Dokumente und Einstellungen\Kristin\Anwendungsdaten\MCROSO~1.NET
C:\Dokumente und Einstellungen\Kristin\Startmenü\Programme\Outerinfo
C:\Dokumente und Einstellungen\Kristin\Startmenü\Programme\Outerinfo\Terms.lnk
C:\Dokumente und Einstellungen\Kristin\Startmenü\Programme\Outerinfo\Uninstall.lnk
C:\lswmv.ini
C:\PROGRA~1\FNTS~1\winspool.exe
C:\Programme\fnts~1
C:\Programme\fnts~1\F?nts\
C:\Programme\fnts~1\winspool .exe
C:\Programme\fnts~1\winspool.exe
C:\Programme\Gemeinsame Dateien\{300A2~1
C:\Programme\Gemeinsame Dateien\{B00A2~1
C:\Programme\Gemeinsame Dateien\uninstall information
C:\Programme\Gemeinsame Dateien\uninstall information\RemoveWebDP.exe
C:\Programme\Gemeinsame Dateien\Yazzle1560OinAdmin.exe
C:\Programme\Gemeinsame Dateien\Yazzle1560OinUninstaller.exe
C:\Programme\inetget2
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\outerinfo
C:\Programme\outerinfo\FF\chrome.manifest
C:\Programme\outerinfo\FF\components\FF.dll
C:\Programme\outerinfo\FF\components\OuterinfoAds.xpt
C:\Programme\outerinfo\FF\install.rdf
C:\Programme\outerinfo\Terms.rtf
C:\Programme\outlook
C:\Programme\Router
C:\Programme\Router\Router .exe
C:\Programme\Router\Router.exe
C:\Programme\Router\UnInstall.exe
C:\Programme\Temporary
C:\Programme\Temporary\wininstall.exe
C:\Programme\WinAble
C:\Programme\WinAble\winable .exe
C:\Programme\WinAble\winable.exe
C:\WINDOWS\b.exe
C:\WINDOWS\b122.exe
C:\WINDOWS\b128.exe
C:\WINDOWS\b138.exe
C:\WINDOWS\b151.exe
C:\WINDOWS\Fonts\a.zip
C:\WINDOWS\Fonts\svchost.exe
C:\WINDOWS\mrofinu1188.exe
C:\WINDOWS\NDNuninstall6_38.exe
C:\WINDOWS\NDNuninstall7_48.exe
C:\WINDOWS\system32\bszip.dll
C:\WINDOWS\system32\bund1
C:\WINDOWS\system32\bund1\ClientBundle1.exe
C:\WINDOWS\system32\bund1\temp.txt
C:\WINDOWS\system32\cmd.com
C:\WINDOWS\system32\ctfmon.exe.tmp
C:\WINDOWS\system32\fcccabc.dll
C:\WINDOWS\system32\iihkj.ini
C:\WINDOWS\system32\iihkj.ini2
C:\WINDOWS\system32\jkhii.dll
C:\WINDOWS\system32\jkhii.exe
C:\WINDOWS\system32\khfgfec.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\netstat.com
C:\WINDOWS\system32\nnnmkjk.dll
C:\WINDOWS\system32\opnliih.dll
C:\WINDOWS\system32\ping.com
C:\WINDOWS\system32\qomnnli.dll
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\scurit~1
C:\WINDOWS\system32\taskkill.com
C:\WINDOWS\system32\tasklist.com
C:\WINDOWS\system32\tracert.com
C:\WINDOWS\system32\vidmon
C:\WINDOWS\system32\vidmon\bak\vidmon.exe
C:\WINDOWS\system32\wnsapitr32.exe
C:\WINDOWS\system32\xtmee.dll
C:\WINDOWS\system32\xxywurr.dll
C:\WINDOWS\system32\xxywwxu.dll
C:\WINDOWS\Fonts\'

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_CLIENT_IP-IPX
-------\Client IP-IPX


((((((((((((((((((((((( Dateien erstellt von 2007-12-05 bis 2008-01-05 ))))))))))))))))))))))))))))))
.

2008-01-05 14:56 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-04 14:22 . 2008-01-04 14:22 <DIR> d-------- C:\Programme\Enigma Software Group
2008-01-03 14:14 . 2008-01-05 11:28 39,936 --a------ C:\WINDOWS\17PHolmes1188.exe
2008-01-02 21:06 . 2008-01-05 11:46 389,120 --a------ C:\WINDOWS\mrofinu1188.exe.tmp
2007-12-30 19:24 . 2008-01-01 12:24 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2007-12-30 19:18 . 2007-12-30 19:18 260 --a------ C:\7644.bat
2007-12-30 19:18 . 2007-12-30 19:18 77 --a------ C:\Dokumente und Einstellungen\Kristin\5266.bat
2007-12-30 13:39 . 2008-01-05 11:47 15,360 --a------ C:\WINDOWS\system32\ctfmon .exe
2007-12-30 13:33 . 2007-12-30 13:33 147,456 --a------ C:\WINDOWS\system32\vbzip10.dll
2007-12-30 13:26 . 2007-12-30 13:26 40,960 --a------ C:\WINDOWS\system32\yayvutt.dll
2007-12-13 14:52 . 2001-08-17 13:56 7,552 --a------ C:\WINDOWS\system32\drivers\SONYPVU1.SYS
2007-12-13 14:52 . 2001-08-17 13:56 7,552 --a--c--- C:\WINDOWS\system32\dllcache\sonypvu1.sys
2007-12-12 11:15 . 2007-12-30 18:13 <DIR> d-------- C:\Dokumente und Einstellungen\Kristin\Shared
2007-12-12 11:14 . 2008-01-05 11:53 <DIR> d-------- C:\Dokumente und Einstellungen\Kristin\Anwendungsdaten\FrostWire
2007-12-12 11:13 . 2007-12-12 11:13 <DIR> d-------- C:\Programme\AskSBar

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-05 10:53 --------- d-----w C:\Dokumente und Einstellungen\Kristin\Anwendungsdaten\LimeWire
2008-01-05 10:48 --------- d-----w C:\Dokumente und Einstellungen\Kristin\Anwendungsdaten\OpenOffice.org2
2008-01-05 10:47 278,539 ----a-w C:\WINDOWS\Fonts\svchost .exe
2008-01-02 21:30 --------- d-----w C:\Programme\ICQToolbar
2007-12-30 12:33 278,540 ----a-w C:\WINDOWS\Fonts\Setup.exe
2007-12-12 10:08 --------- d-----w C:\Programme\Java
2007-12-12 10:05 --------- d-----w C:\Programme\Incomplete
.

Code

<pre>
----a-w            35,840 2008-01-04 13:11:01  C:\Dokumente und Einstellungen\Kristin\Anwendungsdaten\Microsoft\Windows\pdstq .exe
----a-w           132,496 2008-01-05 10:47:06  C:\Programme\Java\jre1.6.0_03\bin\jusched .exe
----a-w           278,539 2008-01-05 10:47:07  C:\WINDOWS\Fonts\svchost .exe
----a-w            15,360 2008-01-05 10:47:06  C:\WINDOWS\system32\ctfmon .exe
</pre>
((((((((((((((((((((((((((((((((((((((((((((( AWF ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{69450510-8370-48C2-7EBA-21F2433F48D9}]
C:\Programme\Messenger\lavuja.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6CB61603-D702-493F-B413-A514C80413EF}]
2007-04-06 20:27 139264 --a--c--- C:\Programme\ComPlus Applications\hoke.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{98645F7E-2DB2-446E-B93C-5341B5543E2E}]
2007-04-06 20:27 139264 --a--c--- C:\Programme\Online Services\hoke.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C318CD44-E327-4377-A28E-6EC16A921AE8}]
C:\Programme\Web Buying\v1.6.8\webbuying.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E1412445-4FF8-410e-8D24-F2CF86B171A4}]
C:\Programme\PeDevice\PeDev.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA}]
2007-12-12 11:13 267592 --a------ C:\Programme\AskSBar\bar\1.bin\ASKSBAR.DLL

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{855F3B16-6D32-4FE6-8A56-BBB695989046}
{F0D4B239-DA4B-4DAF-81E4-DFEE4931A4AA}

[HKEY_CLASSES_ROOT\clsid\{f0d4b239-da4b-4daf-81e4-dfee4931a4aa}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{F0D4B239-DA4B-4DAF-81E4-DFEE4931A4AA}"= C:\Programme\AskSBar\bar\1.bin\ASKSBAR.DLL [2007-12-12 11:13 267592]

[HKEY_CLASSES_ROOT\clsid\{f0d4b239-da4b-4daf-81e4-dfee4931a4aa}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [ ]
"Aten"="C:\PROGRA~1\FNTS~1\winspool.exe" [ ]
"Wtsoj"="C:\Dokumente und Einstellungen\Kristin\Anwendungsdaten\??crosoft.NET\r?ndll.exe" [ ]
"Router"="C:\Programme\Router\Router.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nvchost"="C:\WINDOWS\winlogon.exe" [ ]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [ ]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run]
"{B00A2A4E-01C0-1031-0625-990330990031}"= "C:\Programme\Gemeinsame Dateien\{B00A2A4E-01C0-1031-0625-990330990031}\Update.exe" mc-110-12-0000140

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer\run]
"{B00A2A4E-01C0-1031-0625-990330990031}"= "C:\Programme\Gemeinsame Dateien\{B00A2A4E-01C0-1031-0625-990330990031}\Update.exe" mc-110-12-0000140

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
Source= C:\Programme\Windows Media Player\profsywuy.html
FriendlyName=

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\1]
Source= C:\Programme\Messenger\profsywuy.html
FriendlyName=

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=
Dieser Beitrag wurde am 05.01.2008 um 16:03 Uhr von sternchen25 editiert.
Seitenanfang Seitenende
05.01.2008, 16:50
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#4 sternchen25

««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "fixme.reg" auf dem Desktop doppelklicken

Zitat

REGEDIT4

[-HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{69450510-8370-48C2-7EBA-21F2433F48D9}]

[-HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E1412445-4FF8-410e-8D24-F2CF86B171A4}]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run]
"{B00A2A4E-01C0-1031-0625-990330990031}"=-

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer\run]
"{B00A2A4E-01C0-1031-0625-990330990031}"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nvchost"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Wtsoj"=-

««
Combofix:
in den Texteditor kopieren - CFScript.txt nennen und mit der rechten Maustaste auf das Symbol von Combofix ziehen

Zitat

File::
C:\WINDOWS\17PHolmes1188.exe
C:\WINDOWS\mrofinu1188.exe.tmp
C:\7644.bat
C:\Dokumente und Einstellungen\Kristin\5266.bat
C:\WINDOWS\system32\vbzip10.dll
C:\WINDOWS\system32\yayvutt.dll

Folder::
C:\WINDOWS\system32\vidmon
C:\Programme\PeDevice
C:\Programme\Gemeinsame Dateien\{B00A2A4E-01C0-1031-0625-990330990031}



dann wende die Combofix noch mal an + poste den report
+
versuche es noch mal mit hijackThis

«
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
05.01.2008, 17:03
Member

Themenstarter

Beiträge: 13
#5 ich kann fixme.reg auf dem desktop nicht öffnen. da kommt die meldung:
"Möchten ie die Informationen in C:\Dokumente und Einstellungen\Kristin \Desktop\fixeme.reg zu der Registrierung hinzufügen?" Dann bin ich auf ja gegangen und es kommt die Meldung das sie in der Registrierung C:\Dokumente und Einstellungen\Kristin \Desktop\fixeme.reg eingetragen wurden ????

was jetzt ?

Achso und soll ich beide texte in fixme.reg speichern?

Gut ich glaube ich habe das jetzt doch so hinbekommen wie es gemeint war!
danke !!führe jetzt erneut den combofix durch!
Dieser Beitrag wurde am 05.01.2008 um 17:16 Uhr von sternchen25 editiert.
Seitenanfang Seitenende
05.01.2008, 17:46
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#6 nur den ersten text als fixme.reg speichern ! der andere ist fuer die Combofix

Zitat

"Möchten ie die Informationen in C:\Dokumente und Einstellungen\Kristin \Desktop\fixeme.reg zu der Registrierung hinzufügen?"
mit ja bestaetigen, dann als naechstes arbeite die combofix ab und poste das neue log
+
dann starte den rechner neu, damit die registry gereinigt wird. (die fixme.reg wird erst nach neustart wirksam...)
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
06.01.2008, 12:05
Member

Themenstarter

Beiträge: 13
#7 ComboFix 08-01-04.1 - Kristin 2008-01-06 11:55:18.3 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Kristin\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Kristin\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

FILE
C:\7644.bat
C:\Dokumente und Einstellungen\Kristin\5266.bat
C:\WINDOWS\17PHolmes1188.exe
C:\WINDOWS\mrofinu1188.exe.tmp
C:\WINDOWS\system32\vbzip10.dll
C:\WINDOWS\system32\yayvutt.dll
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\_install.exe nicht gefunden
.
---- Previous Run -------
.
C:\7644.bat
C:\Dokumente und Einstellungen\Kristin\5266.bat
C:\WINDOWS\17PHolmes1188.exe
C:\WINDOWS\mrofinu1188.exe.tmp
C:\WINDOWS\system32\vbzip10.dll
C:\WINDOWS\system32\yayvutt.dll

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-06 bis 2008-01-06 ))))))))))))))))))))))))))))))
.

2008-01-05 14:56 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-04 14:22 . 2008-01-04 14:22 <DIR> d-------- C:\Programme\Enigma Software Group
2007-12-30 19:24 . 2008-01-01 12:24 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2007-12-30 13:39 . 2008-01-05 11:47 15,360 --a------ C:\WINDOWS\system32\ctfmon .exe
2007-12-13 14:52 . 2001-08-17 13:56 7,552 --a------ C:\WINDOWS\system32\drivers\SONYPVU1.SYS
2007-12-13 14:52 . 2001-08-17 13:56 7,552 --a--c--- C:\WINDOWS\system32\dllcache\sonypvu1.sys
2007-12-12 11:15 . 2007-12-30 18:13 <DIR> d-------- C:\Dokumente und Einstellungen\Kristin\Shared
2007-12-12 11:14 . 2008-01-05 11:53 <DIR> d-------- C:\Dokumente und Einstellungen\Kristin\Anwendungsdaten\FrostWire
2007-12-12 11:13 . 2007-12-12 11:13 <DIR> d-------- C:\Programme\AskSBar

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-06 10:49 --------- d-----w C:\Dokumente und Einstellungen\Kristin\Anwendungsdaten\OpenOffice.org2
2008-01-05 10:53 --------- d-----w C:\Dokumente und Einstellungen\Kristin\Anwendungsdaten\LimeWire
2008-01-05 10:47 278,539 ----a-w C:\WINDOWS\Fonts\svchost .exe
2008-01-02 21:30 --------- d-----w C:\Programme\ICQToolbar
2007-12-30 12:33 278,540 ----a-w C:\WINDOWS\Fonts\Setup.exe
2007-12-28 12:53 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
2007-12-12 10:08 --------- d-----w C:\Programme\Java
2007-12-12 10:05 --------- d-----w C:\Programme\Incomplete
1999-12-13 13:38 135,168 -c--a-w C:\WINDOWS\inf\Agfa\message.exe
.

Code

<pre>
----a-w            35,840 2008-01-04 13:11:01  C:\Dokumente und Einstellungen\Kristin\Anwendungsdaten\Microsoft\Windows\pdstq .exe
----a-w           132,496 2008-01-05 10:47:06  C:\Programme\Java\jre1.6.0_03\bin\jusched .exe
----a-w           278,539 2008-01-05 10:47:07  C:\WINDOWS\Fonts\svchost .exe
----a-w            15,360 2008-01-05 10:47:06  C:\WINDOWS\system32\ctfmon .exe
</pre>
((((((((((((((((((((((((((((((((((((((((((((( AWF ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{69450510-8370-48C2-7EBA-21F2433F48D9}]
C:\Programme\Messenger\lavuja.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6CB61603-D702-493F-B413-A514C80413EF}]
2007-04-06 20:27 139264 --a--c--- C:\Programme\ComPlus Applications\hoke.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{98645F7E-2DB2-446E-B93C-5341B5543E2E}]
2007-04-06 20:27 139264 --a--c--- C:\Programme\Online Services\hoke.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C318CD44-E327-4377-A28E-6EC16A921AE8}]
C:\Programme\Web Buying\v1.6.8\webbuying.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E1412445-4FF8-410e-8D24-F2CF86B171A4}]
C:\Programme\PeDevice\PeDev.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA}]
2007-12-12 11:13 267592 --a------ C:\Programme\AskSBar\bar\1.bin\ASKSBAR.DLL

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{855F3B16-6D32-4FE6-8A56-BBB695989046}
{F0D4B239-DA4B-4DAF-81E4-DFEE4931A4AA}

[HKEY_CLASSES_ROOT\clsid\{f0d4b239-da4b-4daf-81e4-dfee4931a4aa}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{F0D4B239-DA4B-4DAF-81E4-DFEE4931A4AA}"= C:\Programme\AskSBar\bar\1.bin\ASKSBAR.DLL [2007-12-12 11:13 267592]

[HKEY_CLASSES_ROOT\clsid\{f0d4b239-da4b-4daf-81e4-dfee4931a4aa}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [ ]
"Aten"="C:\PROGRA~1\FNTS~1\winspool.exe" [ ]
"Router"="C:\Programme\Router\Router.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [ ]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:57 15360]

C:\Dokumente und Einstellungen\Kristin\Startmen\Programme\Autostart\
Adobe Gamma.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 18:16:50]
OpenOffice.org 2.3.lnk - C:\Programme\OpenOffice.org 2.3\program\quickstart.exe [2007-08-17 21:57:56]

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
Source= C:\Programme\Windows Media Player\profsywuy.html
FriendlyName=

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\1]
Source= C:\Programme\Messenger\profsywuy.html
FriendlyName=

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=

R1 NETDSL;AVM PPP over Ethernet;C:\WINDOWS\system32\DRIVERS\netdsl.sys [2005-11-21 10:41]
R3 ctlsb16;Creative SB16/AWE32/AWE64-Treiber (WDM);C:\WINDOWS\system32\drivers\ctlsb16.sys [2001-08-17 12:19]
R3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [2005-11-21 10:41]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-06 11:59:32
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien




Danke nochmals das du mir hilfst!!! ;)
Saoll ich hijackthis auch nochmal anwenden?
Seitenanfang Seitenende
06.01.2008, 12:21
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#8 sternchen25

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\WINDOWS\Fonts" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Eigene Dateien" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temporary Internet Files\Content.IE5" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt

__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
06.01.2008, 12:27
Member

Themenstarter

Beiträge: 13
#9 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B00A-2A4E

Verzeichnis von C:\WINDOWS\Fonts

28.06.2006 13:24 393.068 SEGOEUIZ.TTF
30.12.2007 13:33 278.540 Setup.exe
14.07.1998 12:42 52.316 SHOWG.TTF
18.08.2001 13:00 234.280 shruti.ttf
15.10.1999 08:56 63.196 SNAP____.TTF
18.08.1999 11:14 55.596 STENCIL.TTF
20.02.2007 15:48 29.536 StencilStd.otf
05.01.2008 11:47 278.539 svchost .exe
18.08.2001 13:00 221.676 sylfaen.ttf
18.08.2001 13:00 69.464 symbol.ttf
17.07.2004 22:55 383.140 tahoma.ttf

417 Datei(en) 140.256.495 Bytes
0 Verzeichnis(se), 1.520.676.864 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B00A-2A4E

Verzeichnis von C:\WINDOWS\Downloaded Program Files

09.11.2006 14:36 5.019 swflash.inf
1 Datei(en) 5.019 Bytes
0 Verzeichnis(se), 1.520.685.056 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B00A-2A4E

Verzeichnis von C:\Programme

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B00A-2A4E

Verzeichnis von C:\Dokumente und Einstellungen\Kristin

05.01.2008 17:28 <DIR> .
05.01.2008 17:28 <DIR> ..
06.01.2008 12:26 <DIR> Desktop
05.01.2008 12:51 <DIR> Eigene Dateien
31.03.2007 12:33 <DIR> Favoriten
30.12.2007 18:10 <DIR> Incomplete
30.12.2007 18:13 <DIR> Shared
30.12.2007 18:13 <DIR> Startmenü
0 Datei(en) 0 Bytes
8 Verzeichnis(se), 1.520.685.056 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B00A-2A4E

Verzeichnis von C:\Dokumente und Einstellungen\Kristin\Eigene Dateien

05.01.2008 12:51 <DIR> .
05.01.2008 12:51 <DIR> ..
01.01.2008 14:27 44.223 1093-gross.jpg
01.01.2008 14:28 41.546 736-gross.jpg
01.01.2008 14:30 43.624 737-gross.jpg
01.01.2008 14:30 42.998 738-gross.jpg
29.05.2001 21:21 <DIR> AdobeStockPhotos
03.11.2007 19:58 83.265 bild.jpg
04.09.2007 20:42 <DIR> Downloads
17.08.2007 14:12 <DIR> Eigene Bilder
12.12.2007 12:54 <DIR> Eigene Musik
12.12.2007 12:08 <DIR> Eigene Videos
08.10.2007 18:04 28.160 Exposé.doc
07.10.2007 20:18 15.401 Exposé.docx
11.04.2007 11:55 22.992 Feuchtigkeitsmasken.docx
14.03.2007 19:59 <DIR> ICQ Lite
04.04.2007 12:46 <DIR> OneNote-Notizbücher
30.12.2007 13:32 <DIR> Programme
27.05.2007 13:25 <DIR> Updater
14.04.2007 17:53 <DIR> Updater5
04.01.2008 21:15 10.468 Vortragszusammenfassung.docx
25.09.2007 19:45 3.984.491 ??? ? ????????.pptx
10 Datei(en) 4.317.168 Bytes
12 Verzeichnis(se), 1.520.685.056 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B00A-2A4E

Verzeichnis von C:\Program Files

09.05.2007 23:48 <DIR> .
09.05.2007 23:48 <DIR> ..
11.04.2007 08:54 <DIR> ICQLite
0 Datei(en) 0 Bytes
3 Verzeichnis(se), 1.520.680.960 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B00A-2A4E

Verzeichnis von C:\Dokumente und Einstellungen\Kristin\Lokale Einstellungen\Temporary Internet Files

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B00A-2A4E

Verzeichnis von C:\Dokumente und Einstellungen\Kristin\Lokale Einstellungen\Temp

06.01.2008 12:02 <DIR> .
06.01.2008 12:02 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 1.520.680.960 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B00A-2A4E

Verzeichnis von C:\WINDOWS\Temp

06.01.2008 12:02 <DIR> .
06.01.2008 12:02 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 1.520.680.960 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B00A-2A4E

Verzeichnis von C:\

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B00A-2A4E

Verzeichnis von C:\Programme

05.01.2008 15:44 <DIR> .
05.01.2008 15:44 <DIR> ..
16.10.2007 22:38 <DIR> Adobe
12.12.2007 11:13 <DIR> AskSBar
23.10.2007 13:54 <DIR> BMWi
16.04.2007 17:55 <DIR> ComPlus Applications
26.10.2007 01:25 <DIR> Degener
04.01.2008 14:22 <DIR> Enigma Software Group
14.03.2007 19:24 <DIR> FRITZ!DSL
05.01.2008 15:44 <DIR> Gemeinsame Dateien
05.01.2008 14:11 <DIR> hijackthis
11.04.2007 08:54 <DIR> ICQLite
02.01.2008 22:30 <DIR> ICQToolbar
12.12.2007 11:05 <DIR> Incomplete
15.04.2007 16:51 <DIR> Internet Explorer
12.12.2007 11:08 <DIR> Java
21.03.2007 13:45 <DIR> Lavasoft
16.04.2007 15:53 <DIR> Messenger
14.03.2007 18:01 <DIR> microsoft frontpage
02.10.2007 16:41 <DIR> Microsoft Office
01.04.2007 12:46 <DIR> Microsoft Visual Studio
01.04.2007 12:49 <DIR> Microsoft Works
14.03.2007 17:52 <DIR> Movie Maker
06.01.2008 11:59 <DIR> Mozilla Firefox
14.03.2007 17:48 <DIR> MSN Gaming Zone
14.03.2007 17:52 <DIR> NetMeeting
11.04.2007 08:19 <DIR> Online Services
14.03.2007 17:54 <DIR> Online-Dienste
16.10.2007 23:39 <DIR> OpenOffice.org 2.3
02.10.2007 11:11 <DIR> OpenOffice.org 2.3 Installation Files
11.04.2007 10:21 <DIR> Outlook Express
16.04.2007 14:24 <DIR> Windows Media Player
14.03.2007 17:48 <DIR> Windows NT
14.03.2007 18:01 <DIR> xerox
0 Datei(en) 0 Bytes
34 Verzeichnis(se), 1.520.680.960 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B00A-2A4E

Verzeichnis von C:\Dokumente und Einstellungen\Kristin\Lokale Einstellungen\Anwendungsdaten

29.05.2001 21:23 <DIR> Adobe
12.12.2007 12:08 5.632 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
14.03.2007 23:14 <DIR> FRITZ!
05.01.2008 11:51 72.296 GDIPFONTCACHEV1.DAT
22.03.2007 11:44 <DIR> Google
15.03.2007 18:40 <DIR> Help
14.03.2007 21:20 <DIR> Identities
05.06.2007 18:49 <DIR> Microsoft
01.04.2007 12:21 <DIR> Microsoft Help
21.03.2007 13:38 <DIR> Mozilla
27.09.2007 18:47 <DIR> PCHealth
21.03.2007 17:44 <DIR> WMTools Downloaded Files
2 Datei(en) 77.928 Bytes
10 Verzeichnis(se), 1.520.680.960 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B00A-2A4E

Verzeichnis von C:\Dokumente und Einstellungen\Kristin\Anwendungsdaten

29.05.2001 22:20 <DIR> Adobe
26.10.2007 01:26 <DIR> Degener
26.10.2007 01:26 <DIR> Ebner
04.04.2007 11:34 <DIR> FRITZ!
05.01.2008 11:53 <DIR> FrostWire
21.03.2007 13:51 <DIR> Google
15.03.2007 18:40 <DIR> Help
03.09.2007 17:24 <DIR> ICQ Toolbar
14.03.2007 19:59 <DIR> ICQLite
14.03.2007 18:14 <DIR> Identities
14.04.2007 17:50 <DIR> Leadertech
05.01.2008 11:53 <DIR> LimeWire
14.03.2007 19:49 <DIR> Macromedia
21.03.2007 13:38 <DIR> Mozilla
06.01.2008 11:49 <DIR> OpenOffice.org2
29.05.2007 14:58 <DIR> Opera
22.03.2007 12:56 <DIR> Real
04.09.2007 20:42 <DIR> Shareaza
31.03.2007 12:08 <DIR> Sun
21.03.2007 13:20 <DIR> Symantec
25.03.2007 19:29 <DIR> vlc
0 Datei(en) 0 Bytes
21 Verzeichnis(se), 1.520.676.864 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B00A-2A4E

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

16.04.2007 15:34 305 addr_file.html
16.10.2007 21:16 <DIR> Adobe
01.01.2008 12:24 <DIR> Avira
27.10.2007 14:21 <DIR> Degener
22.05.2007 19:20 <DIR> FLEXnet
31.10.2007 14:23 <DIR> Microsoft Help
27.09.2007 18:39 <DIR> Office Genuine Advantage
22.03.2007 13:20 <DIR> Symantec
23.07.2007 15:04 <DIR> TEMP
11.04.2007 00:57 <DIR> Windows Live Toolbar
1 Datei(en) 305 Bytes
9 Verzeichnis(se), 1.520.676.864 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B00A-2A4E

Verzeichnis von C:\Programme\Gemeinsame Dateien

05.01.2008 15:44 <DIR> .
05.01.2008 15:44 <DIR> ..
16.10.2007 22:43 <DIR> Adobe
27.05.2007 12:37 <DIR> Adobe Systems Shared
15.03.2007 18:33 <DIR> Agfa
14.03.2007 19:23 <DIR> AVM
01.04.2007 12:46 <DIR> DESIGNER
14.03.2007 17:52 <DIR> Dienste
18.04.2007 13:52 <DIR> DriveCleaner 2006 Free
04.09.2007 14:57 <DIR> Java
11.04.2007 01:37 <DIR> Microsoft Shared
14.03.2007 17:52 <DIR> MSSoap
14.03.2007 17:37 <DIR> ODBC
22.03.2007 12:56 <DIR> Real
14.03.2007 17:36 <DIR> SpeechEngines
02.10.2007 16:41 <DIR> System
0 Datei(en) 0 Bytes
16 Verzeichnis(se), 1.520.676.864 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B00A-2A4E

Verzeichnis von C:\Windows\tasks





Ist das ok den der combofix hat jetzt auch nochmal ein fenster geöffnet?
Seitenanfang Seitenende
06.01.2008, 12:34
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#10 lade diese exe mit dem Leerzeichen hoch - lasse sie überprüfen + poste hier den Report
http://www.virustotal.com/de/

C:\WINDOWS\Fonts\svchost .exe

C:\WINDOWS\Fonts\Setup.exe

«
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
06.01.2008, 12:40
Member

Themenstarter

Beiträge: 13
#11 Zum 1:

Die Datei wurde bereits analysiert:
MD5: fdb0b67bf6b32d1d0371fe88640fa201
Datum 2007.11.11 13:08:02 (CET) [>55D]
Ergebnisse 9/32
Permalink: analisis/7624369d6fa5121d95f8f590ae054dec

AhnLab-V3 - - -
AntiVir - - TR/Agent.VB.AQC
Authentium - - -
Avast - - -
AVG - - Dropper.Generic.RGQ
BitDefender - - Trojan.Generic.64484
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
FileAdvisor - - -
Fortinet - - -
F-Prot - - -
F-Secure - - W32/Malware.BFAG
Ikarus - - BehavesLikeWin32.Malware
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32v2 - - probably a variant of Win32/TrojanDropper.VB.NAI
Norman - - W32/Malware.BFAG
Panda - - W32/P2PSimple.C.worm
Prevx1 - - -
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - Trojan.Agent.VB.AQC



Zum 2:

Die Datei wurde bereits analysiert:
MD5: 680c235bc43b887e28f678ddf03b9472
Datum 2007.11.17 02:32:25 (CET) [>50D]
Ergebnisse 17/32
Permalink: analisis/17ba0e0bcde796ef34f3c1b6ff926743

AhnLab-V3 - - -
AntiVir - - TR/Agent.VB.AQC
Authentium - - -
Avast - - -
AVG - - Dropper.Generic.RGQ
BitDefender - - Trojan.Generic.64484
CAT-QuickHeal - - TrojanDownloader.VB.bsa
ClamAV - - -
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - Downloader.VB.bsa
FileAdvisor - - -
Fortinet - - -
F-Prot - - W32/Downldr2.AIPP
F-Secure - - Trojan-Downloader.Win32.VB.bsa
Ikarus - - BehavesLikeWin32.Malware
Kaspersky - - Trojan-Downloader.Win32.VB.bsa
McAfee - - -
Microsoft - - TrojanDownloader:Win32/VB.BK
NOD32v2 - - probably a variant of Win32/TrojanDropper.VB.NAI
Norman - - W32/Malware.BFAG
Panda - - W32/P2PSimple.C.worm
Prevx1 - - -
Rising - - -
Sophos - - -
Sunbelt - - Trojan.Agent.VB.AQC
Symantec - - -
TheHacker - - Trojan/Downloader.VB.bsa
VBA32 - - Trojan-Downloader.Win32.VB.bsa
VirusBuster - - -
Webwasher-Gateway - - Trojan.Agent.VB.AQC
Seitenanfang Seitenende
06.01.2008, 12:52
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#12 sternchen25

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. (Ändern der vorherigen txt erlauben, weil du den gleichen Dateinamen benutzt)

Zitat

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Aten"=-
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E1412445-4FF8-410e-8D24-F2CF86B171A4}]

File::
C:\WINDOWS\Fonts\svchost .exe
C:\WINDOWS\Fonts\Setup.exe

Folder::
C:\Programme\Gemeinsame Dateien\DriveCleaner 2006 Free
ziehe die txt wieder auf das Combofixsymbol + wende die Combofix noch mal an + poste das neue log
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
06.01.2008, 12:54
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#13 dann lade sdfix
http://www.virus-protect.org/artikel/tools/sdfix.html

reinschreiben: 1 oder 2 oder 3

1 : es wird a-squared geladen
2 : wird Norman geladen
3 : wird Sophos geladen

im Normalmodus: wähle : 2 - Norman wird geladen - scanne + poste den Report
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
06.01.2008, 15:20
Member

Themenstarter

Beiträge: 13
#14 Norman Malware Cleaner
Copyright © 1990 - 2007, Norman ASA. Built 2007/12/21 09:58:18

Norman Scanner Engine Version: 5.91.08
Nvcbin.def Version: 5.90.00, Date: 2007/12/21 09:58:18, Variants: 1101322

Running pre-scan cleanup routine:
Operating System: Microsoft Windows XP Professional 5.1.2600 Service Pack 2
Logged on user: KRISTIN-2FAD09F\Kristin

Set registry value: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLS = " " -> ""

Scan started: 06/01/2008 13:26:56


Scanning running processes and process memory...

Number of processes/threads found: 1403
Number of processes/threads scanned: 1403
Number of processes/threads not scanned: 0
Number of infected processes/threads terminated: 0
Total scanning time: 6m 12s


Scanning file system...

Scanning: C:\*.*

C:\Programme\ComPlus Applications\hoke.dll (Infected with W32/TTC.C)
Deleted file

C:\Programme\Gemeinsame Dateien\DriveCleaner 2006 Free\bak\sdrmon.exe (Infected with W32/WinFixer.LZ)
Deleted file

C:\Programme\Online Services\hoke.dll (Infected with W32/TTC.C)
Deleted file

C:\QooBox\Quarantine\C\Dokumente und Einstellungen\Kristin\Anwendungsdaten\CROSOF~1.NET\RNDLLE~1.VIR (Infected with W32/PurityScan.BJA)
Deleted file

C:\QooBox\Quarantine\C\Programme\FNTS~1\winspool .exe.vir (Infected with W32/PurityScan.BJB)
Deleted file

C:\QooBox\Quarantine\C\Programme\FNTS~1\winspool.exe.vir (Infected with W32/PurityScan.BJB)
Deleted file

C:\QooBox\Quarantine\C\Programme\Gemeinsame Dateien\Uninstall Information\RemoveWebDP.exe.vir (Infected with W32/DelphinMedia.E)
Deleted file

C:\QooBox\Quarantine\C\Programme\Outerinfo\FF\components\FF.dll.vir (Infected with W32/ZenoSearch.CZ)
Deleted file

C:\QooBox\Quarantine\C\WINDOWS\b128.exe.vir (Infected with Agent.DBCG)
Deleted file

C:\QooBox\Quarantine\C\WINDOWS\b151.exe.vir (Infected with W32/Agent.DQXZ)
Deleted file

C:\QooBox\Quarantine\C\WINDOWS\NDNuninstall6_38.exe.vir (Infected with W32/NewDotNet.A)
Deleted file

C:\QooBox\Quarantine\C\WINDOWS\NDNuninstall7_48.exe.vir (Infected with W32/NewDotNet.AQM)
Deleted file

C:\QooBox\Quarantine\C\WINDOWS\Fonts\a.zip.vir/Setup.exe (Infected with W32/Malware.BFAG)
Deleted file

C:\QooBox\Quarantine\C\WINDOWS\Fonts\a.zip.vir (Empty archive after cleaning)
Deleted file

C:\QooBox\Quarantine\C\WINDOWS\system32\bszip.dll.vir (Infected with W32/VBWorm.MYT)
Deleted file

C:\QooBox\Quarantine\C\WINDOWS\system32\xtmee.dll.vir (Infected with W32/PurityScan.dam)
Deleted file

C:\QooBox\Quarantine\C\WINDOWS\system32\bund1\ClientBundle1.exe.vir (Infected with NewDotNet.JK.dropper)
Deleted file

C:\QooBox\Quarantine\C\WINDOWS\system32\vidmon\bak\vidmon.exe.vir (Infected with W32/DelphinMediaViewer.M)
Deleted file

C:\System Volume Information\_RESTO~1\RP117\A0035379.exe (Infected with W32/PurityScan.BJB)
Deleted file

C:\System Volume Information\_RESTO~1\RP118\A0035392.exe (Infected with W32/PurityScan.BJB)
Deleted file

C:\System Volume Information\_RESTO~1\RP118\A0035441.exe (Infected with W32/NewDotNet.A)
Deleted file

C:\System Volume Information\_RESTO~1\RP118\A0035442.exe (Infected with W32/NewDotNet.AQM)
Deleted file

C:\System Volume Information\_RESTO~1\RP118\A0035447.exe (Infected with Agent.DBCG)
Deleted file

C:\System Volume Information\_RESTO~1\RP118\A0035449.exe (Infected with W32/Agent.DQXZ)
Deleted file

C:\System Volume Information\_RESTO~1\RP118\A0035450.dll (Infected with W32/PurityScan.dam)
Deleted file

C:\System Volume Information\_RESTO~1\RP118\A0035462.exe (Infected with W32/DelphinMedia.E)
Deleted file

C:\System Volume Information\_RESTO~1\RP118\A0035464.dll (Infected with W32/ZenoSearch.CZ)
Deleted file

C:\System Volume Information\_RESTO~1\RP118\A0035465.exe (Infected with NewDotNet.JK.dropper)
Deleted file

C:\System Volume Information\_RESTO~1\RP118\A0035466.exe (Infected with W32/DelphinMediaViewer.M)
Deleted file

C:\System Volume Information\_RESTO~1\RP118\A0035467.exe (Infected with W32/PurityScan.BJA)
Deleted file

C:\System Volume Information\_RESTO~1\RP118\A0035470.dll (Infected with W32/VBWorm.MYT)
Deleted file

C:\System Volume Information\_RESTO~1\RP120\A0036568.dll (Infected with W32/TTC.C)
Deleted file

C:\System Volume Information\_RESTO~1\RP120\A0036569.exe (Infected with W32/WinFixer.LZ)
Deleted file

C:\System Volume Information\_RESTO~1\RP120\A0036570.dll (Infected with W32/TTC.C)
Deleted file

C:\WINDOWS\Fonts\Setup.exe (Infected with W32/Malware.BFAG)
Deleted file

C:\WINDOWS\Fonts\svchost .exe (Infected with W32/Malware.BFAG)
Deleted file

C:\WINDOWS\Installer\MSI25.tmp (Error whilst scanning file: I/O Error)

C:\WINDOWS\Installer\MSI26.tmp (Error whilst scanning file: I/O Error)

C:\WINDOWS\Installer\MSI27.tmp (Error whilst scanning file: I/O Error)

C:\WINDOWS\system32\micro1\a1.exe (Infected with W32/NewDotNet.JK)
Deleted file

C:\WINDOWS\system32\micro1\a3.exe (Infected with W32/BHO.PO)
Deleted file

C:\WINDOWS\system32\micro1\a6.exe (Infected with Ucmore.G)
Deleted file

Scanning: c:\System Volume Information\*.*

c:\System Volume Information\_RESTO~1\RP120\A0036571.exe (Infected with W32/Malware.BFAG)
Deleted file

c:\System Volume Information\_RESTO~1\RP120\A0036572.exe (Infected with W32/Malware.BFAG)
Deleted file

c:\System Volume Information\_RESTO~1\RP120\A0036573.exe (Infected with W32/NewDotNet.JK)
Deleted file

c:\System Volume Information\_RESTO~1\RP120\A0036574.exe (Infected with W32/BHO.PO)
Deleted file

c:\System Volume Information\_RESTO~1\RP120\A0036575.exe (Infected with Ucmore.G)
Deleted file


Running post-scan cleanup routine:

Number of files found: 115174
Number of archives unpacked: 764
Number of files scanned: 115145
Number of files not scanned: 29
Number of files skipped due to exclude list: 0
Number of infected files found: 44
Number of infected files repaired/deleted: 44
Number of infections removed: 44
Total scanning time: 1h 34m 59s
Seitenanfang Seitenende
06.01.2008, 15:24
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#15 sternchen25

du hast das Combofix-Script (siehe oben) angewendet ??? Ja/Nein ?
Falls nein - wende es an.

poste ein neues log von Combofix
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende