Bin Von Generic9.apst, Trojan.vundo.dvo Befallen

#0
13.01.2008, 14:27
...neu hier

Beiträge: 5
#1 Hallo ihr Lieben habe mir vor 2 TAGEN diesen Trojana bzw Virus eingefangen :

Generic9.APST
Trojan.Vundo.DVO
TR/Drop.Agent.dgo.8 !!!!!
TR/Vundo.DUP
TR/Vundo.Gen
TR/Crypt.XPACK.Gen

Bin ziemlich ratlos. Wenn möglich würde ich gern Formatierung vermeiden.
Habe mit:

1.)ANTIVIR PE CLASSIS

2.) CCleaner

3.)HiJACKTHIS202

4.)VUNDOFIX

Keine ERGEBNISSE ERZIELT.
KRIEGE FOLGENDE DATEIN NICHT ZUM LÖSCHEN:

efcaxvt.dll
awtqp.dll

Habe in eurer SUChfunktion nichts dergleichen gefunden und hoffe nicht ein 2tes unnötiges Topic zu eröffnen.

Also danke im Vorraus.
LG LUXI
Seitenanfang Seitenende
13.01.2008, 14:43
Moderator

Beiträge: 7805
#2 Arbeite bitte folgendes ab: http://board.protecus.de/t23188.htm
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
13.01.2008, 15:23
...neu hier

Themenstarter

Beiträge: 5
#3 Entschuldigung Also




ComboFix 08-01-13.1 - Julias Computer 2008-01-13 14:55:12.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.706 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Julias Computer\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ICQ6\ICQ.exe
C:\WINDOWS\system32\awtqp.dll
C:\WINDOWS\system32\awtqp.exe
C:\WINDOWS\system32\ctfmon.exe.tmp
C:\WINDOWS\system32\efcaxvt.dll
C:\WINDOWS\system32\pqtwa.ini
C:\WINDOWS\system32\pqtwa.ini2

Code

<pre>
C:\Programme\AntiVir PersonalEdition Classic\avgnt .exe ---> avgnt.exe
C:\Programme\ICQ6\ICQ .exe ---> ICQ.exe
</pre>
.
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_DOMAINSERVICE
-------\DomainService
-------\nm


((((((((((((((((((((((( Dateien erstellt von 2007-12-13 bis 2008-01-13 ))))))))))))))))))))))))))))))
.

2008-01-13 14:54 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-13 13:34 . 2008-01-13 13:34 <DIR> d-------- C:\Programme\CCleaner
2008-01-13 13:08 . 2008-01-13 13:41 <DIR> d-------- C:\VundoFix Backups
2008-01-13 12:16 . 2008-01-13 12:56 <DIR> d-------- C:\Dokumente und Einstellungen\Julias Computer\Anwendungsdaten\Azureus
2008-01-13 12:14 . 2008-01-13 12:15 <DIR> d-------- C:\Programme\Azureus
2008-01-12 15:28 . 2008-01-12 10:11 <DIR> d-------- C:\Dokumente und Einstellungen\Julias Computer\Anwendungsdaten\ICQ
2008-01-12 15:10 . 2008-01-12 15:10 <DIR> d-------- C:\Programme\Security Task Manager pro
2008-01-12 15:10 . 2008-01-12 15:10 <DIR> d-------- C:\Programme\Security Task Manager
2008-01-12 15:10 . 2008-01-13 09:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2008-01-12 10:11 . 2008-01-12 10:11 <DIR> d-------- C:\Programme\ICQToolbar
2008-01-12 10:11 . 2008-01-12 10:11 <DIR> d-------- C:\Dokumente und Einstellungen\Julias Computer\Anwendungsdaten\ICQ
2008-01-12 10:10 . 2008-01-13 15:03 <DIR> d-------- C:\Programme\ICQ6
2008-01-12 10:09 . 2008-01-12 10:09 <DIR> d-------- C:\Dokumente und Einstellungen\Julias Computer\Anwendungsdaten\InstallShield
2008-01-12 01:19 . 2008-01-13 12:58 15,360 --a------ C:\WINDOWS\system32\ctfmon .exe
2008-01-11 13:12 . 2008-01-11 16:10 <DIR> d-------- C:\Programme\Rising Software
2008-01-08 17:00 . 2008-01-11 10:54 2,337 --a------ C:\WINDOWS\audite.INI
2008-01-08 16:58 . 2008-01-08 16:58 <DIR> d-------- C:\Programme\capella-software
2008-01-08 16:58 . 2008-01-08 16:58 <DIR> d-------- C:\Dokumente und Einstellungen\Julias Computer\WINDOWS
2008-01-03 17:31 . 2008-01-03 17:31 <DIR> d-------- C:\Programme\VoIPvoice Cyber Series Camera AP
2008-01-03 17:31 . 2008-01-03 17:31 <DIR> d-------- C:\Programme\Gemeinsame Dateien\snpstd3
2008-01-03 17:31 . 2006-02-06 20:19 8,410,880 --a------ C:\WINDOWS\system32\drivers\snpstd3.sys
2008-01-03 17:31 . 2006-01-10 17:02 147,456 --a------ C:\WINDOWS\system32\rsnpstd3.dll
2008-01-03 17:31 . 2005-12-23 17:17 53,248 --a------ C:\WINDOWS\vsnpstd3.dll
2008-01-03 17:31 . 2005-11-23 13:55 53,248 --a------ C:\WINDOWS\system32\csnpstd3.dll
2008-01-03 17:31 . 2004-12-08 18:40 20,480 --a------ C:\WINDOWS\usnpstd3.exe
2008-01-03 17:31 . 2004-02-27 17:36 15,498 --a------ C:\WINDOWS\snpstd3.ini
2008-01-03 17:31 . 2004-02-27 17:36 13,023 --a------ C:\WINDOWS\snpstd3.src
2007-12-20 10:42 . 2007-12-20 10:42 <DIR> d-------- C:\Dokumente und Einstellungen\Julias Computer\Anwendungsdaten\dvdcss

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-13 13:47 --------- d-----w C:\Dokumente und Einstellungen\Julias Computer\Anwendungsdaten\Skype
2008-01-13 11:12 --------- d-----w C:\Programme\DC++
2008-01-12 09:11 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-01-12 09:07 --------- d-----w C:\Programme\ICQLite
2008-01-12 09:07 --------- d-----w C:\Dokumente und Einstellungen\Julias Computer\Anwendungsdaten\ICQLite
2008-01-11 09:56 --------- d-----w C:\Programme\QuickTime
2008-01-11 09:56 --------- d-----w C:\Programme\iTunes
2008-01-10 23:39 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
2007-12-27 17:03 11,973 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-12-12 20:19 --------- d-----w C:\Dokumente und Einstellungen\Julias Computer\Anwendungsdaten\Leadertech
2007-12-12 20:18 --------- d-----w C:\Programme\GameSpy Arcade
.

Code

<pre>
----a-w            15,360 2008-01-13 11:58:42  C:\WINDOWS\system32\ctfmon .exe
</pre>
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-01-13 14:35 172280]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-13 14:35 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [ ]

R1 SSHDRV86;SSHDRV86;C:\WINDOWS\system32\drivers\SSHDRV86.sys [2007-03-12 09:49]
R3 TPM12;NSC Integrated Trusted Platform Module 1.2;C:\WINDOWS\system32\DRIVERS\nsctpm12.sys [2005-12-21 15:58]
R3 VoIPvoiceCyberSeriesCamera;VoIPvoice Cyber Series Camera (C7);C:\WINDOWS\system32\DRIVERS\snpstd3.sys [2006-02-06 20:19]

*Newly Created Service* - IP6FW
*Newly Created Service* - PCANDIS5
.
Inhalt des "geplante Tasks" Ordners
"2007-05-29 10:50:10 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-13 15:04:39
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-13 15:06:28 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-13 14:06:19




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:09:53, on 13.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\NETGEAR\WG111 Configuration Utility\WG111CFG.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Julias Computer\Desktop\HiJackThis202.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.deu.chello.at/ssi/welcome/welcome.php?url=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.deu.chello.at/ssi/welcome/welcome.php?url=home
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: ICQ6 (2).lnk = C:\Programme\ICQ6\ICQ.exe
O4 - Global Startup: Smart Wizard Wireless Settings.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O14 - IERESET.INF: START_PAGE_URL=http://home.deu.chello.at/ssi/welcome/welcome.php?url=home
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 4640 bytes






.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2C30-5EEE

Verzeichnis von C:\WINDOWS\system32

13.01.2008 15:08 80.846 perfc007.dat
13.01.2008 15:08 387.556 perfh007.dat
13.01.2008 15:08 358.600 perfh009.dat
13.01.2008 15:08 65.920 perfc009.dat
13.01.2008 15:08 1.870 PerfStringBackup.INI
13.01.2008 12:58 15.360 ctfmon .exe
11.01.2008 23:46 267.008 FNTCACHE.DAT
11.01.2008 00:39 43.520 CmdLineExt03.dll
05.01.2008 17:02 2.206 wpa.dbl
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2C30-5EEE

Verzeichnis von C:\DOKUME~1\JULIAS~1\LOKALE~1\Temp

13.01.2008 15:17 97.753 datfind.txt
1 Datei(en) 97.753 Bytes
0 Verzeichnis(se), 2.491.822.080 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2C30-5EEE

Verzeichnis von C:\WINDOWS

13.01.2008 15:17 205 wiadebug.log
13.01.2008 15:10 2.176 WindowsUpdate.log
13.01.2008 15:04 227 system.ini
13.01.2008 15:04 0 0.log
13.01.2008 15:04 50 wiaservc.log
13.01.2008 15:03 2.048 bootstat.dat
11.01.2008 10:54 2.337 audite.INI
03.01.2008 17:31 610 win.ini
02.12.2007 01:44 800 Rtcw.INI
18.11.2007 21:15 102.968 hpoins05.dat
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2C30-5EEE

Verzeichnis von C:\WINDOWS\temp

.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2C30-5EEE

Verzeichnis von C:\WINDOWS\Downloaded Program Files

03.02.2007 12:51 65 desktop.ini
1 Datei(en) 65 Bytes
0 Verzeichnis(se), 2.491.817.984 Bytes frei
.
.
.



Symptome wie obeen beschrieben:

1.) DATEIN nicht löschbar

2.) Anwendungen aus AUTOSTART GELÖSCHT

3.) PC STARTET MANCHMAL NICHT WINDOWS SONDER Bildschirm gibt
"STrom spar modus " an
Seitenanfang Seitenende
13.01.2008, 16:29
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#4 LUXI

lade
http://www.virus-protect.org/artikel/tools/renvexe.html

Ziehe die erzeugte Reportdatei (Log.txt) auf RenV.exe

dann lasse Combofix noch mal laufen + poste den Report
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
13.01.2008, 16:51
Moderator

Beiträge: 7805
#5 Mache danach bitte noch einen KOntrollscan mit KAV Rmovaltool:
http://downloads5.kaspersky-labs.com/devbuilds/AVPTool/ (neuste Version nutzen)

und Drweb Cureit:
http://freedrweb.com/?lng=de

Sollten diese beiden nichts finden, bzw alle Funde loeschen koennen (Drwebfunde erst hier melden, bevor du sie loeschst!) besuche www.windowsupdate.com und installiere alle wichtigen Updates. Wiederhole das so oft, bis dir keine wichtigen Updates mehr angeboten werden!
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
13.01.2008, 17:16
...neu hier

Themenstarter

Beiträge: 5
#6 Hier report von COMBOFIX nach RENVEXE.

KAV und DRWEB folgt nach SCAN-> DAUERT NOCH.

ComboFix 08-01-13.1 - Julias Computer 2008-01-13 17:00:30.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.682 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Julias Computer\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2007-12-13 bis 2008-01-13 ))))))))))))))))))))))))))))))
.

2008-01-13 16:59 . 2008-01-13 12:58 15,360 --a--c--- C:\WINDOWS\system32\dllcache\ctfmon.exe
2008-01-13 16:59 . 2008-01-13 12:58 15,360 --a------ C:\WINDOWS\system32\ctfmon.exe
2008-01-13 14:54 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-13 13:34 . 2008-01-13 13:34 <DIR> d-------- C:\Programme\CCleaner
2008-01-13 13:08 . 2008-01-13 13:41 <DIR> d-------- C:\VundoFix Backups
2008-01-13 12:16 . 2008-01-13 12:56 <DIR> d-------- C:\Dokumente und Einstellungen\Julias Computer\Anwendungsdaten\Azureus
2008-01-13 12:14 . 2008-01-13 12:15 <DIR> d-------- C:\Programme\Azureus
2008-01-12 15:28 . 2008-01-12 10:11 <DIR> d-------- C:\Dokumente und Einstellungen\Julias Computer\Anwendungsdaten\ICQ
2008-01-12 15:10 . 2008-01-12 15:10 <DIR> d-------- C:\Programme\Security Task Manager pro
2008-01-12 15:10 . 2008-01-12 15:10 <DIR> d-------- C:\Programme\Security Task Manager
2008-01-12 15:10 . 2008-01-13 09:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2008-01-12 10:11 . 2008-01-12 10:11 <DIR> d-------- C:\Programme\ICQToolbar
2008-01-12 10:11 . 2008-01-12 10:11 <DIR> d-------- C:\Dokumente und Einstellungen\Julias Computer\Anwendungsdaten\ICQ
2008-01-12 10:10 . 2008-01-13 15:03 <DIR> d-------- C:\Programme\ICQ6
2008-01-12 10:09 . 2008-01-12 10:09 <DIR> d-------- C:\Dokumente und Einstellungen\Julias Computer\Anwendungsdaten\InstallShield
2008-01-11 13:12 . 2008-01-11 16:10 <DIR> d-------- C:\Programme\Rising Software
2008-01-08 17:00 . 2008-01-11 10:54 2,337 --a------ C:\WINDOWS\audite.INI
2008-01-08 16:58 . 2008-01-08 16:58 <DIR> d-------- C:\Programme\capella-software
2008-01-08 16:58 . 2008-01-08 16:58 <DIR> d-------- C:\Dokumente und Einstellungen\Julias Computer\WINDOWS
2008-01-03 17:31 . 2008-01-03 17:31 <DIR> d-------- C:\Programme\VoIPvoice Cyber Series Camera AP
2008-01-03 17:31 . 2008-01-03 17:31 <DIR> d-------- C:\Programme\Gemeinsame Dateien\snpstd3
2008-01-03 17:31 . 2006-02-06 20:19 8,410,880 --a------ C:\WINDOWS\system32\drivers\snpstd3.sys
2008-01-03 17:31 . 2006-01-10 17:02 147,456 --a------ C:\WINDOWS\system32\rsnpstd3.dll
2008-01-03 17:31 . 2005-12-23 17:17 53,248 --a------ C:\WINDOWS\vsnpstd3.dll
2008-01-03 17:31 . 2005-11-23 13:55 53,248 --a------ C:\WINDOWS\system32\csnpstd3.dll
2008-01-03 17:31 . 2004-12-08 18:40 20,480 --a------ C:\WINDOWS\usnpstd3.exe
2008-01-03 17:31 . 2004-02-27 17:36 15,498 --a------ C:\WINDOWS\snpstd3.ini
2008-01-03 17:31 . 2004-02-27 17:36 13,023 --a------ C:\WINDOWS\snpstd3.src
2007-12-20 10:42 . 2007-12-20 10:42 <DIR> d-------- C:\Dokumente und Einstellungen\Julias Computer\Anwendungsdaten\dvdcss

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-13 13:47 --------- d-----w C:\Dokumente und Einstellungen\Julias Computer\Anwendungsdaten\Skype
2008-01-13 11:12 --------- d-----w C:\Programme\DC++
2008-01-12 09:11 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-01-12 09:07 --------- d-----w C:\Programme\ICQLite
2008-01-12 09:07 --------- d-----w C:\Dokumente und Einstellungen\Julias Computer\Anwendungsdaten\ICQLite
2008-01-11 09:56 --------- d-----w C:\Programme\QuickTime
2008-01-11 09:56 --------- d-----w C:\Programme\iTunes
2008-01-10 23:39 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
2007-12-27 17:03 11,973 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-12-12 20:19 --------- d-----w C:\Dokumente und Einstellungen\Julias Computer\Anwendungsdaten\Leadertech
2007-12-12 20:18 --------- d-----w C:\Programme\GameSpy Arcade
.

((((((((((((((((((((((((((((( snapshot@2008-01-13_15.06.07.37 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-01-13 13:39:08 80,528 ----a-w C:\WINDOWS\system32\perfc007.dat
+ 2008-01-13 14:08:27 80,846 ----a-w C:\WINDOWS\system32\perfc007.dat
- 2008-01-13 13:39:08 65,668 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-01-13 14:08:27 65,920 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-01-13 13:39:08 386,878 ----a-w C:\WINDOWS\system32\perfh007.dat
+ 2008-01-13 14:08:27 387,556 ----a-w C:\WINDOWS\system32\perfh007.dat
- 2008-01-13 13:39:08 358,156 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-01-13 14:08:27 358,600 ----a-w C:\WINDOWS\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-01-13 14:35 172280]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-13 14:35 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-01-13 12:58 15360]

C:\Dokumente und Einstellungen\Julias Computer\Startmen\Programme\Autostart\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 20:24:54]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
ICQ6 (2).lnk - C:\Programme\ICQ6\ICQ.exe [2008-01-12 15:28:35]
Smart Wizard Wireless Settings.lnk - C:\Programme\NETGEAR\WG111 Configuration Utility\WG111CFG.exe [2007-02-03 13:10:41]

R1 SSHDRV86;SSHDRV86;C:\WINDOWS\system32\drivers\SSHDRV86.sys [2007-03-12 09:49]
R3 TPM12;NSC Integrated Trusted Platform Module 1.2;C:\WINDOWS\system32\DRIVERS\nsctpm12.sys [2005-12-21 15:58]
R3 VoIPvoiceCyberSeriesCamera;VoIPvoice Cyber Series Camera (C7);C:\WINDOWS\system32\DRIVERS\snpstd3.sys [2006-02-06 20:19]

*Newly Created Service* - IP6FW
*Newly Created Service* - PCANDIS5
.
Inhalt des "geplante Tasks" Ordners
"2007-05-29 10:50:10 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-13 17:01:23
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-13 17:01:51
ComboFix-quarantined-files.txt 2008-01-13 16:01:43
ComboFix2.txt 2008-01-13 14:06:28
Seitenanfang Seitenende
13.01.2008, 17:17
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#7 das sieht schon mal gut aus ;) mache also, was raman geschrieben hat - berichte, ob dr.web was gefunden/gelöscht hat
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
13.01.2008, 18:01
...neu hier

Themenstarter

Beiträge: 5
#8 WÄHREND DES LANGEN (noch bis 20:30 andauernden) KASPERSKY SCANs
hat sich der ANTIVIR wieder mit der datei awtqp.dll bemeldet,
und den scan kurz unterbrochen.
ICh hab sie dann versucht zu löschen und den scan fortgesetzt. SOLL CIH ANTIVIR abschalten während der SCANS ???
Seitenanfang Seitenende
13.01.2008, 18:15
Moderator

Beiträge: 7805
#9 Ja, du kannst Antivir beim KAV scan deaktivieren, dann scant KAV auch (etwas) schneller
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
13.01.2008, 22:31
...neu hier

Themenstarter

Beiträge: 5
#10 ICH habe 5 DATEIN mit KAV GLÖSCHT DIE
efcaxvt.dll war dabei.

Hätt ich euch die datein zuerst anschaun lassen sollen, dachte nämlich dass betrifft nur CUREIT(DER SCAN LÄUFT NOCH).


HABE nacher in DATEI/ORDNER suchen die efcaxvt.dll nicht mehr gefunden also glaub ich dass das ok war.

HABE alles mit cureit gelöscht .
38 files


rechner läuft und datein scheine weg zu sein.
könnt ihr trotzdem noch einen letzte check mit hausnummer combofix bitte anscheun?
Dieser Beitrag wurde am 14.01.2008 um 08:28 Uhr von LUXI editiert.
Seitenanfang Seitenende