Home » Spyware & Browser Hijacker Support Forum » Zlob und Trojan.Vundo - bin ich noch zu retten? » Themenansicht

Zlob und Trojan.Vundo - bin ich noch zu retten?
#0
22.01.2008, 12:40
sequenzG
...neu hier

Beiträge: 3
#1 sehr geehrte damen und herren,

ich weiss zwar nicht wie, aber ich habe es geschafft trotz kaspersky 7 meinen rechner ziemlich in die knie zu bringen. da ich ihn unbedingt beruflich brauche, ein letzter hilferuf um ihn vielleicht doch noch zu retten.-
- kaspersky internet sec. 7 startet nicht mit der meldung es handelt sich nicht um eine gültige win32 anwendung. nach neuinstallation das gleiche.
-falls ich im abgesicherten modus starten möchte, komme ich zwar zur startauswahl, danach bricht der versuch aber ab und der pc startet immer neu
-noadware 5 bringt eine trojan.vundo warnung, nach löschversuch immer wieder das gleiche problem, wahrscheinlich weil ich nicht im abgesichertem modus starten kann.
-adaware 2007 zeigt eine virus zlob meldung, gleiches problem.

vielleicht noch ein funken hoffnung?
die dateien
C:\WINDOWS\system32\gebyw.exe
C:\WINDOWS\system32\gebyw.dll
wollte ich mit dem avenger löschen, zuvor mit hijackthis gefixt.


mein log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:29:57, on 22.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\DCPFLICS\DCPFLICS.exe
C:\Programme\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Steganos Internet Anonym VPN\SVPNStarter.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.e xe
C:\WINDOWS\Explorer.EXE
C:\Programme\Tyan Computer Corp\Tyan System Monitor Server Agent\TSMDataEngine.exe
C:\WINDOWS\System32\ups.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray .exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\MMTaskbar\MultiMon.exe
C:\Programme\Windows Desktop Search\WindowsSearch.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\NoAdware5.0\NoAdware5.exe
G:\downloads\warez\hijack attack\HiJackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.derstandard.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: MultiMon Taskbar.lnk = C:\Programme\MMTaskbar\MultiMon.exe
O4 - Global Startup: Windows-Desktopsuche.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Sothink SWF Catcher - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Flash Decompiler SWF Capture tool - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - C:\Programme\Eltima Software\Flash Decompiler\iebt.dll (HKCU)
O9 - Extra 'Tools' menuitem: Flash Decompiler SWF Capture tool menu - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - C:\Programme\Eltima Software\Flash Decompiler\iebt.dll (HKCU)
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u3-windows-i586-jc.cab
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll acaptuser32.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: DCPFLICS - Unknown owner - C:\Programme\DCPFLICS\DCPFLICS.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Programme\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Steganos VPN Starter Service (SVPNStarter) - Unknown owner - C:\Programme\Steganos Internet Anonym VPN\SVPNStarter.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.e xe
O23 - Service: TSMDataEngine - Tyan Computer Corp - C:\Programme\Tyan Computer Corp\Tyan System Monitor Server Agent\TSMDataEngine.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 9589 bytes

bitte, falls mir jemand helfen kann, wäre ich seeeeeeeehr dankbar....
Seitenanfang Seitenende
22.01.2008, 13:34
Pinguin
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#2 sequenzG

««
wende CCleaner an
http://www.virus-protect.org/ccleaner.html

««
poste bitte das log von combofix
http://www.virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
22.01.2008, 19:39
sequenzG
...neu hier

Themenstarter

Beiträge: 3
#3 vielen herzlichen dank,
CCleaner done.
combofix gescannt, allerdings wird mein log in diesem dialogfeld nicht akzeptiert, da der text zu lang ist...

wird ein upload als txt-datei akzteptiert.

vielleicht besteht ja noch hoffnung....

Zitat

C:\posFB.tmp
C:\posFC.tmp
C:\posFD.tmp
C:\posFE.tmp
C:\posFF.tmp
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrobat_sl .exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrobat_sl.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray .exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp .exe
C:\WINDOWS\pchealth\helpctr\binaries\MSConfig .exe
C:\WINDOWS\system32\bfruytrw.dll
C:\WINDOWS\system32\dfxbqnms.dll
C:\WINDOWS\system32\drivers\hldrrr .exe
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\efccabc.dll
C:\WINDOWS\system32\efccyxy.dll
C:\WINDOWS\system32\gebyw.dll
C:\WINDOWS\system32\gebyw.exe
C:\WINDOWS\system32\ljjiifg.dll
C:\WINDOWS\system32\nzvekdiw.dll
C:\WINDOWS\system32\nzvekdiw.dllbox
C:\WINDOWS\system32\prsgrc.dll
C:\WINDOWS\system32\qcrcunkm.dll
C:\WINDOWS\system32\wrtyurfb.ini
C:\WINDOWS\system32\wybeg.ini
C:\WINDOWS\system32\wybeg.ini2
C:\WINDOWS\system32\xxyxxya.dll

Code

<pre>
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrobat_sl .exe ---> QooBox
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray .exe ---> QooBox
C:\WINDOWS\system32\drivers\hldrrr .exe ---> QooBox
</pre>
.
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_DOMAINSERVICE
-------\LEGACY_SROSA


((((((((((((((((((((((( Dateien erstellt von 2007-12-23 bis 2008-01-23 ))))))))))))))))))))))))))))))
.

2008-01-22 18:45 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\Nircmd.exe
2008-01-22 12:13 . 2008-01-22 12:13 <DIR> d-------- C:\Programme\CCleaner
2008-01-22 12:06 . 2008-01-22 12:06 <DIR> d-------- C:\Programme\Trend Micro
2008-01-22 11:52 . 2008-01-22 11:53 <DIR> d-------- C:\RVAXO
2008-01-22 11:51 . 2008-01-22 07:24 620,449 --a------ C:\WINDOWS\system32\RVAXO.bat
2008-01-22 11:51 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe
2008-01-22 11:22 . 2008-01-22 11:22 67 --a------ C:\Ntf21.tmp
2008-01-22 11:22 . 2008-01-22 11:22 67 --a------ C:\Ntf1C.tmp
2008-01-22 09:38 . 2008-01-22 09:38 67 --a------ C:\Ntf9.tmp
2008-01-22 00:57 . 2008-01-22 00:57 1,080 --a------ C:\rtbiweka .bat
2008-01-22 00:51 . 2008-01-22 00:57 339,456 --a------ C:\rtbiweka.bat
2008-01-21 16:34 . 2008-01-21 16:35 339,456 --a------ C:\cjopdlwq.bat
2008-01-21 16:32 . 2008-01-21 16:32 60,416 --a------ C:\WINDOWS\system32\drivers\hrykgqfv.sys
2008-01-21 16:20 . 2008-01-21 16:22 339,456 --a------ C:\ngrpoxsn.bat
2008-01-21 16:20 . 2008-01-21 16:20 60,416 --a------ C:\WINDOWS\system32\drivers\lrvukbfd.sys
2008-01-21 16:08 . 2008-01-22 18:30 <DIR> d-------- C:\removal action
2008-01-21 16:05 . 2008-01-21 16:05 82,258 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-01-21 16:05 . 2008-01-21 16:05 82,258 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-01-21 16:04 . 2008-01-21 16:04 <DIR> d-------- C:\kav
2008-01-21 16:04 . 2008-01-23 19:17 7,374,880 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-01-21 16:04 . 2008-01-23 19:15 91,604 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-01-21 16:04 . 2008-01-23 19:15 33,056 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-01-21 16:04 . 2008-01-23 19:15 6,236 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-01-21 15:27 . 2007-06-08 09:44 8,576 --a------ C:\WINDOWS\system32\drivers\iuxnctagycbm.sys
2008-01-21 15:25 . 2007-06-08 09:44 8,576 --a------ C:\WINDOWS\system32\drivers\RkPavProc.sys
2008-01-21 14:51 . 2008-01-21 14:51 67 --a------ C:\NtfF.tmp
2008-01-21 14:51 . 2008-01-21 14:51 67 --a------ C:\Ntf10.tmp
2008-01-21 14:46 . 2008-01-21 14:46 <DIR> d-------- C:\Programme\RegistrySmart
2008-01-21 14:34 . 2008-01-21 14:46 <DIR> d-------- C:\Programme\Kaspersky Lab
2008-01-21 14:19 . 2008-01-21 14:19 67 --a------ C:\Ntf2.tmp
2008-01-21 14:05 . 2008-01-21 14:05 <DIR> d-------- C:\Programme\Enigma Software Group
2008-01-21 14:05 . 2008-01-21 14:05 7,420,224 --a------ C:\Free-SpyHunter-Scanner-Install.exe
2008-01-21 13:01 . 2008-01-21 13:24 695,913 --a------ C:\Ntf3.tmp
2008-01-21 09:51 . 2008-01-21 10:05 15,360 --a------ C:\WINDOWS\system32\ctfmon .exe
2008-01-18 21:24 . 2008-01-18 21:24 <DIR> d-------- C:\Programme\Crazybump Beta Test
2008-01-18 21:24 . 2007-10-12 15:14 3,734,536 --a------ C:\WINDOWS\system32\d3dx9_36.dll
2008-01-18 21:24 . 2007-10-12 15:14 1,374,232 --a------ C:\WINDOWS\system32\D3DCompiler_36.dll
2008-01-18 21:24 . 2007-10-02 09:56 444,776 --a------ C:\WINDOWS\system32\d3dx10_36.dll
2008-01-18 21:24 . 2007-10-22 03:39 267,272 --a------ C:\WINDOWS\system32\xactengine2_10.dll
2008-01-17 13:50 . 2008-01-17 13:50 <DIR> d-------- C:\sequenzzone10
2008-01-16 00:44 . 2008-01-16 00:44 <DIR> d-------- C:\Programme\Gemeinsame Dateien\DAZ
2008-01-14 20:46 . 2008-01-14 20:47 <DIR> d-------- C:\Programme\Vertus Fluid Mask 3
2008-01-14 19:24 . 2007-05-07 08:41 1,128,128 --a------ C:\WINDOWS\system32\NMSDVDXU.dll
2008-01-14 19:24 . 2008-01-14 19:24 21 --a------ C:\WINDOWS\system32\lsfsp
2008-01-12 01:37 . 2008-01-12 01:37 <DIR> d-------- C:\Programme\MIRC Font Set
2008-01-11 20:23 . 2008-01-11 20:23 <DIR> d-------- C:\WINDOWS\system32\Help
2008-01-11 20:23 . 2008-01-11 20:23 <DIR> d-------- C:\Programme\Microsoft.NET
2008-01-11 20:23 . 2006-08-21 21:21 2,585,872 --a------ C:\WINDOWS\system32\WindowsInstaller-KB893803-v2-x86.exe
2008-01-11 20:23 . 2008-01-11 20:23 1,966,080 --a------ C:\WINDOWS\system32\cdintf251.dll
2008-01-11 20:23 . 2001-05-16 01:00 137,000 --a------ C:\WINDOWS\system32\Msmapi32.ocx
2008-01-11 20:23 . 1997-06-25 15:24 40,448 --a------ C:\WINDOWS\system32\regobj.dll
2008-01-11 20:22 . 2008-01-11 20:32 <DIR> d-------- C:\Programme\OfficeReady 4.0
2008-01-11 20:22 . 2006-04-17 20:13 294,912 --a------ C:\WINDOWS\system32\KB908002\extensibilityMSM.msi
2008-01-11 20:22 . 2006-04-17 20:13 260,344 --a------ C:\WINDOWS\system32\KB908002\office2003-kb907417sfxcab-ENU.exe
2008-01-11 20:22 . 2006-04-17 20:13 53,760 --a------ C:\WINDOWS\system32\KB908002\lockbackRegKey.msi
2008-01-05 00:41 . 2008-01-05 00:41 <DIR> d-------- C:\Programme\Filter Forge
2008-01-05 00:41 . 2006-11-10 19:41 1,030,144 --a------ C:\WINDOWS\system32\dbghelp-xfw.dll
2008-01-04 22:06 . 2008-01-08 19:03 <DIR> d-------- C:\Programme\Office-Bibliothek
2008-01-04 22:06 . 2008-01-04 22:06 <DIR> d-------- C:\Programme\Duden
2008-01-04 21:54 . 2008-01-04 21:54 <DIR> d-------- C:\Programme\Smart Projects
2008-01-03 21:05 . 2008-01-03 21:05 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ahead
2008-01-03 21:05 . 2008-01-03 21:05 <DIR> d-------- C:\Programme\Ahead
2008-01-03 20:16 . 2008-01-03 21:06 <DIR> d-------- C:\Programme\Nero
2008-01-03 20:16 . 2008-01-03 20:17 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nero
2008-01-03 16:49 . 2008-01-03 19:30 <DIR> d-------- C:\Programme\Steganos Internet Anonym VPN
2008-01-02 13:08 . 2007-06-08 09:44 8,576 --a------ C:\WINDOWS\system32\drivers\wbxffyufwppp.sys
2008-01-02 12:21 . 2007-06-05 10:56 44,928 --a------ C:\WINDOWS\system32\drivers\SDTHOOK.SYS
2008-01-02 12:19 . 2007-06-08 09:44 8,576 --a------ C:\WINDOWS\system32\drivers\pbddiinvwhxq.sys
2008-01-02 12:02 . 2008-01-21 15:50 <DIR> d-------- C:\WINDOWS\system32\ActiveScan
2008-01-02 12:02 . 2008-01-21 15:49 30,590 --a------ C:\WINDOWS\system32\pavas.ico
2008-01-02 12:02 . 2008-01-21 15:49 2,550 --a------ C:\WINDOWS\system32\Uninstall.ico
2008-01-02 12:02 . 2008-01-21 15:49 1,406 --a------ C:\WINDOWS\system32\Help.ico
2007-12-31 16:59 . 2007-12-31 16:59 <DIR> d-------- C:\Programme\Real
2007-12-31 16:59 . 2007-12-31 16:59 <DIR> d-------- C:\Programme\Gemeinsame Dateien\xing shared
2007-12-31 16:59 . 2007-12-31 16:59 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Real
2007-12-31 15:03 . 2007-12-17 13:53 159,458 --a------ C:\WINDOWS\system32\nvapps.nvb
2007-12-31 14:57 . 2007-12-31 14:57 <DIR> d-------- C:\Programme\NVIDIA Corporation
2007-12-31 14:57 . 2007-12-31 14:57 <DIR> d-------- C:\Programme\Gemeinsame Dateien\NVIDIA Shared
2007-12-31 14:57 . 2006-01-23 11:51 466,944 --a------ C:\WINDOWS\system32\CapabilityTable.exe
2007-12-31 14:52 . 2007-12-05 02:53 356,352 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2007-12-31 14:52 . 2006-01-23 12:48 176,128 --a------ C:\WINDOWS\system32\nvusmb.exe
2007-12-31 14:52 . 2005-12-08 12:06 1,864 --a------ C:\WINDOWS\system32\nvsmb.nvu
2007-12-31 14:50 . 2007-12-05 01:41 356,352 --a------ C:\WINDOWS\system32\nvudisp.exe
2007-12-31 14:50 . 2007-12-31 15:09 163,350 --a------ C:\WINDOWS\system32\nvapps.xml
2007-12-31 14:50 . 2007-12-05 01:41 17,737 --a------ C:\WINDOWS\system32\nvdisp.nvu
2007-12-31 14:43 . 2007-09-17 08:07 356,352 --a------ C:\WINDOWS\system32\nvuaudio.exe
2007-12-31 14:43 . 2005-06-03 17:01 4,624 --a------ C:\WINDOWS\system32\nvaudio.nvu
2007-12-31 14:42 . 2007-09-17 08:07 356,352 --a------ C:\WINDOWS\system32\nvunrm.exe
2007-12-31 14:42 . 2006-04-14 20:08 101,888 --a------ C:\WINDOWS\system32\drivers\nvtcp.sys
2007-12-31 14:42 . 2006-02-20 13:00 3,903 --a------ C:\WINDOWS\system32\nvnrm.nvu
2007-12-30 19:57 . 2007-12-30 19:57 <DIR> d-------- C:\WINDOWS\system32\backuped
2007-12-30 19:57 . 2008-01-21 13:52 <DIR> d-------- C:\Programme\True Sword 4
2007-12-30 15:34 . 2008-01-12 01:33 <DIR> d-------- C:\Programme\T-Splines for Rhino
2007-12-28 13:54 . 2007-12-28 14:31 <DIR> d-------- C:\Programme\WinSnap
2007-12-24 10:41 . 2007-12-24 10:41 <DIR> d-------- C:\WINDOWS\system32\FLIQLO dir
2007-12-24 10:41 . 2007-12-24 10:41 532,480 --a------ C:\WINDOWS\system32\FLIQLO.scr
2007-12-23 17:11 . 2007-12-23 17:12 <DIR> d-------- C:\Programme\Texture Maker

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-22 06:07 501,760 ----a-w C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe.tmp
2008-01-21 14:57 --------- d-----r C:\Programme\TuneUp Utilities 2008
2008-01-21 14:04 --------- d-----r C:\Programme\TuneUp Utilities 2007
2008-01-20 23:18 --------- d-----w C:\Programme\RFA Platinum
2008-01-20 23:18 --------- d-----w C:\Programme\QuickTime
2008-01-20 23:18 --------- d-----w C:\Programme\DAEMON Tools Pro
2008-01-16 14:13 --------- d-----w C:\Programme\Right Click Image Converter
2008-01-14 09:05 --------- d-----w C:\Programme\NoAdware5.0
2008-01-11 19:22 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-01-09 17:29 --------- d-----w C:\Programme\Photomatix
2008-01-07 10:37 --------- d-----r C:\Programme\AutoCAD Architecture 2008
2008-01-03 18:33 --------- d-----w C:\Programme\PeerGuardian2
2008-01-02 11:16 --------- d-----w C:\Programme\Bonjour
2008-01-02 11:15 --------- d-----w C:\Programme\Windows Desktop Search
2008-01-02 11:15 --------- d-----w C:\Programme\MMTaskbar
2008-01-02 11:15 --------- d-----w C:\Programme\Gemeinsame Dateien\Autodesk Shared
2008-01-02 11:15 --------- d-----w C:\Programme\DCPFLICS
2008-01-02 11:14 --------- d-----w C:\Programme\AC3Filter
2007-12-29 15:00 --------- d-----r C:\Programme\Azureus
2007-12-28 12:49 --------- d-----w C:\Programme\Wondershare
2007-12-20 16:16 --------- d-----w C:\Programme\Lavasoft
2007-12-20 16:15 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-12-19 17:38 --------- d-----w C:\Programme\PhotoModelerPro5
2007-12-19 14:09 441,760 ----a-w C:\WINDOWS\system32\drivers\timntr.sys
2007-12-19 14:09 44,384 ----a-w C:\WINDOWS\system32\drivers\tifsfilt.sys
2007-12-19 14:09 368,736 ----a-w C:\WINDOWS\system32\drivers\tdrpman.sys
2007-12-19 14:09 129,248 ----a-w C:\WINDOWS\system32\drivers\snapman.sys
2007-12-19 14:09 --------- d-----w C:\Programme\Gemeinsame Dateien\Acronis
2007-12-15 22:12 --------- d-----w C:\Programme\Gemeinsame Dateien\onOne Software Shared
2007-12-13 22:50 1,262,211 ----a-w C:\WINDOWS\tmp.exe
2007-12-13 20:06 --------- d-----w C:\Programme\RegSupreme Pro
2007-12-13 18:09 972,072 ----a-w C:\WINDOWS\UNNeroMediaHome.exe
2007-12-13 00:08 --------- d-----w C:\Programme\Acronis
2007-12-11 22:07 --------- d-----w C:\Programme\MaxwellDotNET
2007-12-11 21:38 --------- d-----w C:\Programme\DivX
2007-12-07 14:42 1,286,786 ----a-w C:\WINDOWS\kis_updater.exe
2007-12-07 12:19 --------- d-----w C:\Programme\polytrans
2007-12-05 00:41 7,435,392 ----a-w C:\WINDOWS\system32\drivers\nv4_mini.sys
2007-12-04 14:40 685,816 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2007-12-04 08:59 972,072 ----a-w C:\WINDOWS\UNRecode.exe
2007-12-03 08:27 --------- d-----w C:\Programme\PhotoZoom Pro 2
2007-11-30 17:48 --------- d-----w C:\Programme\Electronic Arts
2007-11-23 13:48 --------- d-----w C:\Programme\Mp3Codec
2007-11-23 13:48 --------- d-----w C:\Programme\AlgoLabR2VToolkit
2007-10-14 12:49 54 ----a-w C:\Programme\desktop.ini
2007-04-03 23:41 51,262 ----a-w C:\Programme\desktop_83195955.ico
2006-03-14 10:47 30,738 ----a-w C:\WINDOWS\Media\Windows Vista Unofficial Sound Scheme.reg
.

Code

<pre>
----a-w         4,347,120 2008-01-21 13:22:09  C:\Programme\RegistrySmart\RegistrySmart .exe
----a-w            15,360 2008-01-21 09:05:51  C:\WINDOWS\system32\ctfmon .exe
</pre>
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
"Acrobat Assistant 8.0"="C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll [2006-10-19 13:53 293888]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WBSrv]
C:\Programme\Stardock\Object Desktop\WindowBlinds\wbsrv.dll 2007-09-23 10:10 229376 C:\Programme\Stardock\Object Desktop\WindowBlinds\WbSrv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll acaptuser32.dll

[color=red]SafeBoot Registrierungsschlüssel muss repariert werden. Dieser PC kann nicht im abgesicherten Modus starten.[/color]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"

R0 tdrpman;Acronis Try&Decide and Restore Points filter;C:\WINDOWS\system32\DRIVERS\tdrpman.sys [2007-12-19 15:09]
R2 IPMI_Driver;IPMI_Driver;C:\WINDOWS\system32\Drivers\ipmidrv.sys [2002-10-09 17:27]
R2 LBeepKE;LBeepKE;C:\WINDOWS\system32\Drivers\LBeepKE.sys [2006-06-29 23:53]
R2 SVPNStarter;Steganos VPN Starter Service;"C:\Programme\Steganos Internet Anonym VPN\SVPNStarter.exe" [2007-02-16 14:35]
R2 TryAndDecideService;Acronis Try And Decide Service;"C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe" [2007-09-14 05:42]
R2 TSMDataEngine;TSMDataEngine;C:\Programme\Tyan Computer Corp\Tyan System Monitor Server Agent\TSMDataEngine.exe [2005-05-02 09:08]
R2 tyansmb;tyansmb;C:\WINDOWS\system32\Drivers\tyansmb.sys [2005-04-21 12:49]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 00:58]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-04-04 14:58]
R3 tap0801;TAP-Win32 Adapter V8;C:\WINDOWS\system32\DRIVERS\tap0801.sys [2007-02-15 18:48]
S3 Ch2kPS2;Cherry PS/2 Tastatur Treiber (CDI);C:\WINDOWS\system32\DRIVERS\Ch2kPS2.sys [2004-10-26 11:54]
S3 Ch2kUSB;Cherry USB Treiber für CDI;C:\WINDOWS\system32\drivers\Ch2kUSB.sys [2004-10-26 12:03]
S3 FVNETusbXP;Belkin 11Mbps Wireless USB Network Adapter(R);C:\WINDOWS\system32\DRIVERS\bkusbxp.sys [2003-05-07 14:16]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-01-21 15:57]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{1A6F6CF5-99FA-A58C-0201-020508020407}]
C:\WINDOWS\system32\navNT.exe
.
Inhalt des "geplante Tasks" Ordners
"2008-01-18 16:26:04 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClick.exe
"2008-01-16 14:38:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-01-21 13:22:12 C:\WINDOWS\Tasks\RegistrySmart Scheduled Scan.job"
- C:\Programme\RegistrySmart\RegistrySmart .ex
- C:\Programme\RegistrySmart
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-23 19:17:28
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs = C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll acaptuser32.dll?

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.3156]
-> C:\Programme\MMTaskbar\shellhook.dll
.
Zeit der Fertigstellung: 2008-01-23 19:20:08 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-23 18:20:05
.
2008-01-10 01:12:05 --- E O F ---


Anhang: combpfixlog.txt
Seitenanfang Seitenende
22.01.2008, 20:54
Pinguin
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#4 sequenzG

lade die exe hoch (von hier aus einkopieren) ´poste den report
http://www.virustotal.com/de/

C:\WINDOWS\system32\navNT.exe

--------------------------------------------------------------

wende renv.exe an (poste hier den report)
http://www.virus-protect.org/artikel/tools/renvexe.html

lasse Combofix und renv noch mal laufen « poste die reporte

--------

Starte die im zip enthaltene safeboot.reg und füge sie der Registrierung hinzu. Dann sollte der Abgesicherte Modus wieder funktionieren. (nach Neustart)
http://www.virus-protect.org/zip/SafeBoot.zip

-------

wende sdfix im abgesicherten Modus an - poste hier den report
http://www.virus-protect.org/artikel/tools/sdfix.html

++++

scanne mit bitdefender - poste den report
http://board.protecus.de/t8642.htm
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
22.01.2008, 23:59
sequenzG
...neu hier

Themenstarter

Beiträge: 3
#5 lieber pinguin
nach erfolgtem combofix kam ich noch auf die idee einen alten regbackup des programmes rfa platinum wiederherzustellen.
plötzlich hat wieder alles funktioniert. konnte kasp 7 wieder problemlos scannen lassen und hat jede menge trojaner gelöscht.
auch adaware noadware melden keine infektionen....
danke für den regeintrag für die abgesichteret Startfunktion. nur die maus funktioniert nicht im abesichteren modus.

vielen herzlichen dank für deine bemühungen.
cheerz sequenzG
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1