ddcdb.exe und ddcdb.dll?

#16 Das Log:

Code

Ran on 2008-01-24 - 16:15:19.43

----a-w            40,048 2008-01-17 17:20:35  C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl .exe
----a-w           132,496 2008-01-17 17:20:32  C:\Programme\Java\jre1.6.0_03\bin\jusched .exe
----a-w         1,392,640 2008-01-17 17:20:31  C:\WINDOWS\system32\WLTRAY .exe

 Entries:                3  (3)
 Directories:            0  Files:             3
 Bytes:          1,565,184  Blocks:        3,058

#17 Ziehe die erzeugte Reportdatei (Log.txt) auf RenV.exe



dann lasse Combofix noch mal laufen + poste den report
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#18 Soll ich Combofix laufen lassen, während RenV noch auf ist? Bei RenV tut sich seit ein paar Minuten nichts mehr seit er gesagt hat, dass ein Befehl entweder falsch geschrieben sei oder nicht gefunden werden konnte.

#19 nun, für dieses problem hab ich auf die Schnelle keine Lösung...
klicke also renv weg , wende noch mal die Combofix an + poste das log
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#20 Die Combofix.exe war irgendwie verschwunden, deswegen hab ich sie mir nochmal runtergeladen, ich hoffe das macht keinen Unterschied. Naja hier jedenfalls das Log:

ComboFix 08-01-23.2 - Jessica Oelhaf 2008-01-24 19:10:56.3 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.247 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\Jessica Oelhaf\Desktop\ComboFix.exe [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . ---- Previous Run ------- . C:\Dokumente und Einstellungen\Jessica Oelhaf\Desktop\Dokumentation\ctfmon .exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx .exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched .exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\phonostar\ps_timer .exe C:\Programme\phonostar\ps_timer.exe C:\Programme\QuickTime\QTTask .exe C:\Programme\QuickTime\QTTask .exe C:\Programme\QuickTime\QTTask .exe C:\Programme\QuickTime\QTTask .exe C:\Programme\QuickTime\QTTask .exe C:\Programme\QuickTime\QTTask .exe C:\Programme\QuickTime\QTTask .exe C:\Programme\QuickTime\QTTask .exe C:\Programme\QuickTime\QTTask .exe C:\Programme\QuickTime\QTTask .exe C:\Programme\QuickTime\QTTask .exe C:\Programme\QuickTime\QTTask .exe C:\Programme\QuickTime\QTTask .exe C:\Programme\QuickTime\QTTask.exe C:\WINDOWS\system32\bdcdd.ini C:\WINDOWS\system32\bdcdd.ini2 C:\WINDOWS\system32\ddcdb.dll C:\WINDOWS\system32\ddcdb.exe

Code

C:\Dokumente und Einstellungen\Jessica Oelhaf\Desktop\Dokumentation\ctfmon .exe ---> QooBox
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx .exe ---> QooBox
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched .exe ---> QooBox
C:\Programme\phonostar\ps_timer .exe ---> QooBox

. . ((((((((((((((((((((((( Dateien erstellt von 2007-12-24 bis 2008-01-24 )))))))))))))))))))))))))))))) . 2008-01-24 19:10 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\Nircmd.exe 2008-01-23 22:57 . 2008-01-23 23:01 69 --a------ C:\WINDOWS\NeroDigital.ini 2008-01-23 13:14 . 2008-01-23 13:14 1,066,176 --a------ C:\WINDOWS\system32\MSCOMCTL.OCX 2008-01-23 01:16 . 2008-01-23 01:16 2,351,375 --------- C:\configs.tbz 2008-01-23 01:15 . 2008-01-23 01:15 660 --------- C:\knoppix.sh 2008-01-22 22:15 . 2008-01-22 22:16
d-------- C:\Programme\Nero 2008-01-22 22:15 . 2008-01-22 22:16
d-------- C:\Programme\Gemeinsame Dateien\Nero 2008-01-22 22:15 . 2006-03-17 11:45 1,757,184 --a------ C:\WINDOWS\system32\imagX7.dll 2008-01-22 22:15 . 2006-03-17 11:45 802,816 --a------ C:\WINDOWS\system32\imagXRA7.dll 2008-01-22 22:15 . 2006-03-17 11:45 497,296 --a------ C:\WINDOWS\system32\imagXpr7.dll 2008-01-22 22:15 . 2006-03-17 14:49 368,640 --a------ C:\WINDOWS\system32\TwnLib4.dll 2008-01-22 22:15 . 2006-03-17 11:45 258,048 --a------ C:\WINDOWS\system32\imagXR7.dll 2008-01-22 19:28 . 2008-01-22 19:28
d-------- C:\Programme\Lavasoft 2008-01-22 19:27 . 2008-01-22 19:27
d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-01-18 16:53 . 2008-01-18 16:53
d--h----- C:\WINDOWS\system32\GroupPolicy 2008-01-18 16:51 . 2006-11-01 12:48 20,480 --------- C:\WINDOWS\system32\WLTRYSVC.EXE 2008-01-14 23:28 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl 2008-01-14 23:23 . 2008-01-14 23:24
d-------- C:\Programme\Vim 2008-01-14 13:14 . 2008-01-14 22:28
d-------- C:\Python25 2008-01-14 13:10 . 2008-01-14 13:10
d--h----- C:\WINDOWS\PIF 2008-01-14 13:09 . 2008-01-14 13:09
d-------- C:\Programme\Smart Projects 2008-01-13 19:09 . 2008-01-13 21:52
d-------- C:\Programme\DOSBox-0.70 2008-01-13 17:56 . 2008-01-13 17:56 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-01-13 17:56 . 2008-01-13 17:56 1,409 --a------ C:\WINDOWS\QTFont.for 2008-01-13 17:34 . 2008-01-14 21:38
d-------- C:\Programme\Bluefish Games 2008-01-13 04:02 . 2008-01-13 21:48
d-------- C:\Programme\faery 2008-01-12 20:31 . 2008-01-12 20:31 0 --ah----- C:\WINDOWS\SwSys2.bmp 2008-01-12 20:31 . 2008-01-12 20:31 0 --ah----- C:\WINDOWS\SwSys1.bmp 2007-12-29 22:13 . 2007-12-29 22:13
d-------- C:\Programme\K-Lite Codec Pack 2007-12-29 21:16 . 2007-12-29 21:20
d-------- C:\WINDOWS\system32\quicktime 2007-12-26 23:47 . 2007-12-27 00:55
d-------- C:\LION 2007-12-26 21:10 . 2007-12-26 21:12
d-------- C:\Programme\ICQ6 2007-12-25 15:33 . 2007-12-25 15:33
d-------- C:\WINDOWS\Sun 2007-12-25 02:53 . 2007-12-25 02:53
d-------- C:\Programme\VideoLAN . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-23 15:07 --------- d-----w C:\Programme\QuickTime 2008-01-23 15:07 --------- d-----w C:\Programme\phonostar 2008-01-14 22:42 --------- d-----w C:\Programme\Free Download Manager 2008-01-14 22:40 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe 2008-01-14 22:28 --------- d-----w C:\Programme\Sun 2008-01-14 22:27 --------- d-----w C:\Programme\Java 2008-01-10 19:50 --------- d-----w C:\Programme\WinUAE 2007-12-29 21:11 --------- d-----w C:\Programme\DivX 2007-12-26 20:11 --------- d--h--w C:\Programme\InstallShield Installation Information 2007-12-21 18:05 --------- d-----w C:\Programme\Power MP3 WMA Converter 2007-12-20 22:32 --------- d-----w C:\Programme\Audacity 2007-12-20 22:20 --------- d-----w C:\Programme\Apple Software Update 2007-12-20 19:43 --------- d-----w C:\Programme\Azureus 2007-12-20 18:34 --------- d-----w C:\Programme\Gemeinsame Dateien\Java 2007-12-18 09:37 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield 2007-12-18 09:37 --------- d-----w C:\Programme\Dell 2007-12-17 21:41 --------- d-----w C:\Programme\Gemeinsame Dateien\xing shared 2007-12-17 21:41 --------- d-----w C:\Programme\Gemeinsame Dateien\Real 2007-12-17 21:40 --------- d-----w C:\Programme\Real 2007-12-17 20:46 --------- d-----w C:\Programme\ATI Technologies 2007-12-17 20:27 --------- d-----w C:\Programme\SigmaTel 2007-12-17 19:33 --------- d-----w C:\Programme\Winamp 2007-12-17 19:23 --------- d-----w C:\Programme\Last.fm 2007-12-17 19:14 --------- d-----w C:\Programme\Sophos 2007-12-17 19:13 --------- d-----w C:\Programme\Gemeinsame Dateien\Cisco Systems 2007-12-17 14:55 --------- d--h--w C:\Programme\Uninstall Information 2007-12-17 14:49 --------- d-----w C:\Programme\microsoft frontpage 2007-12-17 14:46 --------- d-----w C:\Programme\Online-Dienste 2007-12-17 14:45 --------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap 2007-12-17 14:45 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste 2007-12-17 14:33 --------- d-----w C:\Programme\Gemeinsame Dateien\SpeechEngines 2007-12-17 14:33 --------- d-----w C:\Programme\Gemeinsame Dateien\ODBC 2007-12-14 10:32 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe 2007-12-11 22:34 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll 2007-12-11 22:34 129,784 ------w C:\WINDOWS\system32\pxafs.dll 2007-12-11 22:34 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe 2007-12-11 22:34 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe 2007-12-11 22:34 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll 2007-12-11 22:33 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll 2007-12-11 22:33 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll 2007-12-11 22:33 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll 2007-12-11 22:33 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll 2007-12-11 22:33 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll 2007-12-11 22:33 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll 2007-12-11 22:33 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll 2007-12-11 22:32 156,992 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe 2007-12-07 17:28 7,680 ----a-w C:\WINDOWS\system32\ff_vfw.dll 2007-12-04 01:33 682,496 ----a-w C:\WINDOWS\system32\divx.dll 2007-11-29 22:30 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll 2007-11-29 22:28 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll . ((((((((((((((((((((((((((((( snapshot@2008-01-23_16.13.05.19 ))))))))))))))))))))))))))))))))))))))))) . - 2008-01-23 14:59:20 229,376 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT + 2008-01-24 14:37:15 229,376 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT - 2008-01-23 14:59:20 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat + 2008-01-24 14:37:15 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat - 2008-01-23 14:59:21 229,376 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT + 2008-01-24 14:37:15 229,376 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT - 2008-01-23 14:59:21 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat + 2008-01-24 14:37:16 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat - 2008-01-23 14:59:22 3,977,216 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT + 2008-01-24 14:37:16 4,046,848 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT - 2008-01-23 14:59:23 196,608 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat + 2008-01-24 14:37:16 196,608 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "PhonostarTimer"="C:\Programme\phonostar\ps_timer.exe" [ ] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Broadcom Wireless Manager UI"="C:\WINDOWS\system32\WLTRAY.exe" [ ] "ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [ ] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [ ] "QuickTime Task"="C:\Programme\QuickTime\QTTask .exe" [ ] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2008-01-17 18:20 132496] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-17 18:20 40048] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=c:\PROGRA~1\Sophos\SOPHOS~1\detoured.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SAVService] @="service" R1 SAVOnAccessControl;SAVOnAccessControl;C:\WINDOWS\system32\DRIVERS\savonaccesscontrol.sys [2007-09-10 12:09] R1 SAVOnAccessFilter;SAVOnAccessFilter;C:\WINDOWS\system32\DRIVERS\savonaccessfilter.sys [2007-09-10 12:08] . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-01-24 19:12:27 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** .

#21 Hallo,

nun versuche es noch mal mit der renv - log erstellen - hier posten , dann die Logdatei auf die exe ziehen (nur, wenn im log etwas angezeigt wird...) , renv wieder anklicken , dann das neue Log von Combofix.

dann scanne mit Dr.Web und poste den Report (eventuell als Anhang - siehe unten)
http://www.virus-protect.org/cureit.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#22 Das Log von renv sieht so aus:

Code

Ran on 2008-01-25 - 13:49:42.15

 Entries:                0  (0)
 Directories:            0  Files:             0
 Bytes:                  0  Blocks:            0

Soll ich jetzt bei Combofix weitermachen, oder direkt zu Dr. Web?

#23 nun, mit renv musst du nichts mehr machen, sondern nur noch mal die Combofix anwenden + Log posten

dann..Dr.Web
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#24 Also hier schon mal die Combofix:
(so und jetzt Dr.Web)

ComboFix 08-01-23.2 - Jessica Oelhaf 2008-01-26 15:54:27.4 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.255 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\Jessica Oelhaf\Desktop\ComboFix.exe [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . ---- Previous Run ------- . C:\Dokumente und Einstellungen\Jessica Oelhaf\Desktop\Dokumentation\ctfmon .exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx .exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched .exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\phonostar\ps_timer .exe C:\Programme\phonostar\ps_timer.exe C:\Programme\QuickTime\QTTask .exe C:\Programme\QuickTime\QTTask .exe C:\Programme\QuickTime\QTTask .exe C:\Programme\QuickTime\QTTask .exe C:\Programme\QuickTime\QTTask .exe C:\Programme\QuickTime\QTTask .exe C:\Programme\QuickTime\QTTask .exe C:\Programme\QuickTime\QTTask .exe C:\Programme\QuickTime\QTTask .exe C:\Programme\QuickTime\QTTask .exe C:\Programme\QuickTime\QTTask .exe C:\Programme\QuickTime\QTTask .exe C:\Programme\QuickTime\QTTask .exe C:\Programme\QuickTime\QTTask.exe C:\WINDOWS\system32\bdcdd.ini C:\WINDOWS\system32\bdcdd.ini2 C:\WINDOWS\system32\ddcdb.dll C:\WINDOWS\system32\ddcdb.exe

Code

C:\Dokumente und Einstellungen\Jessica Oelhaf\Desktop\Dokumentation\ctfmon .exe ---> QooBox
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx .exe ---> QooBox
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched .exe ---> QooBox
C:\Programme\phonostar\ps_timer .exe ---> QooBox

. . ((((((((((((((((((((((( Dateien erstellt von 2007-12-26 bis 2008-01-26 )))))))))))))))))))))))))))))) . 2008-01-24 19:10 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\Nircmd.exe 2008-01-23 22:57 . 2008-01-23 23:01 69 --a------ C:\WINDOWS\NeroDigital.ini 2008-01-23 13:14 . 2008-01-23 13:14 1,066,176 --a------ C:\WINDOWS\system32\MSCOMCTL.OCX 2008-01-23 01:16 . 2008-01-23 01:16 2,315,173 --------- C:\configs.tbz 2008-01-23 01:15 . 2008-01-23 01:15 660 --------- C:\knoppix.sh 2008-01-22 22:15 . 2008-01-22 22:16
d-------- C:\Programme\Nero 2008-01-22 22:15 . 2008-01-22 22:16
d-------- C:\Programme\Gemeinsame Dateien\Nero 2008-01-22 22:15 . 2006-03-17 11:45 1,757,184 --a------ C:\WINDOWS\system32\imagX7.dll 2008-01-22 22:15 . 2006-03-17 11:45 802,816 --a------ C:\WINDOWS\system32\imagXRA7.dll 2008-01-22 22:15 . 2006-03-17 11:45 497,296 --a------ C:\WINDOWS\system32\imagXpr7.dll 2008-01-22 22:15 . 2006-03-17 14:49 368,640 --a------ C:\WINDOWS\system32\TwnLib4.dll 2008-01-22 22:15 . 2006-03-17 11:45 258,048 --a------ C:\WINDOWS\system32\imagXR7.dll 2008-01-22 19:28 . 2008-01-22 19:28
d-------- C:\Programme\Lavasoft 2008-01-22 19:27 . 2008-01-22 19:27
d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-01-18 16:53 . 2008-01-18 16:53
d--h----- C:\WINDOWS\system32\GroupPolicy 2008-01-18 16:51 . 2006-11-01 12:48 20,480 --------- C:\WINDOWS\system32\WLTRYSVC.EXE 2008-01-14 23:28 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl 2008-01-14 23:23 . 2008-01-14 23:24
d-------- C:\Programme\Vim 2008-01-14 13:14 . 2008-01-14 22:28
d-------- C:\Python25 2008-01-14 13:10 . 2008-01-14 13:10
d--h----- C:\WINDOWS\PIF 2008-01-14 13:09 . 2008-01-14 13:09
d-------- C:\Programme\Smart Projects 2008-01-13 19:09 . 2008-01-13 21:52
d-------- C:\Programme\DOSBox-0.70 2008-01-13 17:56 . 2008-01-25 14:22 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-01-13 17:56 . 2008-01-13 17:56 1,409 --a------ C:\WINDOWS\QTFont.for 2008-01-13 17:34 . 2008-01-14 21:38
d-------- C:\Programme\Bluefish Games 2008-01-13 04:02 . 2008-01-13 21:48
d-------- C:\Programme\faery 2008-01-12 20:31 . 2008-01-12 20:31 0 --ah----- C:\WINDOWS\SwSys2.bmp 2008-01-12 20:31 . 2008-01-12 20:31 0 --ah----- C:\WINDOWS\SwSys1.bmp 2007-12-29 22:13 . 2007-12-29 22:13
d-------- C:\Programme\K-Lite Codec Pack 2007-12-29 21:16 . 2007-12-29 21:20
d-------- C:\WINDOWS\system32\quicktime 2007-12-26 23:47 . 2007-12-27 00:55
d-------- C:\LION 2007-12-26 21:10 . 2007-12-26 21:12
d-------- C:\Programme\ICQ6 . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-23 15:07 --------- d-----w C:\Programme\QuickTime 2008-01-23 15:07 --------- d-----w C:\Programme\phonostar 2008-01-14 22:42 --------- d-----w C:\Programme\Free Download Manager 2008-01-14 22:40 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe 2008-01-14 22:28 --------- d-----w C:\Programme\Sun 2008-01-14 22:27 --------- d-----w C:\Programme\Java 2008-01-10 19:50 --------- d-----w C:\Programme\WinUAE 2007-12-29 21:11 --------- d-----w C:\Programme\DivX 2007-12-26 20:11 --------- d--h--w C:\Programme\InstallShield Installation Information 2007-12-25 01:53 --------- d-----w C:\Programme\VideoLAN 2007-12-21 18:05 --------- d-----w C:\Programme\Power MP3 WMA Converter 2007-12-20 22:32 --------- d-----w C:\Programme\Audacity 2007-12-20 22:20 --------- d-----w C:\Programme\Apple Software Update 2007-12-20 19:43 --------- d-----w C:\Programme\Azureus 2007-12-20 18:34 --------- d-----w C:\Programme\Gemeinsame Dateien\Java 2007-12-18 09:37 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield 2007-12-18 09:37 --------- d-----w C:\Programme\Dell 2007-12-17 21:41 --------- d-----w C:\Programme\Gemeinsame Dateien\xing shared 2007-12-17 21:41 --------- d-----w C:\Programme\Gemeinsame Dateien\Real 2007-12-17 21:40 --------- d-----w C:\Programme\Real 2007-12-17 20:46 --------- d-----w C:\Programme\ATI Technologies 2007-12-17 20:27 --------- d-----w C:\Programme\SigmaTel 2007-12-17 19:33 --------- d-----w C:\Programme\Winamp 2007-12-17 19:23 --------- d-----w C:\Programme\Last.fm 2007-12-17 19:14 --------- d-----w C:\Programme\Sophos 2007-12-17 19:13 --------- d-----w C:\Programme\Gemeinsame Dateien\Cisco Systems 2007-12-17 14:55 --------- d--h--w C:\Programme\Uninstall Information 2007-12-17 14:49 --------- d-----w C:\Programme\microsoft frontpage 2007-12-17 14:46 --------- d-----w C:\Programme\Online-Dienste 2007-12-17 14:45 --------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap 2007-12-17 14:45 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste 2007-12-17 14:33 --------- d-----w C:\Programme\Gemeinsame Dateien\SpeechEngines 2007-12-17 14:33 --------- d-----w C:\Programme\Gemeinsame Dateien\ODBC 2007-12-14 10:32 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe 2007-12-11 22:34 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll 2007-12-11 22:34 129,784 ------w C:\WINDOWS\system32\pxafs.dll 2007-12-11 22:34 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe 2007-12-11 22:34 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe 2007-12-11 22:34 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll 2007-12-11 22:33 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll 2007-12-11 22:33 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll 2007-12-11 22:33 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll 2007-12-11 22:33 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll 2007-12-11 22:33 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll 2007-12-11 22:33 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll 2007-12-11 22:33 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll 2007-12-11 22:32 156,992 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe 2007-12-07 17:28 7,680 ----a-w C:\WINDOWS\system32\ff_vfw.dll 2007-12-04 01:33 682,496 ----a-w C:\WINDOWS\system32\divx.dll 2007-11-29 22:30 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll 2007-11-29 22:28 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll . ((((((((((((((((((((((((((((( snapshot@2008-01-23_16.13.05.19 ))))))))))))))))))))))))))))))))))))))))) . - 2008-01-23 14:59:20 229,376 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT + 2008-01-24 14:37:15 229,376 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT - 2008-01-23 14:59:20 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat + 2008-01-24 14:37:15 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat - 2008-01-23 14:59:21 229,376 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT + 2008-01-24 14:37:15 229,376 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT - 2008-01-23 14:59:21 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat + 2008-01-24 14:37:16 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat - 2008-01-23 14:59:22 3,977,216 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT + 2008-01-24 14:37:16 4,046,848 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT - 2008-01-23 14:59:23 196,608 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat + 2008-01-24 14:37:16 196,608 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat - 2007-12-17 19:14:09 25,214 ----a-r C:\WINDOWS\Installer\{034759DA-E21A-4795-BFB3-C66D17FAD183}\ARPPRODUCTICON.exe + 2008-01-24 19:38:02 25,214 ----a-r C:\WINDOWS\Installer\{034759DA-E21A-4795-BFB3-C66D17FAD183}\ARPPRODUCTICON.exe - 2007-12-17 19:14:09 25,214 ----a-r C:\WINDOWS\Installer\{034759DA-E21A-4795-BFB3-C66D17FAD183}\MainGUIShortcut.exe + 2008-01-24 19:38:02 25,214 ----a-r C:\WINDOWS\Installer\{034759DA-E21A-4795-BFB3-C66D17FAD183}\MainGUIShortcut.exe - 2007-12-17 19:14:56 65,536 ----a-r C:\WINDOWS\Installer\{15C418EB-7675-42be-B2B3-281952DA014D}\ARPPRODUCTICON.exe + 2008-01-24 19:38:41 65,536 ----a-r C:\WINDOWS\Installer\{15C418EB-7675-42be-B2B3-281952DA014D}\ARPPRODUCTICON.exe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "PhonostarTimer"="C:\Programme\phonostar\ps_timer.exe" [ ] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Broadcom Wireless Manager UI"="C:\WINDOWS\system32\WLTRAY.exe" [ ] "ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [ ] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [ ] "QuickTime Task"="C:\Programme\QuickTime\QTTask .exe" [ ] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2008-01-17 18:20 132496] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-17 18:20 40048] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360] C:\Dokumente und Einstellungen\Jessica Oelhaf\Startmenﾁ\Programme\Autostart\ Last.fm Helper.lnk - C:\Programme\Last.fm\LastFMHelper.exe [2007-12-17 20:23:15 106496] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=c:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SAVService] @="service" R1 SAVOnAccessControl;SAVOnAccessControl;C:\WINDOWS\system32\DRIVERS\savonaccesscontrol.sys [2007-09-10 12:09] R1 SAVOnAccessFilter;SAVOnAccessFilter;C:\WINDOWS\system32\DRIVERS\savonaccessfilter.sys [2007-09-10 12:08] . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-01-26 15:57:01 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\system32\lsass.exe [5.01.2600.2180] -> c:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL PROCESS: C:\WINDOWS\explorer.exe [6.00.2900.2180] -> c:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL .

#25 ««
ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"

««
scanne mit kaspersky + poste den Report
http://board.protecus.de/t8642.htm
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#26 So, hier das Log von Kaspersky:

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
2008-01-28 20:01
Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 28/01/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 534702
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Ordner:
C:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 44950
Viren gefunden: 0
Infizierte Objekte gefunden: 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 01:24:26

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\1b4cddea9ec9302377037f6a9d390607_6f910a3d-9827-48b8-b3e6-8c30dccb7cd1 Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sophos\Sophos Anti-Virus\Config\interchk.chk Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sophos\Sophos Anti-Virus\logs\SAV.txt Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jessica Oelhaf\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jessica Oelhaf\Lokale Einstellungen\Anwendungsdaten\Last.fm\Client\LastFmHelper.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jessica Oelhaf\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds Cache\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jessica Oelhaf\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jessica Oelhaf\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jessica Oelhaf\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jessica Oelhaf\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jessica Oelhaf\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008012820080129\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jessica Oelhaf\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jessica Oelhaf\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{9F0B9207-02DC-4E96-AF2A-F1B5B021E90C}\RP1\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\EventCache\{9B16F53E-FB2E-492B-80C2-DFA773B49108}.bin Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

#27 na wunderbar gibt es noch Probleme ????
es müsste alles wieder o.k. sein
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#28 ah gut^^
richtige Probleme hat er glaub ich noch nicht gemacht, ich hab ihn auch eher durch nen anderen Virus entdeckt...
Naja, wenigstens weiß ich jetzt, dass ich besser aufpassen muss.
Vielen, vielen Dank für deine Hilfe Pinguin!