Einmal mehr kommen die Fenster ... =/

#0
23.01.2008, 21:27
Member

Beiträge: 13
#1 Hi alle zusammen,
Ich habe wie viele andere auch dieses Fensteraufplop- ausm Game-flieg-poblem, obwohl ich viele Trojan- und AV-Scanns durchgeführt habe.

Ich habe in einem eurer Foren erfahren, dass ihr mir mit diesen Angaben weiter helfen könnt:

Verzeichnis von C:\WINDOWS\system32

23.01.2008 14:48 107.832 PnkBstrB.exe
22.01.2008 20:27 66.872 PnkBstrA.exe
22.01.2008 18:55 14.336 svchost.exe
22.01.2008 18:55 23.552 winhoq32.dll
22.01.2008 18:54 39.424 qomklkh.dll
22.01.2008 18:54 23.552 winpdc32.dll
22.01.2008 18:54 39.424 wvusrrp.dll

21.01.2008 06:41 1.324 d3d9caps.dat
13.01.2008 19:14 2.206 wpa.dbl
11.01.2008 16:06 393.052 perfh009.dat
11.01.2008 16:06 59.352 perfc009.dat
11.01.2008 16:06 406.068 perfh007.dat
11.01.2008 16:06 71.398 perfc007.dat
11.01.2008 16:06 902.532 PerfStringBackup.INI
11.01.2008 14:38 66.872 PnkBstrA.exe~
11.01.2008 01:29 54.608 xfcodec.dll
11.01.2008 00:16 552 d3d8caps.dat
02.01.2008 19:21 17.642.616 MRT.exe
29.12.2007 22:30 34.064 lhacm.acm
29.12.2007 11:32 90.296 FNTCACHE.DAT
29.12.2007 02:23 138.738 TZLog.log
28.12.2007 23:09 16.832 amcompat.tlb
28.12.2007 23:09 23.392 nscompat.tlb
28.12.2007 22:14 302 $winnt$.inf
28.12.2007 22:01 2.951 CONFIG.NT
28.12.2007 22:01 488 WindowsLogon.manifest
28.12.2007 22:01 488 logonui.exe.manifest
28.12.2007 22:00 749 cdplayer.exe.manifest
28.12.2007 22:00 749 nwc.cpl.manifest
28.12.2007 22:00 749 ncpa.cpl.manifest
28.12.2007 22:00 749 wuaucpl.cpl.manifest
28.12.2007 22:00 749 sapi.cpl.manifest
28.12.2007 21:59 21.740 emptyregdb.dat
28.12.2007 21:56 0 h323log.txt
04.12.2007 02:33 802.816 divx_xx11.dll


Hoffe ihr könnt mir sagen wie ich die Viren bestmöglichst bekämpfen kann!

Grüße Patrick
Seitenanfang Seitenende
23.01.2008, 23:46
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#2 Hallo,

ich sehe Viren, aber die Infos reichen nicht....
datfindbat hat 6 logs, nicht nur eins, wende es also bitte korrekt an...
http://www.virus-protect.org/datfindbat.html

dann poste bitte das log von Combofix
http://www.virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
24.01.2008, 06:28
Member

Themenstarter

Beiträge: 13
#3 oh das tut mir leid , hier bitte :

Verzeichnis von C:\DOKUME~1\PayT\LOKALE~1\Temp

24.01.2008 06:22 93.789 datfind.txt
24.01.2008 06:19 0 JETB38A.tmp
24.01.2008 06:19 141 browserview-166ff3c.htm
23.01.2008 21:36 141 browserview-1964b74.htm
23.01.2008 21:30 1.428 wmplog00.sqm
5 Datei(en) 95.499 Bytes

Verzeichnis von C:\WINDOWS

24.01.2008 06:13 1.710.474 WindowsUpdate.log
24.01.2008 06:11 0 0.log
24.01.2008 06:10 2.048 bootstat.dat
23.01.2008 21:38 16.990 SchedLgU.Txt
23.01.2008 20:55 2.238 Casino.ico
23.01.2008 20:55 1.150 Free Online Dating.ico
23.01.2008 20:55 4.846 Spyware Remover.ico

23.01.2008 13:45 31.115 wmsetup.log
23.01.2008 06:59 204.613 setupact.log
23.01.2008 06:59 705.861 setupapi.log
22.01.2008 21:18 159 wiadebug.log
22.01.2008 21:18 50 wiaservc.log
22.01.2008 20:38 11.264 mgrs.exe
22.01.2008 18:58 27.136 lsass.exe
22.01.2008 18:55 11.264 mgrs.exe~
22.01.2008 18:54 18.944 avp.exe
22.01.2008 18:35 2.771 Stringover

21.01.2008 06:27 10 WININIT.INI
17.01.2008 20:12 5.853.176 Call of Duty 4.scr
11.01.2008 18:28 1.177 ie7_main.log
11.01.2008 14:16 135.481 DirectX.log
11.01.2008 00:25 852 DtcInstall.log
09.01.2008 20:56 97.447 iis6.log

Verzeichnis von C:\WINDOWS\temp

24.01.2008 06:22 729 win22.tmp
24.01.2008 06:20 0 win1F.tmp
24.01.2008 06:20 0 win1D.tmp
24.01.2008 06:20 0 win1C.tmp
24.01.2008 06:20 0 win1B.tmp
24.01.2008 06:20 0 win1E.tmp
24.01.2008 06:18 0 win16.tmp
24.01.2008 06:18 0 win17.tmp
24.01.2008 06:18 0 win1A.tmp
24.01.2008 06:18 0 win19.tmp
24.01.2008 06:18 0 win18.tmp
24.01.2008 06:16 0 win14.tmp
24.01.2008 06:16 0 win15.tmp
24.01.2008 06:16 0 win11.tmp
24.01.2008 06:16 0 win13.tmp
24.01.2008 06:16 0 win12.tmp
24.01.2008 06:14 0 winE.tmp
24.01.2008 06:14 0 win10.tmp
24.01.2008 06:14 0 winF.tmp
24.01.2008 06:14 0 winC.tmp
24.01.2008 06:14 0 winD.tmp
24.01.2008 06:12 0 winB.tmp
24.01.2008 06:12 0 winA.tmp
24.01.2008 06:12 0 win7.tmp
24.01.2008 06:12 0 win9.tmp
24.01.2008 06:12 0 win8.tmp
24.01.2008 06:10 0 win5.tmp
24.01.2008 06:10 0 win4.tmp
24.01.2008 06:10 0 win3.tmp
24.01.2008 06:10 0 win2.tmp
24.01.2008 06:10 0 win1.tmp

31 Datei(en) 729 Bytes
0 Verzeichnis(se), 58.529.959.936 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 80F5-246B

Verzeichnis von C:\WINDOWS\Downloaded Program Files

28.12.2007 22:01 65 desktop.ini
1 Datei(en) 65 Bytes
0 Verzeichnis(se), 58.529.959.936 Bytes frei



Und das hier ist der combofixlog:


ADS - svchost.exe: deleted 27648 bytes in 1 streams.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\d.exe
C:\Dokumente und Einstellungen\PayT\Startmenü\Programme\Outerinfo\Terms.lnk
C:\Dokumente und Einstellungen\PayT\Startmenü\Programme\Outerinfo\Uninstall.lnk
C:\Dokumente und Einstellungen\PayT\Startmen\Programme\Outerinfo
C:\Programme\Helper
C:\Programme\Helper\Helper10.dll
C:\Programme\lsass.exe
C:\Programme\outerinfo
C:\Programme\outerinfo\FF\chrome.manifest
C:\Programme\outerinfo\FF\components\OuterinfoAds.xpt
C:\Programme\outerinfo\FF\install.rdf
C:\Programme\outerinfo\OiUninstaller.exe
C:\Programme\outerinfo\outerinfo.ico
C:\Programme\outerinfo\Terms.rtf
C:\Programme\spoolsv.exe
C:\Programme\ucleaner_setup.exe
C:\Programme\Ultimate Cleaner
C:\WINDOWS\avp.exe
C:\WINDOWS\Casino.ico
C:\WINDOWS\Free Online Dating.ico
C:\WINDOWS\lsass.exe
C:\WINDOWS\mgrs.exe
C:\WINDOWS\Spyware Remover.ico
C:\WINDOWS\system32\qomklkh.dll
C:\WINDOWS\system32\winhoq32.dll
C:\WINDOWS\system32\wvusrrp.dll
D:\Autorun.inf
E:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-24 bis 2008-01-24 ))))))))))))))))))))))))))))))
.

2008-01-24 06:32 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\Nircmd.exe
2008-01-23 15:01 . 2008-01-23 15:01 <DIR> d-------- C:\Programme\Trojancheck 6
2008-01-22 21:06 . 2008-01-22 21:06 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Application
2008-01-22 21:04 . 2008-01-22 21:10 <DIR> d-------- C:\Programme\SPYWAREfighter
2008-01-22 20:56 . 2008-01-22 20:57 <DIR> d-------- C:\Programme\XPcleanv5
2008-01-22 20:27 . 2008-01-22 20:27 66,872 --a------ C:\WINDOWS\system32\PnkBstrA.exe
2008-01-22 18:55 . 2008-01-22 18:55 11,264 --a------ C:\WINDOWS\mgrs.exe~
2008-01-22 18:55 . 2008-01-22 18:55 2 --a------ C:\-2131418005
2008-01-22 18:54 . 2008-01-22 18:54 23,552 --a------ C:\WINDOWS\system32\winpdc32.dll

2008-01-22 18:38 . 2008-01-22 19:02 <DIR> d-------- C:\Programme\HTV
2008-01-22 18:13 . 2008-01-22 18:35 2,771 --a------ C:\WINDOWS\Stringover
2008-01-21 18:58 . 2006-10-27 17:15 61,440 -ra------ C:\WINDOWS\system32\vuins32.dll
2008-01-21 18:58 . 2006-10-27 17:15 43,008 -ra------ C:\WINDOWS\system32\drivers\fetnd5bv.sys
2008-01-21 18:57 . 2008-01-21 18:57 <DIR> d-------- C:\WINDOWS\vnDrvBas
2008-01-21 18:50 . 2008-01-21 18:50 <DIR> d-------- C:\Programme\RALINK
2008-01-21 18:50 . 2004-12-03 14:41 140,544 --a------ C:\WINDOWS\system32\drivers\rt2500usb.sys
2008-01-21 18:50 . 2004-12-03 14:41 73,728 --a------ C:\WINDOWS\system32\Install2500USB.dll
2008-01-21 18:50 . 2004-12-03 14:41 45,056 --a------ C:\WINDOWS\system32\DEDriverDLL.dll
2008-01-21 18:50 . 2004-12-03 14:41 36,864 --a------ C:\WINDOWS\system32\WRLSetup.exe
2008-01-21 18:50 . 2008-01-21 18:50 15,939 --a------ C:\WINDOWS\system32\drivers\AegisP.sys
2008-01-21 18:50 . 2004-12-03 14:41 131 --a------ C:\WINDOWS\filespecrtrt2500USB
2008-01-21 14:51 . 2008-01-21 14:51 <DIR> d-------- C:\Programme\Intel
2008-01-19 23:48 . 2008-01-19 23:48 <DIR> d-------- C:\Programme\Google
2008-01-17 20:12 . 2008-01-17 20:12 5,853,176 --a------ C:\WINDOWS\Call of Duty 4.scr
2008-01-15 22:06 . 2008-01-23 07:08 <DIR> d-------- C:\Programme\NetBus Pro
2008-01-15 22:06 . 1998-10-29 17:45 306,688 --a------ C:\WINDOWS\IsUninst.exe
2008-01-14 14:01 . 2008-01-14 14:01 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-01-13 19:43 . 2008-01-13 19:43 <DIR> d-------- C:\Programme\NKProds
2008-01-12 03:40 . 2008-01-12 03:41 23 --a------ C:\.SYS
2008-01-11 14:03 . 2008-01-11 14:03 <DIR> d-------- C:\Programme\Electronic Arts
2008-01-11 01:29 . 2008-01-11 01:29 54,608 --a------ C:\WINDOWS\system32\xfcodec.dll
2008-01-11 00:16 . 2008-01-21 06:41 1,324 --a------ C:\WINDOWS\system32\d3d9caps.dat
2008-01-11 00:16 . 2008-01-11 00:16 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
2008-01-11 00:14 . 2008-01-22 17:46 809 --a------ C:\WINDOWS\system\Cmicnfg.ini
2008-01-10 23:58 . 2008-01-21 06:27 10 --a------ C:\WINDOWS\WININIT.INI
2008-01-10 21:19 . 2005-01-22 20:12 679,936 --a------ C:\WINDOWS\system32\D3DX81ab.dll
2008-01-10 21:18 . 2008-01-10 21:18 <DIR> d-------- C:\Programme\WinPcap
2008-01-10 21:18 . 2008-01-10 22:30 <DIR> d-------- C:\Programme\WC3Banlist
2008-01-05 15:15 . 2008-01-05 15:15 <DIR> d-------- C:\Programme\Digital Corsair Entertainment
2008-01-01 17:05 . 2008-01-23 14:48 107,832 --a------ C:\WINDOWS\system32\PnkBstrB.exe
2008-01-01 17:05 . 2008-01-11 14:38 66,872 --a------ C:\WINDOWS\system32\PnkBstrA.exe~
2008-01-01 17:05 . 2008-01-23 14:48 22,328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-01-01 17:05 . 2008-01-01 17:05 311 --a------ C:\WINDOWS\game.ini
2008-01-01 16:53 . 2008-01-01 16:53 <DIR> d-------- C:\Programme\Activision
2008-01-01 16:49 . 2008-01-01 16:49 <DIR> d--hs---- C:\WINDOWS\ftpcache
2007-12-30 13:58 . 2007-12-30 13:58 <DIR> d-------- C:\Programme\EA GAMES
2007-12-29 22:30 . 2007-12-29 22:30 <DIR> d-------- C:\Programme\Teamspeak2_RC2
2007-12-29 22:30 . 2007-12-29 22:30 34,064 --a------ C:\WINDOWS\system32\lhacm.acm
2007-12-29 20:56 . 2008-01-21 18:57 <DIR> d-------- C:\Medion
2007-12-29 20:56 . 2005-04-24 22:43 13,225 --a------ C:\WINDOWS\system32\drivers\Razerlow.sys
2007-12-29 20:12 . 2007-12-29 20:12 <DIR> d-------- C:\Programme\Replay Explorer
2007-12-28 23:58 . 2008-01-22 18:41 <DIR> d-------- C:\Programme\DivX
2007-12-28 23:33 . 2007-12-28 23:33 1,142 --a------ C:\WINDOWS\mozver.dat
2007-12-28 23:10 . 2008-01-17 14:02 <DIR> d-------- C:\Programme\Xfire
2007-12-28 23:09 . 2006-10-04 15:06 1,197,294 --a--c--- C:\WINDOWS\system32\dllcache\SET137.tmp
2007-12-28 23:08 . 2008-01-22 18:41 <DIR> d-------- C:\Programme\Windows Media Connect 2
2007-12-28 23:07 . 2008-01-01 17:05 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2007-12-28 23:07 . 2008-01-05 20:54 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF
2007-12-28 23:01 . 2007-12-28 23:05 <DIR> d-------- C:\Programme\ICQ6
2007-12-28 21:58 . 2004-08-04 13:00 2,178,131 --a--c--- C:\WINDOWS\system32\dllcache\shvlres.dll
2007-12-28 21:57 . 2007-12-28 21:59 <DIR> d-------- C:\WINDOWS\system32\MsDtc
2007-12-28 21:50 . 2004-08-04 00:57 21,504 --a------ C:\WINDOWS\system32\hidserv.dll
2007-12-28 21:50 . 2001-08-17 13:59 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys
2007-12-28 21:49 . 2004-08-04 00:40 57,600 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2007-12-28 21:48 . 2004-08-04 00:57 77,312 --a------ C:\WINDOWS\system32\usbui.dll
2007-12-28 21:48 . 2004-08-04 00:57 77,312 --a--c--- C:\WINDOWS\system32\dllcache\usbui.dll
2007-12-28 21:48 . 2001-08-17 13:46 6,400 --a------ C:\WINDOWS\system32\drivers\enum1394.sys
2007-12-28 21:48 . 2004-08-04 00:44 5,504 --a------ C:\WINDOWS\system32\drivers\intelide.sys
2007-12-28 21:46 . 2008-01-22 21:11 <DIR> d--hs---- C:\WINDOWS\Installer
2007-12-28 21:46 . 2007-12-28 21:46 <DIR> d-------- C:\Programme\Gemeinsame Dateien\ODBC
2007-12-28 21:46 . 2008-01-11 16:06 902,532 --a------ C:\WINDOWS\system32\PerfStringBackup.INI
2007-12-28 21:46 . 2004-08-04 13:00 77,824 --a--c--- C:\WINDOWS\system32\dllcache\spcommon.dll
2007-12-28 21:46 . 2004-08-04 13:00 65,536 --a--c--- C:\WINDOWS\system32\dllcache\spcplui.dll
2007-12-28 21:46 . 2007-12-28 22:01 4,161 --a------ C:\WINDOWS\ODBCINST.INI
2007-12-28 21:46 . 2008-01-09 20:56 1,355 --a------ C:\WINDOWS\imsins.BAK
2007-12-28 21:45 . 2007-12-28 21:45 <DIR> d-------- C:\Programme\Gemeinsame Dateien\SpeechEngines
2007-12-28 21:44 . 2008-01-24 06:24 <DIR> d-------- C:\WINDOWS\system32\CatRoot2
2007-12-28 21:44 . 2008-01-21 18:52 <DIR> d-------- C:\WINDOWS\system32\CatRoot

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-21 17:50 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-01-21 05:44 --------- d-----w C:\Programme\ATI Technologies
2008-01-12 02:41 23 ----a-w C:\.SYS
2008-01-10 23:19 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2007-12-28 21:22 --------- d-----w C:\Programme\CA
2007-12-28 21:18 --------- d-----w C:\Programme\X10 Hardware
2007-12-28 21:18 --------- d-----w C:\Programme\Common Files
2007-12-28 21:17 --------- d--h--w C:\Programme\Uninstall Information
2007-12-28 21:02 --------- d-----w C:\Programme\microsoft frontpage
2007-12-28 21:00 --------- d-----w C:\Programme\Online-Dienste
2007-12-28 21:00 --------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap
2007-12-28 21:00 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2007-11-29 22:30 9,464 ------w C:\WINDOWS\system32\drivers\cdralw2k.sys
2007-11-29 22:30 9,336 ------w C:\WINDOWS\system32\drivers\cdr4_xp.sys
2007-11-29 22:30 43,528 ------w C:\WINDOWS\system32\drivers\PxHelp20.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2E9D4C81-9F27-4c14-B804-7B0F6BC88A4F}]
C:\Programme\Outerinfo\Outerinfo.dll


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2007-11-21 01:47 172280]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Realtime Monitor"="C:\PROGRA~1\CA\ETRUST~1\realmon.exe" [2004-06-26 00:17 504080]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 16:10 61952 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"Cmaudio"="cmicnfg.cpl" []
"AGRSMMSG"="AGRSMMSG.exe" [2004-06-29 09:06 88363 C:\WINDOWS\AGRSMMSG.exe]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 11:35 90112]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 11:12 90112]
"HTV Agent"="C:\Programme\HTV\HTV.exe" [ ]
"spywarefighterguard"="C:\Programme\SPYWAREfighter\spftray.exe" [2007-06-08 11:52 115608]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]

C:\Dokumente und Einstellungen\PayT\Startmen\Programme\Autostart\
Xfire.lnk - C:\Programme\Xfire\xfire.exe [2008-01-11 01:29:50 2872144]

R2 Alert Notification Server;Alert Notification Server;"C:\Programme\CA\SharedComponents\Alert\ALERT.EXE" [2004-06-29 10:13]
R3 cmudax;C-Media High Definition Audio Interface;C:\WINDOWS\system32\drivers\cmudax.sys [2005-05-12 14:39]
R3 SpyFighter;SpyFighter Guard Device;C:\Programme\SPYWAREfighter\spyfighter.sys [2007-06-08 11:52]
R3 SPYWAREfighterRP;SPYWAREfighterRP;"C:\Programme\SPYWAREfighter\spfprc.exe" [2007-06-08 11:52]
S2 FFI;FFI;C:\WINDOWS\system32\svchost.exe:exm.exe []
S2 InoNmSrv;eTrust Antivirus Admin Server;"C:\Programme\CA\eTrust Antivirus\InoNmSrv.exe" [2004-06-26 00:16]
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2005-08-02 22:10]
S3 Razerlow;Razerlow USB Filter Driver;C:\WINDOWS\system32\Drivers\Razerlow.sys [2005-04-24 22:43]


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4D526753-DA82-C95C-EC3D-51C81D7A8BCB}]
C:\WINDOWS\Stringover.exe

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-24 06:40:21
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\FFI]
"ImagePath"="C:\WINDOWS\system32\svchost.exe:exm.exe"
.
Dieser Beitrag wurde am 24.01.2008 um 06:45 Uhr von NoreX editiert.
Seitenanfang Seitenende
24.01.2008, 10:00
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#4 1.
lade die exe hoch (dann auch die version ohne exe) - kannst du von hier aus einkopieren) - lasse sie prüfen - poste den Report
http://www.virustotal.com/de/

C:\WINDOWS\Stringover.exe

C:\WINDOWS\Stringover


--------------
2.
klick Start -> Ausführen>> schreibe rein: Services.msc und Klick OK!

"Eigenschaften" >> klick "Stop" >> Starttyp "deaktiviert"

FFI

---------------

3.
Start --> Ausführen --> reinkopieren (wenn eine Fehlermeldung kommt...ignorieren) --> klicke danach: O.K.

sc delete FFI

----------------

4.
http://www.virus-protect.org/artikel/tools/regsearch.html

und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

FFI

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

---------------

5.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2E9D4C81-9F27-4c14-B804-7B0F6BC88A4F}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HTV Agent"=-
[-HKEY_LOCAL_MACHINE\system\ControlSet001\Services\FFI]
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4D526753-DA82-C95C-EC3D-51C81D7A8BCB}]

File::
C:\WINDOWS\Stringover.exe
C:\WINDOWS\Stringover
C:\WINDOWS\Casino.ico
C:\WINDOWS\Free Online Dating.ico
C:\WINDOWS\Spyware Remover.ico
C:\WINDOWS\mgrs.exe
C:\WINDOWS\lsass.exe
C:\WINDOWS\mgrs.exe~
C:\WINDOWS\avp.exe
C:\WINDOWS\temp\win22.tmp
C:\WINDOWS\temp\win1F.tmp
C:\WINDOWS\temp\win1D.tmp
C:\WINDOWS\temp\win1C.tmp
C:\WINDOWS\temp\win1B.tmp
C:\WINDOWS\temp\win1E.tmp
C:\WINDOWS\temp\win16.tmp
C:\WINDOWS\temp\win17.tmp
C:\WINDOWS\temp\win1A.tmp
C:\WINDOWS\temp\win19.tmp
C:\WINDOWS\temp\win18.tmp
C:\WINDOWS\temp\win14.tmp
C:\WINDOWS\temp\win15.tmp
C:\WINDOWS\temp\win11.tmp
C:\WINDOWS\temp\win13.tmp
C:\WINDOWS\temp\win12.tmp
C:\WINDOWS\temp\winE.tmp
C:\WINDOWS\temp\win10.tmp
C:\WINDOWS\temp\winF.tmp
C:\WINDOWS\temp\winC.tmp
C:\WINDOWS\temp\winD.tmp
C:\WINDOWS\temp\winB.tmp
C:\WINDOWS\temp\winA.tmp
C:\WINDOWS\temp\win7.tmp
C:\WINDOWS\temp\win9.tmp
C:\WINDOWS\temp\win8.tmp
C:\WINDOWS\temp\win5.tmp
C:\WINDOWS\temp\win4.tmp
C:\WINDOWS\temp\win3.tmp
C:\WINDOWS\temp\win2.tmp
C:\WINDOWS\temp\win1.tmp
C:\WINDOWS\system32\winhoq32.dll
C:\WINDOWS\system32\qomklkh.dll
C:\WINDOWS\system32\winpdc32.dll
C:\WINDOWS\system32\wvusrrp.dll
C:\-2131418005

Folder::
C:\Programme\HTV


6.
CFScript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen
Combofix noch mal anwenden -



tippe 1 - poste den neuen Report von Combofix
+
das Log von HijackThis
http://www.virus-protect.org/hjtkurz.html

«
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
24.01.2008, 13:44
Member

Themenstarter

Beiträge: 13
#5 1. Virus Total hat weder bei C:\WINDOWS\Stringover.exe noch bei C:\WINDOWS\Stringover etwas gefunden

4. Das ist der LOG von RegSearch :


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_FFI]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_FFI\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_FFI\0000]
"Service"="FFI"
"DeviceDesc"="FFI"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\FFI]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\FFI]
"DisplayName"="FFI"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\FFI\Security]


6. Der 2. Kombofixreport:

FILE
C:\-2131418005
C:\WINDOWS\avp.exe
C:\WINDOWS\Casino.ico
C:\WINDOWS\Free Online Dating.ico
C:\WINDOWS\lsass.exe
C:\WINDOWS\mgrs.exe
C:\WINDOWS\mgrs.exe~
C:\WINDOWS\Spyware Remover.ico
C:\WINDOWS\Stringover
C:\WINDOWS\Stringover.exe
C:\WINDOWS\system32\qomklkh.dll
C:\WINDOWS\system32\winhoq32.dll
C:\WINDOWS\system32\winpdc32.dll
C:\WINDOWS\system32\wvusrrp.dll
C:\WINDOWS\temp\win1.tmp
C:\WINDOWS\temp\win10.tmp
C:\WINDOWS\temp\win11.tmp
C:\WINDOWS\temp\win12.tmp
C:\WINDOWS\temp\win13.tmp
C:\WINDOWS\temp\win14.tmp
C:\WINDOWS\temp\win15.tmp
C:\WINDOWS\temp\win16.tmp
C:\WINDOWS\temp\win17.tmp
C:\WINDOWS\temp\win18.tmp
C:\WINDOWS\temp\win19.tmp
C:\WINDOWS\temp\win1A.tmp
C:\WINDOWS\temp\win1B.tmp
C:\WINDOWS\temp\win1C.tmp
C:\WINDOWS\temp\win1D.tmp
C:\WINDOWS\temp\win1E.tmp
C:\WINDOWS\temp\win1F.tmp
C:\WINDOWS\temp\win2.tmp
C:\WINDOWS\temp\win22.tmp
C:\WINDOWS\temp\win3.tmp
C:\WINDOWS\temp\win4.tmp
C:\WINDOWS\temp\win5.tmp
C:\WINDOWS\temp\win7.tmp
C:\WINDOWS\temp\win8.tmp
C:\WINDOWS\temp\win9.tmp
C:\WINDOWS\temp\winA.tmp
C:\WINDOWS\temp\winB.tmp
C:\WINDOWS\temp\winC.tmp
C:\WINDOWS\temp\winD.tmp
C:\WINDOWS\temp\winE.tmp
C:\WINDOWS\temp\winF.tmp
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\-2131418005
C:\Programme\HTV
C:\Programme\HTV\akv.cfg
C:\Programme\HTV\HTV.001
C:\Programme\HTV\HTV.002
C:\Programme\HTV\HTV.005
C:\Programme\HTV\Thumbs.db
C:\WINDOWS\mgrs.exe~
C:\WINDOWS\system32\winpdc32.dll
.
---- Previous Run -------
.
C:\d.exe
C:\Dokumente und Einstellungen\PayT\Startmenü\Programme\Outerinfo\Terms.lnk
C:\Dokumente und Einstellungen\PayT\Startmenü\Programme\Outerinfo\Uninstall.lnk
C:\Dokumente und Einstellungen\PayT\Startmen\Programme\Outerinfo
C:\Programme\Helper
C:\Programme\Helper\Helper10.dll
C:\Programme\lsass.exe
C:\Programme\outerinfo
C:\Programme\outerinfo\FF\chrome.manifest
C:\Programme\outerinfo\FF\components\OuterinfoAds.xpt
C:\Programme\outerinfo\FF\install.rdf
C:\Programme\outerinfo\OiUninstaller.exe
C:\Programme\outerinfo\outerinfo.ico
C:\Programme\outerinfo\Terms.rtf
C:\Programme\spoolsv.exe
C:\Programme\ucleaner_setup.exe
C:\Programme\Ultimate Cleaner
C:\WINDOWS\avp.exe
C:\WINDOWS\Casino.ico
C:\WINDOWS\Free Online Dating.ico
C:\WINDOWS\lsass.exe
C:\WINDOWS\mgrs.exe
C:\WINDOWS\Spyware Remover.ico
C:\WINDOWS\system32\qomklkh.dll
C:\WINDOWS\system32\winhoq32.dll
C:\WINDOWS\system32\wvusrrp.dll
D:\Autorun.inf
E:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-24 bis 2008-01-24 ))))))))))))))))))))))))))))))
.

2008-01-24 06:32 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\Nircmd.exe
2008-01-23 15:01 . 2008-01-23 15:01 <DIR> d-------- C:\Programme\Trojancheck 6
2008-01-22 21:06 . 2008-01-22 21:06 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Application
2008-01-22 21:04 . 2008-01-22 21:10 <DIR> d-------- C:\Programme\SPYWAREfighter
2008-01-22 20:56 . 2008-01-22 20:57 <DIR> d-------- C:\Programme\XPcleanv5
2008-01-22 20:27 . 2008-01-22 20:27 66,872 --a------ C:\WINDOWS\system32\PnkBstrA.exe
2008-01-21 18:58 . 2006-10-27 17:15 61,440 -ra------ C:\WINDOWS\system32\vuins32.dll
2008-01-21 18:58 . 2006-10-27 17:15 43,008 -ra------ C:\WINDOWS\system32\drivers\fetnd5bv.sys
2008-01-21 18:57 . 2008-01-21 18:57 <DIR> d-------- C:\WINDOWS\vnDrvBas
2008-01-21 18:50 . 2008-01-21 18:50 <DIR> d-------- C:\Programme\RALINK
2008-01-21 18:50 . 2004-12-03 14:41 140,544 --a------ C:\WINDOWS\system32\drivers\rt2500usb.sys
2008-01-21 18:50 . 2004-12-03 14:41 73,728 --a------ C:\WINDOWS\system32\Install2500USB.dll
2008-01-21 18:50 . 2004-12-03 14:41 45,056 --a------ C:\WINDOWS\system32\DEDriverDLL.dll
2008-01-21 18:50 . 2004-12-03 14:41 36,864 --a------ C:\WINDOWS\system32\WRLSetup.exe
2008-01-21 18:50 . 2008-01-21 18:50 15,939 --a------ C:\WINDOWS\system32\drivers\AegisP.sys
2008-01-21 18:50 . 2004-12-03 14:41 131 --a------ C:\WINDOWS\filespecrtrt2500USB
2008-01-21 14:51 . 2008-01-21 14:51 <DIR> d-------- C:\Programme\Intel
2008-01-19 23:48 . 2008-01-19 23:48 <DIR> d-------- C:\Programme\Google
2008-01-17 20:12 . 2008-01-17 20:12 5,853,176 --a------ C:\WINDOWS\Call of Duty 4.scr
2008-01-15 22:06 . 2008-01-23 07:08 <DIR> d-------- C:\Programme\NetBus Pro
2008-01-15 22:06 . 1998-10-29 17:45 306,688 --a------ C:\WINDOWS\IsUninst.exe
2008-01-14 14:01 . 2008-01-14 14:01 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-01-13 19:43 . 2008-01-13 19:43 <DIR> d-------- C:\Programme\NKProds
2008-01-12 03:40 . 2008-01-12 03:41 23 --a------ C:\.SYS
2008-01-11 14:03 . 2008-01-11 14:03 <DIR> d-------- C:\Programme\Electronic Arts
2008-01-11 01:29 . 2008-01-11 01:29 54,608 --a------ C:\WINDOWS\system32\xfcodec.dll
2008-01-11 00:16 . 2008-01-21 06:41 1,324 --a------ C:\WINDOWS\system32\d3d9caps.dat
2008-01-11 00:16 . 2008-01-11 00:16 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
2008-01-11 00:14 . 2008-01-22 17:46 809 --a------ C:\WINDOWS\system\Cmicnfg.ini
2008-01-10 23:58 . 2008-01-21 06:27 10 --a------ C:\WINDOWS\WININIT.INI
2008-01-10 21:19 . 2005-01-22 20:12 679,936 --a------ C:\WINDOWS\system32\D3DX81ab.dll
2008-01-10 21:18 . 2008-01-10 21:18 <DIR> d-------- C:\Programme\WinPcap
2008-01-10 21:18 . 2008-01-10 22:30 <DIR> d-------- C:\Programme\WC3Banlist
2008-01-05 15:15 . 2008-01-05 15:15 <DIR> d-------- C:\Programme\Digital Corsair Entertainment
2008-01-01 17:05 . 2008-01-24 06:58 107,832 --a------ C:\WINDOWS\system32\PnkBstrB.exe
2008-01-01 17:05 . 2008-01-11 14:38 66,872 --a------ C:\WINDOWS\system32\PnkBstrA.exe~
2008-01-01 17:05 . 2008-01-24 06:59 22,328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-01-01 17:05 . 2008-01-01 17:05 311 --a------ C:\WINDOWS\game.ini
2008-01-01 16:53 . 2008-01-01 16:53 <DIR> d-------- C:\Programme\Activision
2008-01-01 16:49 . 2008-01-01 16:49 <DIR> d--hs---- C:\WINDOWS\ftpcache
2007-12-30 13:58 . 2007-12-30 13:58 <DIR> d-------- C:\Programme\EA GAMES
2007-12-29 22:30 . 2007-12-29 22:30 <DIR> d-------- C:\Programme\Teamspeak2_RC2
2007-12-29 22:30 . 2007-12-29 22:30 34,064 --a------ C:\WINDOWS\system32\lhacm.acm
2007-12-29 20:56 . 2008-01-21 18:57 <DIR> d-------- C:\Medion
2007-12-29 20:56 . 2005-04-24 22:43 13,225 --a------ C:\WINDOWS\system32\drivers\Razerlow.sys
2007-12-29 20:12 . 2007-12-29 20:12 <DIR> d-------- C:\Programme\Replay Explorer
2007-12-28 23:58 . 2008-01-22 18:41 <DIR> d-------- C:\Programme\DivX
2007-12-28 23:33 . 2007-12-28 23:33 1,142 --a------ C:\WINDOWS\mozver.dat
2007-12-28 23:10 . 2008-01-17 14:02 <DIR> d-------- C:\Programme\Xfire
2007-12-28 23:09 . 2006-10-04 15:06 1,197,294 --a--c--- C:\WINDOWS\system32\dllcache\SET137.tmp
2007-12-28 23:08 . 2008-01-22 18:41 <DIR> d-------- C:\Programme\Windows Media Connect 2
2007-12-28 23:07 . 2008-01-01 17:05 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2007-12-28 23:07 . 2008-01-05 20:54 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF
2007-12-28 23:01 . 2007-12-28 23:05 <DIR> d-------- C:\Programme\ICQ6
2007-12-28 21:58 . 2004-08-04 13:00 2,178,131 --a--c--- C:\WINDOWS\system32\dllcache\shvlres.dll
2007-12-28 21:57 . 2007-12-28 21:59 <DIR> d-------- C:\WINDOWS\system32\MsDtc
2007-12-28 21:50 . 2004-08-04 00:57 21,504 --a------ C:\WINDOWS\system32\hidserv.dll
2007-12-28 21:50 . 2001-08-17 13:59 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys
2007-12-28 21:49 . 2004-08-04 00:40 57,600 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2007-12-28 21:48 . 2004-08-04 00:57 77,312 --a------ C:\WINDOWS\system32\usbui.dll
2007-12-28 21:48 . 2004-08-04 00:57 77,312 --a--c--- C:\WINDOWS\system32\dllcache\usbui.dll
2007-12-28 21:48 . 2001-08-17 13:46 6,400 --a------ C:\WINDOWS\system32\drivers\enum1394.sys
2007-12-28 21:48 . 2004-08-04 00:44 5,504 --a------ C:\WINDOWS\system32\drivers\intelide.sys
2007-12-28 21:46 . 2008-01-22 21:11 <DIR> d--hs---- C:\WINDOWS\Installer
2007-12-28 21:46 . 2007-12-28 21:46 <DIR> d-------- C:\Programme\Gemeinsame Dateien\ODBC
2007-12-28 21:46 . 2008-01-11 16:06 902,532 --a------ C:\WINDOWS\system32\PerfStringBackup.INI
2007-12-28 21:46 . 2004-08-04 13:00 77,824 --a--c--- C:\WINDOWS\system32\dllcache\spcommon.dll
2007-12-28 21:46 . 2004-08-04 13:00 65,536 --a--c--- C:\WINDOWS\system32\dllcache\spcplui.dll
2007-12-28 21:46 . 2007-12-28 22:01 4,161 --a------ C:\WINDOWS\ODBCINST.INI
2007-12-28 21:46 . 2008-01-09 20:56 1,355 --a------ C:\WINDOWS\imsins.BAK
2007-12-28 21:45 . 2007-12-28 21:45 <DIR> d-------- C:\Programme\Gemeinsame Dateien\SpeechEngines
2007-12-28 21:44 . 2008-01-24 06:24 <DIR> d-------- C:\WINDOWS\system32\CatRoot2
2007-12-28 21:44 . 2008-01-21 18:52 <DIR> d-------- C:\WINDOWS\system32\CatRoot

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-21 17:50 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-01-21 05:44 --------- d-----w C:\Programme\ATI Technologies
2008-01-12 02:41 23 ----a-w C:\.SYS
2008-01-10 23:19 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2007-12-28 21:22 --------- d-----w C:\Programme\CA
2007-12-28 21:18 --------- d-----w C:\Programme\X10 Hardware
2007-12-28 21:18 --------- d-----w C:\Programme\Common Files
2007-12-28 21:17 --------- d--h--w C:\Programme\Uninstall Information
2007-12-28 21:02 --------- d-----w C:\Programme\microsoft frontpage
2007-12-28 21:00 --------- d-----w C:\Programme\Online-Dienste
2007-12-28 21:00 --------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap
2007-12-28 21:00 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2007-11-29 22:30 9,464 ------w C:\WINDOWS\system32\drivers\cdralw2k.sys
2007-11-29 22:30 9,336 ------w C:\WINDOWS\system32\drivers\cdr4_xp.sys
2007-11-29 22:30 43,528 ------w C:\WINDOWS\system32\drivers\PxHelp20.sys
.

((((((((((((((((((((((((((((( snapshot@2008-01-24_ 6.42.04.04 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-01-24 05:33:15 229,376 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
+ 2008-01-24 12:26:03 229,376 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
- 2008-01-24 05:33:16 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
+ 2008-01-24 12:26:03 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
- 2008-01-24 05:33:16 229,376 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT
+ 2008-01-24 12:26:03 229,376 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT
- 2008-01-24 05:33:16 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat
+ 2008-01-24 12:26:03 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat
- 2008-01-24 05:33:16 2,224,128 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT
+ 2008-01-24 12:26:03 2,224,128 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT
- 2008-01-24 05:33:16 147,456 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat
+ 2008-01-24 12:26:03 147,456 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2007-11-21 01:47 172280]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Realtime Monitor"="C:\PROGRA~1\CA\ETRUST~1\realmon.exe" [2004-06-26 00:17 504080]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 16:10 61952 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"Cmaudio"="cmicnfg.cpl" []
"AGRSMMSG"="AGRSMMSG.exe" [2004-06-29 09:06 88363 C:\WINDOWS\AGRSMMSG.exe]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 11:35 90112]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 11:12 90112]
"spywarefighterguard"="C:\Programme\SPYWAREfighter\spftray.exe" [2007-06-08 11:52 115608]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]

C:\Dokumente und Einstellungen\PayT\Startmen\Programme\Autostart\
Xfire.lnk - C:\Programme\Xfire\xfire.exe [2008-01-11 01:29:50 2872144]

R2 Alert Notification Server;Alert Notification Server;"C:\Programme\CA\SharedComponents\Alert\ALERT.EXE" [2004-06-29 10:13]
R3 cmudax;C-Media High Definition Audio Interface;C:\WINDOWS\system32\drivers\cmudax.sys [2005-05-12 14:39]
R3 SpyFighter;SpyFighter Guard Device;C:\Programme\SPYWAREfighter\spyfighter.sys [2007-06-08 11:52]
R3 SPYWAREfighterRP;SPYWAREfighterRP;"C:\Programme\SPYWAREfighter\spfprc.exe" [2007-06-08 11:52]
S2 InoNmSrv;eTrust Antivirus Admin Server;"C:\Programme\CA\eTrust Antivirus\InoNmSrv.exe" [2004-06-26 00:16]
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2005-08-02 22:10]
S3 Razerlow;Razerlow USB Filter Driver;C:\WINDOWS\system32\Drivers\Razerlow.sys [2005-04-24 22:43]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-24 13:30:01
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************




Und das hier ist der Hijackthislog:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CA\SharedComponents\Alert\ALERT.EXE
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\SPYWAREfighter\spftray.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\RALINK\RT2500 USB Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
C:\Programme\SPYWAREfighter\spfprc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\PayT\Desktop\AV\regsearch.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\PayT\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spftray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\xfire.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: RaConfig2500.lnk = C:\Programme\RALINK\RT2500 USB Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Alert Notification Server - Computer Associates International, Inc. - C:\Programme\CA\SharedComponents\Alert\ALERT.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: eTrust Antivirus Admin Server (InoNmSrv) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoNmSrv.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Programme\SPYWAREfighter\spfprc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 4604 bytes


Grüße Patrick
Seitenanfang Seitenende
24.01.2008, 15:42
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#6 1.
erstelle eine neu cfscript.txt - ziehe sie auf Combofix - tippe 1.

Zitat

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_FFI]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\FFI]

Folder::
C:\Programme\NetBus Pro

2.
scanne mit Bitdefender (online) + poste hier den Report
http://board.protecus.de/t8642.htm

»»
vielleicht lässt du es in Zukunft, Ardamax Keylogger und netbus zu laden - denn wer anderen eine Grube gräbt, fällt selbst hinein ;)
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
24.01.2008, 21:52
Member

Themenstarter

Beiträge: 13
#7 Ja es tut mir leid und es war wirklich dumm von mir =/ entschuldigung!

Hmm die Auswerung gibts diesmal via HTML , daher ist es vll ein wenig unübersichtlich. Soll ich es trotzdem einfach kopieren & einfügen ?
Dieser Beitrag wurde am 24.01.2008 um 21:56 Uhr von NoreX editiert.
Seitenanfang Seitenende
24.01.2008, 23:57
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#8 ja..poste alles - eventuell als txt-Datei anlegen und als Anhang hochladen (siehe unten)
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
25.01.2008, 06:53
Member

Themenstarter

Beiträge: 13
#9 Hier das ist die HTML als Txt-Datei

C:\QooBox\Quarantine\C\Programme\Helper\Helper10.dll.vir - Suspected of: Generic.Malware.dldprn.1FEFC18B

C:\QooBox\Quarantine\C\Programme\ucleaner_setup.exe.vir - Detected with: Adware.Udefender.T

C:\QooBox\Quarantine\C\WINDOWS\avp.exe.vir - Infected with: Generic.Drop.Alpha.0F656713

C:\QooBox\Quarantine\C\WINDOWS\mgrs.exe.vir - Infected with: Generic.Dld.Alpha.CD67C61C

C:\System Volume Information\_restore{6922AB58-276E-4B0D-A39B-484824332293}\RP37\A0007322.exe
>Infected with: Trojan.Downloader.Agent.YFZ

--

F:\MyHackTools\Builder\alternativecgilogger.zip=>back4/cgi_log.php - Infected with: Backdoor.Optix.Pro.PHP

F:\MyHackTools\cain25b47\cain25b47.exe - Detected with: Spyware.Pws.Cain.C

F:\MyHackTools\Trojaner I.rar=>Install.exe - Infected with: Backdoor.Optix.Pro.1.3.Dam.2

F:\MyHackTools\Trojans\PassCrapperV1.31.rar - PassCrapper v1.31.exe - >Infected with: Backdoor.Optix.Pro.1.3.Dam.2

F:\MyHackTools\Neuer Ordner\ss.2.2.0\plugins\icqpwsteal.txt - Detected with: Application.Icq.Password.Stealer.1.0

F:\MyHackTools\WieAllesBegann\sht\tools\johntheripper\john-16.exe - Detected with: Spyware.Tool.Johnrip.B

F:\MyHackTools\WieAllesBegann\sht\tools\superscan\superscan.exe - Detected with: Application.Portscan.Superscan.C



«

Anhang: scan.txt
Seitenanfang Seitenende
25.01.2008, 11:45
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#10 Hallo,

0.
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

1.
lösche: C:\QooBox + Papierkorb leeren

lösche: F:\MyHackTools

-------------

2.
ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"

3.
dann scanne mit F-Secure Online Scanner + poste den Report
http://board.protecus.de/t8642.htm
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
25.01.2008, 19:29
Member

Themenstarter

Beiträge: 13
#11 Scanning Report
Friday, January 25, 2008 16:10:56 - 18:08:04

Computer name: ROCKSTAR
Scanning type: Scan system for viruses, rootkits, spyware
Target: C:\ D:\ E:\ F:\
Result: 25 malware found
Tracking Cookie (spyware)

* System (Disinfected)
* System
* System
* System
* System
* System
* System
* System (Disinfected)
* System
* System
* System
* System
* System
* System
* System
* System
* System
* System
* System
* System
* System
* System
* System
* System
* System

Statistics
Scanned:

* Files: 30451
* System: 3637
* Not scanned: 3

Actions:

* Disinfected: 2
* Renamed: 0
* Deleted: 0
* None: 23
* Submitted: 0

Files not scanned:

* C:\PAGEFILE.SYS
* C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
* F:\EIGENE BILDER\BDB99F82257DB0E823AE378228E2\SPUNINST.EXE

Options
Scanning engines:

* F-Secure Libra: 2.4.2, 2008-01-24
* F-Secure AVP: 7.0.171, 2008-01-25
* F-Secure Orion: 1.2.37, 2008-01-25
* F-Secure Blacklight: 1.0.64
* F-Secure Draco: 1.0.35, 0597-150-72
* F-Secure Pegasus: 1.19.0, 2008-00-22

Scanning options:

* Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB BAT LNK ANI AVB CEO CMD LSP MAP MHT MIF PDF PHP POT WMF NWS TAR TGZ WSF ZL? {* ZIP JAR ARJ LZH TAR TGZ GZ CAB RAR BZ2 HQXSWF
* Use Advanced heuristics
Seitenanfang Seitenende
26.01.2008, 11:34
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#12 ««
Lade AVG - 30 Tage kostenlose testversion - scanne + kopiere hier den Scanreport
http://www.virus-protect.org/ewido.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
26.01.2008, 18:35
Member

Themenstarter

Beiträge: 13
#13 hi , hier ist der Berricht :

+ Scan-Ergebnis:



:mozilla.266:C:\Dokumente und Einstellungen\PayT\Anwendungsdaten\Mozilla\Firefox\Profiles\aupiq1xv.default\cookies.txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
:mozilla.267:C:\Dokumente und Einstellungen\PayT\Anwendungsdaten\Mozilla\Firefox\Profiles\aupiq1xv.default\cookies.txt


««
Seitenanfang Seitenende
26.01.2008, 20:39
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#14 ««
nur cookies .. du kannst sie mit dem Scanner löschen lassen
dann sollte wieder alles i.o. sein ;) - falls es noch Probleme geben sollte, melde dich.
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
27.01.2008, 00:46
Member

Themenstarter

Beiträge: 13
#15 Wow cool =D freue mich das man heutzutage noch so gute kostenlose Hilfe bekommen kann , werde euer Forum bei jeder Gelegenheit weiter empfehlen.
Vielen vielen Dank , Patrick
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: