"Dropper.Agent.dnu" nach mehreren Bereinigungsversuchen immer noch im System |
||
---|---|---|
#0
| ||
26.01.2008, 12:32
...neu hier
Beiträge: 6 |
||
|
||
26.01.2008, 13:12
Ehrenmitglied
Beiträge: 1441 |
#2
Hallo annajo
«« http://www.virus-protect.org/artikel/tools/regsearch.html «« und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) Microsoft cache control in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. «« in: "Enter search strings" (reinschreiben oder reinkopieren) MSControlService in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. «« in: "Enter search strings" (reinschreiben oder reinkopieren) dhlp in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. «« in: "Enter search strings" (reinschreiben oder reinkopieren) Tag74 in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. -------------- «« START - Ausführen - cmd - in das schwarze Fenster kopieren (einfügen) : Zitat regedit /e c:\key4.txt "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal"- kopiere den Inhalt der Textdatei hier __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
26.01.2008, 13:35
...neu hier
Themenstarter Beiträge: 6 |
#3
Hallo Pinguin,
danke für deine schnelle Hilfe. Gruß, Edwin Hier die gewünschen logs aus RegSearch "Microsoft cache control" -------------------------------------- Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.5.0 ; Results at 26.01.2008 13:26:48 for strings: ; 'microsoft cache control' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSCONTROLSERVICE\0000] "DeviceDesc"="Microsoft cache control" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MSControlService] "DisplayName"="Microsoft cache control" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Enum\Root\LEGACY_MSCONTROLSERVICE\0000] "DeviceDesc"="Microsoft cache control" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\MSControlService] "DisplayName"="Microsoft cache control" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSCONTROLSERVICE\0000] "DeviceDesc"="Microsoft cache control" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSControlService] "DisplayName"="Microsoft cache control" ; End Of The Log... ---------------------------------------- "MSControlService" --------------------------------------------- Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.5.0 ; Results at 26.01.2008 13:29:55 for strings: ; 'mscontrolservice' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSCONTROLSERVICE] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSCONTROLSERVICE\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSCONTROLSERVICE\0000] "Service"="MSControlService" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MSControlService] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MSControlService\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MSControlService\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MSControlService\Enum] "0"="Root\\LEGACY_MSCONTROLSERVICE\\0000" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Enum\Root\LEGACY_MSCONTROLSERVICE] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Enum\Root\LEGACY_MSCONTROLSERVICE\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Enum\Root\LEGACY_MSCONTROLSERVICE\0000] "Service"="MSControlService" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\MSControlService] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\MSControlService\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSCONTROLSERVICE] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSCONTROLSERVICE\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSCONTROLSERVICE\0000] "Service"="MSControlService" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSControlService] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSControlService\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSControlService\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSControlService\Enum] "0"="Root\\LEGACY_MSCONTROLSERVICE\\0000" ; End Of The Log... ----------------------------------------------------------- "dhlp" ------------------------------------------------------------ Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.5.0 ; Results at 26.01.2008 13:31:25 for strings: ; 'dhlp' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Software\RealNetworks\RealPlayer\6.0\Preferences\UpgrdHlpSatellite] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Software\RealNetworks\RealPlayer\6.0\Preferences\UpgrdHlpSatellite] @="C:\\Programme\\Real\\RealPlayer\\lang\\upgrdhlp_de.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Software\RealNetworks\Update\6.0\Preferences\Components\localisation_de:6.0\File35] @="C:\\Programme\\Real\\RealPlayer\\lang\\upgrdhlp_de.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Software\RealNetworks\Update\6.0\Preferences\Components\localisation_de:6.0\Reg1] @="-2147483648|Software\\RealNetworks\\Update\\6.0\\Preferences\\UpgrdHlpSatellite" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Software\RealNetworks\Update\6.0\Preferences\Components\localisation_de:6.0\Reg2] @="-2147483648|Software\\RealNetworks\\RealPlayer\\6.0\\Preferences\\UpgrdHlpSatellite" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Software\RealNetworks\Update\6.0\Preferences\Components\Update:7.0\File4] @="C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\upgrdhlp.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Software\RealNetworks\Update\6.0\Preferences\UpgrdHlpSatellite] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Software\RealNetworks\Update\6.0\Preferences\UpgrdHlpSatellite] @="C:\\Programme\\Real\\RealPlayer\\lang\\upgrdhlp_de.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls] "C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\upgrdhlp.exe"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DHLP] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DHLP\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DHLP\0000] "Service"="dhlp" "DeviceDesc"="dhlp" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DHLP\0000\Control] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DHLP\0000\Control] "ActiveService"="dhlp" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dhlp] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dhlp] ; Contents of value: ; System32\Drivers\dhlp.sys "ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\ 72,00,69,00,76,00,65,00,72,00,73,00,5c,00,64,00,68,00,6c,00,70,00,2e,00,73,\ 00,79,00,73,00,00,00 "DisplayName"="dhlp" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dhlp\blocked] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dhlp\log] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dhlp\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dhlp\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dhlp\Enum] "0"="Root\\LEGACY_DHLP\\0000" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Enum\Root\LEGACY_DHLP] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Enum\Root\LEGACY_DHLP\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Enum\Root\LEGACY_DHLP\0000] "Service"="dhlp" "DeviceDesc"="dhlp" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\dhlp] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\dhlp] ; Contents of value: ; System32\Drivers\dhlp.sys "ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\ 72,00,69,00,76,00,65,00,72,00,73,00,5c,00,64,00,68,00,6c,00,70,00,2e,00,73,\ 00,79,00,73,00,00,00 "DisplayName"="dhlp" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\dhlp\blocked] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\dhlp\log] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\dhlp\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DHLP] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DHLP\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DHLP\0000] "Service"="dhlp" "DeviceDesc"="dhlp" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DHLP\0000\Control] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DHLP\0000\Control] "ActiveService"="dhlp" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dhlp] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dhlp] ; Contents of value: ; System32\Drivers\dhlp.sys "ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\ 72,00,69,00,76,00,65,00,72,00,73,00,5c,00,64,00,68,00,6c,00,70,00,2e,00,73,\ 00,79,00,73,00,00,00 "DisplayName"="dhlp" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dhlp\blocked] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dhlp\log] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dhlp\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dhlp\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dhlp\Enum] "0"="Root\\LEGACY_DHLP\\0000" ------------------------------------------------------------------------ "Tag74" ------------------------------------------------------------------------ Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.5.0 ; Results at 26.01.2008 13:32:30 for strings: ; 'tag74' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\Tag74.sys] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Tag74.sys] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TAG74] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TAG74\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TAG74\0000] "Service"="Tag74" "DeviceDesc"="Tag74" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TAG74\0000\LogConf] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TAG74\0000\Control] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TAG74\0000\Control] "ActiveService"="Tag74" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tag74] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tag74] ; Contents of value: ; System32\Drivers\Tag74.sys "ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\ 72,00,69,00,76,00,65,00,72,00,73,00,5c,00,54,00,61,00,67,00,37,00,34,00,2e,\ 00,73,00,79,00,73,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tag74\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tag74\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tag74\Enum] "0"="Root\\LEGACY_TAG74\\0000" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tag74] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tag74] ; Contents of value: ; System32\Drivers\Tag74.sys "ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\ 72,00,69,00,76,00,65,00,72,00,73,00,5c,00,54,00,61,00,67,00,37,00,34,00,2e,\ 00,73,00,79,00,73,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tag74\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tag74] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tag74] ; Contents of value: ; System32\Drivers\Tag74.sys "ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\ 72,00,69,00,76,00,65,00,72,00,73,00,5c,00,54,00,61,00,67,00,37,00,34,00,2e,\ 00,73,00,79,00,73,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tag74\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Tag74] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Tag74] ; Contents of value: ; System32\Drivers\Tag74.sys "ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\ 72,00,69,00,76,00,65,00,72,00,73,00,5c,00,54,00,61,00,67,00,37,00,34,00,2e,\ 00,73,00,79,00,73,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Tag74\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Control\SafeBoot\Minimal\Tag74.sys] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Control\SafeBoot\Network\Tag74.sys] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Enum\Root\LEGACY_TAG74] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Enum\Root\LEGACY_TAG74\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Enum\Root\LEGACY_TAG74\0000] "Service"="Tag74" "DeviceDesc"="Tag74" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Enum\Root\LEGACY_TAG74\0000\LogConf] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\Tag74] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\Tag74] ; Contents of value: ; System32\Drivers\Tag74.sys "ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\ 72,00,69,00,76,00,65,00,72,00,73,00,5c,00,54,00,61,00,67,00,37,00,34,00,2e,\ 00,73,00,79,00,73,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\Tag74\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Tag74.sys] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Tag74.sys] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TAG74] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TAG74\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TAG74\0000] "Service"="Tag74" "DeviceDesc"="Tag74" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TAG74\0000\LogConf] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TAG74\0000\Control] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TAG74\0000\Control] "ActiveService"="Tag74" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tag74] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tag74] ; Contents of value: ; System32\Drivers\Tag74.sys "ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\ 72,00,69,00,76,00,65,00,72,00,73,00,5c,00,54,00,61,00,67,00,37,00,34,00,2e,\ 00,73,00,79,00,73,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tag74\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tag74\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tag74\Enum] "0"="Root\\LEGACY_TAG74\\0000" ; End Of The Log... ------------------------------------------------------------------------- Aus regedit key4: ------------------------------------------------------------------------- Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AppMgmt] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AVG Anti-Spyware Driver] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AVG Anti-Spyware Guard] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Base] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot Bus Extender] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot file system] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CryptSvc] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\DcomLaunch] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmadmin] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmboot.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmio.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmload.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmserver] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\EventLog] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Filter] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HelpSvc] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Netlogon] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PCI Configuration] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PlugPlay] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PNP Filter] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Primary disk] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\RpcSs] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SCSI Class] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sermouse.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys] @="FSFilter System Recovery" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SRService] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\System Bus Extender] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Tag74.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vga.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinMgmt] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\xxx] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{36FC9E60-C465-11CF-8056-444553540000}] @="Universal Serial Bus controllers" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E965-E325-11CE-BFC1-08002BE10318}] @="CD-ROM Drive" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}] @="DiskDrive" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E969-E325-11CE-BFC1-08002BE10318}] @="Standard floppy disk controller" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}] @="Hdc" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}] @="Keyboard" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}] @="Mouse" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E977-E325-11CE-BFC1-08002BE10318}] @="PCMCIA Adapters" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97B-E325-11CE-BFC1-08002BE10318}] @="SCSIAdapter" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}] @="System" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E980-E325-11CE-BFC1-08002BE10318}] @="Floppy disk drive" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}] @="Volume" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}] @="Human Interface Devices" ------------------------------------------------------------------------- Dieser Beitrag wurde am 26.01.2008 um 13:40 Uhr von annajo editiert.
|
|
|
||
26.01.2008, 14:15
Ehrenmitglied
Beiträge: 1441 |
#4
lade die sys hoch (kannst du von hiewr aus einkopieren) - poste die reporte
http://www.virustotal.com/de/ C:\WINDOWS\system32\drivers\dhlp.sys C:\WINDOWS\system32\drivers\Tag74.sys « __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
26.01.2008, 14:35
...neu hier
Themenstarter Beiträge: 6 |
#5
Hallo Pinguin,
hier der Output von http://www.virustotal.com/de/ für dhlp.sys --------------------------------------------------------- Datei dhlp.sys empfangen 2008.01.26 14:21:10 (CET) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.1.26.10 2008.01.25 - AntiVir 7.6.0.53 2008.01.25 PHISH/FraudTool.BestSeller.A.7 Authentium 4.93.8 2008.01.26 - Avast 4.7.1098.0 2008.01.25 - AVG 7.5.0.516 2008.01.25 - BitDefender 7.2 2008.01.26 - CAT-QuickHeal 9.00 2008.01.25 FraudTool.BestSeller.a (Not a Virus) ClamAV 0.91.2 2008.01.26 - DrWeb 4.44.0.09170 2008.01.26 - eSafe 7.0.15.0 2008.01.16 FraudTool.Win32.Best eTrust-Vet 31.3.5486 2008.01.26 - Ewido 4.0 2008.01.25 - FileAdvisor 1 2008.01.26 - Fortinet 3.14.0.0 2008.01.26 Misc/BestSeller F-Prot 4.4.2.54 2008.01.25 - F-Secure 6.70.13260.0 2008.01.26 - Ikarus T3.1.1.20 2008.01.26 not-a-virus:.FraudTool.Win32.BestSeller.a Kaspersky 7.0.0.125 2008.01.26 not-a-virus:FraudTool.Win32.BestSeller.a McAfee 5216 2008.01.26 - Microsoft 1.3109 2008.01.26 Program:Win32/WinFixer NOD32v2 2824 2008.01.26 Win32/Adware.AVSystemCare Norman 5.80.02 2008.01.24 - Panda 9.0.0.4 2008.01.26 - Prevx1 V2 2008.01.26 Win32.Rootkit.Gen Rising 20.28.52.00 2008.01.26 - Sophos 4.25.0 2008.01.26 - Sunbelt 2.2.907.0 2008.01.25 - TheHacker 6.2.9.198 2008.01.25 Aplicacion/BestSeller.a VBA32 3.12.2.5 2008.01.21 - VirusBuster 4.3.26:9 2008.01.25 - Webwasher-Gateway 6.6.2 2008.01.26 Win32.Malware.gen!80 (suspicious) ---------------------------------------------------------------- Ich habe mehrmals versucht "Tag74.sys" hochzuladen, wenn das Hochladen startet bekomme ich eine Seite mit folgendem eintrag: "0 bytes size received / Se ha recibido un archivo vacio" Wenn ich versuche die Datei zu kopieren, bekomme ich immer eine Zugriffsverweigerungsmeldung Auch im abgesicherten Modus komme ich nicht an die Datei Edwin Dieser Beitrag wurde am 26.01.2008 um 14:54 Uhr von annajo editiert.
|
|
|
||
26.01.2008, 14:59
Ehrenmitglied
Beiträge: 1441 |
#6
rootkits
nun mal schauen, ob du ums Formatieren drumrumkommst... F-Secure BlackLight http://www.f-secure.com/security_center/ Downloads BlackLight – Rootkit Detection and Elimination Tool doppelklick: fsbl.exe Check nun findet man eine Log-Datei(txt) auf dem Desktop - poste sie hier __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
26.01.2008, 16:20
...neu hier
Themenstarter Beiträge: 6 |
#7
Hi Pinguin,
habe auf der von dir angegebenen seite nur ein "BlackLight – Rootkit - eliminator" gefunden, gestartet wir er mit einem Button "Scan" die EXE heisst aber auch "fsbl.exe". Habe ich durchlaufen lassen - leider ohne Ergebnis Ich lade mir jetzt noch von dort "F-Secure Internet Security 2008" ergebisse werde ich hier posten Danke, Edwin Dieser Beitrag wurde am 26.01.2008 um 16:30 Uhr von annajo editiert.
|
|
|
||
26.01.2008, 20:56
Ehrenmitglied
Beiträge: 1441 |
#8
annajo
Fortinet 3.14.0.0 2008.01.26 Misc/BestSeller F-Prot 4.4.2.54 2008.01.25 - F-Secure 6.70.13260.0 2008.01.26 - Ikarus T3.1.1.20 2008.01.26 not-a-virus:.FraudTool.Win32.BestSeller.a Kaspersky 7.0.0.125 2008.01.26 not-a-virus:FraudTool.Win32.BestSeller.a F-Secure - ist keine gute Idee...Scanner erkennt die Viren nicht !!! ---------------------------------------------------------------------------- Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden. Zitat KILLALL::------------- boote in den abgesicherten Modus !!! - F8 drücken, wenn der Rechner hochfährt --------------------------------------------------------------------------- cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen danach: Combofix noch einmal anwenden - tippe 1 »» boote wieder in den normalmodus - poste den neuen Report von Combofix ----------- «« scanne im abgesicherten Modus mit kaspersky - berichte !!! http://www.virus-protect.org/artikel/tools/kaspersky.html __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
27.01.2008, 08:59
...neu hier
Themenstarter Beiträge: 6 |
#9
Hallo Pinguin,
ich habe, wie in meinem letzten Post: "Ich lade mir jetzt noch von dort "F-Secure Internet Security 2008" ergebisse werde ich hier posten" vermerkt, F-Secure runter geladen und ausgeführt. Leider hat dies beim Booten des rechners zu einem Problem geführt, der Rechner lies sich nicht mehr normaö booten, nur noch im abgesicherten Modus. Ich habe dann mein letztes Post bearbeitet und und wollte dir darin mitteilen, dass ich meinen rechner platt machen wewrden. Leider ging diese Bearbeitung nicht an den Server durch, so das du diese Info nicht gesehen hast. Mittlerweile habe ich den Rechner neu aufgesetzt, was im endeffekt weniger Arbeit war, als den dem Rootkits zu suchen. Nun ich denke, jetzt bin ich fehlerfrei. Eine Bitte habe ich noch, kannst du mir ein Antivirus-Programm und ein Anti-Spy-Programm empfehlen, kann auch Kaufsoftware sein. Nochmals vielen, vielen Dank für deine Deine hilfe. Mancher profesionneller Support ist nicht so schnell und kompetent. Gruß, edwin schäfer |
|
|
||
27.01.2008, 09:31
Ehrenmitglied
Beiträge: 6028 |
#10
Morgen,Edwin
Versuch versionen kann man sich immer runterladen http://www.eset.com/ NOD32 neuerster version findet man hier Download http://download1.eset.com/eval/win/eav/eav_nt32_enu.msi Eset Smart Security (mit Spamfilter und firewall) Download http://download1.eset.com/eval/win/ess/ess_nt32_enu.msi Selber benutze ich eScan VC (mit Spamfilter) http://www.mwti.net/products/escan/escan_viruscontrol/escanviruscontrol_download.asp __________ MfG Argus |
|
|
||
27.01.2008, 12:25
Ehrenmitglied
Beiträge: 1441 |
#11
Hallo
«« ich empfehle Kaspersky http://www.virus-protect.org/antivirshare.html kannst du erstmal 14 Tage testen, und dich dann entscheiden. «« Spyware/Adware die neue Version (kostenpflichtig oder kostenlos) von AdAware http://www.virus-protect.org/adaware.html Windows Live OneCare - 90 Tage free http://www.virus-protect.org/artikel/tools/windowslivesafetycenter.html http://www.virus-protect.org/antivirhare1.html __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
27.01.2008, 15:19
...neu hier
Themenstarter Beiträge: 6 |
#12
Hi Pinguin,
ich habe mich vorerst mal für die beiden ersten entschieden. Ich werde mal die Trailversionen einsetzten und mich später entsprechend entscheiden. Danke für deine Hilfe. Gruß, Edwin |
|
|
||
mein Rechner war sehr heftig mit Viren und Malware befallen.
Ich habe hier aus dem Forum einige Rezepte abgearbeitet und konnte auch einiges entfernen.
Danach habe ich "AVG 7.1" und "AVG Anti-Spyware" installiert.
Nach einem Reboot und Anmelden, meldet mir "AVG Anti-Spyware":
-----
Malware gefunden: Dropper.Agent.dnu
Speicherort: C:\WINDOWS\TEMP\BNX.tmp
-----
Wobei das "X" in BNX.tmp eine Ziffer ist und nach einem Reboot immer eine andere.
Eigentlich möchte ich diesen Dropperentfernen, weiß aber nicht, wo ich ansetzen muss.
Bitte um Hilfe von einem Spezialisten hier im Forum.
Im voraus schon mal vielen Dank,
Edwin Schäfer
Hier die Abarbeitungsliste mit den Logs:
1. Datenträgerbereinigung aus Windows
2. ComboFix:
============================================================
ComboFix 08-01-23.1C - Edwin 2008-01-26 12:03:49.8 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1563 [GMT 1:00]
ausgeführt von:: E:\tmp\ComboFix.exe
[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.
(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\drivers\smtpdrv.sys
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\LEGACY_SMTPDRV
-------\smtpdrv
((((((((((((((((((((((( Dateien erstellt von 2007-12-26 bis 2008-01-26 ))))))))))))))))))))))))))))))
.
2008-01-26 10:56 . 2008-01-26 10:56 <DIR> d-------- C:\Programme\1&1 Internet
2008-01-25 22:28 . 2008-01-25 22:29 <DIR> d-------- C:\Spybotsd15
2008-01-25 21:41 . 2008-01-25 23:21 <DIR> d-------- C:\HijackThis
2008-01-25 20:29 . 2008-01-25 20:29 <DIR> d-------- C:\VundoFix Backups
2008-01-24 23:14 . 2008-01-25 20:16 1,046 --a------ C:\WINDOWS\system32\tmp.reg
2008-01-23 23:51 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2008-01-23 21:33 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\Nircmd.exe
2008-01-23 21:12 . 2004-05-13 00:39 876,653 --a--c--- C:\WINDOWS\system32\dllcache\fp4awel.dll
2008-01-23 20:59 . 2004-08-04 13:00 1,899,936 --a--c--- C:\WINDOWS\system32\dllcache\NT5.CAT
2008-01-23 18:45 . 2005-09-30 13:51 202,240 -ra------ C:\WINDOWS\system32\SET8A.tmp
2008-01-23 00:27 . 2008-01-23 23:19 <DIR> d-------- C:\Programme\a-squared Anti-Malware
2008-01-21 18:11 . 2008-01-21 18:11 46,592 --a------ C:\WINDOWS\system32\drivers\dhlp.sys
2008-01-21 13:59 . 2008-01-21 13:59 54,764 --a------ C:\WINDOWS\system32\drivers\astq.tga
2008-01-21 13:59 . 2008-01-26 11:40 25,984 --a------ C:\WINDOWS\system32\drivers\Tag74.sys
2008-01-20 22:03 . 2008-01-04 22:58 120,056 --a------ C:\WINDOWS\system32\pxcpyi64.exe
2008-01-20 22:02 . 2008-01-25 20:09 <DIR> d-------- C:\Programme\DivX
2008-01-17 21:31 . 2006-10-03 14:33 462,848 --a------ C:\WINDOWS\system32\lame_enc.dll
2008-01-17 20:46 . 2008-01-17 21:31 <DIR> d-------- C:\Programme\Exact Audio Copy
2008-01-11 01:29 . 2008-01-11 01:29 54,608 --a------ C:\WINDOWS\system32\xfcodec.dll
2008-01-08 17:48 . 2008-01-23 23:19 <DIR> d-------- C:\Programme\free-downloads.net
2008-01-08 17:45 . 2008-01-08 17:45 715,248 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2008-01-06 09:11 . 2008-01-06 09:11 30,168 --a------ C:\WINDOWS\system32\drivers\USBkey.sys
2008-01-06 09:11 . 2008-01-06 09:11 28,672 --a------ C:\WINDOWS\system32\KL2DLL32.DLL
2008-01-06 09:11 . 2008-01-06 09:11 24,136 --a------ C:\WINDOWS\system32\ppmon.exe
2008-01-06 09:11 . 2008-01-06 09:11 8,968 --a------ C:\WINDOWS\system32\KL2DLL.DLL
2008-01-06 09:11 . 2008-01-06 09:11 7,440 --a------ C:\WINDOWS\system32\ppmon.dll
2008-01-04 22:56 . 2008-01-04 22:56 156,992 --a------ C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-01-04 22:56 . 2008-01-04 22:56 3,136 --a------ C:\WINDOWS\system32\dtu_de.qm
2008-01-02 07:03 . 2008-01-03 22:35 <DIR> d-------- C:\Hornresp
2008-01-01 15:41 . 2008-01-01 15:41 <DIR> d-------- C:\Programme\ASCON
2008-01-01 07:32 . 2008-01-05 05:27 <DIR> d-------- C:\Programme\Winamp Remote
2007-12-30 18:56 . 2007-12-30 18:56 <DIR> d-------- C:\Programme\Replay Media Catcher
2007-12-30 18:56 . 2007-12-30 18:56 2,293,848 --a------ C:\Programme\FLV PlayerFCSetup.exe
2007-12-30 18:55 . 2007-12-30 18:56 3,928,264 --a------ C:\Programme\FLV PlayerRCATSetup.exe
2007-12-30 18:55 . 2007-12-30 18:55 411,248 --a------ C:\Programme\FLV PlayerRCSetup.exe
2007-12-30 18:54 . 2007-12-30 18:54 <DIR> d-------- C:\WINDOWS\Applian FLV Player
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-26 10:18 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-01-25 23:05 --------- d-----w C:\Programme\Winamp
2008-01-25 19:11 --------- d-----w C:\Programme\EA Games
2008-01-24 21:25 --------- d-----w C:\Programme\iTunes
2008-01-23 22:17 --------- d-----w C:\Programme\Gemeinsame Dateien\AVSMedia
2008-01-23 22:17 --------- d-----w C:\Programme\AVS4YOU
2008-01-23 22:15 --------- d-----w C:\Programme\Google
2008-01-23 22:12 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-01-23 22:07 --------- d-----w C:\Programme\Zylom Games
2008-01-23 21:50 --------- d-----w C:\Programme\ICQ6
2008-01-21 22:32 --------- d-----w C:\Programme\QuickTime
2008-01-18 22:15 --------- d-----w C:\Programme\Magic MP3 Tagger
2008-01-02 21:21 --------- d-----w C:\Programme\WinBoxSimu 1.6 Rev.13 Freeware-Editon
2007-12-24 13:07 74,752 ----a-w C:\WINDOWS\ST6UNST.EXE
2007-12-24 13:07 253,952 ----a-w C:\WINDOWS\Setup1.exe
2007-12-05 11:10 --------- d-----w C:\Programme\Happyneuron
2007-02-15 10:08 1,504 ----a-w C:\Programme\SavedGame.dat
2007-01-09 09:30 774,144 ----a-w C:\Programme\RngInterstitial.dll
2003-08-03 16:18 329 ----a-w C:\Programme\Versionsinformation.txt
2003-08-03 16:15 868,352 ----a-w C:\Programme\AudioCenter.exe
2003-06-12 09:42 547 ----a-w C:\Programme\RADIO.INI
2003-06-12 09:39 15 ----a-w C:\Programme\KEY.INI
2003-06-12 09:14 547 ----a-w C:\Programme\DEFAULTRADIO.INI
2003-06-09 11:20 1,884 ----a-w C:\Programme\AudioCenter.res
2003-04-18 15:04 342 ----a-w C:\Programme\AudioCenter.cfg
2002-10-25 23:08 46,596 ----a-w C:\Programme\basswma.dll
2005-05-13 15:12 217,073 --sha-r C:\WINDOWS\meta4.exe
2005-10-24 09:13 66,560 --sha-r C:\WINDOWS\MOTA113.exe
2005-10-13 19:27 422,400 --sha-r C:\WINDOWS\x2.64.exe
2005-10-07 17:14 308,224 --sha-r C:\WINDOWS\system32\avisynth.dll
2005-07-14 10:31 27,648 --sha-r C:\WINDOWS\system32\AVSredirect.dll
2005-06-26 13:32 616,448 --sha-r C:\WINDOWS\system32\cygwin1.dll
2005-06-21 20:37 45,568 --sha-r C:\WINDOWS\system32\cygz.dll
2004-01-24 22:00 70,656 --sha-r C:\WINDOWS\system32\i420vfw.dll
2006-04-27 08:24 2,945,024 --sha-r C:\WINDOWS\system32\Smab.dll
2005-02-28 11:16 240,128 --sha-r C:\WINDOWS\system32\x.264.exe
2004-01-24 22:00 70,656 --sha-r C:\WINDOWS\system32\yv12vfw.dll
.
((((((((((((((((((((((((((((( snapshot@2008-01-25_21.14.12.20 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-01-25 22:41:20 821,856 ----a-w C:\WINDOWS\system32\drivers\avg7core.sys
+ 2008-01-25 22:41:25 4,224 ----a-w C:\WINDOWS\system32\drivers\avg7rsw.sys
+ 2008-01-25 22:41:26 27,776 ----a-w C:\WINDOWS\system32\drivers\avg7rsxp.sys
+ 2008-01-25 22:41:26 10,760 ----a-w C:\WINDOWS\system32\drivers\avgclean.sys
+ 2008-01-25 22:41:26 26,952 ----a-w C:\WINDOWS\system32\drivers\avgmfx86.sys
+ 2008-01-25 22:41:26 4,960 ----a-w C:\WINDOWS\system32\drivers\avgtdi.sys
- 2008-01-25 19:57:38 75,200 ----a-w C:\WINDOWS\system32\perfc007.dat
+ 2008-01-26 11:06:21 75,200 ----a-w C:\WINDOWS\system32\perfc007.dat
- 2008-01-25 19:57:38 62,480 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-01-26 11:06:21 62,480 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-01-25 19:57:38 415,800 ----a-w C:\WINDOWS\system32\perfh007.dat
+ 2008-01-26 11:06:21 415,800 ----a-w C:\WINDOWS\system32\perfh007.dat
- 2008-01-25 19:57:38 401,200 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-01-26 11:06:21 401,200 ----a-w C:\WINDOWS\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [ ]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-01-05 10:31 7323648]
"!AVG Anti-Spyware"="C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25 6731312]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-01-25 23:41 579072]
"VirtuDrive"="C:\Programme\1&1 Internet\VirtuDrive\VirtuDrv.Exe" [2001-03-16 17:20 1127424]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2008-01-25 23:41 219136]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"= 0 (0x0)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Tag74.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\xxx]
@="Driver"
R0 dhlp;dhlp;C:\WINDOWS\system32\Drivers\dhlp.sys [2008-01-21 18:11]
R0 Tag74;Tag74;C:\WINDOWS\system32\Drivers\Tag74.sys [2008-01-26 11:40]
R1 Cinemsup;Cinemsup;C:\WINDOWS\system32\drivers\Cinemsup.sys [2002-07-19 07:10]
R3 AVMDSLPPPOE;AVM DSL PPPoE CAPI-Treiber;C:\WINDOWS\system32\DRIVERS\avmdsloe.sys [2003-01-24 02:00]
R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmndsl.sys [2003-01-24 02:00]
R3 SKYNET;TechniSat DVB-PC TV Star PCI;C:\WINDOWS\system32\DRIVERS\SkyNET.SYS [2005-09-29 11:28]
S3 FDSSBASE;AVM FRITZ!Card DSL SL (WinXP/2000);C:\WINDOWS\system32\DRIVERS\fdssbase.sys [2003-01-24 02:00]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Programme\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 14:18]
S3 MSControlService;Microsoft cache control;C:\WINDOWS\system32\windows []
S3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [2005-03-04 11:35]
S3 p2pgasvc;Peernetzwerk-Gruppenauthentifizierung;C:\WINDOWS\system32\svchost.exe [2004-08-04 13:00]
S3 p2pimsvc;Peernetzwerkidentitäts-Manager;C:\WINDOWS\system32\svchost.exe [2004-08-04 13:00]
S3 p2psvc;Peernetzwerk;C:\WINDOWS\system32\svchost.exe [2004-08-04 13:00]
S3 PNRPSvc;Peer Name Resolution-Protokoll;C:\WINDOWS\system32\svchost.exe [2004-08-04 13:00]
S3 vncdrv;vncdrv;C:\WINDOWS\system32\DRIVERS\vncdrv.sys [2005-03-03 00:14]
S4 PanelSvc;PanelSvc;"C:\Programme\Meinungsstudie\PanelApp\PanelSvc.exe" []
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-26 12:10:07
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Eintr„ge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
Zeit der Fertigstellung: 2008-01-26 12:13:22 - machine was rebooted [Edwin]
ComboFix-quarantined-files.txt 2008-01-26 11:13:19
.
2008-01-25 23:09:05 --- E O F ---
===========================================================================
3. HiJackThis
=========================================================================================
Logfile of HijackThis v1.99.1
Scan saved at 12:17:03, on 26.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programme\1&1 Internet\VirtuDrive\VirtuDrv.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\HJT\HJT.exe
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [VirtuDrive] C:\Programme\1&1 Internet\VirtuDrive\VirtuDrv.Exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Startup: Winamp.lnk = C:\Programme\Winamp\winamp.exe
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNfox000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - C:\WINDOWS\system32\windows (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - E:\Johannes\Alcohol 120\StarWind\StarWindServiceAE.exe (file missing)
===========================================================================