Mein PC spinnt total!!

29.01.2008, 20:30

Pinguin

Ehrenmitglied

Beiträge: 1441

#16 klasse !!!!!!!!!!!!!!!

«
ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"

«
lade combofix neu
http://www.virus-protect.org/artikel/tools/combofix.html
nun poste das neue Log von Combofix zum Üperprüfen...
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

29.01.2008, 21:31

FresH

Member

Themenstarter

Beiträge: 23

#17 ComboFix 08-01-29.3 - Andre 2008-01-29 21:18:14.4 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.1.1252.1.1031.18.484 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Andre\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\pqstv.ini
C:\WINDOWS\system32\pqstv.ini2
C:\WINDOWS\system32\windows

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-28 bis 2008-01-29 ))))))))))))))))))))))))))))))
.

2008-01-28 18:19 . 2005-10-20 23:33 1,003,008 --a------ C:\WINDOWS\system32\esent.dll
2008-01-28 17:28 . 2008-01-29 17:37 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2008-01-28 17:13 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-01-28 17:10 . 2008-01-28 17:10 <DIR> d-------- C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\TuneUp Software
2008-01-28 17:09 . 2008-01-28 17:09 <DIR> d-------- C:\Programme\TuneUp Utilities 2007
2008-01-28 17:09 . 2008-01-28 17:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-01-28 17:09 . 2007-05-16 09:41 29,704 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-01-28 16:18 . 2004-07-01 23:08 360,448 --a--c--- C:\WINDOWS\system32\dllcache\qmgr.dll
2008-01-28 16:18 . 2004-07-01 23:08 331,776 --a------ C:\WINDOWS\system32\winhttp.dll
2008-01-28 16:18 . 2004-07-01 23:08 331,776 --a--c--- C:\WINDOWS\system32\dllcache\winhttp.dll
2008-01-28 16:18 . 2004-07-01 23:08 17,408 --a------ C:\WINDOWS\system32\qmgrprxy.dll
2008-01-28 16:18 . 2004-07-01 23:08 17,408 --a--c--- C:\WINDOWS\system32\dllcache\qmgrprxy.dll
2008-01-28 16:18 . 2004-07-01 23:08 7,680 -----c--- C:\WINDOWS\system32\dllcache\bitsprx2.dll
2008-01-28 16:18 . 2004-07-01 23:08 7,168 -----c--- C:\WINDOWS\system32\dllcache\bitsprx3.dll
2008-01-28 16:12 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-01-28 16:11 . 2007-07-30 19:19 216,408 --a------ C:\WINDOWS\system32\wuaucpl.cpl
2008-01-28 16:11 . 2007-07-30 19:18 34,136 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2008-01-28 16:11 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2008-01-28 16:11 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2008-01-28 16:11 . 2007-07-30 19:18 20,824 --a------ C:\WINDOWS\system32\wuaueng.dll.mui
2008-01-27 17:40 . 2008-01-27 19:01 <DIR> d-------- C:\The Queen
2008-01-24 19:36 . 2006-05-31 16:40 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-01-24 19:36 . 2004-09-16 07:42 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2008-01-24 19:36 . 2004-09-16 07:42 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-01-24 19:36 . 2008-01-29 17:33 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-01-24 19:36 . 2004-09-16 06:47 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-01-24 19:36 . 2004-09-16 06:47 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-01-24 19:36 . 2004-09-16 07:42 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-01-24 19:36 . 2004-09-16 06:47 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-01-23 00:12 . 2008-01-23 00:12 <DIR> d-------- C:\Programme\Dot1XCfg
2008-01-20 21:53 . 2008-01-29 16:27 <DIR> d-------- C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\skypePM
2008-01-20 21:53 . 2008-01-20 21:53 32 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-01-20 21:51 . 2008-01-20 21:51 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2007-12-30 18:20 . 2001-08-17 13:53 3,328 --a------ C:\WINDOWS\system32\drivers\qv2kux.sys
2007-12-30 18:20 . 2001-08-17 13:53 3,328 --a--c--- C:\WINDOWS\system32\dllcache\qv2kux.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-29 20:25 --------- d-----w C:\Programme\eScan
2008-01-29 15:36 --------- d-----w C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\Skype
2008-01-28 18:23 --------- d-----w C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\teamspeak2
2008-01-28 17:20 --------- d-----w C:\Programme\IGN
2008-01-28 17:19 --------- d-----w C:\Programme\Elaborate Bytes
2008-01-28 17:18 --------- d-----w C:\Programme\Moras
2008-01-28 16:27 --------- d-----w C:\Programme\Winamp
2008-01-28 16:27 --------- d-----w C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\Azureus
2008-01-28 16:13 --------- d-----w C:\Programme\Java
2008-01-28 16:08 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-01-26 09:52 --------- d-----w C:\Programme\World of Warcraft
2008-01-24 01:12 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-01-22 23:14 --------- d-----w C:\Programme\QuickTime
2008-01-22 23:14 --------- d-----w C:\Programme\iTunes
2008-01-22 23:13 --------- d-----w C:\Programme\Steam
2008-01-20 20:51 --------- d-----w C:\Programme\Skype
2008-01-12 20:49 --------- d-----w C:\Programme\mIRC
2007-12-10 14:56 --------- d-----w C:\Programme\Ventrilo
2007-12-01 08:34 --------- d-----w C:\Programme\Google
2006-05-22 00:01 4,948 -c--a-w C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\wklnhst.dat
2005-03-16 00:52 1,314 -c--a-w C:\Programme\test.txt
2005-06-10 18:29 104 -csh--r C:\WINDOWS\system32\6940A4ABD6.sys
.

Code

<pre>
----a-w         1,820,736 2008-01-28 18:22:22  C:\Programme\eScan\ESCANWIN .EXE
----a-w           132,496 2008-01-28 18:22:18  C:\Programme\Java\jre1.6.0_03\bin\jusched .exe
</pre>

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{57846E67-6812-4D58-90E6-86D92138CAA4}]
C:\WINDOWS\System32\vtsqp.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ESCANWIN"="C:\Programme\eScan\ESCANWIN.EXE" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2004-04-28 16:19 66048 C:\WINDOWS\SOUNDMAN.EXE]
"AtiPTA"="atiptaxx.exe" [2006-02-22 01:05 344064 C:\WINDOWS\system32\atiptaxx.exe]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2003-04-02 13:00 13312]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk
backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Andre^Startmenü^Programme^Autostart^Delta AutoLoad.lnk]
path=C:\Dokumente und Einstellungen\Andre\Startmenü\Programme\Autostart\Delta AutoLoad.lnk
backup=C:\WINDOWS\pss\Delta AutoLoad.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]
C:\Programme\ATI Technologies\ATI.ACE\cli.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FirstSteps]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]
--a--c--- 2003-04-02 13:00 208953 C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Works Update Detection]
-----c--- 2003-06-17 16:14 50688 C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Mirabilis ICQ]
C:\Program Files\ICQ\NDetect.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a--c--- 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a--c--- 2005-11-10 12:03 36975 C:\Programme\Java\jre1.5.0_06\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
C:\Programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Wizard]

R2 eScan-trayicos;eScan Server-Updater;C:\PROGRA~1\eScan\TRAYSSER.EXE [2004-05-11 01:53]
R2 ithsgt;ithsgt;C:\WINDOWS\System32\DRIVERS\ithsgt.sys [2005-10-04 19:23]
R2 KAVMonitorService;eScan Monitor Service;C:\PROGRA~1\eScan\avpm.exe [2003-12-24 17:16]
R2 lilsgt;lilsgt;C:\WINDOWS\System32\DRIVERS\lilsgt.sys [2005-10-04 19:23]
R2 MarxDev1;MarxDev1;C:\WINDOWS\System32\drivers\MarxDev1.sys [2001-05-28 15:30]
R2 MarxDev2;MarxDev2;C:\WINDOWS\System32\drivers\MarxDev2.sys [2001-05-28 15:30]
R2 MarxDev3;MarxDev3;C:\WINDOWS\System32\drivers\MarxDev3.sys [2001-05-28 15:30]
R2 SVKP;SVKP;C:\WINDOWS\System32\SVKP.sys [2004-10-26 00:07]
R2 Tdlpt;Tdlpt;C:\WINDOWS\System32\drivers\Tdlpt.sys [2001-10-16 11:58]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2003-04-02 13:00]
R3 LCcfltr;Logitech USB Filter Driver;C:\WINDOWS\System32\drivers\lccfltr.sys [2004-03-03 08:50]
R3 Razerlow;Razer Copperhead Driver;C:\WINDOWS\System32\Drivers\Razerlow.sys [2005-08-12 09:11]
S1 atitray;atitray;C:\Programme\Radeon Omega Drivers\v2.6.87\ATI Tray Tools\atitray.sys []
S3 gsplittm;gsplittm;C:\DOKUME~1\Andre\LOKALE~1\Temp\gsplittm.sys []
S3 k600bus;Sony Ericsson 600i driver (WDM);C:\WINDOWS\System32\DRIVERS\k600bus.sys [2005-05-11 12:12]
S3 k600mdfl;Sony Ericsson 600i USB WMC Modem Filter;C:\WINDOWS\System32\DRIVERS\k600mdfl.sys [2005-05-11 12:12]
S3 k600mdm;Sony Ericsson 600i USB WMC Modem Drivers;C:\WINDOWS\System32\DRIVERS\k600mdm.sys [2005-05-11 12:12]
S3 k600mgmt;Sony Ericsson 600i USB WMC Device Management Drivers;C:\WINDOWS\System32\DRIVERS\k600mgmt.sys [2005-05-11 12:12]
S3 k600obex;Sony Ericsson 600i USB WMC OBEX Interface Drivers;C:\WINDOWS\System32\DRIVERS\k600obex.sys [2005-05-11 12:12]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4c14ca84-3d65-11d9-b46e-00112f7b6dd7}]
\Shell\AutoRun\command - J:\RunGame.exe

.
Inhalt des "geplante Tasks" Ordners
"2008-01-28 16:10:35 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
"2008-01-18 08:22:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-29 21:25:19
Windows 5.1.2600 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\eScan\avpm.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\WINDOWS\System32\locator.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-01-29 21:30:10 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-29 20:30:06
ComboFix2.txt 2008-01-29 16:33:32
.
2008-01-29 14:11:09 --- E O F ---

29.01.2008, 21:53

Pinguin

Ehrenmitglied

Beiträge: 1441

#18 ««
kopiere das in den Avenger

Zitat

registry keys to delete:
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{57846E67-6812-4D58-90E6-86D92138CAA4}

Files to delete:
C:\WINDOWS\System32\vtsqp.dll

«
wende renv an - poste das log
http://www.virus-protect.org/artikel/tools/renvexe.html

»»
wende datfindbat an - poste alle logs hier ( 2 monate von jedem genuegen)
http://www.virus-protect.org/datfindbat.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

30.01.2008, 04:34

FresH

Member

Themenstarter

Beiträge: 23

#19 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\hgvnibms

*******************

Script file located at: \??\C:\fandwskc.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\System32\vtsqp.dll not found!
Deletion of file C:\WINDOWS\System32\vtsqp.dll failed!

Could not process line:
C:\WINDOWS\System32\vtsqp.dll
Status: 0xc0000034

Registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{57846E67-6812-4D58-90E6-86D92138CAA4} not found!
Deletion of registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{57846E67-6812-4D58-90E6-86D92138CAA4} failed!
Status: 0xc0000034

Completed script processing.

*******************

Finished! Terminate.

wende renv an - poste das log
http://www.virus-protect.org/artikel/tools/renvexe.html

Code

Ran on 30.01.2008 -  4:38:36,73

----a-w         1,820,736 2008-01-28 18:22:22  C:\Programme\eScan\ESCANWIN .EXE
----a-w           132,496 2008-01-28 18:22:18  C:\Programme\Java\jre1.6.0_03\bin\jusched .exe

 Entries:                2  (2)
 Directories:            0  Files:             2
 Bytes:          1,953,232  Blocks:        3,816

Und hier von Datfind

Datenträger in Laufwerk C: ist 53_01_33
Volumeseriennummer: 74FE-15C9

Verzeichnis von C:\WINDOWS\system32

29.01.2008 19:12 1.840 aockswre.txt
29.01.2008 03:34 325.912 FNTCACHE.DAT
29.01.2008 03:21 403.536 perfh009.dat
29.01.2008 03:21 63.934 perfc009.dat
29.01.2008 03:21 418.802 perfh007.dat
29.01.2008 03:21 76.946 perfc007.dat
29.01.2008 03:21 936.574 PerfStringBackup.INI
28.01.2008 17:13 5.628 jupdate-1.6.0_03-b05.log
02.01.2008 10:21 17.642.616 MRT.exe
28.10.2007 13:24 1.158 wpa.dbl

Dieser Beitrag wurde am 30.01.2008 um 04:41 Uhr von FresH editiert.

30.01.2008, 08:18

Pinguin

Ehrenmitglied

Beiträge: 1441

#20 FresH

0.
lade die sys hoch (kannst du von hier aus einkopieren - lasse sie prüfen - poste hier den Report
http://www.virustotal.com/de/

C:\Dokumente und Einstellungen\Andre\Lokale Einstellungen\Temp\gsplittm.sys

-----------------------------------------------------------------------

1.
Ziehe die erzeugte Reportdatei (Log.txt) auf RenV.exe

2.
ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"

3.
lade die combofix neu + poste den report
http://www.virus-protect.org/artikel/tools/combofix.html

4.
lade sdfix - im normalmodus - RunThis.bat doppelt klicken - schreibe 1 : es wird a-squared geladen
http://www.virus-protect.org/artikel/tools/sdfix.html

scanne + kopiere hier den scanreport
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1 2