TR/Vundo.Gen kann nicht gelöscht werden |
||
---|---|---|
#0
| ||
29.01.2008, 20:37
Member
Beiträge: 11 |
||
|
||
29.01.2008, 20:59
Ehrenmitglied
Beiträge: 1441 |
#2
Snewi
1. suche diese ini - mit Rechtklick + mit dem Texteditor öffnen - poste hier, was erscheint C:\WINDOWS\wininit.ini C:\WINDOWS\system.ini C:\WINDOWS\win.ini ------------------------------------------------------------- 2. Avenger http://www.virus-protect.org/artikel/tools/avenger.html Input script manually (anhaken) die "Lupe" rechts anklicken - View/edit script (wird sich öffnen) kopiere rein: Zitat Files to delete:Klicke die grüne Ampel - das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten poste das Log vom Avenger, was nach Neustart erscheint 3. poste hier das Log von Combofix http://www.virus-protect.org/artikel/tools/combofix.html __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
29.01.2008, 21:45
Member
Themenstarter Beiträge: 11 |
#3
Hallo
zu 1: wininit.ini [rename] c:\tempjunk2430.tmp=C:\WINDOWS\system32\byxwt.dll_tobedeleted nul=c:\tempjunk7200.tmp c:\tempjunk143.tmp=C:\WINDOWS\system32\byxwt.dll_tobedeleted c:\tempjunk8003.tmp=C:\WINDOWS\system32\byxwt.dll_tobedeleted c:\tempjunk7200.tmp=C:\WINDOWS\system32\byxwt.dll_tobedeleted zu 1: system.ini ; for 16-bit app support [drivers] wave=mmdrv.dll timer=timer.drv [mci] [driver32] [386enh] woafont=app850.FON EGA80WOA.FON=EGA80850.FON EGA40WOA.FON=EGA40850.FON CGA80WOA.FON=CGA80850.FON CGA40WOA.FON=CGA40850.FON zu 1: win.ini ; for 16-bit app support [fonts] [extensions] [mci extensions] [files] [Mail] MAPI=1 CMCDLLNAME32=mapi32.dll CMCDLLNAME=mapi.dll CMC=1 MAPIX=1 MAPIXVER=1.0.0.1 OLEMessaging=1 [MCI Extensions.BAK] aif=MPEGVideo aifc=MPEGVideo aiff=MPEGVideo asf=MPEGVideo asx=MPEGVideo au=MPEGVideo m1v=MPEGVideo m3u=MPEGVideo mp2=MPEGVideo mp2v=MPEGVideo mp3=MPEGVideo mpa=MPEGVideo mpe=MPEGVideo mpeg=MPEGVideo mpg=MPEGVideo mpv2=MPEGVideo snd=MPEGVideo wax=MPEGVideo wm=MPEGVideo wma=MPEGVideo wmv=MPEGVideo wmx=MPEGVideo wvx=MPEGVideo zu 2: avenger Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\rsxjskow ******************* Script file located at: \??\C:\WINDOWS\nwltqlcn.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\pyxfccft.ini deleted successfully. File C:\WINDOWS\system32\ihvyhwlm.ini deleted successfully. File C:\WINDOWS\system32\agqyssyv.ini deleted successfully. File C:\WINDOWS\system32\fgrfwvqu.ini deleted successfully. File C:\WINDOWS\system32\mlgdvaoo.ini deleted successfully. File C:\WINDOWS\system32\dvbbbseu.ini deleted successfully. File C:\WINDOWS\system32\gnxbevxt.ini deleted successfully. File C:\WINDOWS\system32\xybrxsvs.ini deleted successfully. File C:\WINDOWS\system32\ttdsustw.ini deleted successfully. File C:\WINDOWS\system32\qncnkatq.ini deleted successfully. File C:\WINDOWS\system32\msdfmap.dll deleted successfully. File C:\WINDOWS\system32\csrcli32.dll not found! Deletion of file C:\WINDOWS\system32\csrcli32.dll failed! Could not process line: C:\WINDOWS\system32\csrcli32.dll Status: 0xc0000034 File C:\WINDOWS\system32\ukdjmyiw.ini deleted successfully. File C:\WINDOWS\system32\mcrh.tmp deleted successfully. File C:\WINDOWS\system32\prdhtchi.ini deleted successfully. File C:\WINDOWS\system32\otswavun.ini deleted successfully. File C:\WINDOWS\system32\icdyjdty.ini deleted successfully. File C:\WINDOWS\system32\rtjpekqi.ini deleted successfully. File C:\WINDOWS\system32\wfistqer.ini deleted successfully. File C:\WINDOWS\system32\utdtpowk.ini deleted successfully. File C:\WINDOWS\system32\vwmyejwk.ini deleted successfully. File C:\WINDOWS\system32\uefveweu.ini deleted successfully. File C:\WINDOWS\system32\qkllltxs.ini deleted successfully. File C:\WINDOWS\system32\afruaakq.ini deleted successfully. File C:\WINDOWS\system32\hxrasvir.ini deleted successfully. File C:\WINDOWS\system32\tuvvwwx.dll deleted successfully. Completed script processing. ******************* Finished! Terminate. zu 3: combofix ComboFix 08-01-29.3 - Andreas 2008-01-29 21:35:47.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.717 [GMT 1:00] ausgeführt von:: Z:\Security\ComboFix.exe [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\cookies.ini C:\WINDOWS\system32\edwcdbry.ini C:\WINDOWS\system32\FTPx.dll C:\WINDOWS\system32\MabryObj.dll . ((((((((((((((((((((((( Dateien erstellt von 2007-12-28 bis 2008-01-29 )))))))))))))))))))))))))))))) . 2008-01-29 20:18 . 2008-01-29 20:20 2,578 --a------ C:\WINDOWS\system32\tmp.reg 2008-01-28 01:21 . 2008-01-28 01:21 <DIR> d-------- C:\WINDOWS\system32\xircom 2008-01-28 01:21 . 2008-01-28 01:21 <DIR> d-------- C:\WINDOWS\system32\restore 2008-01-28 00:50 . 2008-01-28 01:30 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-01-27 23:53 . 2008-01-28 00:30 <DIR> d-------- C:\VundoFix Backups 2008-01-24 20:17 . 2008-01-27 19:25 <DIR> d-------- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\BOM 2008-01-24 20:16 . 1998-07-06 00:00 22,528 --a------ C:\WINDOWS\system32\Tabctde.dll 2008-01-24 20:16 . 2000-04-03 20:06 16,896 --a------ C:\WINDOWS\system32\winskde.dll 2008-01-24 20:16 . 2003-01-07 03:22 15,873 --a------ C:\WINDOWS\system32\Inetde.dll 2008-01-24 19:08 . 2008-01-27 23:52 288 --a------ C:\WINDOWS\wininit.ini 2008-01-20 14:07 . 2008-01-20 21:32 143 --a------ C:\WINDOWS\Downloader.INI 2008-01-15 16:37 . 2008-01-15 16:37 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-01-15 16:37 . 2008-01-15 16:37 1,409 --a------ C:\WINDOWS\QTFont.for 2008-01-05 18:02 . 2008-01-17 23:42 2,238 --a------ C:\WINDOWS\SecFloader.icon 2008-01-05 18:01 . 2008-01-05 18:01 45,056 --a------ C:\WINDOWS\system32\UTSCSI.EXE 2008-01-05 14:47 . 2008-01-05 14:48 <DIR> d-------- C:\xampp . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-28 00:30 --------- d-----w D:\\Spyware Doctor 2008-01-27 23:48 --------- d-----w D:\\AntiVir PersonalEdition Classic 2008-01-27 10:10 --------- d-----w D:\Gemeinsame Dateien\Adobe 2008-01-27 10:08 --------- d-sh--w D:\\Config.Msi 2008-01-26 23:23 --------- d-----w C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\pdfMachine 2008-01-26 17:59 --------- d-----w C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\AdobeUM 2008-01-24 19:16 --------- d-----w D:\\Biet-O-Matic 2008-01-24 17:28 --------- d-----w D:\\Spybot - Search & Destroy 2008-01-18 23:20 --------- d--h--w D:\\InstallShield Installation Information 2008-01-16 23:50 --------- d-----w D:\\FlashFXP 2008-01-04 20:52 --------- d-----w D:\\Mozilla Firefox 2007-12-12 23:32 --------- d-----w D:\\NETGEAR 2007-12-05 22:54 23,600 ----a-w C:\WINDOWS\system32\drivers\TVICHW32.SYS 2007-12-05 22:11 --------- d-----w D:\\Lavalys 2007-11-29 23:38 --------- d-----w C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Yiola 2007-11-29 22:54 --------- d-----w D:\\Yiola 2007-11-29 22:03 --------- d-----w C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\FlashFXP 2007-03-13 23:44 15 ----a-w D:\\mandant.ini . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{41EF2231-D4B7-489F-8263-C87AF47FF3F1}] C:\WINDOWS\system32\ursrr.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{55c8a7be-38b7-4801-a0d2-77ef2368752e}] C:\WINDOWS\system32\jwbdtcty.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{69400B83-2A43-4F02-B215-26F14833F017}] C:\WINDOWS\system32\byxwt.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SpybotSD TeaTimer"="D:\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 00:04 1415824] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TkBellExe"="D:\TTPack\ReaLite\Update_OB\realsched.exe" [2007-05-12 11:24 151597] "SunJavaUpdateSched"="D:\Java\jre1.5.0_10\bin\jusched.exe" [2006-11-09 15:07 49263] "PS121v2"="D:\NETGEAR\PS121v2\PS121v2.exe" [2006-08-25 15:47 724992] "ooccctrl.exe"="D:\OO Software\CleverCache\ooccctrl.exe" [2005-11-09 01:08 722944] "LTSMMSG"="LTSMMSG.exe" [2006-05-30 09:29 45056 C:\WINDOWS\LTSMMSG.exe] "IntelliPoint"="D:\Microsoft IntelliPoint\ipoint.exe" [2006-07-08 00:15 600896] "BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 13:00 110592 C:\WINDOWS\system32\bthprops.cpl] "avgnt"="D:\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-28 00:48 249896] "AtiPTA"="atiptaxx.exe" [2002-03-12 18:30 286720 C:\WINDOWS\system32\atiptaxx.exe] "ATIModeChange"="Ati2mdxx.exe" [2001-09-04 17:24 28672 C:\WINDOWS\system32\Ati2mdxx.exe] "Apoint"="D:\Apoint2K\Apoint.exe" [2001-08-09 17:21 118784] "Acronis Scheduler2 Service"="D:\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2005-11-16 16:05 118784] "WN511T.exe"="D:\NETGEAR\WN511T\WN511T.exe" [2007-06-13 13:46 557056] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "Fonts"="C:\WINDOWS\explorer.exe" [2006-01-22 05:39 1035264] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"= 1 (0x1) "NoInstrumentation"= 1 (0x1) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoSMConfigurePrograms"= 1 (0x1) [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoSMConfigurePrograms"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tuvvwwx] tuvvwwx.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Authentication Packages REG_MULTI_SZ msv1_0 relog_ap [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\bgsmsnd.exe] --a------ 2004-12-31 10:06 106496 C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\bgsmsnd.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KCReminder] R1 SSHDRV75;SSHDRV75;C:\WINDOWS\system32\drivers\SSHDRV75.sys [2007-04-12 18:55] R3 AVMBTPARALLEL;AVM Bluetooth Druckeranschluss;C:\WINDOWS\system32\DRIVERS\avmbtpar.sys [2005-11-22 01:00] R3 AVMBTSERIAL;AVM Bluetooth Kommunikationsanschluss;C:\WINDOWS\system32\DRIVERS\avmbtser.sys [2005-11-22 01:00] R3 AVMBTSND;AVM Bluetooth Audio Driver;C:\WINDOWS\system32\drivers\avmbtsnd.sys [2005-11-22 01:00] R3 LucentSoftModem;Lucent Technologies Soft Modem;C:\WINDOWS\system32\DRIVERS\LTSM.sys [2006-05-30 09:29] R3 NETGEARUHOST;NETGEAR Network USB Host Controller;C:\WINDOWS\system32\DRIVERS\NETGEARUHOST.sys [2006-08-17 15:04] R3 NETGEARUHUB;NETGEAR Network USB Root Hub;C:\WINDOWS\system32\DRIVERS\NETGEARUHUB.sys [2006-08-17 15:04] R3 NETMW145;NETGEAR WN511T;C:\WINDOWS\system32\DRIVERS\NETMW145.sys [2006-10-04 18:34] S3 AVMCOWAN;AVM ISDN CoNDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmcowan.sys [2005-11-22 01:00] S3 AWINDIS5;AWINDIS5 Protocol Driver;C:\WINDOWS\system32\AWINDIS5.SYS [2002-04-11 17:43] S3 BFHU_CFG;AVM BlueFRITZ!USB 2.0 HCI Config Switch Driver;C:\WINDOWS\system32\DRIVERS\bfhu_cfg.sys [2005-11-22 01:00] S3 bfhubase;BlueFRITZ! USB 2.5(WinXP/2000);C:\WINDOWS\system32\drivers\bfhu_bus.sys [2005-11-22 01:00] S3 CAPI_CIP;AVM Bluetooth CAPI-Controller;C:\WINDOWS\system32\DRIVERS\capi_cip.sys [2005-11-22 01:00] S3 NETBFPAN;AVM Bluetooth Netzwerkadapter;C:\WINDOWS\system32\DRIVERS\netbfpan.sys [2005-11-22 01:00] S3 NETGEARUCOMP;NETGEAR Network USB Composite Device;C:\WINDOWS\system32\DRIVERS\NETGEARUCOMP.sys [2006-08-17 15:04] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I] \Shell\AutoRun\command - I:\FingerVerify.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bca55080-bbaf-11dc-bb2b-00e000aefff0}] \Shell\AutoRun\command - I:\FingerVerify.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c3796470-d1a7-11db-b9f2-00e000aefff0}] \Shell\AutoRun\command - I:\SETUP.EXE /AUTORUN \Shell\configure\command - I:\SETUP.EXE \Shell\install\command - I:\SETUP.EXE . Inhalt des "geplante Tasks" Ordners "2008-01-29 20:40:00 C:\WINDOWS\Tasks\User_Feed_Synchronization-{0B76A8F6-1E87-4428-B9E2-0F8D1E6D52EF}.job" - C:\WINDOWS\system32\msfeedssync.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-01-29 21:41:37 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . D:\TTPack\ReaLite\Update_OB\realsched.exe D:\Java\jre1.5.0_10\bin\jusched.exe C:\WINDOWS\LTSMMSG.exe D:\Microsoft IntelliPoint\ipoint.exe C:\WINDOWS\system32\rundll32.exe D:\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\atiptaxx.exe D:\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe D:\NETGEAR\WN511T\WN511T.exe D:\Spybot - Search & Destroy\TeaTimer.exe D:\TTPack\ReaLite\Update_OB\rnathchk.exe D:\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe D:\AntiVir PersonalEdition Classic\sched.exe D:\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\oodag.exe D:\OO Software\CleverCache\ooccag.exe C:\WINDOWS\system32\UTSCSI.EXE . ************************************************************************** . Zeit der Fertigstellung: 2008-01-29 21:42:58 - machine was rebooted ComboFix-quarantined-files.txt 2008-01-29 20:42:45 Danke und Gruß |
|
|
||
29.01.2008, 22:02
Ehrenmitglied
Beiträge: 1441 |
#4
Snewi
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern Zitat Registry::Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden. cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen dann das Symbol von Combofix noch mal anwenden - schreibe 1 - poste dann den neuen Report __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
29.01.2008, 22:27
Member
Themenstarter Beiträge: 11 |
#5
HAllo
hier das neue File: ComboFix 08-01-29.3 - Andreas 2008-01-29 22:18:03.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.711 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\Andreas\Desktop\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\Andreas\Desktop\cfscript.txt [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] FILE c:\tempjunk143.tmp c:\tempjunk2430.tmp c:\tempjunk7200.tmp c:\tempjunk8003.tmp C:\WINDOWS\system32\byxwt.dll C:\WINDOWS\system32\byxwt.dll_tobedeleted C:\WINDOWS\system32\jwbdtcty.dll C:\WINDOWS\wininit.ini . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\wininit.ini . ((((((((((((((((((((((( Dateien erstellt von 2007-12-28 bis 2008-01-29 )))))))))))))))))))))))))))))) . 2008-01-29 20:18 . 2008-01-29 20:20 2,578 --a------ C:\WINDOWS\system32\tmp.reg 2008-01-28 01:21 . 2008-01-28 01:21 <DIR> d-------- C:\WINDOWS\system32\xircom 2008-01-28 01:21 . 2008-01-28 01:21 <DIR> d-------- C:\WINDOWS\system32\restore 2008-01-28 00:50 . 2008-01-28 01:30 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-01-27 23:53 . 2008-01-28 00:30 <DIR> d-------- C:\VundoFix Backups 2008-01-24 20:17 . 2008-01-27 19:25 <DIR> d-------- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\BOM 2008-01-24 20:16 . 1998-07-06 00:00 22,528 --a------ C:\WINDOWS\system32\Tabctde.dll 2008-01-24 20:16 . 2000-04-03 20:06 16,896 --a------ C:\WINDOWS\system32\winskde.dll 2008-01-24 20:16 . 2003-01-07 03:22 15,873 --a------ C:\WINDOWS\system32\Inetde.dll 2008-01-20 14:07 . 2008-01-20 21:32 143 --a------ C:\WINDOWS\Downloader.INI 2008-01-15 16:37 . 2008-01-15 16:37 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-01-15 16:37 . 2008-01-15 16:37 1,409 --a------ C:\WINDOWS\QTFont.for 2008-01-05 18:02 . 2008-01-17 23:42 2,238 --a------ C:\WINDOWS\SecFloader.icon 2008-01-05 18:01 . 2008-01-05 18:01 45,056 --a------ C:\WINDOWS\system32\UTSCSI.EXE 2008-01-05 14:47 . 2008-01-05 14:48 <DIR> d-------- C:\xampp . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-28 00:30 --------- d-----w D:\\Spyware Doctor 2008-01-27 23:48 --------- d-----w D:\\AntiVir PersonalEdition Classic 2008-01-27 10:10 --------- d-----w D:\Gemeinsame Dateien\Adobe 2008-01-27 10:08 --------- d-sh--w D:\\Config.Msi 2008-01-26 23:23 --------- d-----w C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\pdfMachine 2008-01-26 17:59 --------- d-----w C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\AdobeUM 2008-01-24 19:16 --------- d-----w D:\\Biet-O-Matic 2008-01-24 17:28 --------- d-----w D:\\Spybot - Search & Destroy 2008-01-18 23:20 --------- d--h--w D:\\InstallShield Installation Information 2008-01-16 23:50 --------- d-----w D:\\FlashFXP 2008-01-04 20:52 --------- d-----w D:\\Mozilla Firefox 2007-12-12 23:32 --------- d-----w D:\\NETGEAR 2007-12-05 22:54 23,600 ----a-w C:\WINDOWS\system32\drivers\TVICHW32.SYS 2007-12-05 22:11 --------- d-----w D:\\Lavalys 2007-11-29 23:38 --------- d-----w C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Yiola 2007-11-29 22:54 --------- d-----w D:\\Yiola 2007-11-29 22:03 --------- d-----w C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\FlashFXP 2007-03-13 23:44 15 ----a-w D:\\mandant.ini . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{41EF2231-D4B7-489F-8263-C87AF47FF3F1}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SpybotSD TeaTimer"="D:\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 00:04 1415824] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TkBellExe"="D:\TTPack\ReaLite\Update_OB\realsched.exe" [2007-05-12 11:24 151597] "SunJavaUpdateSched"="D:\Java\jre1.5.0_10\bin\jusched.exe" [2006-11-09 15:07 49263] "PS121v2"="D:\NETGEAR\PS121v2\PS121v2.exe" [2006-08-25 15:47 724992] "ooccctrl.exe"="D:\OO Software\CleverCache\ooccctrl.exe" [2005-11-09 01:08 722944] "LTSMMSG"="LTSMMSG.exe" [2006-05-30 09:29 45056 C:\WINDOWS\LTSMMSG.exe] "IntelliPoint"="D:\Microsoft IntelliPoint\ipoint.exe" [2006-07-08 00:15 600896] "BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 13:00 110592 C:\WINDOWS\system32\bthprops.cpl] "avgnt"="D:\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-28 00:48 249896] "AtiPTA"="atiptaxx.exe" [2002-03-12 18:30 286720 C:\WINDOWS\system32\atiptaxx.exe] "ATIModeChange"="Ati2mdxx.exe" [2001-09-04 17:24 28672 C:\WINDOWS\system32\Ati2mdxx.exe] "Apoint"="D:\Apoint2K\Apoint.exe" [2001-08-09 17:21 118784] "Acronis Scheduler2 Service"="D:\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2005-11-16 16:05 118784] "WN511T.exe"="D:\NETGEAR\WN511T\WN511T.exe" [2007-06-13 13:46 557056] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "Fonts"="C:\WINDOWS\explorer.exe" [2006-01-22 05:39 1035264] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"= 1 (0x1) "NoInstrumentation"= 1 (0x1) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoSMConfigurePrograms"= 1 (0x1) [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoSMConfigurePrograms"= 1 (0x1) [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Authentication Packages REG_MULTI_SZ msv1_0 relog_ap [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\bgsmsnd.exe] --a------ 2004-12-31 10:06 106496 C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\bgsmsnd.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KCReminder] R1 SSHDRV75;SSHDRV75;C:\WINDOWS\system32\drivers\SSHDRV75.sys [2007-04-12 18:55] R3 AVMBTPARALLEL;AVM Bluetooth Druckeranschluss;C:\WINDOWS\system32\DRIVERS\avmbtpar.sys [2005-11-22 01:00] R3 AVMBTSERIAL;AVM Bluetooth Kommunikationsanschluss;C:\WINDOWS\system32\DRIVERS\avmbtser.sys [2005-11-22 01:00] R3 AVMBTSND;AVM Bluetooth Audio Driver;C:\WINDOWS\system32\drivers\avmbtsnd.sys [2005-11-22 01:00] R3 LucentSoftModem;Lucent Technologies Soft Modem;C:\WINDOWS\system32\DRIVERS\LTSM.sys [2006-05-30 09:29] R3 NETGEARUHOST;NETGEAR Network USB Host Controller;C:\WINDOWS\system32\DRIVERS\NETGEARUHOST.sys [2006-08-17 15:04] R3 NETGEARUHUB;NETGEAR Network USB Root Hub;C:\WINDOWS\system32\DRIVERS\NETGEARUHUB.sys [2006-08-17 15:04] R3 NETMW145;NETGEAR WN511T;C:\WINDOWS\system32\DRIVERS\NETMW145.sys [2006-10-04 18:34] S3 AVMCOWAN;AVM ISDN CoNDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmcowan.sys [2005-11-22 01:00] S3 AWINDIS5;AWINDIS5 Protocol Driver;C:\WINDOWS\system32\AWINDIS5.SYS [2002-04-11 17:43] S3 BFHU_CFG;AVM BlueFRITZ!USB 2.0 HCI Config Switch Driver;C:\WINDOWS\system32\DRIVERS\bfhu_cfg.sys [2005-11-22 01:00] S3 bfhubase;BlueFRITZ! USB 2.5(WinXP/2000);C:\WINDOWS\system32\drivers\bfhu_bus.sys [2005-11-22 01:00] S3 CAPI_CIP;AVM Bluetooth CAPI-Controller;C:\WINDOWS\system32\DRIVERS\capi_cip.sys [2005-11-22 01:00] S3 NETBFPAN;AVM Bluetooth Netzwerkadapter;C:\WINDOWS\system32\DRIVERS\netbfpan.sys [2005-11-22 01:00] S3 NETGEARUCOMP;NETGEAR Network USB Composite Device;C:\WINDOWS\system32\DRIVERS\NETGEARUCOMP.sys [2006-08-17 15:04] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I] \Shell\AutoRun\command - I:\FingerVerify.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bca55080-bbaf-11dc-bb2b-00e000aefff0}] \Shell\AutoRun\command - I:\FingerVerify.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c3796470-d1a7-11db-b9f2-00e000aefff0}] \Shell\AutoRun\command - I:\SETUP.EXE /AUTORUN \Shell\configure\command - I:\SETUP.EXE \Shell\install\command - I:\SETUP.EXE . Inhalt des "geplante Tasks" Ordners "2008-01-29 21:15:00 C:\WINDOWS\Tasks\User_Feed_Synchronization-{0B76A8F6-1E87-4428-B9E2-0F8D1E6D52EF}.job" - C:\WINDOWS\system32\msfeedssync.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-01-29 22:24:06 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . D:\TTPack\ReaLite\Update_OB\realsched.exe D:\Java\jre1.5.0_10\bin\jusched.exe D:\TTPack\ReaLite\Update_OB\rnathchk.exe C:\WINDOWS\LTSMMSG.exe D:\Microsoft IntelliPoint\ipoint.exe C:\WINDOWS\system32\rundll32.exe D:\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\atiptaxx.exe D:\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe D:\NETGEAR\WN511T\WN511T.exe D:\Spybot - Search & Destroy\TeaTimer.exe D:\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe D:\AntiVir PersonalEdition Classic\sched.exe D:\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\oodag.exe D:\OO Software\CleverCache\ooccag.exe C:\WINDOWS\system32\UTSCSI.EXE . ************************************************************************** . Zeit der Fertigstellung: 2008-01-29 22:25:17 - machine was rebooted ComboFix-quarantined-files.txt 2008-01-29 21:25:03 ComboFix2.txt 2008-01-29 20:42:58 Eine Frage hab ich da noch gibt es ein gutes Tool das sowas beim nächsten mal vermeidet oder einen guten Cleaner den man täglich anwenden sollte? Gruß und Danke schon mal für deine super schnellen Antworten :-) |
|
|
||
29.01.2008, 22:31
Ehrenmitglied
Beiträge: 1441 |
#6
««
den Vundo vermeidet man..indem man bestimmte Seiten meidet «« erstelle eine neue cfscript.txt wende sie wie gehabt an... Zitat Registry::«« ComboFix entfernen Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" «« scanne mit bitdefender + poste den report http://board.protecus.de/t8642.htm __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
29.01.2008, 23:29
Member
Themenstarter Beiträge: 11 |
#7
Hallo
hier die Datei vom Bitdefender! C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\481438bd.qua Infected with: Trojan.Vundo.DVO C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\481438bd.qua Disinfection failed C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\481438bd.qua Deleted C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\481438c2.qua Infected with: Trojan.Vundo.DVO C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\481438c2.qua Disinfection failed C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\481438c2.qua Deleted C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\481576cd.qua Infected with: Trojan.Vundo.DVO C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\481576cd.qua Disinfection failed C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\481576cd.qua Deleted Kannst du denn nun ein Tool empfehlen damit sowas nicht noch einmal passiert? Gruß «« Verzeichnis von C:\WINNT\system32 29.01.2008 16:41 16.384 Perflib_Perfdata_598.dat 27.01.2008 14:43 16.384 Perflib_Perfdata_5b0.dat 03.12.2007 08:28 45.056 UTSCSI.EXE 06.11.2007 00:01 16.384 Perflib_Perfdata_540.dat 26.10.2007 10:37 34.308 BASSMOD.dll 26.10.2007 10:33 3.309.808 FNTCACHE.DAT 15.10.2007 23:09 16.384 Perflib_Perfdata_550.dat 17.09.2007 23:01 16.384 Perflib_Perfdata_54c.dat 23.08.2007 06:44 1.493 RMErrorLog0.txt 01.08.2007 12:00 16.384 Perflib_Perfdata_4f0.dat 30.07.2007 12:00 16.384 Perflib_Perfdata_504.dat 16.04.2007 21:43 203.096 wuweb.dll 01.04.2007 13:34 86.016 ElbyCDIO.dll 05.03.2007 13:21 10.162 pqtss.ini 05.03.2007 12:34 676.224 OGACheckControl.DLL 19.01.2007 08:29 2.299 DWRCS.INI 15.01.2007 11:01 9.026.540 DX.CAB 15.01.2007 10:59 10.479.538 RUNTIMES.CAB 09.01.2007 14:20 303.892 perfh009.dat 09.01.2007 14:20 293.266 perfh007.dat 09.01.2007 14:20 47.860 perfc007.dat 09.01.2007 14:20 39.490 perfc009.dat 09.01.2007 14:20 689.640 PerfStringBackup.INI 12.12.2006 13:15 471.552 Smab.dll 12.12.2006 10:45 1.474.864 LegitCheckControl.DLL 01.12.2006 04:20 212.480 swxcacls.exe 30.11.2006 09:43 98.304 dfrg.msc 27.11.2006 01:34 49.152 vfind.exe 22.11.2006 10:09 86.359.302 data1.cab 12.11.2006 12:44 306.688 avisynth.dll Datentr„ger in Laufwerk C: ist Windows Datentr„gernummer: C9A8-B579 Verzeichnis von C:\DOKUME~1\.......\LOKALE~1\Temp 30.01.2008 08:19 100.976 datfind.txt 30.01.2008 08:19 0 h2r77.tmp 30.01.2008 08:19 2.181 ~WRD0000.doc 30.01.2008 07:57 512 ~DF76FE.tmp 29.01.2008 15:38 668.448 ~WRS0000.tmp 29.01.2008 15:17 8.533 ~WRD0001.doc 29.01.2008 13:20 32.768 ~WRF1193.tmp 29.01.2008 11:19 0 h2r54.tmp 28.01.2008 16:12 2.270.372 ~WRS0003.tmp 28.01.2008 14:49 7.349 ~WRD0005.doc 28.01.2008 13:59 0 h2r26.tmp 28.01.2008 08:27 32.768 ~DFEB5.tmp 28.01.2008 08:27 512 ~DFEAC.tmp 28.01.2008 08:26 49.152 ~DFA76A.tmp 28.01.2008 08:26 16.384 ~DFA762.tmp 28.01.2008 08:13 147.456 ~DFA4FD.tmp 28.01.2008 08:13 512 ~DFA530.tmp 28.01.2008 08:13 16.384 ~DFA52B.tmp 28.01.2008 08:13 16.384 ~DF93BD.tmp 28.01.2008 08:13 16.384 E2.tmp 28.01.2008 08:13 32.768 ~DF9093.tmp 28.01.2008 08:13 32.768 ~DF8D32.tmp 28.01.2008 08:13 32.768 ~DF8443.tmp 25.01.2008 13:06 1.491.896 ~WRS0001.tmp 25.01.2008 13:00 71.573 ~WRD0247.doc 25.01.2008 11:10 16.384 ~WRF2259.tmp 25.01.2008 09:51 0 s2mc 24.01.2008 15:31 0 h2r6F.tmp 23.01.2008 11:35 28 ExchangePerflog_8484fa317e1c1f03cfcccd43.dat 29 Datei(en) 5.065.260 Bytes 0 Verzeichnis(se), 12.384.649.216 Bytes frei Datentr„ger in Laufwerk C: ist Windows Datentr„gernummer: C9A8-B579 Verzeichnis von C:\WINNT 30.01.2008 07:58 221 hpbafd.ini 23.01.2008 10:55 32.556 SchedLgU.Txt 23.01.2008 10:54 1.200.722 ShellIconCache 22.01.2008 11:31 799.711 setupapi.log 17.01.2008 13:23 2.238 SecFloader.icon 16.01.2008 10:04 178 homeDVD-Fotos5_5_dlx.INI 16.01.2008 09:32 116 NeroDigital.ini 15.01.2008 13:34 662 win.ini 11.01.2008 10:59 605 wincmd.ini 11.01.2008 10:59 773 wcx_ftp.ini 03.01.2008 13:47 22.176 Windows Update.log 10.12.2007 11:02 238 IE4 Error Log.txt 21.11.2007 12:41 0 nsreg.dat 26.10.2007 09:49 209 xlcrack.INI 09.10.2007 09:01 2.030 ODBC.INI 21.09.2007 09:19 32 CD_Start.INI 23.08.2007 08:51 6.338 WindowsUpdate.log 23.08.2007 06:44 38 InvAginst.log 02.08.2007 10:44 26 Lic.xxx 31.07.2007 14:30 227 system.ini 08.06.2007 09:32 75 winDecrypt.INI 08.06.2007 09:22 168 ConverterCore.INI 29.05.2007 07:22 33.112 ntbtlog.txt 24.05.2007 12:54 0 sapneu 24.05.2007 11:28 0 [INI] 23.05.2007 15:14 76 sapmsg.ini 23.05.2007 15:14 2.205 saplogon.ini 23.05.2007 15:14 129 saproute.ini 23.05.2007 08:39 135 FBDirect.INI 22.05.2007 18:37 87.040 catchme.exe 07.05.2007 11:15 11.733 Active Setup Log.txt 02.05.2007 09:31 4.147 Active Setup Log.BAK 09.01.2007 14:20 84.464 comsetup.log 09.01.2007 14:20 198.509 iis5.log 09.01.2007 14:20 4.535 imsins.log 09.01.2007 14:20 4.999 ockodak.log 09.01.2007 14:20 87.237 ocgen.log 09.01.2007 13:50 1.942 imsins.BAK 19.12.2006 07:44 48 t 19.12.2006 07:44 56 7 22.09.2006 14:14 0 V 22.09.2006 14:12 0 g 24.07.2006 00:38 49.152 nircmd.exe 04.07.2006 10:43 8.997 dasetup.log 04.07.2006 10:42 249.856 Setup1.exe 04.07.2006 10:42 73.216 ST6UNST.EXE 04.07.2006 07:23 62 chipset.log 29.05.2006 07:14 3.775 diagwrn.xml 29.05.2006 07:14 1.905 diagerr.xml 29.05.2006 07:14 5.653 setuplog.xml 29.05.2006 07:14 681 setupact.log 29.05.2006 07:14 0 setuperr.log 18.05.2006 07:08 2.670 Sti_Trace.log 11.05.2006 17:32 502.784 x2.64.exe |
|
|
||
30.01.2008, 08:32
Ehrenmitglied
Beiträge: 1441 |
#8
Hallo Snewi
das ist ein anderer PC ???? 1. wende CCl an http://www.virus-protect.org/ccleaner.html 2. erstelle eine cfscript.txt und ziehe sie auf Combofix (wie oben handhaben) Zitat File:: __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
30.01.2008, 09:06
Member
Themenstarter Beiträge: 11 |
#9
Hallo
jau das ist ein anderer!! Der von gestern läuft wieder super .-) das aktuelle Log: ComboFix 08-01-30.5 - schoenea 30.01.2008 8:51:24.1 - NTFSx86 Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1031.18.310 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\schoenea\Desktop\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\schoenea\Desktop\cfscript.txt [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] FILE C:\WINNT\system32\pqtss.ini . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINNT\regedit.com C:\WINNT\system32\pqtss.ini C:\WINNT\system32\taskmgr.com C:\WINNT\t\ C:\WINNT\Web\default.htt . ((((((((((((((((((((((( Dateien erstellt von 2007-12-28 bis 2008-01-30 )))))))))))))))))))))))))))))) . 2008-01-24 09:33 . 08-01-24 10:24 <DIR> d-------- C:\Dokumente und Einstellungen\schoenea\Anwendungsdaten\BOM 2007-12-27 10:37 . 07-12-27 10:37 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Magix Shared 2007-12-27 08:27 . 08-01-16 10:04 178 --a------ C:\WINNT\homeDVD-Fotos5_5_dlx.INI 2007-12-27 08:23 . 07-12-27 08:23 <DIR> d-------- C:\WINNT\system32\MAGIX 2007-12-27 08:23 . 06-02-06 11:38 475,136 --a------ C:\WINNT\system32\mgxoschk.dll 2007-12-27 08:23 . 06-02-06 12:12 3,237 --a------ C:\WINNT\mgxoschk.ini 2007-12-20 14:57 . 07-12-20 14:58 <DIR> d-------- C:\xampp 2007-12-03 08:29 . 08-01-17 13:23 2,238 --a------ C:\WINNT\SecFloader.icon 2007-12-03 08:28 . 07-12-03 08:28 45,056 --a------ C:\WINNT\system32\UTSCSI.EXE . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-30 07:59 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\vulScan 2008-01-29 10:11 --------- d-----w C:\Dokumente und Einstellungen\schoenea\Anwendungsdaten\SolidDocuments 2008-01-23 10:06 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2005-08-11 09:25 271 ---h--w C:\Programme\desktop.ini 2005-08-11 09:25 22,080 ---h--w C:\Programme\folder.htt 2003-06-20 12:00 32,528 ----a-w C:\WINNT\inf\wbfirdma.sys . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="ctfmon.exe" [01-02-20 12:09 8192 C:\WINNT\system32\CTFMON.EXE] "SpybotSD TeaTimer"="D:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [07-08-31 16:46 1460560] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Synchronization Manager"="mobsync.exe" [03-06-20 13:00 112400 C:\WINNT\system32\mobsync.exe] "IgfxTray"="C:\WINNT\system32\igfxtray.exe" [05-04-05 20:22 94208] "HotKeysCmds"="C:\WINNT\system32\hkcmd.exe" [05-04-05 20:19 77824] "Persistence"="C:\WINNT\system32\igfxpers.exe" [05-04-05 20:23 114688] "SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [04-10-14 13:42 1404928] "ZENRC Tray Icon"="C:\WINNT\system32\zentray.exe" [05-05-18 16:04 40960] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "internat.exe"="internat.exe" [03-06-20 13:00 20752 C:\WINNT\system32\internat.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "^SetupICWDesktop"="C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe" [03-06-20 13:00 189712] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "CompatibleRUPSecurity"= 1 (0x1) [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{763370C4-268E-4308-A60C-D8DA0342BE32}"= C:\Programme\Novell\ZENworks\NalShell.dll [06-06-28 13:00 446464] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "System"="ziswin.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fccdcca] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\NetIdentity Notification] C:\WINNT\system32\Novell\XtNotify.dll 06-05-02 08:17 24576 C:\WINNT\system32\Novell\xtnotify.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PCANotify] PCANotify.dll 05-05-20 11:51 8704 C:\WINNT\system32\PCANotify.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rqrqroo] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\sstqp] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winwjk32] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winykm32] winykm32.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Authentication Packages REG_MULTI_SZ msv1_0 relog_ap [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EVENTLISTENER] C:\Programme\Gemeinsame Dateien\FotoNation\EvLstnr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup] --a------ 04-04-17 12:41 196608 C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\syswin] C:\WINNT\system32\v6.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VaCtrls] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\{C9A8B579-0BB0-1031-0524-050311200031}] C:\Programme\Gemeinsame Dateien\{C9A8B579-0BB0-1031-0524-050311200031}\Update.exe R1 Dlc;DLC-Protokoll;C:\WINNT\system32\DRIVERS\dlc.sys [03-06-20 13:00 ] R2 Apache2.2;Apache2.2;"c:\xampp\apache\bin\apache.exe" [07-09-20 23:29 ] R2 BlankScr;HBDevice;C:\WINNT\system32\drivers\BlankScr.sys [05-05-23 13:47 ] R2 CBA8;LANDesk(R) Management Agent;"C:\Programme\LANDesk\Shared Files\residentagent.exe" [05-11-22 14:07 ] R2 Remote Management Agent;Novell ZENworks-Fernverwaltungsagent;C:\Programme\Novell\ZENworks\RemoteManagement\RMAgent\ZenRem32.exe [06-05-09 09:59 ] R2 Softmon;LANDesk(R) Software Monitoring Service;"C:\Programme\LANDesk\LDClient\softmon.exe" [05-12-09 02:59 ] R2 TSCensus Collection Client;ZENworks Asset Management - Collection Client;"C:\Program Files\Novell\ZENworks\Asset Management\bin\CClientSvc.exe" [06-05-22 09:27 ] R2 WNTHW;WNTHW;C:\WINNT\system32\DRIVERS\WNTHW.SYS [01-03-20 09:55 ] R2 XTAgent;Novell XTier Agent Services;C:\WINNT\System32\Novell\XTAgent.exe [06-05-02 08:17 ] R3 AVMBTPARALLEL;AVM Bluetooth Druckeranschluss;C:\WINNT\system32\DRIVERS\avmbtpar.sys [04-08-23 01:00 ] R3 AVMBTSERIAL;AVM Bluetooth Kommunikationsanschluss;C:\WINNT\system32\DRIVERS\avmbtser.sys [04-08-23 01:00 ] R3 AVMBTSND;AVM Bluetooth Audio Driver;C:\WINNT\system32\drivers\avmbtsnd.sys [04-08-23 01:00 ] R3 Darpan;Darpan;C:\WINNT\system32\DRIVERS\Darpan.sys [05-05-23 13:11 ] R3 usbhub20;USB 2.0-Root-Hub-Support;C:\WINNT\system32\DRIVERS\usbhub20.sys [03-06-19 11:05 ] S2 XAMPP;XAMPP Service;D:\Programme\xampp\service.exe [] S3 AVMCOWAN;AVM ISDN CoNDIS WAN CAPI Treiber;C:\WINNT\system32\DRIVERS\avmcowan.sys [04-08-23 01:00 ] S3 bfhubase;BlueFRITZ! USB 2.5(WinXP/2000);C:\WINNT\system32\DRIVERS\bfhubase.sys [04-08-23 01:00 ] S3 CAPI_CIP;AVM Bluetooth CAPI-Controller;C:\WINNT\system32\DRIVERS\capi_cip.sys [04-08-23 01:00 ] S3 NETBFPAN;AVM Bluetooth Netzwerkadapter;C:\WINNT\system32\DRIVERS\netbfpan.sys [04-08-23 01:00 ] S3 OracleDEFAULT_HOMEClientCache80;OracleDEFAULT_HOMEClientCache80;D:\orant\BIN\ONRSD80.EXE [04-02-27 15:51 ] S3 OracleOraHome81ClientCache;OracleOraHome81ClientCache;D:\oracle\ora81\BIN\ONRSD.EXE [00-10-19 10:55 ] S3 pmxscan;USB Flatbed Scanner Driver;C:\WINNT\system32\DRIVERS\usbscan.sys [99-10-13 14:19 ] . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-01-30 09:04:25 Windows 5.0.2195 Service Pack 4 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINNT\system32\winlogon.exe -> C:\WINNT\system32\xmlparse.dll PROCESS: C:\WINNT\Explorer.EXE [5.00.3700.6690] -> C:\Programme\Novell\ZENworks\NLS\deutsch\NalUIRes.dll . ------------------------ Other Running Processes ------------------------ . C:\WINNT\System32\Novell\XTAgent.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe c:\xampp\apache\bin\apache.exe D:\Programme\PCAnywhere 11.5\awhost32.exe C:\Programme\LANDesk\Shared Files\residentagent.exe C:\WINNT\SYSTEM32\DWRCS.EXE C:\WINNT\system32\hidserv.exe C:\Programme\CA\eTrust Antivirus\InoRpc.exe C:\Programme\CA\eTrust Antivirus\InoRT.exe C:\Programme\CA\eTrust Antivirus\InoTask.exe C:\Programme\LANDesk\LDClient\LocalSch.EXE C:\WINNT\system32\CBA\pds.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE c:\xampp\mysql\bin\mysqld-nt.exe C:\Programme\Novell\ZENworks\nalntsrv.exe C:\Programme\Novell\ZENworks\RemoteManagement\RMAgent\ZenRem32.exe C:\WINNT\system32\regsvc.exe D:\Programme\SolidConverterPDF\SCPDF\SolidPdfService.exe C:\Programme\LANDesk\LDClient\softmon.exe C:\WINNT\system32\stisvc.exe C:\Program Files\Novell\ZENworks\Asset Management\bin\CClientSvc.exe C:\WINNT\system32\UTSCSI.EXE C:\Program Files\Novell\ZENworks\Asset Management\bin\CClient.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\xampp\apache\bin\apache.exe C:\Programme\Novell\ZENworks\wm.exe C:\Programme\Novell\ZENworks\WMRUNDLL.EXE C:\Program Files\Novell\ZENworks\Asset Management\bin\TSUsage32.exe C:\WINNT\system32\hkcmd.exe C:\WINNT\system32\igfxpers.exe C:\Programme\Analog Devices\Core\smax4pnp.exe D:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\CA\eTrust Antivirus\Realmon.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-01-30 9:05:26 - machine was rebooted ComboFix-quarantined-files.txt 2008-01-30 08:05:23 |
|
|
||
30.01.2008, 09:21
Ehrenmitglied
Beiträge: 1441 |
#10
1.
lasse die exe überprüfen - kannst du von hier aus einkopieren http://www.virustotal.com/de/ C:\WINNT\system32\v6.exe poste hier den Report ---------------------------------------- 2. neue txt erstellen Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern Zitat KILLALL::Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden. cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen danach: Combofix noch einmal anwenden - tippe 1 «« Poste das log vom HijackThis http://www.virus-protect.org/hjtkurz.html __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
30.01.2008, 09:42
Member
Themenstarter Beiträge: 11 |
#11
Moin
die Datei v6.exe kann ich nicht finden scheint so als ob es die nicht gibt! Aber über msconfig stehen sie noch irgendwie im startup ?!?!? das log von Combofix ComboFix 08-01-30.5 -.......... 30.01.2008 9:31:02.2 - NTFSx86 Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1031.18.269 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\user\Desktop\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\user\Desktop\cfscript.txt [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINNT\t\ . ((((((((((((((((((((((( Dateien erstellt von 2007-12-28 bis 2008-01-30 )))))))))))))))))))))))))))))) . 2008-01-30 09:35 . 08-01-30 09:35 0 --a------ C:\WINNT\_delis32.ini 2008-01-24 09:33 . 08-01-24 10:24 <DIR> d-------- C:\Dokumente und Einstellungen\schoenea\Anwendungsdaten\BOM 2007-12-27 10:37 . 07-12-27 10:37 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Magix Shared 2007-12-27 08:27 . 08-01-16 10:04 178 --a------ C:\WINNT\homeDVD-Fotos5_5_dlx.INI 2007-12-27 08:23 . 07-12-27 08:23 <DIR> d-------- C:\WINNT\system32\MAGIX 2007-12-27 08:23 . 06-02-06 11:38 475,136 --a------ C:\WINNT\system32\mgxoschk.dll 2007-12-27 08:23 . 06-02-06 12:12 3,237 --a------ C:\WINNT\mgxoschk.ini 2007-12-20 14:57 . 07-12-20 14:58 <DIR> d-------- C:\xampp 2007-12-03 08:29 . 08-01-17 13:23 2,238 --a------ C:\WINNT\SecFloader.icon 2007-12-03 08:28 . 07-12-03 08:28 45,056 --a------ C:\WINNT\system32\UTSCSI.EXE . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-30 08:34 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\vulScan 2008-01-29 10:11 --------- d-----w C:\Dokumente und Einstellungen\schoenea\Anwendungsdaten\SolidDocuments 2008-01-23 10:06 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2005-08-11 09:25 271 ---h--w C:\Programme\desktop.ini 2005-08-11 09:25 22,080 ---h--w C:\Programme\folder.htt 2003-06-20 12:00 32,528 ----a-w C:\WINNT\inf\wbfirdma.sys . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="ctfmon.exe" [01-02-20 12:09 8192 C:\WINNT\system32\CTFMON.EXE] "SpybotSD TeaTimer"="D:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [07-08-31 16:46 1460560] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Synchronization Manager"="mobsync.exe" [03-06-20 13:00 112400 C:\WINNT\system32\mobsync.exe] "IgfxTray"="C:\WINNT\system32\igfxtray.exe" [05-04-05 20:22 94208] "HotKeysCmds"="C:\WINNT\system32\hkcmd.exe" [05-04-05 20:19 77824] "Persistence"="C:\WINNT\system32\igfxpers.exe" [05-04-05 20:23 114688] "SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [04-10-14 13:42 1404928] "ZENRC Tray Icon"="C:\WINNT\system32\zentray.exe" [05-05-18 16:04 40960] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "internat.exe"="internat.exe" [03-06-20 13:00 20752 C:\WINNT\system32\internat.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "^SetupICWDesktop"="C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe" [03-06-20 13:00 189712] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "CompatibleRUPSecurity"= 1 (0x1) [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{763370C4-268E-4308-A60C-D8DA0342BE32}"= C:\Programme\Novell\ZENworks\NalShell.dll [06-06-28 13:00 446464] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "System"="ziswin.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\NetIdentity Notification] C:\WINNT\system32\Novell\XtNotify.dll 06-05-02 08:17 24576 C:\WINNT\system32\Novell\xtnotify.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PCANotify] PCANotify.dll 05-05-20 11:51 8704 C:\WINNT\system32\PCANotify.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Authentication Packages REG_MULTI_SZ msv1_0 relog_ap [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EVENTLISTENER] C:\Programme\Gemeinsame Dateien\FotoNation\EvLstnr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup] --a------ 04-04-17 12:41 196608 C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\syswin] C:\WINNT\system32\v6.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VaCtrls] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\{C9A8B579-0BB0-1031-0524-050311200031}] C:\Programme\Gemeinsame Dateien\{C9A8B579-0BB0-1031-0524-050311200031}\Update.exe R1 Dlc;DLC-Protokoll;C:\WINNT\system32\DRIVERS\dlc.sys [03-06-20 13:00 ] R2 Apache2.2;Apache2.2;"c:\xampp\apache\bin\apache.exe" [07-09-20 23:29 ] R2 BlankScr;HBDevice;C:\WINNT\system32\drivers\BlankScr.sys [05-05-23 13:47 ] R2 CBA8;LANDesk(R) Management Agent;"C:\Programme\LANDesk\Shared Files\residentagent.exe" [05-11-22 14:07 ] R2 Remote Management Agent;Novell ZENworks-Fernverwaltungsagent;C:\Programme\Novell\ZENworks\RemoteManagement\RMAgent\ZenRem32.exe [06-05-09 09:59 ] R2 Softmon;LANDesk(R) Software Monitoring Service;"C:\Programme\LANDesk\LDClient\softmon.exe" [05-12-09 02:59 ] R2 TSCensus Collection Client;ZENworks Asset Management - Collection Client;"C:\Program Files\Novell\ZENworks\Asset Management\bin\CClientSvc.exe" [06-05-22 09:27 ] R2 WNTHW;WNTHW;C:\WINNT\system32\DRIVERS\WNTHW.SYS [01-03-20 09:55 ] R2 XTAgent;Novell XTier Agent Services;C:\WINNT\System32\Novell\XTAgent.exe [06-05-02 08:17 ] R3 AVMBTPARALLEL;AVM Bluetooth Druckeranschluss;C:\WINNT\system32\DRIVERS\avmbtpar.sys [04-08-23 01:00 ] R3 AVMBTSERIAL;AVM Bluetooth Kommunikationsanschluss;C:\WINNT\system32\DRIVERS\avmbtser.sys [04-08-23 01:00 ] R3 AVMBTSND;AVM Bluetooth Audio Driver;C:\WINNT\system32\drivers\avmbtsnd.sys [04-08-23 01:00 ] R3 Darpan;Darpan;C:\WINNT\system32\DRIVERS\Darpan.sys [05-05-23 13:11 ] R3 usbhub20;USB 2.0-Root-Hub-Support;C:\WINNT\system32\DRIVERS\usbhub20.sys [03-06-19 11:05 ] S2 XAMPP;XAMPP Service;D:\Programme\xampp\service.exe [] S3 AVMCOWAN;AVM ISDN CoNDIS WAN CAPI Treiber;C:\WINNT\system32\DRIVERS\avmcowan.sys [04-08-23 01:00 ] S3 bfhubase;BlueFRITZ! USB 2.5(WinXP/2000);C:\WINNT\system32\DRIVERS\bfhubase.sys [04-08-23 01:00 ] S3 CAPI_CIP;AVM Bluetooth CAPI-Controller;C:\WINNT\system32\DRIVERS\capi_cip.sys [04-08-23 01:00 ] S3 NETBFPAN;AVM Bluetooth Netzwerkadapter;C:\WINNT\system32\DRIVERS\netbfpan.sys [04-08-23 01:00 ] S3 OracleDEFAULT_HOMEClientCache80;OracleDEFAULT_HOMEClientCache80;D:\orant\BIN\ONRSD80.EXE [04-02-27 15:51 ] S3 OracleOraHome81ClientCache;OracleOraHome81ClientCache;D:\oracle\ora81\BIN\ONRSD.EXE [00-10-19 10:55 ] S3 pmxscan;USB Flatbed Scanner Driver;C:\WINNT\system32\DRIVERS\usbscan.sys [99-10-13 14:19 ] . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-01-30 09:35:22 Windows 5.0.2195 Service Pack 4 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINNT\system32\winlogon.exe -> C:\WINNT\system32\xmlparse.dll PROCESS: C:\WINNT\Explorer.EXE [5.00.3700.6690] -> C:\Programme\Novell\ZENworks\NLS\deutsch\NalUIRes.dll . ------------------------ Other Running Processes ------------------------ . C:\WINNT\System32\Novell\XTAgent.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe c:\xampp\apache\bin\apache.exe D:\Programme\PCAnywhere 11.5\awhost32.exe C:\Programme\LANDesk\Shared Files\residentagent.exe C:\WINNT\SYSTEM32\DWRCS.EXE C:\WINNT\system32\hidserv.exe C:\Programme\CA\eTrust Antivirus\InoRpc.exe C:\Programme\CA\eTrust Antivirus\InoRT.exe C:\Programme\CA\eTrust Antivirus\InoTask.exe C:\Programme\LANDesk\LDClient\LocalSch.EXE C:\WINNT\system32\CBA\pds.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE c:\xampp\mysql\bin\mysqld-nt.exe C:\Programme\Novell\ZENworks\nalntsrv.exe C:\Programme\Novell\ZENworks\RemoteManagement\RMAgent\ZenRem32.exe C:\WINNT\system32\regsvc.exe D:\Programme\SolidConverterPDF\SCPDF\SolidPdfService.exe C:\Programme\LANDesk\LDClient\softmon.exe C:\WINNT\system32\stisvc.exe C:\Program Files\Novell\ZENworks\Asset Management\bin\CClientSvc.exe C:\WINNT\system32\UTSCSI.EXE C:\Program Files\Novell\ZENworks\Asset Management\bin\CClient.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\xampp\apache\bin\apache.exe C:\Programme\Novell\ZENworks\wm.exe C:\Programme\Novell\ZENworks\WMRUNDLL.EXE C:\WINNT\system32\hkcmd.exe C:\WINNT\system32\igfxpers.exe C:\Programme\Analog Devices\Core\smax4pnp.exe D:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\CA\eTrust Antivirus\Realmon.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-01-30 9:37:01 - machine was rebooted ComboFix-quarantined-files.txt 2008-01-30 08:36:58 ComboFix2.txt 2008-01-30 08:05:26 hijackthis: Logfile of HijackThis v1.99.1 Scan saved at 09:43:26, on 30.01.2008 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\System32\Novell\XTAgent.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe c:\xampp\apache\bin\apache.exe D:\Programme\PCAnywhere 11.5\awhost32.exe C:\Programme\LANDesk\Shared Files\residentagent.exe C:\WINNT\SYSTEM32\DWRCS.EXE C:\WINNT\system32\svchost.exe C:\WINNT\system32\hidserv.exe C:\Programme\CA\eTrust Antivirus\InoRpc.exe C:\Programme\CA\eTrust Antivirus\InoRT.exe C:\Programme\CA\eTrust Antivirus\InoTask.exe C:\Programme\LANDesk\LDClient\LocalSch.EXE C:\WINNT\system32\CBA\pds.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE c:\xampp\mysql\bin\mysqld-nt.exe C:\Programme\Novell\ZENworks\nalntsrv.exe C:\Programme\Novell\ZENworks\RemoteManagement\RMAgent\ZenRem32.exe C:\WINNT\system32\regsvc.exe D:\Programme\SolidConverterPDF\SCPDF\SolidPdfService.exe C:\Programme\LANDesk\LDClient\softmon.exe C:\WINNT\system32\stisvc.exe C:\Program Files\Novell\ZENworks\Asset Management\bin\CClientSvc.exe C:\WINNT\system32\UTSCSI.EXE C:\Program Files\Novell\ZENworks\Asset Management\bin\CClient.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\xampp\apache\bin\apache.exe C:\Programme\Novell\ZENworks\wm.exe C:\WINNT\Explorer.EXE C:\Programme\Novell\ZENworks\WMRUNDLL.EXE C:\WINNT\system32\hkcmd.exe C:\WINNT\system32\igfxpers.exe C:\Programme\Analog Devices\Core\smax4pnp.exe C:\WINNT\system32\ctfmon.exe D:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\CA\eTrust Antivirus\Realmon.exe C:\WINNT\system32\notepad.exe C:\Programme\internet explorer\iexplore.exe C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe D:\orant\BIN\ifrun60.EXE C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\agent.exe L:\Tools\hijackthis_199\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = gmhedsproxy:8080 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Acrobat Reader 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - D:\Programme\SolidConverterPDF\SCPDF\ExploreExtPDF.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - D:\Programme\SolidConverterPDF\SCPDF\ExploreExtPDF.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINNT\system32\igfxpers.exe O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [ZENRC Tray Icon] C:\WINNT\system32\zentray.exe O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Echzeitüberwachung.lnk = C:\Programme\CA\eTrust Antivirus\Realmon.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: Novell delivered applications - {C1994287-422F-47aa-8E5E-6323E210A125} - C:\Programme\Novell\ZENworks\AxNalServer.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU) O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=67633 O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1187853967731 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = gmh-master.gmh.de O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = gmh-master.gmh.de O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = gmh-master.gmh.de O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = gmh-master.gmh.de O18 - Protocol: qrev - {9DE24BAC-FC3C-42C4-9FC4-76B3FAFDBD90} - C:\PROGRA~1\QUESTS~1\SQLNAV~2\RNetPin.dll O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxdev.dll O20 - Winlogon Notify: NetIdentity Notification - C:\WINNT\system32\Novell\XtNotify.dll O20 - Winlogon Notify: PCANotify - C:\WINNT\SYSTEM32\PCANotify.dll O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: Apache2.2 - Unknown owner - c:\xampp\apache\bin\apache.exe" -k runservice (file missing) O23 - Service: pcAnywhere Host-Modul (awhost32) - Symantec Corporation - D:\Programme\PCAnywhere 11.5\awhost32.exe O23 - Service: LANDesk(R) Management Agent (CBA8) - LANDesk Software, Ltd. - C:\Programme\LANDesk\Shared Files\residentagent.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development - C:\WINNT\SYSTEM32\DWRCS.EXE O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe O23 - Service: Intel Local Scheduler Service - LANDesk Software, Ltd. - C:\Programme\LANDesk\LDClient\LocalSch.EXE O23 - Service: Intel PDS - LANDesk Software Ltd. - C:\WINNT\system32\CBA\pds.exe O23 - Service: mysql - Unknown owner - c:\xampp\mysql\bin\mysqld-nt.exe O23 - Service: Novell Application Launcher (NALNTSERVICE) - Novell, Inc. - C:\Programme\Novell\ZENworks\nalntsrv.exe O23 - Service: OracleDEFAULT_HOMEClientCache80 - Unknown owner - D:\orant\BIN\ONRSD80.EXE O23 - Service: OracleOraHome81ClientCache - Unknown owner - D:\oracle\ora81\BIN\ONRSD.EXE O23 - Service: Novell ZENworks-Fernverwaltungsagent (Remote Management Agent) - Novell, Inc. - C:\Programme\Novell\ZENworks\RemoteManagement\RMAgent\ZenRem32.exe O23 - Service: SolidPDFConverterReadSpool (ScReadSpool) - VoyagerSoft, LLC - D:\Programme\SolidConverterPDF\SCPDF\SolidPdfService.exe O23 - Service: LANDesk(R) Software Monitoring Service (Softmon) - LANDesk Software, Ltd. - C:\Programme\LANDesk\LDClient\softmon.exe O23 - Service: ZENworks Asset Management - Collection Client (TSCensus Collection Client) - Novell, Inc. - C:\Program Files\Novell\ZENworks\Asset Management\bin\CClientSvc.exe O23 - Service: Usbest Service Zero (UTSCSI) - Unknown owner - C:\WINNT\system32\UTSCSI.EXE O23 - Service: XAMPP Service (XAMPP) - Unknown owner - D:\Programme\xampp\service.exe (file missing) O23 - Service: Novell XTier Agent Services (XTAgent) - Novell, Inc. - C:\WINNT\System32\Novell\XTAgent.exe O23 - Service: Arbeitsstations-Manager (ZFDWM) - Novell, Inc. - C:\Programme\Novell\ZENworks\wm.exe Gruß Anhang: msconfig.jpg
|
|
|
||
30.01.2008, 10:11
Ehrenmitglied
Beiträge: 1441 |
#12
lasse die exe überprüfen - kannst du von hier aus einkopieren
http://www.virustotal.com/de/ C:\WINNT\system32\v6.exe poste hier den Report __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
30.01.2008, 10:27
Member
Themenstarter Beiträge: 11 |
#13
Hallo
es gibt diese Datei nicht oder ich finde sie nicht im angegebenen Ordner! Habe auch alle Dateien und Ordner sichtbar gemacht! Gruß |
|
|
||
30.01.2008, 12:00
Ehrenmitglied
Beiträge: 1441 |
#14
««
wende smitfraudfix an - im normalmodus + poste den Report http://www.virus-protect.org/artikel/tools/smitfrautfix.html __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
30.01.2008, 13:45
Member
Themenstarter Beiträge: 11 |
#15
Hier das Log:
SmitFraudFix v2.277 Scan done at 13:43:52,04, Mi 30.01.2008 Run from L:\Tools\SmitfraudFix\SmitfraudFix OS: Microsoft Windows 2000 [Version 5.00.2195] - Windows_NT The filesystem type is NTFS Fix run in normal mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix S!Ri's WS2Fix: LSP not Found. »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files »»»»»»»»»»»»»»»»»»»»»»»» IEDFix IEDFix.exe by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» DNS Description: Broadcom NetXtreme Gigabit Ethernet Driver DNS Server Search Order: 172.16.16.36 DNS Server Search Order: 172.16.16.34 DNS Server Search Order: 172.16.0.21 HKLM\SYSTEM\CCS\Services\Tcpip\..\{D4825313-32D8-424C-8864-B2409F3C31FD}: DhcpNameServer=172.16.16.36 172.16.16.34 172.16.0.21 HKLM\SYSTEM\CS1\Services\Tcpip\..\{D4825313-32D8-424C-8864-B2409F3C31FD}: DhcpNameServer=172.16.0.21 172.16.0.3 HKLM\SYSTEM\CS2\Services\Tcpip\..\{D4825313-32D8-424C-8864-B2409F3C31FD}: DhcpNameServer=172.16.16.36 172.16.16.34 172.16.0.21 HKLM\SYSTEM\CS3\Services\Tcpip\..\{D4825313-32D8-424C-8864-B2409F3C31FD}: DhcpNameServer=172.16.16.36 172.16.16.34 172.16.0.21 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=172.16.16.36 172.16.16.34 172.16.0.21 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=172.16.0.21 172.16.0.3 HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=172.16.16.36 172.16.16.34 172.16.0.21 HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=172.16.16.36 172.16.16.34 172.16.0.21 »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="ziswin.exe" "GMH-SYSTEMS"="GMH-Systems.intern" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End |
|
|
||
ich bin neu hier und habe gleich ein großes Problem! Mein AntiVir zeigt mir ein TR/Vundo.Gen und ich werd ihn nicht los :-(
Hier mein Log file:
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 580B-075F
Verzeichnis von C:\WINDOWS\system32
29.01.2008 19:02 325.386 goc.log
29.01.2008 18:59 165.288 OODBS.lor
28.01.2008 00:51 63.522 perfc009.dat
28.01.2008 00:51 404.302 perfh009.dat
28.01.2008 00:51 419.544 perfh007.dat
28.01.2008 00:51 76.410 perfc007.dat
28.01.2008 00:51 974.848 PerfStringBackup.INI
27.01.2008 23:11 1.142.581 edwcdbry.ini
27.01.2008 11:08 259.048 FNTCACHE.DAT
27.01.2008 00:19 96 bgscfg.1
26.01.2008 16:22 2.206 wpa.dbl
24.01.2008 18:40 1.128.263 pyxfccft.ini
23.01.2008 23:53 1.117.417 ihvyhwlm.ini
21.01.2008 16:02 1.086.083 agqyssyv.ini
20.01.2008 13:21 1.073.352 fgrfwvqu.ini
20.01.2008 13:19 1.073.292 mlgdvaoo.ini
19.01.2008 00:14 1.073.292 dvbbbseu.ini
18.01.2008 23:15 1.073.292 gnxbevxt.ini
17.01.2008 23:03 1.075.702 xybrxsvs.ini
16.01.2008 23:02 1.068.210 ttdsustw.ini
16.01.2008 16:26 1.060.692 qncnkatq.ini
15.01.2008 16:37 18.944 msdfmap.dll
15.01.2008 16:37 81.920 csrcli32.dll
14.01.2008 23:05 1.056.916 ukdjmyiw.ini
12.01.2008 19:14 143 mcrh.tmp
11.01.2008 23:02 1.060.382 prdhtchi.ini
06.01.2008 13:03 1.043.800 otswavun.ini
05.01.2008 18:01 45.056 UTSCSI.EXE
03.01.2008 20:20 1.038.364 icdyjdty.ini
02.01.2008 19:04 1.031.458 rtjpekqi.ini
02.01.2008 18:58 1.031.139 wfistqer.ini
30.12.2007 18:54 1.031.259 utdtpowk.ini
30.12.2007 17:52 1.031.199 vwmyejwk.ini
30.12.2007 17:48 1.031.139 uefveweu.ini
27.12.2007 19:02 1.031.139 qkllltxs.ini
25.12.2007 23:04 1.018.562 afruaakq.ini
24.12.2007 00:06 990.630 hxrasvir.ini
21.12.2007 18:14 40.448 tuvvwwx.dll
12.12.2007 22:06 348 results.txt
03.11.2007 18:21 16.832 amcompat.tlb
03.11.2007 18:21 23.392 nscompat.tlb
12.05.2007 11:24 5.632 pndx5032.dll
12.05.2007 11:24 6.656 pndx5016.dll
08.05.2007 20:37 497 FeAnim.ini
08.05.2007 20:37 571 FeMakro.ini
01.01.2007 19:07 9.103 jupdate-1.5.0_10-b03.log
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 580B-075F
Verzeichnis von C:\WINDOWS
29.01.2008 19:02 159 wiadebug.log
29.01.2008 19:02 1.744.299 WindowsUpdate.log
29.01.2008 19:02 50 wiaservc.log
29.01.2008 18:59 0 0.log
29.01.2008 18:59 2.048 bootstat.dat
28.01.2008 23:07 32.058 SchedLgU.Txt
28.01.2008 21:41 198.444 ntbtlog.txt
28.01.2008 18:16 227 system.ini
28.01.2008 18:16 558 win.ini
27.01.2008 23:52 288 wininit.ini
27.01.2008 23:11 371 cookies.ini
23.01.2008 00:16 2.044 ModemLog_Lucent Technologies Soft Modem AMR #2.txt
20.01.2008 21:32 143 Downloader.INI
17.01.2008 23:42 2.238 SecFloader.icon
16.01.2008 17:40 1.412.841 setupapi.log
15.01.2008 16:37 1.409 QTFont.for
15.01.2008 16:37 54.156 QTFont.qfn
02.01.2008 16:43 32 CD_Start.INI
04.12.2007 23:37 1.210 mozver.dat
19.11.2007 20:40 2.560 _MSRSTRT.EXE
10.10.2007 23:12 0 nsreg.dat
07.10.2007 20:16 158.987 setupact.log
02.10.2007 15:49 483 ODBC.INI
19.09.2007 21:00 2.716 wmsetup.log
03.09.2007 22:19 98 abreg.ini
20.04.2007 19:27 63 vbaddin.ini
14.03.2007 00:34 666 KB829558.log
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 580B-075F
Verzeichnis von C:\WINDOWS\temp
.
.
.
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 580B-075F
Verzeichnis von C:\WINDOWS\Downloaded Program Files
05.12.2007 23:54 23.600 tvichw32.sys
06.09.2007 11:28 452.056 driveragent.ocx
06.09.2007 11:28 238 driveragent.inf
02.06.2006 22:35 65 desktop.ini
13.04.2004 11:04 307.200 isusweb.dll
30.06.2003 22:41 1.689 WMV9VCM.inf
25.07.2002 16:13 24.576 dwusplay.dll
25.07.2002 16:13 196.608 dwusplay.exe
8 Datei(en) 1.006.032 Bytes
0 Verzeichnis(se), 3.968.630.784 Bytes frei
Ich hoffe mir kann jemand helfen!!!
Gruß