TR/Crypt.XPACK.Gen kommt immer wieder! |
||
|---|---|---|
| #0
| ||
|
30.01.2008, 02:22
...neu hier
Beiträge: 4 |
||
 
|
|
|
|
30.01.2008, 08:45
Ehrenmitglied
 Beiträge: 1441 |
#2
Hallo makkuschmitz
0. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint - hier Code cd\1. wende bitte Haxfix an + poste hier den Report http://www.virus-protect.org/artikel/tools/haxfix.html 2. wende AVZ an + poste den Report http://www.virus-protect.org/artikel/tools/avz.html __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
|
|
|
|
30.01.2008, 10:43
...neu hier
Themenstarter Beiträge: 4 |
#3
Hallo Pinguin, vielen Dank für die schnelle Antwort!
Hier der kopierte Text aus dem Editor: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 54A1-3D7E Verzeichnis von C:\Dokumente und Einstellungen\Marcus 30.01.2008 02:05 <DIR> . 30.01.2008 02:05 <DIR> .. 01.06.2006 08:25 <DIR> Application Data 19.10.2007 00:37 <DIR> Contacts 30.01.2008 10:37 <DIR> Desktop 19.10.2007 00:37 <DIR> Eigene Dateien 24.01.2008 11:02 <DIR> Favoriten 22.08.2006 11:57 <DIR> Musik 26.11.2007 18:34 <DIR> Netzwerkumgebung 07.02.2006 20:28 <DIR> Startmenü 0 Datei(en) 0 Bytes 10 Verzeichnis(se), 20.523.139.072 Bytes frei HAXFIX logfile - by Marckie version 5.00.2 30.01.2008 10:46:48,82 running from C:\HaxFix --- Checking for Haxdoor --- checking for a3d files a3d files not found checking for matching notify keys no matching notify keys found checking for matching services matching services found CmBatt checking for matching safeboot services no matching safeboot services found --- Checking for Goldun --- checking for SSODL keys no ssodl keys found checking for notify keys no notify keys found checking for services no services found checking iexplore.exe iexplore.exe is not infected --- Checking for other Goldun and Haxdoor files --- C:\WINDOWS\system32\ksl48.bin --- Catchme logfile - thank you Gmer --- catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-01-30 10:47:06 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden services & system hive ... scanning hidden registry entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 --- Analysing Catchme logfile --- no matching regkeys found Finished! AVZ Attention !!! The database was last updated 12.12.2007 it is necessary to update the bases using automatic updates (File/Database update) AVZ Antiviral Toolkit log; AVZ version is 4.29 Scanning started at 30.01.2008 11:05:48 Database loaded: signatures - 138934, NN profile(s) - 2, microprograms of healing - 55, signature database released 12.12.2007 10:43 Heuristic microprograms loaded: 371 SPV microprograms loaded: 9 Digital signatures of system files loaded: 66967 Heuristic analyzer mode: Medium heuristics level Healing mode: disabled Windows version: 5.1.2600, Service Pack 2 ; AVZ is launched with administrator rights System Recovery: enabled 1. Searching for Rootkits and programs intercepting API functions 1.1 Searching for user-mode API hooks Analysis: kernel32.dll, export table found in section .text Analysis: ntdll.dll, export table found in section .text Analysis: user32.dll, export table found in section .text Analysis: advapi32.dll, export table found in section .text Analysis: ws2_32.dll, export table found in section .text Analysis: wininet.dll, export table found in section .text Analysis: rasapi32.dll, export table found in section .text Analysis: urlmon.dll, export table found in section .text Analysis: netapi32.dll, export table found in section .text 1.2 Searching for kernel-mode API hooks Driver loaded successfully SDT found (RVA=08A500) Kernel ntoskrnl.exe found in memory at address 804D7000 SDT = 80561500 KiST = 804E48A0 (284) Function NtCreateThread (35) intercepted (80584B62->F7EB6904), hook not defined Function NtOpenProcess (7A) intercepted (805790DA->F7EB68F0), hook not defined Function NtOpenThread (80) intercepted (80595EF2->F7EB68F5), hook not defined Function NtTerminateProcess (101) intercepted (8058C549->F7EB68FF), hook not defined Function NtWriteVirtualMemory (115) intercepted (80586B3B->F7EB68FA), hook not defined Functions checked: 284, intercepted: 5, restored: 0 1.3 Checking IDT and SYSENTER Analysis for CPU 1 Analysis for CPU 2 Checking IDT and SYSENTER - complete 1.4 Searching for masking processes and drivers Checking not performed: the extended monitoring driver (AVZPM) is not installed 2. Scanning memory Number of processes found: 46 Number of modules loaded: 364 Memory checking - complete 3. Scanning disks 4. Checking Winsock Layered Service Provider (SPI/LSP) LSP settings checked. No errors detected 5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs) 6. Searching for opened TCP/UDP ports used by malicious programs Checking disabled by user 7. Heuristic system check Checking complete 8. Searching for vulnerabilities >> Services: potentially dangerous service allowed TermService (Terminaldienste) >> Services: potentially dangerous service allowed SSDPSRV (SSDP-Suchdienst) >> Services: potentially dangerous service allowed Schedule (Taskplaner) >> Services: potentially dangerous service allowed mnmsrvc (NetMeeting-Remotedesktop-Freigabe) >> Services: potentially dangerous service allowed RDSessMgr (Sitzungs-Manager für Remotedesktophilfe) > Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)! >> Security: disk drives' autorun is enabled >> Security: administrative shares (C$, D$ ...) are enabled >> Security: anonymous user access is enabled >>> Security: Internet Explorer allows ActiveX, not marked as safe >>> Security: block ActiveX not marked as safe in Internet Explorer >>> Security: Internet Explorer allows automatic queries of ActiveX administrative elements >>> Security: Internet Explorer allows running files and applications in IFRAME window without asking user Checking complete 9. Troubleshooting wizard >> Internet Explorer - ActiveX, not marked as safe, are allowed >> Internet Explorer - signed ActiveX elements are allowed without asking user >> Internet Explorer - automatic queries of ActiveX operating elements are allowed >> Internet Explorer - running programs and files in IFRAME window is allowed >> Thaw-maut end of services is outside of admissible values Checking complete Files scanned: 54336, extracted from archives: 39018, malicious programs found 0, suspicions - 0 Scanning finished at 30.01.2008 11:18:11 Time of scanning: 00:12:23 If you have a suspicion on presence of viruses or questions on the suspected objects, you can address http://virusinfo.info conference Dieser Beitrag wurde am 30.01.2008 um 11:20 Uhr von makkuschmitz editiert.
|
|
|
|
|
|
|
30.01.2008, 11:46
Ehrenmitglied
Beiträge: 1441 |
#4
makkuschmitz
Avenger http://www.virus-protect.org/artikel/tools/avenger.html Input script manually (anhaken) die "Lupe" rechts anklicken - View/edit script (wird sich öffnen) kopiere rein: Zitat Files to delete:Klicke die grüne Ampel - das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten « poste das log, was erscheint ----- TrendMicro's Rootkit Buster - poste hier den report Download TrendMicro's Rootkit Buster - Double-click RootkitBuster.exe - TMRB.Log http://www.trendmicro.com/ftp/products/rootkitbuster/RootkitBusterv1.6-1055.zip Sophos Anti-Rootkit - poste hier den report http://www.sophos.de/products/free-tools/sophos-anti-rootkit.html __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
|
|
|
|
30.01.2008, 12:56
...neu hier
Themenstarter Beiträge: 4 |
#5
Zitat Pinguin posteteHier der Avenger-Post Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\htvupujd ******************* Script file located at: \??\C:\WINDOWS\ajxkykya.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\ksl48.bin deleted successfully. Completed script processing. ******************* Finished! Terminate. rootkitbuster +---------------------------------------------------- | Trend Micro RootkitBuster 1.6 Beta. | Module version: 1.6.0.1052 +---------------------------------------------------- --== Dump Hidden File on C:\ ==-- No hidden files found. --== Dump Hidden Registry Value on HKLM ==-- No hidden registry entries found. --== Dump Hidden Process ==-- No hidden processes found. --== Dump Hidden Driver ==-- No hidden drivers found. Sophos ...hatte auch nix gefunden, krieg nicht hin das log zu posten! Dieser Beitrag wurde am 30.01.2008 um 13:13 Uhr von makkuschmitz editiert.
|
|
|
|
|
|
|
30.01.2008, 13:26
Ehrenmitglied
Beiträge: 1441 |
#6
««
es müsste wieder alles o.k. sein. -- ComboFix entfernen Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" Aveger entfernen Start - Ausführen - Kopiere rein: Avenger /U - klicke "OK" -- prüfe noch mal alles im abgesicherten Modus mit Antivirus  __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
|
|
|
|
30.01.2008, 13:39
...neu hier
Themenstarter Beiträge: 4 |
#7
Zitat Pinguin posteteein dickes Danke für die schnelle und kompetente Hilfe!!! ich meine es ist alles wieder ok! Hallo nochmal kriege combo und avenger nicht weg wie beschrieben, müssen diese programme gelöscht werden damit sie keinen schaden anrichten können ? Dieser Beitrag wurde am 30.01.2008 um 13:56 Uhr von makkuschmitz editiert.
|
|
|
|
|
|
|
30.01.2008, 14:52
Ehrenmitglied
Beiträge: 1441 |
#8
die Proggies richten keinen Schaden an
- haben aber die Malware in der Quarantäne .. und damit ist es noch auf dem PC .. ist aber kein Beinbruch, wenn du sie nicht gelöscht bekommst...__________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
In der Datei 'C:\Dokumente und Einstellungen\Marcus\xXx.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [TR/Crypt.XPACK.Gen] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
Vielleicht kann mir einer helfen, ich weiss nicht weiter! Vielen Dank!
ComboFix 08-01-30.1 - Marcus 2008-01-30 2:35:06.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.669 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Marcus\Lokale Einstellungen\Temporary Internet Files\Content.IE5\45IF85AR\ComboFix[1].exe
[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.
(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\_000008_.tmp.dll
C:\WINDOWS\system32\_000009_.tmp.dll
C:\WINDOWS\system32\ksl48.bin . . . . Nicht in der Lage zu löschen
.
((((((((((((((((((((((( Dateien erstellt von 2007-12-28 bis 2008-01-30 ))))))))))))))))))))))))))))))
.
2008-01-30 02:10 . 2008-01-30 02:10 <DIR> d-------- C:\Programme\MSXML 4.0
2008-01-30 00:51 . 2008-01-30 00:51 <DIR> d-------- C:\Programme\Trend Micro
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-30 01:37 --------- d-----w C:\Programme\Trojancheck 6
2007-12-30 18:15 --------- d-----w C:\Programme\a-squared Free
2006-07-01 10:41 33,192 ----a-w C:\Dokumente und Einstellungen\Marcus\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"TOSCDSPD"="C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-12 10:05 65536]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"="nwiz.exe" [2005-12-15 19:42 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-12-15 19:42 7331840]
"High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" [2005-12-29 22:21 61952 C:\WINDOWS\system32\CHDAudPropShortcut.exe]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-12-17 00:32 761945]
"ToshibaApp"="C:\WINDOWS\SMSC\CIRHID\V1_0_0000_0\ToshibaRC.exe" [2006-01-11 11:23 110592]
"Toshiba Hotkey Utility"="C:\Programme\Toshiba\Windows Utilities\Hotkey.exe" [2006-01-05 14:00 1589248]
"NDSTray.exe"="NDSTray.exe" []
"SmoothView"="C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe" [2005-05-13 11:01 118784]
"DLA"="C:\WINDOWS\System32\DLA\DLACTRLW.EXE" [2005-10-06 05:20 122940]
"IntelZeroConfig"="C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-05 11:37 667718]
"IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-11-28 10:41 602182]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-05-31 17:18 180269]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb06.exe" [2002-07-11 12:54 188416]
"Trojancheck 6 Guard"="C:\Programme\Trojancheck 6\tcguard.exe" [2002-11-14 16:23 590336]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50 155648]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-09-01 15:57 282624]
"Symantec NetDriver Monitor"="C:\PROGRA~1\SYMNET~1\SNDMon.exe" [ ]
"CFSServ.exe"="CFSServ.exe" []
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 07:20 249896]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]
R3 BoiHwsetup;Access 32bits INT15 routine;C:\WINDOWS\system32\drivers\BoiHwSetup.sys [2005-06-10 21:42]
R3 qkbfiltr;Quanta HotKey Keyboard Filter Driver;C:\WINDOWS\system32\drivers\qkbfiltr.sys [2006-01-12 16:21]
R3 qmofiltr;Quanta HotKey Mouse Filter Driver;C:\WINDOWS\system32\drivers\qmofiltr.sys [2005-05-05 14:27]
R3 SMCB000;SMSC CIR HID Miniport Device Driver;C:\WINDOWS\system32\DRIVERS\hidsmsc.sys [2005-12-06 17:50]
S3 tosrfec;Bluetooth ACPI from TOSHIBA;C:\WINDOWS\system32\DRIVERS\tosrfec.sys [2005-09-09 14:47]
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-30 02:37:08
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Eintr„ge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SMSC\CIRHID\V1_0_0000_0\ToshibaRC.exe
C:\Programme\Toshiba\Windows Utilities\Hotkey.exe
C:\Programme\Synaptics\SynTP\Toshiba.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb06.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\TOSHIBA\ConfigFree\CFSServ.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-01-30 2:38:41 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-30 01:38:37
ComboFix2.txt 2008-01-30 01:09:16
.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 54A1-3D7E
Verzeichnis von C:\WINDOWS\system32
30.01.2008 02:41 380.684 perfh009.dat
30.01.2008 02:41 391.574 perfh007.dat
30.01.2008 02:41 53.098 perfc009.dat
30.01.2008 02:41 63.976 perfc007.dat
30.01.2008 02:41 897.778 PerfStringBackup.INI
30.01.2008 02:37 1.158 wpa.dbl
30.01.2008 02:37 43.758 nvapps.xml
2024 Datei(en) 392.687.007 Bytes
0 Verzeichnis(se), 20.742.610.944 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 54A1-3D7E
Verzeichnis von C:\DOKUME~1\Marcus\LOKALE~1\Temp
30.01.2008 02:44 99.023 datfind.txt
1 Datei(en) 99.023 Bytes
0 Verzeichnis(se), 20.742.639.616 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 54A1-3D7E
Verzeichnis von C:\WINDOWS
30.01.2008 02:37 227 system.ini
30.01.2008 02:36 0 0.log
30.01.2008 02:36 2.062.347 WindowsUpdate.log
30.01.2008 02:36 2.048 bootstat.dat
30.01.2008 02:35 32.630 SchedLgU.Txt
30.01.2008 02:10 94.284 iis6.log
30.01.2008 02:10 121.399 ntdtcsetup.log
30.01.2008 02:10 203.002 comsetup.log
30.01.2008 02:10 1.374 imsins.log
30.01.2008 02:10 230.885 tsoc.log
30.01.2008 02:10 32.007 ocmsn.log
30.01.2008 02:10 17.240 KB923980.log
30.01.2008 02:10 285.873 ocgen.log
30.01.2008 02:10 29.584 msgsocm.log
30.01.2008 02:10 586.572 FaxSetup.log
30.01.2008 02:10 842.061 setupapi.log
30.01.2008 02:10 1.374 imsins.BAK
30.01.2008 02:10 17.262 KB924270.log
30.01.2008 02:10 36.327 updspapi.log
30.01.2008 02:10 19.167 KB920213.log
30.01.2008 02:09 33.345 KB922760.log
30.01.2008 01:10 397.628 ntbtlog.txt
30.01.2008 00:19 116 NeroDigital.ini
28.01.2008 18:04 47 wiaservc.log
28.01.2008 18:04 214 wiadebug.log
06.01.2008 15:55 253 tm.ini
208 Datei(en) 65.719.820 Bytes
0 Verzeichnis(se), 20.742.627.328 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 54A1-3D7E
Verzeichnis von C:\WINDOWS\temp
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 54A1-3D7E
Verzeichnis von C:\WINDOWS\Downloaded Program Files
30.01.2008 01:47 2.072 vscanmsx.dat
23.01.2008 01:00 403.360 tcdefs.dat
23.01.2008 01:00 32 virscant.dat
23.01.2008 01:00 5.574.507 virscan9.dat
23.01.2008 01:00 1.926.766 virscan8.dat
23.01.2008 01:00 2.504 catalog.dat
23.01.2008 01:00 20.633.896 virscan7.dat
23.01.2008 01:00 6.899 ecbootil.vxd
23.01.2008 01:00 392.748 virscan6.dat
23.01.2008 01:00 284.016 ecmsvr32.dll
23.01.2008 01:00 5.918.237 virscan5.dat
23.01.2008 01:00 320.253 virscan4.dat
23.01.2008 01:00 151.148 virscan3.dat
23.01.2008 01:00 570.966 virscan2.dat
23.01.2008 01:00 998.515 virscan1.dat
23.01.2008 01:00 128.368 naveng32.dll
23.01.2008 01:00 943.472 navex32a.dll
23.01.2008 01:00 106.244 virscan.inf
23.01.2008 01:00 2.267 v.sig
23.01.2008 01:00 97.776 scrauth.dat
23.01.2008 01:00 4.778 v.grd
23.01.2008 01:00 11.816 symaveng.cat
23.01.2008 01:00 1.061 symaveng.inf
23.01.2008 01:00 224 zdone.dat
23.01.2008 01:00 2.666.609 tcscan7.dat
23.01.2008 01:00 440.643 tcscan8.dat
23.01.2008 01:00 1.025.485 tcscan9.dat
23.01.2008 01:00 453 tinf.dat
23.01.2008 01:00 148 tinfidx.dat
23.01.2008 01:00 1.957 tinfl.dat
23.01.2008 01:00 68.399 tscan1.dat
23.01.2008 01:00 3.294 tscan1hd.dat
15.01.2008 22:12 296.336 rufsi.dll
15.01.2008 22:12 255.336 avsniffdlgs.dll
15.01.2008 22:12 312.680 avsniff.dll
15.01.2008 22:04 241 CabSA.inf
15.01.2008 22:04 773 avsniff.inf
15.01.2008 22:02 6.850 navapi.vxd
15.01.2008 22:02 201.896 navapi32.dll
15.01.2008 22:02 42.112 ecmldr32.dll
04.01.2008 09:51 144 swdir.inf
.
. Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:53:26, on 30.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SMSC\CIRHID\V1_0_0000_0\ToshibaRC.exe
C:\Programme\Toshiba\Windows Utilities\Hotkey.exe
C:\Programme\Synaptics\SynTP\Toshiba.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb06.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\TOSHIBA\ConfigFree\CFSServ.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\internet explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\DOKUME~1\Marcus\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hjt.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ToshibaApp] C:\WINDOWS\SMSC\CIRHID\V1_0_0000_0\ToshibaRC.exe
O4 - HKLM\..\Run: [Toshiba Hotkey Utility] "C:\Programme\Toshiba\Windows Utilities\Hotkey.exe" /lang DE
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: eBay - {E4151B89-404A-45EA-A6CE-F48FBF363DFD} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://pbfporzeil.dyndns.org:33333/activex/AxisCamControl.ocx
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
--
End of file - 7354 bytes
.