TR/Vundo.Gen lässt sich nicht löschen |
||
---|---|---|
#0
| ||
02.02.2008, 23:09
Member
Themenstarter Beiträge: 14 |
||
|
||
03.02.2008, 13:28
Ehrenmitglied
Beiträge: 1441 |
#17
««
Gehe in die Registry Start - Ausführen - regedit suchen - reinkopieren:{98663E21-9CCE-4CF6-863C-911A9523A66F} [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached] ; 1 2 ^¯bÈ "{98663E21-9CCE-4CF6-863C-911A9523A66F} - löschen «« erstelle eine neue cfscript.txt (Änderung der andern cfscript zulassen) - abspeichern unter "alle Dateien" dann ziehe die txt-Datei wieder auf das Combofix-Symbol. Zitat KILLALL::danach: Combofix noch einmal anwenden - tippe 1 ------------------------------------- PC neustarten »» scanne + poste den report hier http://virus-protect.org/artikel/tools/kaspersky.html «« ComboFix entfernen Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" «« lade combofix neu - poste den report http://virus-protect.org/artikel/tools/combofix.html __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
05.02.2008, 17:43
Member
Themenstarter Beiträge: 14 |
#18
Das Kaspersky Tool habe ich scannen lassen, aber das mit dem Report verstehe ich nicht ganz. Man muss den selber speichern nach dem Scan, oder? Das habe ich getan, aber der Report erscheint mir wieder etwas kurz.
Report Scan ---- Scanned: 4190 Detected: 0 Untreated: 0 Start time: 2008-02-05 17:16 Duration: 00:09:36 Finish time: 2008-02-05 17:26 Detected -------- Status Object ------ ------ Events ------ Time Name Status Reason ---- ---- ------ ------ Statistics ---------- Object Scanned Detected Untreated Deleted Moved to Quarantine Archives Packed files Password protected Corrupted ------ ------- -------- --------- ------- ------------------- -------- ------------ ------------------ --------- Settings -------- Parameter Value --------- ----- Security Level Recommended Action Prompt for action when the scan is complete Run mode Manually File types Scan all files Scan only new and changed files No Scan archives All Scan embedded OLE objects All Skip if object is larger than No Skip if scan takes longer than No Parse email formats No Scan password-protected archives No Enable iChecker technology No Enable iSwift technology No Show detected threats on "Detected" tab Yes Quarantine ---------- Status Object Size Added ------ ------ ---- ----- Backup ------ Status Object Size ------ ------ ---- Wenn ich den gesamten Arbeitsplatz mitscanne, dann fällt der Report seeeehr lang aus. |
|
|
||
05.02.2008, 17:45
Ehrenmitglied
Beiträge: 1441 |
#19
der Report ist o.k.
nun entferne die Combofix + lade sie neu + poste den report __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
05.02.2008, 18:36
Member
Themenstarter Beiträge: 14 |
#20
ComboFix 08-02.05.3 - 1 2008-02-05 18:17:14.8 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.179 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\1\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . ((((((((((((((((((((((( Dateien erstellt von 2008-01-05 bis 2008-02-05 )))))))))))))))))))))))))))))) . 2008-02-03 21:03 . 2008-02-05 18:29 489,504 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat 2008-02-03 21:03 . 2008-02-04 21:17 7,052 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx 2008-02-03 19:40 . 2008-02-03 19:40 139,008 --a------ C:\WINDOWS\system32\guard32.dll 2008-02-02 22:41 . 2008-02-03 19:32 <DIR> d-------- C:\RVAXO 2008-02-02 22:09 . 2008-02-02 18:08 654,382 --a------ C:\WINDOWS\system32\RVAXO.bat 2008-02-02 22:09 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe 2008-02-02 21:52 . 2008-02-02 21:52 45 --a------ C:\TEST.XML 2008-02-02 21:19 . 2008-02-02 21:19 <DIR> d-------- C:\Programme\COMODO 2008-02-02 21:19 . 2008-02-02 21:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\comodo 2008-02-02 21:19 . 2008-02-02 21:19 <DIR> d-------- C:\Dokumente und Einstellungen\1\Anwendungsdaten\Comodo 2008-02-02 21:19 . 2008-02-02 21:19 81,272 --a------ C:\WINDOWS\system32\drivers\cmdGuard.sys 2008-02-02 21:19 . 2008-02-02 21:19 23,672 --a------ C:\WINDOWS\system32\drivers\cmdhlp.sys 2008-01-30 18:46 . 2008-01-30 18:46 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TuneUp Software 2008-01-29 22:47 . 2006-02-19 18:52 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2008-01-29 22:47 . 2006-02-19 18:46 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü 2008-01-29 22:47 . 2006-02-19 18:46 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2008-01-29 22:47 . 2008-02-03 20:50 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2008-01-29 22:47 . 2006-02-19 18:46 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten 2008-01-29 22:47 . 2006-02-19 18:58 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien 2008-01-29 22:47 . 2006-02-19 18:46 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung 2008-01-29 22:47 . 2008-01-30 17:40 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2008-01-29 22:38 . 2008-01-29 22:59 1,754 --a------ C:\WINDOWS\system32\tmp.reg 2008-01-29 22:37 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-01-29 22:37 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-01-29 22:37 . 2008-01-27 14:37 81,920 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-01-29 22:37 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-01-29 22:37 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-01-29 22:37 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2008-01-29 22:02 . 2008-01-29 22:02 <DIR> d-------- C:\Programme\Avira 2008-01-29 21:28 . 2008-01-29 22:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-02-04 15:14 --------- d-----w C:\Programme\ICQToolbar 2008-02-02 22:52 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-02-02 18:09 --------- d-----w C:\Dokumente und Einstellungen\1\Anwendungsdaten\MyPhoneExplorer 2008-01-29 22:18 --------- d-----w C:\Programme\StreamDown v6.3 2008-01-29 22:18 --------- d-----w C:\Dokumente und Einstellungen\1\Anwendungsdaten\Azureus 2008-01-29 19:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-01-29 19:55 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe 2008-01-25 20:56 --------- d-----w C:\Dokumente und Einstellungen\1\Anwendungsdaten\Audacity 2007-12-09 20:42 --------- d-----w C:\Programme\MSBuild 2007-12-09 19:23 --------- d-----w C:\Programme\DVDx 2007-11-07 09:27 729,600 ----a-w C:\WINDOWS\system32\lsasrv.dll 2007-03-30 18:53 71,198 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2007_03_30_20_51_32_small.dmp.zip 2006-06-10 19:38 7,371,264 ----a-w C:\Programme\antivir0.vdf . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 00:04 1415824] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57 15360] "msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 11:55 5674352] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-04-29 23:19 180269] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-29 22:05 249896] "COMODO Firewall Pro"="C:\Programme\COMODO\Firewall\cfp.exe" [2008-02-02 21:19 1481472] "AVP"="C:\Dokumente und Einstellungen\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_03.02.2008_22-01.exe" [2007-10-12 15:29 212992] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-03 23:57 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "AllowLegacyWebView"= 1 (0x1) "AllowUnhashedWebView"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "UIHost"="LogonUI.EXE" [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fcccaww] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "MsnMsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" /background [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot R1 cmdGuard;COMODO Firewall Pro Sandbox Driver;C:\WINDOWS\system32\DRIVERS\cmdguard.sys [2008-02-02 21:19] R1 cmdHlp;COMODO Firewall Pro Helper Driver;C:\WINDOWS\system32\DRIVERS\cmdhlp.sys [2008-02-02 21:19] R1 SSHDRV86;SSHDRV86;C:\WINDOWS\system32\drivers\SSHDRV86.sys [2007-09-28 12:59] R2 AdminSVCff;WEB.DE Firefox Update;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe [2006-10-25 10:43] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-03 23:58] R3 MTC0001_MPB;MPB device driver;C:\WINDOWS\system32\ntMPB.sys [2001-11-27 17:11] S2 setup_7.0.0.180_03.02.2008_22-01;setup_7.0.0.180_03.02.2008_22-01;"C:\Dokumente und Einstellungen\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_03.02.2008_22-01.exe" [2007-10-12 15:29] S3 avfwim;AvFw Packet Filter Miniport;C:\WINDOWS\system32\DRIVERS\avfwim.sys [] S3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2005-02-22 01:01] S3 PDNMp50;PDNMp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNMp50.sys [2006-11-28 21:46] S3 PDNSp50;PDNSp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNSp50.sys [2006-11-28 21:46] S3 pohci13F;pohci13F;C:\DOKUME~1\1\LOKALE~1\Temp\pohci13F.sys [] S3 s816bus;Sony Ericsson Device 816 driver (WDM);C:\WINDOWS\system32\DRIVERS\s816bus.sys [2007-06-19 09:51] S3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\s816mdfl.sys [2007-06-19 09:51] S3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\s816mdm.sys [2007-06-19 09:51] S3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\s816mgmt.sys [2007-06-19 09:51] S3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);C:\WINDOWS\system32\DRIVERS\s816nd5.sys [2007-06-19 09:51] S3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\s816obex.sys [2007-06-19 09:51] S3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);C:\WINDOWS\system32\DRIVERS\s816unic.sys [2007-06-19 09:51] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2e469148-bcd1-11db-90b5-0040d0583fb5}] \Shell\AutoRun\command - G:\LaunchU3.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7216e348-ff9a-11da-8f40-f403e0502313}] \Shell\AutoRun\command - G:\preinst.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d2af2e44-76fc-11db-902d-9a7a086388c8}] \Shell\AutoRun\command - H:\preinst.exe . Inhalt des "geplante Tasks" Ordners "2008-02-04 17:00:01 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-02-05 18:30:03 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-02-05 18:33:28 ComboFix2.txt 2008-02-03 19:50:30 . 2008-01-09 15:07:56 --- E O F --- |
|
|
||
05.02.2008, 18:40
Ehrenmitglied
Beiträge: 1441 |
#21
lade bitte diese dll hoch - lasse sie prüfen - poste den report
http://www.virustotal.com/de/ C:\WINDOWS\system32\guard32.dll __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
05.02.2008, 19:42
Member
Themenstarter Beiträge: 14 |
#22
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.2.6.10 2008.02.05 - AntiVir 7.6.0.62 2008.02.05 - Authentium 4.93.8 2008.02.05 - Avast 4.7.1098.0 2008.02.04 - AVG 7.5.0.516 2008.02.05 - BitDefender 7.2 2008.02.05 - CAT-QuickHeal 9.00 2008.02.04 - ClamAV 0.92 2008.02.05 - DrWeb 4.44.0.09170 2008.02.05 - eSafe 7.0.15.0 2008.01.28 - eTrust-Vet 31.3.5512 2008.02.05 - Ewido 4.0 2008.02.05 - FileAdvisor 1 2008.02.05 - Fortinet 3.14.0.0 2008.02.05 - F-Prot 4.4.2.54 2008.02.04 - F-Secure 6.70.13260.0 2008.02.05 - Ikarus T3.1.1.20 2008.02.05 - Kaspersky 7.0.0.125 2008.02.05 - McAfee 5222 2008.02.04 - Microsoft 1.3204 2008.02.05 - NOD32v2 2850 2008.02.05 - Norman 5.80.02 2008.02.05 - Panda 9.0.0.4 2008.02.04 - Prevx1 V2 2008.02.05 - Rising 20.29.22.00 2008.01.30 - Sophos 4.26.0 2008.02.05 - Sunbelt 2.2.907.0 2008.02.05 - Symantec 10 2008.02.05 - TheHacker 6.2.9.209 2008.02.05 - VBA32 3.12.6.0 2008.02.05 - VirusBuster 4.3.26:9 2008.02.05 - Webwasher-Gateway 6.6.2 2008.02.05 - weitere Informationen File size: 139008 bytes MD5: d8cbc192dd7f4d010dc9d54ffb7961bb SHA1: 0dd4b8ac7b3debf36db75035de57e471036145dd PEiD: - |
|
|
||
05.02.2008, 19:55
Ehrenmitglied
Beiträge: 1441 |
#23
««
guard32.dll müsste vom Comodo-Firewall kommen... «« [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fcccaww] ist immer noch da - ich verstehe das nicht Gehe in die Registry Start - Ausführen - regedit oben links klicke: suchen - schreibe : fcccaww lösche den Eintrag unter notify »» deaktiviere: Search & Destroy\TeaTimer.exe «« Starte den Rechner neu. »» scanne + poste den report http://virus-protect.org/ewido.html __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
05.02.2008, 22:11
Member
Themenstarter Beiträge: 14 |
#24
Hmm, ich verstehe das auch nicht. Jetzt findet der keinen Eintrag namens fcccaww. Und wenn ich mich manuell nach [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fcccaww] durchklicke, dann steht da auch nichts mehr von fcccaww.
Wo soll ich den TeaTimer deaktivieren, bei Hijackthis? |
|
|
||
06.02.2008, 10:04
Ehrenmitglied
Beiträge: 1441 |
#25
««
du kannst den TeaTimer direkt beim Spybot deaktivieren + eine neue cfscript.txt erstellen + mit Combofix entfernen Zitat KILLALL:: dann: ComboFix entfernen Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" dann lade Combofix neu + poste den Report - wichtig, dass die combofix zuerst vom System gelöscht wird ! http://virus-protect.org/artikel/tools/combofix.html __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
06.02.2008, 15:49
Member
Themenstarter Beiträge: 14 |
#26
ComboFix 08-02.05.3 - 1 2008-02-06 15:44:16.11 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.163 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\1\Desktop\ComboFix.exe [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . ((((((((((((((((((((((( Dateien erstellt von 2008-01-06 bis 2008-02-06 )))))))))))))))))))))))))))))) . 2008-02-06 15:41 . 2004-08-03 23:57 401,408 --a------ C:\kmd.exe 2008-02-03 21:03 . 2008-02-05 18:46 503,840 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat 2008-02-03 21:03 . 2008-02-05 18:46 9,068 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx 2008-02-03 19:40 . 2008-02-03 19:40 139,008 --a------ C:\WINDOWS\system32\guard32.dll 2008-02-02 22:41 . 2008-02-03 19:32 <DIR> d-------- C:\RVAXO 2008-02-02 22:09 . 2008-02-02 18:08 654,382 --a------ C:\WINDOWS\system32\RVAXO.bat 2008-02-02 22:09 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe 2008-02-02 21:52 . 2008-02-02 21:52 45 --a------ C:\TEST.XML 2008-02-02 21:19 . 2008-02-02 21:19 <DIR> d-------- C:\Programme\COMODO 2008-02-02 21:19 . 2008-02-02 21:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\comodo 2008-02-02 21:19 . 2008-02-02 21:19 <DIR> d-------- C:\Dokumente und Einstellungen\1\Anwendungsdaten\Comodo 2008-02-02 21:19 . 2008-02-02 21:19 81,272 --a------ C:\WINDOWS\system32\drivers\cmdGuard.sys 2008-02-02 21:19 . 2008-02-02 21:19 23,672 --a------ C:\WINDOWS\system32\drivers\cmdhlp.sys 2008-01-30 18:46 . 2008-01-30 18:46 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TuneUp Software 2008-01-29 22:47 . 2006-02-19 18:52 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2008-01-29 22:47 . 2006-02-19 18:46 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü 2008-01-29 22:47 . 2006-02-19 18:46 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2008-01-29 22:47 . 2008-02-06 15:36 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2008-01-29 22:47 . 2006-02-19 18:46 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten 2008-01-29 22:47 . 2006-02-19 18:58 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien 2008-01-29 22:47 . 2006-02-19 18:46 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung 2008-01-29 22:47 . 2008-01-30 17:40 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2008-01-29 22:38 . 2008-01-29 22:59 1,754 --a------ C:\WINDOWS\system32\tmp.reg 2008-01-29 22:37 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-01-29 22:37 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-01-29 22:37 . 2008-01-27 14:37 81,920 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-01-29 22:37 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-01-29 22:37 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-01-29 22:37 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2008-01-29 22:02 . 2008-01-29 22:02 <DIR> d-------- C:\Programme\Avira 2008-01-29 21:28 . 2008-01-29 22:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-02-04 15:14 --------- d-----w C:\Programme\ICQToolbar 2008-02-02 22:52 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-02-02 18:09 --------- d-----w C:\Dokumente und Einstellungen\1\Anwendungsdaten\MyPhoneExplorer 2008-01-29 22:18 --------- d-----w C:\Programme\StreamDown v6.3 2008-01-29 22:18 --------- d-----w C:\Dokumente und Einstellungen\1\Anwendungsdaten\Azureus 2008-01-29 19:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-01-29 19:55 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe 2008-01-25 20:56 --------- d-----w C:\Dokumente und Einstellungen\1\Anwendungsdaten\Audacity 2007-12-09 20:42 --------- d-----w C:\Programme\MSBuild 2007-12-09 19:23 --------- d-----w C:\Programme\DVDx 2007-11-07 09:27 729,600 ----a-w C:\WINDOWS\system32\lsasrv.dll 2007-03-30 18:53 71,198 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2007_03_30_20_51_32_small.dmp.zip 2006-06-10 19:38 7,371,264 ----a-w C:\Programme\antivir0.vdf . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57 15360] "msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 11:55 5674352] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-04-29 23:19 180269] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-29 22:05 249896] "COMODO Firewall Pro"="C:\Programme\COMODO\Firewall\cfp.exe" [2008-02-02 21:19 1481472] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-03 23:57 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "AllowLegacyWebView"= 1 (0x1) "AllowUnhashedWebView"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "UIHost"="LogonUI.EXE" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "MsnMsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" /background [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot R1 cmdGuard;COMODO Firewall Pro Sandbox Driver;C:\WINDOWS\system32\DRIVERS\cmdguard.sys [2008-02-02 21:19] R1 cmdHlp;COMODO Firewall Pro Helper Driver;C:\WINDOWS\system32\DRIVERS\cmdhlp.sys [2008-02-02 21:19] R1 SSHDRV86;SSHDRV86;C:\WINDOWS\system32\drivers\SSHDRV86.sys [2007-09-28 12:59] R2 AdminSVCff;WEB.DE Firefox Update;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe [2006-10-25 10:43] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-03 23:58] R3 MTC0001_MPB;MPB device driver;C:\WINDOWS\system32\ntMPB.sys [2001-11-27 17:11] S3 avfwim;AvFw Packet Filter Miniport;C:\WINDOWS\system32\DRIVERS\avfwim.sys [] S3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2005-02-22 01:01] S3 PDNMp50;PDNMp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNMp50.sys [2006-11-28 21:46] S3 PDNSp50;PDNSp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNSp50.sys [2006-11-28 21:46] S3 pohci13F;pohci13F;C:\DOKUME~1\1\LOKALE~1\Temp\pohci13F.sys [] S3 s816bus;Sony Ericsson Device 816 driver (WDM);C:\WINDOWS\system32\DRIVERS\s816bus.sys [2007-06-19 09:51] S3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\s816mdfl.sys [2007-06-19 09:51] S3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\s816mdm.sys [2007-06-19 09:51] S3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\s816mgmt.sys [2007-06-19 09:51] S3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);C:\WINDOWS\system32\DRIVERS\s816nd5.sys [2007-06-19 09:51] S3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\s816obex.sys [2007-06-19 09:51] S3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);C:\WINDOWS\system32\DRIVERS\s816unic.sys [2007-06-19 09:51] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2e469148-bcd1-11db-90b5-0040d0583fb5}] \Shell\AutoRun\command - G:\LaunchU3.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7216e348-ff9a-11da-8f40-f403e0502313}] \Shell\AutoRun\command - G:\preinst.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d2af2e44-76fc-11db-902d-9a7a086388c8}] \Shell\AutoRun\command - H:\preinst.exe . Inhalt des "geplante Tasks" Ordners "2008-02-04 17:00:01 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-02-06 15:47:06 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-02-06 15:48:22 . 2008-01-09 15:07:56 --- E O F --- |
|
|
||
06.02.2008, 18:03
Ehrenmitglied
Beiträge: 1441 |
#27
juhuuu !! ist weg
nun, es müsste wieder alles sauber sein, falls es noch Probs geben sollte - melde dich. __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
06.02.2008, 22:31
Member
Themenstarter Beiträge: 14 |
#28
Danke danke danke vielmals für deine Hilfe!!! ^^
|
|
|
||
---RVAXO.exe Updated: 2008-02-02---first run---
Files found:
Uninstallers:
Folders Found:
Hosts-file was reset, If you use a custom hosts file please replace it...
--------------RVAXO.exe last run---------------
Files found:
Folders Found:
--------------RVAXO.exe finished----------------
RegSearch
Log fcccaww
Windows Registry Editor Version 5.00
; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0
; Results at 2008-02-02 23:11:15 for strings:
; 'fcccaww'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fcccaww]
; End Of The Log...
{98663e21-9cce-4cf6-863c-911a9523a66f}
Windows Registry Editor Version 5.00
; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0
; Results at 2008-02-02 23:17:59 for strings:
; '{98663e21-9cce-4cf6-863c-911a9523a66f}'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{98663E21-9CCE-4CF6-863C-911A9523A66F}]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98663E21-9CCE-4CF6-863C-911A9523A66F}]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98663E21-9CCE-4CF6-863C-911A9523A66F}\iexplore]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached]
; Contents of value:
; 1 2 ^¯bÈ
"{98663E21-9CCE-4CF6-863C-911A9523A66F} {00000000-0000-0000-C000-000000000046} 0x401"=hex:01,\
00,00,00,31,00,32,00,04,13,5e,1d,af,62,c8,01
; End Of The Log...