TR/Vundo.Gen lässt sich nicht löschen |
||
---|---|---|
#0
| ||
30.01.2008, 23:57
Member
Beiträge: 14 |
||
|
||
31.01.2008, 01:11
Member
Beiträge: 26 |
#2
Hi
O20 - Winlogon Notify: fcccaww - C:\WINDOWS\SYSTEM32\fcccaww.dll Dieser Schlüssel ist normal in diesem Pfad zu finden: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ 1a) Entweder den Schlüssel mit fcccaww manuell löschen 1b) oder mit Autoruns: http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx Autoruns starten und unter Winlogon bei der fcccaww.dll den Hacken raus machen. 2) Neustart und die Datei fcccaww.dll im Verzeichnis C:\WINDOWS\SYSTEM32\ löschen. MfG __________ "Free thought can`t be bought" States Of Mind - Senser |
|
|
||
31.01.2008, 07:18
Ehrenmitglied
Beiträge: 1441 |
#3
Hallo Tjara
poste bitte das log von Combofix http://www.virus-protect.org/artikel/tools/combofix.html __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
31.01.2008, 18:58
Member
Themenstarter Beiträge: 14 |
#4
@subset
Danke für deinen Tipp. Habe es mit Autoruns versucht, den Haken aus dem Kästchen genommen, danach den Eintrag sogar ganz gelöscht und Pc neu gestarten, aber fcccaww.dll lässt sich trotzdem nicht löschen. Habe wieder Autoruns gestartet und der Eintrag von der Datei steht wieder drin. @Pinguin Hier das Log von Combofix: ComboFix 08-02.01.1 - 1 2008-01-31 18:16:37.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.169 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\1\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\ssqpp.dll C:\Dokumente und Einstellungen\1\Anwendungsdaten\DriveCleaner Free C:\Dokumente und Einstellungen\1\Anwendungsdaten\DriveCleaner Free\Logs\update.log C:\Dokumente und Einstellungen\1\ResErrors.log C:\Programme\Gemeinsame Dateien\drivecleaner free C:\Programme\Gemeinsame Dateien\drivecleaner free\udcwap.exe C:\WINDOWS\system32\Cfx32.lic C:\WINDOWS\system32\cfx32.ocx C:\WINDOWS\system32\kxmymada.dll C:\WINDOWS\system32\ppqss.ini C:\WINDOWS\system32\ppqss.ini2 C:\WINDOWS\system32\ssqpp.dll . ((((((((((((((((((((((( Dateien erstellt von 2008-01-01 bis 2008-02-01 )))))))))))))))))))))))))))))) . 2008-01-30 18:46 . 2008-01-30 18:46 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TuneUp Software 2008-01-30 14:25 . 2008-01-30 17:36 825 --a------ C:\WINDOWS\system32\drivers\fwdrv.err 2008-01-29 23:36 . 2008-01-30 18:16 <DIR> d-------- C:\VundoFix Backups 2008-01-29 22:47 . 2006-02-19 18:52 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2008-01-29 22:47 . 2006-02-19 18:46 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen 2008-01-29 22:47 . 2006-02-19 18:46 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2008-01-29 22:47 . 2008-02-01 18:27 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2008-01-29 22:47 . 2006-02-19 18:46 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten 2008-01-29 22:47 . 2006-02-19 18:58 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien 2008-01-29 22:47 . 2006-02-19 18:46 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung 2008-01-29 22:47 . 2008-01-30 17:40 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2008-01-29 22:38 . 2008-01-29 22:59 1,754 --a------ C:\WINDOWS\system32\tmp.reg 2008-01-29 22:37 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-01-29 22:37 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-01-29 22:37 . 2008-01-27 14:37 81,920 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-01-29 22:37 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-01-29 22:37 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-01-29 22:37 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2008-01-29 22:14 . 2008-01-29 22:14 <DIR> d-------- C:\Programme\Sunbelt Software 2008-01-29 22:02 . 2008-01-29 22:02 <DIR> d-------- C:\Programme\Avira 2008-01-29 21:28 . 2008-01-29 22:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-01-29 20:41 . 2008-01-29 20:41 38,400 --------- C:\WINDOWS\system32\fcccaww.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-29 22:18 --------- d-----w C:\Programme\StreamDown v6.3 2008-01-29 22:18 --------- d-----w C:\Dokumente und Einstellungen\1\Anwendungsdaten\Azureus 2008-01-29 19:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-01-29 19:55 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe 2008-01-25 20:56 --------- d-----w C:\Dokumente und Einstellungen\1\Anwendungsdaten\Audacity 2008-01-19 19:48 --------- d-----w C:\Dokumente und Einstellungen\1\Anwendungsdaten\MyPhoneExplorer 2007-12-10 16:28 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2007-12-09 20:42 --------- d-----w C:\Programme\MSBuild 2007-12-09 19:23 --------- d-----w C:\Programme\DVDx 2007-11-07 09:27 729,600 ----a-w C:\WINDOWS\system32\lsasrv.dll 2007-03-30 18:53 71,198 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2007_03_30_20_51_32_small.dmp.zip 2006-06-10 19:38 7,371,264 ----a-w C:\Programme\antivir0.vdf . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{98663E21-9CCE-4CF6-863C-911A9523A66F}] 2008-01-29 20:41 38400 --------- C:\WINDOWS\system32\fcccaww.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 00:04 1415824] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57 15360] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] "ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 11:15 3144800] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-04-29 23:19 180269] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-29 22:05 249896] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-03 23:57 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "AllowLegacyWebView"= 1 (0x1) "AllowUnhashedWebView"= 1 (0x1) [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{98663E21-9CCE-4CF6-863C-911A9523A66F}"= C:\WINDOWS\system32\fcccaww.dll [2008-01-29 20:41 38400] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "UIHost"="C:\\WINDOWS\\system32\\logonui.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fcccaww] fcccaww.dll 2008-01-29 20:41 38400 C:\WINDOWS\system32\fcccaww.dll [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "MsnMsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" /background [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys [2007-04-26 10:21] R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys [2007-04-26 10:21] R1 SSHDRV86;SSHDRV86;C:\WINDOWS\system32\drivers\SSHDRV86.sys [2007-09-28 12:59] R2 AdminSVCff;WEB.DE Firefox Update;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe [2006-10-25 10:43] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-03 23:58] R3 MTC0001_MPB;MPB device driver;C:\WINDOWS\system32\ntMPB.sys [2001-11-27 17:11] S0 vaxjutbm;vaxjutbm;C:\WINDOWS\system32\drivers\kndhhjek.sys [] S2 SPF4;Sunbelt Personal Firewall 4;"C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe" [2007-04-26 10:21] S3 avfwim;AvFw Packet Filter Miniport;C:\WINDOWS\system32\DRIVERS\avfwim.sys [] S3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2005-02-22 01:01] S3 PDNMp50;PDNMp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNMp50.sys [2006-11-28 21:46] S3 PDNSp50;PDNSp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNSp50.sys [2006-11-28 21:46] S3 pohci13F;pohci13F;C:\DOKUME~1\1\LOKALE~1\Temp\pohci13F.sys [] S3 s816bus;Sony Ericsson Device 816 driver (WDM);C:\WINDOWS\system32\DRIVERS\s816bus.sys [2007-06-19 09:51] S3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\s816mdfl.sys [2007-06-19 09:51] S3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\s816mdm.sys [2007-06-19 09:51] S3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\s816mgmt.sys [2007-06-19 09:51] S3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);C:\WINDOWS\system32\DRIVERS\s816nd5.sys [2007-06-19 09:51] S3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\s816obex.sys [2007-06-19 09:51] S3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);C:\WINDOWS\system32\DRIVERS\s816unic.sys [2007-06-19 09:51] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2e469148-bcd1-11db-90b5-0040d0583fb5}] \Shell\AutoRun\command - G:\LaunchU3.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7216e348-ff9a-11da-8f40-f403e0502313}] \Shell\AutoRun\command - G:\preinst.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d2af2e44-76fc-11db-902d-9a7a086388c8}] \Shell\AutoRun\command - H:\preinst.exe . Inhalt des "geplante Tasks" Ordners "2008-01-29 17:00:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-02-01 18:32:07 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\system32\winlogon.exe -> C:\WINDOWS\system32\fcccaww.dll . ------------------------ Other Running Processes ------------------------ . C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\ANYCOM\Blue USB-200-250\bin\btwdins.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-02-01 18:36:51 - machine was rebooted ComboFix-quarantined-files.txt 2008-02-01 17:36:38 . 2008-01-09 15:07:56 --- E O F --- |
|
|
||
01.02.2008, 09:32
Ehrenmitglied
Beiträge: 1441 |
#5
1.
klick Start -> Ausführen>> schreibe rein: Services.msc und Klick OK! "Eigenschaften" >> klick "Stop" >> Starttyp "deaktiviert" Firewall Driver ------------------------------------------------------------------- 2. Start --> Ausführen --> reinkopieren (wenn eine Fehlermeldung kommt...ignorieren) --> klicke O.K. sc delete Firewall Driver --------------------------------------------------------------- 3. http://www.virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) Firewall Driver in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) fwdrv in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) vaxjutbm in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. ---------------------------------------------------------- 4. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern Zitat KILLALL::Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden. cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen danach: Combofix noch einmal anwenden - tippe 1 «« poste das neue log von combofix hier __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
01.02.2008, 20:39
Member
Themenstarter Beiträge: 14 |
#6
Hmm... unter "Dienste" steht nichts von dem Firewall Driver. Was hat das zu bedeuten?
|
|
|
||
01.02.2008, 22:53
Ehrenmitglied
Beiträge: 1441 |
#7
o.k. --- wenn es nicht da ist, kann man es nicht löschen... arbeite alles weitere Punkt für Punkt ab
__________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
02.02.2008, 00:33
Member
Themenstarter Beiträge: 14 |
#8
RegSearch:
Ich habe übrigens die Sunbelt Firewall wieder deinstalliert, weil ich damit nicht so zufireden war und mir stattdessen die kostenlose "COMODO Firewall" installiert, weil ich dachte, die ist vielleicht besser. Firewall Driver Log Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.5.0 ; Results at 02.02.2008 23:14:58 for strings: ; 'firewall driver' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FWDRV\0000] "DeviceDesc"="Firewall Driver" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_INSPECT\0000] "DeviceDesc"="COMODO Firewall Pro Firewall Driver" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Inspect] "Description"="COMODO Firewall Pro Firewall Driver" "DisplayName"="COMODO Firewall Pro Firewall Driver" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_FWDRV\0000] "DeviceDesc"="Firewall Driver" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_INSPECT\0000] "DeviceDesc"="COMODO Firewall Pro Firewall Driver" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Inspect] "Description"="COMODO Firewall Pro Firewall Driver" "DisplayName"="COMODO Firewall Pro Firewall Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FWDRV\0000] "DeviceDesc"="Firewall Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_INSPECT\0000] "DeviceDesc"="COMODO Firewall Pro Firewall Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Inspect] "Description"="COMODO Firewall Pro Firewall Driver" "DisplayName"="COMODO Firewall Pro Firewall Driver" [HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603] "001"="Firewall Driver" ; End Of The Log... fwdrv Log Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.5.0 ; Results at 02.02.2008 23:19:33 for strings: ; 'fwdrv' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FWDRV] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FWDRV\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FWDRV\0000] "Service"="fwdrv" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\fwdrv] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\fwdrv] "ErrLogFile"="\\SystemRoot\\System32\\drivers\\fwdrv.err" "DebugLogFile"="\\SystemRoot\\System32\\drivers\\fwdrv.dbg" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\fwdrv\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\fwdrv\Enum] "0"="Root\\LEGACY_FWDRV\\0000" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_FWDRV] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_FWDRV\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_FWDRV\0000] "Service"="fwdrv" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\fwdrv] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\fwdrv] "ErrLogFile"="\\SystemRoot\\System32\\drivers\\fwdrv.err" "DebugLogFile"="\\SystemRoot\\System32\\drivers\\fwdrv.dbg" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FWDRV] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FWDRV\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FWDRV\0000] "Service"="fwdrv" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fwdrv] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fwdrv] "ErrLogFile"="\\SystemRoot\\System32\\drivers\\fwdrv.err" "DebugLogFile"="\\SystemRoot\\System32\\drivers\\fwdrv.dbg" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fwdrv\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fwdrv\Enum] "0"="Root\\LEGACY_FWDRV\\0000" [HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603] "000"="fwdrv" ; End Of The Log... vaxjutbm Log Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.5.0 ; Results at 2008-02-02 23:53:12 for strings: ; 'vaxjutbm' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_VAXJUTBM] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_VAXJUTBM\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_VAXJUTBM\0000] "Service"="vaxjutbm" "DeviceDesc"="vaxjutbm" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_VAXJUTBM\0000\Control] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vaxjutbm] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vaxjutbm\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vaxjutbm\Enum] "0"="Root\\LEGACY_VAXJUTBM\\0000" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_VAXJUTBM] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_VAXJUTBM\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_VAXJUTBM\0000] "Service"="vaxjutbm" "DeviceDesc"="vaxjutbm" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\vaxjutbm] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VAXJUTBM] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VAXJUTBM\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VAXJUTBM\0000] "Service"="vaxjutbm" "DeviceDesc"="vaxjutbm" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VAXJUTBM\0000\Control] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vaxjutbm] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vaxjutbm\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vaxjutbm\Enum] "0"="Root\\LEGACY_VAXJUTBM\\0000" ; End Of The Log... Punkt 4 habe ich natürlich auch genau befolgt und zu meiner Überraschung oder ich hoffe schon Erleichterung kann ich sagen, dass AntiVir nach dem Neustart nicht wie immer alle paar Sekunden die Virenwahrnung angezeigt hat. ^^ Heißt das jetzt, ich bin den sturen Trojaner endlich wieder los?? Mir hat allerdings auch etwas Sorgen bereitet, undzwar wurde bei dem Neustart nach dem Löschvorgang durch Combofix eine Problemmeldung angezeigt. Also blauer Bildschirm... Als Problem wurde angezeigt: INVALID_KERNEL_HANDLE Habe ich da Grund zur Sorge? Den Computer habe ich jedenfalls nochmal neu gestartet und die Problemmeldung kam zum Glück nicht nocheinmal. Neues Log von Combofix ComboFix 08-02.01.1 - 1 2008-02-03 0:00:28.2 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.189 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\1\Desktop\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\1\Desktop\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] FILE C:\WINDOWS\system32\drivers\fwdrv.err C:\WINDOWS\system32\drivers\fwdrv.sys C:\WINDOWS\system32\drivers\kndhhjek.sys C:\WINDOWS\system32\fcccaww.dll . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\fcccaww.dll C:\WINDOWS\system32\geebc.dll C:\WINDOWS\system32\cbeeg.ini C:\WINDOWS\system32\cbeeg.ini2 C:\WINDOWS\system32\drivers\fwdrv.err C:\WINDOWS\system32\fcccaww.dll C:\WINDOWS\system32\geebc.dll . ((((((((((((((((((((((( Dateien erstellt von 2008-01-02 bis 2008-02-02 )))))))))))))))))))))))))))))) . 2008-02-02 21:52 . 2008-02-02 21:52 45 --a------ C:\TEST.XML 2008-02-02 21:19 . 2008-02-02 21:19 <DIR> d-------- C:\Programme\COMODO 2008-02-02 21:19 . 2008-02-02 21:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\comodo 2008-02-02 21:19 . 2008-02-02 21:19 <DIR> d-------- C:\Dokumente und Einstellungen\1\Anwendungsdaten\Comodo 2008-02-02 21:19 . 2008-02-02 21:19 139,008 --a------ C:\WINDOWS\system32\guard32.dll.vir 2008-02-02 21:19 . 2008-02-02 21:19 81,272 --a------ C:\WINDOWS\system32\drivers\cmdGuard.sys 2008-02-02 21:19 . 2008-02-02 21:19 23,672 --a------ C:\WINDOWS\system32\drivers\cmdhlp.sys 2008-01-30 18:46 . 2008-01-30 18:46 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TuneUp Software 2008-01-29 23:36 . 2008-01-30 18:16 <DIR> d-------- C:\VundoFix Backups 2008-01-29 22:47 . 2006-02-19 18:52 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2008-01-29 22:47 . 2006-02-19 18:46 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen 2008-01-29 22:47 . 2006-02-19 18:46 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2008-01-29 22:47 . 2008-02-03 00:12 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2008-01-29 22:47 . 2006-02-19 18:46 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten 2008-01-29 22:47 . 2006-02-19 18:58 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien 2008-01-29 22:47 . 2006-02-19 18:46 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung 2008-01-29 22:47 . 2008-01-30 17:40 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2008-01-29 22:38 . 2008-01-29 22:59 1,754 --a------ C:\WINDOWS\system32\tmp.reg 2008-01-29 22:37 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-01-29 22:37 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-01-29 22:37 . 2008-01-27 14:37 81,920 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-01-29 22:37 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-01-29 22:37 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-01-29 22:37 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2008-01-29 22:14 . 2008-01-29 22:14 <DIR> d-------- C:\Programme\Sunbelt Software 2008-01-29 22:02 . 2008-01-29 22:02 <DIR> d-------- C:\Programme\Avira 2008-01-29 21:28 . 2008-01-29 22:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-02-02 22:52 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-02-02 18:09 --------- d-----w C:\Dokumente und Einstellungen\1\Anwendungsdaten\MyPhoneExplorer 2008-01-29 22:18 --------- d-----w C:\Programme\StreamDown v6.3 2008-01-29 22:18 --------- d-----w C:\Dokumente und Einstellungen\1\Anwendungsdaten\Azureus 2008-01-29 19:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-01-25 20:56 --------- d-----w C:\Dokumente und Einstellungen\1\Anwendungsdaten\Audacity 2007-12-09 20:42 --------- d-----w C:\Programme\MSBuild 2007-12-09 19:23 --------- d-----w C:\Programme\DVDx 2007-03-30 18:53 71,198 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2007_03_30_20_51_32_small.dmp.zip 2006-06-10 19:38 7,371,264 ----a-w C:\Programme\antivir0.vdf . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{98663E21-9CCE-4CF6-863C-911A9523A66F}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 00:04 1415824] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57 15360] "msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 11:55 5674352] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] "ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 11:15 3144800] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-04-29 23:19 180269] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-29 22:05 249896] "COMODO Firewall Pro"="C:\Programme\COMODO\Firewall\cfp.exe" [2008-02-02 21:19 1481472] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-03 23:57 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "AllowLegacyWebView"= 1 (0x1) "AllowUnhashedWebView"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "UIHost"="LogonUI.EXE" [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fcccaww] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"= C:\WINDOWS\system32\guard32.dll [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "MsnMsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" /background [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot R1 cmdGuard;COMODO Firewall Pro Sandbox Driver;C:\WINDOWS\system32\DRIVERS\cmdguard.sys [2008-02-02 21:19] R1 cmdHlp;COMODO Firewall Pro Helper Driver;C:\WINDOWS\system32\DRIVERS\cmdhlp.sys [2008-02-02 21:19] R1 SSHDRV86;SSHDRV86;C:\WINDOWS\system32\drivers\SSHDRV86.sys [2007-09-28 12:59] R2 AdminSVCff;WEB.DE Firefox Update;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe [2006-10-25 10:43] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-03 23:58] R3 MTC0001_MPB;MPB device driver;C:\WINDOWS\system32\ntMPB.sys [2001-11-27 17:11] S0 vaxjutbm;vaxjutbm;C:\WINDOWS\system32\drivers\kndhhjek.sys [] S3 avfwim;AvFw Packet Filter Miniport;C:\WINDOWS\system32\DRIVERS\avfwim.sys [] S3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2005-02-22 01:01] S3 PDNMp50;PDNMp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNMp50.sys [2006-11-28 21:46] S3 PDNSp50;PDNSp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNSp50.sys [2006-11-28 21:46] S3 pohci13F;pohci13F;C:\DOKUME~1\1\LOKALE~1\Temp\pohci13F.sys [] S3 s816bus;Sony Ericsson Device 816 driver (WDM);C:\WINDOWS\system32\DRIVERS\s816bus.sys [2007-06-19 09:51] S3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\s816mdfl.sys [2007-06-19 09:51] S3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\s816mdm.sys [2007-06-19 09:51] S3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\s816mgmt.sys [2007-06-19 09:51] S3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);C:\WINDOWS\system32\DRIVERS\s816nd5.sys [2007-06-19 09:51] S3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\s816obex.sys [2007-06-19 09:51] S3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);C:\WINDOWS\system32\DRIVERS\s816unic.sys [2007-06-19 09:51] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2e469148-bcd1-11db-90b5-0040d0583fb5}] \Shell\AutoRun\command - G:\LaunchU3.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7216e348-ff9a-11da-8f40-f403e0502313}] \Shell\AutoRun\command - G:\preinst.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d2af2e44-76fc-11db-902d-9a7a086388c8}] \Shell\AutoRun\command - H:\preinst.exe . Inhalt des "geplante Tasks" Ordners "2008-02-02 17:00:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-02-03 00:19:20 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\ANYCOM\Blue USB-200-250\bin\btwdins.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-02-03 0:22:48 - machine was rebooted [1] ComboFix-quarantined-files.txt 2008-02-02 23:22:42 ComboFix2.txt 2008-02-01 17:36:54 . 2008-01-09 15:07:56 --- E O F --- Dieser Beitrag wurde am 02.02.2008 um 00:47 Uhr von Tjara editiert.
|
|
|
||
02.02.2008, 11:30
Ehrenmitglied
Beiträge: 1441 |
#9
avenger
http://virus-protect.org/artikel/tools/avenger.html Input script manually (anhaken) die "Lupe" rechts anklicken - View/edit script (wird sich öffnen) kopiere rein: Zitat Registry values to replace with dummy:Klicke die grüne Ampel - das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten »» poste das Log vom Avenger, was erscheint ------------------------ 2. ComboFix entfernen Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" 3. lade Combofix neu, wende an + poste das neue Log http://virus-protect.org/artikel/tools/combofix.html __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
02.02.2008, 12:26
Member
Themenstarter Beiträge: 14 |
#10
Avenger Log:
Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\bwlckqqs ******************* Script file located at: nnixwxbk Could not open script file! Error Could not open script file! Status: 0xc000003b Abort! |
|
|
||
02.02.2008, 12:32
Ehrenmitglied
Beiträge: 1441 |
#11
ja nun.. du musst ganz genau abarbeiten, was auf der Seite vom Avenger erklärt ist, sonst funktioniert es nicht
Nicht etwa "zitat" mit reinkopieren .. und ansonsten: schau noch mal nach: http://virus-protect.org/artikel/tools/avenger.html wie es gemacht wird. __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
02.02.2008, 13:29
Member
Themenstarter Beiträge: 14 |
#12
^^ Oh, ok das sieht schon besser aus:
Avenger Log Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\hdlsfqby ******************* Script file located at: \??\C:\cgmuqbmm.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vaxjutbm deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\vaxjutbm deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vaxjutbm not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vaxjutbm failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vaxjutbm Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_VAXJUTBM deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_VAXJUTBM deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VAXJUTBM not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VAXJUTBM failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VAXJUTBM Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FWDRV deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\fwdrv deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_FWDRV deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\fwdrv deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FWDRV not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FWDRV failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FWDRV Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fwdrv not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fwdrv failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fwdrv Status: 0xc0000034 Registry key \Registry\Machine\System\CurrentControlSet\Services\vaxjutbm not found! Unload of driver vaxjutbm failed! Could not process line: vaxjutbm Status: 0xc0000034 Registry key \Registry\Machine\System\CurrentControlSet\Services\fwdrv not found! Unload of driver fwdrv failed! Could not process line: fwdrv Status: 0xc0000034 File C:\WINDOWS\system32\drivers\kndhhjek.sys not found! Deletion of file C:\WINDOWS\system32\drivers\kndhhjek.sys failed! Could not process line: C:\WINDOWS\system32\drivers\kndhhjek.sys Status: 0xc0000034 File C:\WINDOWS\system32\drivers\fwdrv.dbg not found! Deletion of file C:\WINDOWS\system32\drivers\fwdrv.dbg failed! Could not process line: C:\WINDOWS\system32\drivers\fwdrv.dbg Status: 0xc0000034 File C:\WINDOWS\system32\drivers\fwdrv.err not found! Deletion of file C:\WINDOWS\system32\drivers\fwdrv.err failed! Could not process line: C:\WINDOWS\system32\drivers\fwdrv.err Status: 0xc0000034 File C:\WINDOWS\system32\guard32.dll.vir deleted successfully. File C:\WINDOWS\system32\guard32.dll not found! Deletion of file C:\WINDOWS\system32\guard32.dll failed! Could not process line: C:\WINDOWS\system32\guard32.dll Status: 0xc0000034 Registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully. Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fcccaww deleted successfully. Registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{98663E21-9CCE-4CF6-863C-911A9523A66F} not found! Deletion of registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{98663E21-9CCE-4CF6-863C-911A9523A66F} failed! Status: 0xc0000034 Completed script processing. ******************* Finished! Terminate. Combofix Log ComboFix 08-02.02.5 - 1 2008-02-01 13:33:42.4 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.183 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\1\Desktop\ComboFix.exe [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . ((((((((((((((((((((((( Dateien erstellt von 2008-01-01 bis 2008-02-01 )))))))))))))))))))))))))))))) . 2008-02-02 21:52 . 2008-02-02 21:52 45 --a------ C:\TEST.XML 2008-02-02 21:19 . 2008-02-02 21:19 <DIR> d-------- C:\Programme\COMODO 2008-02-02 21:19 . 2008-02-02 21:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\comodo 2008-02-02 21:19 . 2008-02-02 21:19 <DIR> d-------- C:\Dokumente und Einstellungen\1\Anwendungsdaten\Comodo 2008-02-02 21:19 . 2008-02-02 21:19 81,272 --a------ C:\WINDOWS\system32\drivers\cmdGuard.sys 2008-02-02 21:19 . 2008-02-02 21:19 23,672 --a------ C:\WINDOWS\system32\drivers\cmdhlp.sys 2008-01-30 18:46 . 2008-01-30 18:46 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TuneUp Software 2008-01-29 22:47 . 2006-02-19 18:52 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2008-01-29 22:47 . 2006-02-19 18:46 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü 2008-01-29 22:47 . 2006-02-19 18:46 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2008-01-29 22:47 . 2008-02-03 00:22 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2008-01-29 22:47 . 2006-02-19 18:46 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten 2008-01-29 22:47 . 2006-02-19 18:58 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien 2008-01-29 22:47 . 2006-02-19 18:46 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung 2008-01-29 22:47 . 2008-01-30 17:40 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2008-01-29 22:38 . 2008-01-29 22:59 1,754 --a------ C:\WINDOWS\system32\tmp.reg 2008-01-29 22:37 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-01-29 22:37 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-01-29 22:37 . 2008-01-27 14:37 81,920 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-01-29 22:37 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-01-29 22:37 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-01-29 22:37 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2008-01-29 22:14 . 2008-01-29 22:14 <DIR> d-------- C:\Programme\Sunbelt Software 2008-01-29 22:02 . 2008-01-29 22:02 <DIR> d-------- C:\Programme\Avira 2008-01-29 21:28 . 2008-01-29 22:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-02-02 22:52 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-02-02 18:09 --------- d-----w C:\Dokumente und Einstellungen\1\Anwendungsdaten\MyPhoneExplorer 2008-01-29 22:18 --------- d-----w C:\Programme\StreamDown v6.3 2008-01-29 22:18 --------- d-----w C:\Dokumente und Einstellungen\1\Anwendungsdaten\Azureus 2008-01-29 19:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-01-29 19:55 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe 2008-01-25 20:56 --------- d-----w C:\Dokumente und Einstellungen\1\Anwendungsdaten\Audacity 2007-12-09 20:42 --------- d-----w C:\Programme\MSBuild 2007-12-09 19:23 --------- d-----w C:\Programme\DVDx 2007-11-07 09:27 729,600 ----a-w C:\WINDOWS\system32\lsasrv.dll 2007-03-30 18:53 71,198 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2007_03_30_20_51_32_small.dmp.zip 2006-06-10 19:38 7,371,264 ----a-w C:\Programme\antivir0.vdf . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 00:04 1415824] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57 15360] "msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 11:55 5674352] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-04-29 23:19 180269] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-29 22:05 249896] "COMODO Firewall Pro"="C:\Programme\COMODO\Firewall\cfp.exe" [2008-02-02 21:19 1481472] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-03 23:57 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "AllowLegacyWebView"= 1 (0x1) "AllowUnhashedWebView"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "UIHost"="LogonUI.EXE" [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fcccaww] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "MsnMsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" /background [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot R1 cmdGuard;COMODO Firewall Pro Sandbox Driver;C:\WINDOWS\system32\DRIVERS\cmdguard.sys [2008-02-02 21:19] R1 cmdHlp;COMODO Firewall Pro Helper Driver;C:\WINDOWS\system32\DRIVERS\cmdhlp.sys [2008-02-02 21:19] R1 SSHDRV86;SSHDRV86;C:\WINDOWS\system32\drivers\SSHDRV86.sys [2007-09-28 12:59] R2 AdminSVCff;WEB.DE Firefox Update;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe [2006-10-25 10:43] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-03 23:58] R3 MTC0001_MPB;MPB device driver;C:\WINDOWS\system32\ntMPB.sys [2001-11-27 17:11] S3 avfwim;AvFw Packet Filter Miniport;C:\WINDOWS\system32\DRIVERS\avfwim.sys [] S3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2005-02-22 01:01] S3 PDNMp50;PDNMp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNMp50.sys [2006-11-28 21:46] S3 PDNSp50;PDNSp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNSp50.sys [2006-11-28 21:46] S3 pohci13F;pohci13F;C:\DOKUME~1\1\LOKALE~1\Temp\pohci13F.sys [] S3 s816bus;Sony Ericsson Device 816 driver (WDM);C:\WINDOWS\system32\DRIVERS\s816bus.sys [2007-06-19 09:51] S3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\s816mdfl.sys [2007-06-19 09:51] S3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\s816mdm.sys [2007-06-19 09:51] S3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\s816mgmt.sys [2007-06-19 09:51] S3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);C:\WINDOWS\system32\DRIVERS\s816nd5.sys [2007-06-19 09:51] S3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\s816obex.sys [2007-06-19 09:51] S3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);C:\WINDOWS\system32\DRIVERS\s816unic.sys [2007-06-19 09:51] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2e469148-bcd1-11db-90b5-0040d0583fb5}] \Shell\AutoRun\command - G:\LaunchU3.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7216e348-ff9a-11da-8f40-f403e0502313}] \Shell\AutoRun\command - G:\preinst.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d2af2e44-76fc-11db-902d-9a7a086388c8}] \Shell\AutoRun\command - H:\preinst.exe . Inhalt des "geplante Tasks" Ordners "2008-02-02 17:00:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-02-01 13:38:20 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-02-01 13:39:39 . 2008-01-09 15:07:56 --- E O F --- Dieser Beitrag wurde am 02.02.2008 um 13:43 Uhr von Tjara editiert.
|
|
|
||
02.02.2008, 14:07
Ehrenmitglied
Beiträge: 1441 |
#13
««
neue cfscript.txt erstellen Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern Zitat KILLALL::Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden. cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen danach: Combofix noch einmal anwenden - tippe 1 poste das neue log von combofix ---------- » wende rvaxo an + poste hier das log http://virus-protect.org/artikel/tools/rvaxo.html __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
02.02.2008, 22:01
Member
Themenstarter Beiträge: 14 |
#14
Neues Log von Combofix
ComboFix 08-02.02.5 - 1 2008-02-02 21:30:36.6 - NTFSx86 ausgeführt von:: C:\Dokumente und Einstellungen\1\Desktop\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\1\Desktop\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . ((((((((((((((((((((((( Dateien erstellt von 2008-01-02 bis 2008-02-02 )))))))))))))))))))))))))))))) . 2008-02-02 21:52 . 2008-02-02 21:52 45 --a------ C:\TEST.XML 2008-02-02 21:19 . 2008-02-02 21:19 <DIR> d-------- C:\Programme\COMODO 2008-02-02 21:19 . 2008-02-02 21:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\comodo 2008-02-02 21:19 . 2008-02-02 21:19 <DIR> d-------- C:\Dokumente und Einstellungen\1\Anwendungsdaten\Comodo 2008-02-02 21:19 . 2008-02-02 21:19 81,272 --a------ C:\WINDOWS\system32\drivers\cmdGuard.sys 2008-02-02 21:19 . 2008-02-02 21:19 23,672 --a------ C:\WINDOWS\system32\drivers\cmdhlp.sys 2008-01-30 18:46 . 2008-01-30 18:46 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TuneUp Software 2008-01-29 22:47 . 2006-02-19 18:52 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2008-01-29 22:47 . 2006-02-19 18:46 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen 2008-01-29 22:47 . 2006-02-19 18:46 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2008-01-29 22:47 . 2008-02-02 15:10 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2008-01-29 22:47 . 2006-02-19 18:46 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten 2008-01-29 22:47 . 2006-02-19 18:58 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien 2008-01-29 22:47 . 2006-02-19 18:46 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung 2008-01-29 22:47 . 2008-01-30 17:40 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2008-01-29 22:38 . 2008-01-29 22:59 1,754 --a------ C:\WINDOWS\system32\tmp.reg 2008-01-29 22:37 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-01-29 22:37 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-01-29 22:37 . 2008-01-27 14:37 81,920 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-01-29 22:37 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-01-29 22:37 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-01-29 22:37 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2008-01-29 22:14 . 2008-01-29 22:14 <DIR> d-------- C:\Programme\Sunbelt Software 2008-01-29 22:02 . 2008-01-29 22:02 <DIR> d-------- C:\Programme\Avira 2008-01-29 21:28 . 2008-01-29 22:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-02-02 22:52 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-02-02 18:09 --------- d-----w C:\Dokumente und Einstellungen\1\Anwendungsdaten\MyPhoneExplorer 2008-01-29 22:18 --------- d-----w C:\Programme\StreamDown v6.3 2008-01-29 22:18 --------- d-----w C:\Dokumente und Einstellungen\1\Anwendungsdaten\Azureus 2008-01-29 19:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-01-25 20:56 --------- d-----w C:\Dokumente und Einstellungen\1\Anwendungsdaten\Audacity 2007-12-09 20:42 --------- d-----w C:\Programme\MSBuild 2007-12-09 19:23 --------- d-----w C:\Programme\DVDx 2006-06-10 19:38 7,371,264 ----a-w C:\Programme\antivir0.vdf . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{98663E21-9CCE-4CF6-863C-911A9523A66F}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 00:04 1415824] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57 15360] "msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 11:55 5674352] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] "ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 11:15 3144800] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-04-29 23:19 180269] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-29 22:05 249896] "COMODO Firewall Pro"="C:\Programme\COMODO\Firewall\cfp.exe" [2008-02-02 21:19 1481472] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-03 23:57 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "AllowLegacyWebView"= 1 (0x1) "AllowUnhashedWebView"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "UIHost"="LogonUI.EXE" [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fcccaww] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "MsnMsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" /background [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot R1 cmdGuard;COMODO Firewall Pro Sandbox Driver;C:\WINDOWS\system32\DRIVERS\cmdguard.sys [2008-02-02 21:19] R1 cmdHlp;COMODO Firewall Pro Helper Driver;C:\WINDOWS\system32\DRIVERS\cmdhlp.sys [2008-02-02 21:19] R1 SSHDRV86;SSHDRV86;C:\WINDOWS\system32\drivers\SSHDRV86.sys [2007-09-28 12:59] R2 AdminSVCff;WEB.DE Firefox Update;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe [2006-10-25 10:43] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-03 23:58] R3 MTC0001_MPB;MPB device driver;C:\WINDOWS\system32\ntMPB.sys [2001-11-27 17:11] S3 avfwim;AvFw Packet Filter Miniport;C:\WINDOWS\system32\DRIVERS\avfwim.sys [] S3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2005-02-22 01:01] S3 PDNMp50;PDNMp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNMp50.sys [2006-11-28 21:46] S3 PDNSp50;PDNSp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNSp50.sys [2006-11-28 21:46] S3 pohci13F;pohci13F;C:\DOKUME~1\1\LOKALE~1\Temp\pohci13F.sys [] S3 s816bus;Sony Ericsson Device 816 driver (WDM);C:\WINDOWS\system32\DRIVERS\s816bus.sys [2007-06-19 09:51] S3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\s816mdfl.sys [2007-06-19 09:51] S3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\s816mdm.sys [2007-06-19 09:51] S3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\s816mgmt.sys [2007-06-19 09:51] S3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);C:\WINDOWS\system32\DRIVERS\s816nd5.sys [2007-06-19 09:51] S3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\s816obex.sys [2007-06-19 09:51] S3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);C:\WINDOWS\system32\DRIVERS\s816unic.sys [2007-06-19 09:51] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2e469148-bcd1-11db-90b5-0040d0583fb5}] \Shell\AutoRun\command - G:\LaunchU3.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7216e348-ff9a-11da-8f40-f403e0502313}] \Shell\AutoRun\command - G:\preinst.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d2af2e44-76fc-11db-902d-9a7a086388c8}] \Shell\AutoRun\command - H:\preinst.exe . Inhalt des "geplante Tasks" Ordners "2008-02-02 17:00:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-02-02 21:45:23 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\ANYCOM\Blue USB-200-250\bin\btwdins.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-02-02 21:52:40 - machine was rebooted ComboFix2.txt 2008-02-02 14:10:08 ComboFix3.txt 2008-02-01 12:39:43 . 2008-01-09 15:07:56 --- E O F --- |
|
|
||
02.02.2008, 22:05
Ehrenmitglied
Beiträge: 1441 |
#15
««
http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) fcccaww in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. «« und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) {98663E21-9CCE-4CF6-863C-911A9523A66F} in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
habe seit gestern ein anderes Antivirenprogramm (AntiVir PE Classic) auf dem Rechner und das hat mich direkt auf den Trojaner TR/Vundo.Gen aufmerksam gemacht, der sich im Pfad C:/WINDOWS/system32/fcccaww.dll befindet.
Nun habe ich schon über die anderen Forenbeiträge ein paar Sachen ausprobiert.
Manuell lässt er sich nicht löschen, weil die Datei angeblich von einem Programm verwendet wird. AntiVir kann ihn auch nicht löschen. FixVundo.exe findet erst gar nichts, VundoFix.exe findet ihn zwar, aber kann ihn auch nicht löschen. Hijackthis kann es ebenso nicht entfernen. Habe es auch im abgesicherten Modus probiert.
Achja, das Programm SmitfraudFix.exe hat es auch nicht geschafft. Wie ihr seht treibt mich dieser Trojaner so langsam in die Verzweiflung. ^^'*
Den Avenger habe ich mir schon runtergeladen, aber was ich genau da machen muss weiß ich leider nicht.
Hier der Hijackthis LogFile:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:46:01, on 30.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\ANYCOM\Blue USB-200-250\bin\btwdins.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ANYCOM\Blue USB-200-250\BTTray.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Alice\Signup\AliceCnn.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2BEB1F22-E08F-410C-A29C-B8A791163646} - C:\WINDOWS\system32\ssqpp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {98663E21-9CCE-4CF6-863C-911A9523A66F} - C:\WINDOWS\system32\fcccaww.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programme\MP3 Player Utilities 3.75\AMVConverter\grab.html
O8 - Extra context menu item: Download All Files by HiDownload - C:\Programme\HiDownload\HDGetAll.htm
O8 - Extra context menu item: Download by HiDownload - C:\Programme\HiDownload\HDGet.htm
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programme\MP3 Player Utilities 3.75\MediaManager\grab.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{5976F1A7-A0E0-4DC4-BFBA-A23E9CCA38C1}: NameServer = 213.191.74.11 213.191.92.82
O20 - Winlogon Notify: fcccaww - C:\WINDOWS\SYSTEM32\fcccaww.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: WEB.DE Firefox Update (AdminSVCff) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\ANYCOM\Blue USB-200-250\bin\btwdins.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
Danke schonmal im Vorraus, dass ihr bereit seid mir zu helfen.
Liebe Grüße,
Tjara