Wurm Virus? E-Mailprogramm outlook versendet selbsttändig e-mails |
||
---|---|---|
#0
| ||
05.02.2008, 18:50
Member
Beiträge: 38 |
||
|
||
09.02.2008, 10:05
Member
Beiträge: 3716 |
#2
hi, kannst du das hjt-log erneut posten und das log der filelist bitte?
|
|
|
||
09.02.2008, 10:44
Member
Themenstarter Beiträge: 38 |
#3
Hi hier ist das HJT Logfile. und wo finde ich log der filelist ???
Gruß Micky Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:36:43, on 05.02.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe D:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE D:\Programme\AntiVir PersonalEdition Classic\sched.exe D:\Programme\AntiVir PersonalEdition Classic\avguard.exe D:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe D:\Programme\QuickTime\qttask.exe D:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\Executive Software\Diskeeper\DkService.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe D:\Programme\Handspring\HOTSYNC.EXE C:\WINDOWS\system32\WgaTray.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\explorer.exe D:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE D:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\DOKUME~1\MichaelP\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hjt.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.framic-music.com/42206/42201.html O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - D:\Programme\eBay\eBay Toolbar2\eBayTB.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar1.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - D:\Programme\eBay\eBay Toolbar2\eBayTB.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Device Detector] "C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe" -autorun O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [updateMgr] D:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 O4 - HKCU\..\Run: [swg] D:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: HotSync Manager.lnk = D:\Programme\Handspring\HOTSYNC.EXE O8 - Extra context menu item: &eBay Search - res://D:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab27571.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - https://homepage.t-online.de/app/static/activex/msxml4.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{89D6E7A0-7726-4954-AA8B-1DA5D6AB62AE}: NameServer = 192.168.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{A3FEEE9F-431F-4760-B909-9675627EE2DC}: NameServer = 217.237.148.70 217.237.150.115 O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - D:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\Diskeeper\DkService.exe O23 - Service: Google Updater Service (gusvc) - Google - D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - D:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe -- End of file - 6475 bytes |
|
|
||
09.02.2008, 10:46
Member
Beiträge: 3716 |
#4
hi, du hast datfind.bat verwendet, erstelle mir damit ein neues log.
|
|
|
||
09.02.2008, 10:50
Member
Themenstarter Beiträge: 38 |
#5
Hi, okay zuerst habe ich eine neues HJT erstwellt hier:
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:47:37, on 09.02.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe D:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE D:\Programme\AntiVir PersonalEdition Classic\sched.exe D:\Programme\AntiVir PersonalEdition Classic\avguard.exe D:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Programme\Executive Software\Diskeeper\DkService.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\WgaTray.exe C:\WINDOWS\Explorer.EXE D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe D:\Programme\QuickTime\qttask.exe D:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe D:\Programme\Handspring\HOTSYNC.EXE D:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE D:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\DOKUME~1\MichaelP\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hjt.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.framic-music.com/42206/42201.html O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - D:\Programme\eBay\eBay Toolbar2\eBayTB.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar1.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - D:\Programme\eBay\eBay Toolbar2\eBayTB.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Device Detector] "C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe" -autorun O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [updateMgr] D:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 O4 - HKCU\..\Run: [swg] D:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: HotSync Manager.lnk = D:\Programme\Handspring\HOTSYNC.EXE O8 - Extra context menu item: &eBay Search - res://D:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab27571.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - https://homepage.t-online.de/app/static/activex/msxml4.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{89D6E7A0-7726-4954-AA8B-1DA5D6AB62AE}: NameServer = 192.168.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{A3FEEE9F-431F-4760-B909-9675627EE2DC}: NameServer = 217.237.148.70 217.237.150.115 O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - D:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\Diskeeper\DkService.exe O23 - Service: Google Updater Service (gusvc) - Google - D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - D:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe -- End of file - 6430 bytes und jetzt das datfindbat Datenträger in Laufwerk C: ist Boot Volumeseriennummer: F8B0-E7ED Verzeichnis von C:\WINDOWS\system32 09.02.2008 10:37 2.206 wpa.dbl 05.02.2008 15:53 2.550 Uninstall.ico 05.02.2008 15:53 1.406 Help.ico 05.02.2008 15:53 30.590 pavas.ico 02.01.2008 19:21 17.642.616 MRT.exe 12.12.2007 15:10 387.268 TZLog.log 13.11.2007 12:31 60.416 tzchange.exe 07.11.2007 10:27 729.600 lsasrv.dll 29.10.2007 23:42 1.293.312 quartz.dll 29.10.2007 16:35 123.904 xpsp3res.dll 28.10.2007 09:07 320.094 perfh007.dat 28.10.2007 09:07 40.836 perfc009.dat 28.10.2007 09:07 49.174 perfc007.dat 28.10.2007 09:07 314.508 perfh009.dat 28.10.2007 09:07 732.342 PerfStringBackup.INI 25.10.2007 17:55 8.495.616 shell32.dll 25.10.2007 10:01 2.109.440 wmvcore.dll 25.10.2007 10:00 230.912 wmasf.dll vielen Dank vorab.. Gruß micky |
|
|
||
09.02.2008, 10:54
Member
Beiträge: 3716 |
#6
wenn dann brauche ich schon alle verzeichnisse...
|
|
|
||
09.02.2008, 11:00
Member
Themenstarter Beiträge: 38 |
#7
Ahh jetzt habe ich verstanden...
Verzeichnis von C:\DOKUME~1\MichaelP\LOKALE~1\Temp 09.02.2008 10:57 102.327 datfind.txt 09.02.2008 10:52 512 ~DF340A.tmp 2 Datei(en) 102.839 Bytes 0 Verzeichnis(se), 326.840.320 Bytes frei Datenträger in Laufwerk C: ist Boot Volumeseriennummer: F8B0-E7ED Verzeichnis von C:\WINDOWS 09.02.2008 10:40 1.890.067 WindowsUpdate.log 09.02.2008 10:40 46.628 KB942840.log 09.02.2008 10:40 861.902 KB917344.log 09.02.2008 10:40 141.478 KB938127.log 09.02.2008 10:39 47.184 KB942615.log 09.02.2008 10:32 0 0.log 09.02.2008 10:32 159 wiadebug.log 09.02.2008 10:32 50 wiaservc.log 09.02.2008 10:32 2.048 bootstat.dat 09.02.2008 06:44 32.618 SchedLgU.Txt 09.02.2008 06:36 116 NeroDigital.ini 09.02.2008 06:00 54.156 QTFont.qfn 05.02.2008 17:56 227 system.ini 05.02.2008 17:45 484 LEXSTAT.INI 05.02.2008 17:38 88.120 setupapi.log 29.01.2008 13:20 1.125 winamp.ini 26.01.2008 18:21 16.069 CDPlayer.ini 09.01.2008 10:12 1.199.279 iis6.log 09.01.2008 10:12 54.323 ocmsn.log 09.01.2008 10:12 485.763 tsoc.log 09.01.2008 10:12 364.223 comsetup.log 09.01.2008 10:12 52.786 tabletoc.log 09.01.2008 10:12 224.357 ntdtcsetup.log 09.01.2008 10:12 1.355 imsins.log 09.01.2008 10:12 12.066 KB941644.log 09.01.2008 10:12 58.961 medctroc.Log 09.01.2008 10:12 525.166 ocgen.log 09.01.2008 10:12 183.283 netfxocm.log 09.01.2008 10:12 52.756 msgsocm.log 09.01.2008 10:12 1.034.910 FaxSetup.log 09.01.2008 10:12 164.700 msmqinst.log 09.01.2008 10:12 1.355 imsins.BAK 09.01.2008 10:12 12.275 KB943485.log 14.12.2007 17:54 1.409 QTFont.for 12.12.2007 15:11 11.572 KB937894.log 12.12.2007 15:10 22.184 KB942763.log 12.12.2007 15:10 9.290 KB941569.log 12.12.2007 15:09 9.985 KB941568.log 12.12.2007 15:09 10.651 KB944653.log 11.12.2007 14:29 37.414 KB939653.log 04.12.2007 09:30 34.339 spupdsvc.log 03.12.2007 23:33 35.602 WgaNotify.log 03.12.2007 23:29 17.367 updspapi.log 19.11.2007 18:07 6.078 DPINST.LOG 14.11.2007 21:51 7.740 KB943460.log 19.10.2007 18:08 8.407 KB933729.log 19.10.2007 18:07 11.559 KB941202.log 08.10.2007 16:47 57.482 KB937143.log Datenträger in Laufwerk C: ist Boot Volumeseriennummer: F8B0-E7ED Verzeichnis von C:\WINDOWS\temp 09.02.2008 10:42 409 WGANotify.settings 09.02.2008 10:37 255 WGAErrLog.txt 2 Datei(en) 664 Bytes 0 Verzeichnis(se), 326.828.032 Bytes frei . . . Datenträger in Laufwerk C: ist Boot Volumeseriennummer: F8B0-E7ED Verzeichnis von C:\WINDOWS\Downloaded Program Files 15.01.2008 22:12 296.336 rufsi.dll 15.01.2008 22:04 241 CabSA.inf 14.02.2007 15:30 144 setup.inf 24.08.2006 08:28 141.424 asinst.dll 22.08.2006 09:06 537 asinst.inf 15.06.2006 17:33 1.132.192 EPUWALcontrol.dll 27.03.2006 12:00 5.019 swflash.inf 31.01.2005 14:43 539 EPUWALcontrol.inf 05.08.2004 23:43 78 toolbar.crc 06.02.2004 21:35 65 desktop.ini 25.08.2003 18:12 1.096 iuctl.inf 22.08.2003 21:10 226 opuc.inf 30.06.2003 21:41 1.689 WMV9VCM.inf 29.05.2003 15:00 84.064 minesweeper.dll 29.05.2003 15:00 160.864 messengerstatsclient.dll 29.05.2003 14:00 77.408 msgrchkr.dll 12.05.2003 11:04 402 msxml4.inf 27.10.2002 19:32 3.036 wmv9dmo.inf 20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd 14.10.1997 18:52 697 DirectAnimation Java Classes.osd 20 Datei(en) 1.907.219 Bytes 0 Verzeichnis(se), 326.823.936 Bytes frei |
|
|
||
09.02.2008, 11:01
Member
Themenstarter Beiträge: 38 |
#8
ICh hoffe ich habe jetzt alles???
Gruß Micky |
|
|
||
09.02.2008, 11:07
Member
Beiträge: 3716 |
#9
Zitat Einige Scans auf Dateien, Prozesse und Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während-> Nun bitte alle Logs posten. |
|
|
||
ICh habe die Anweisungen zum scannen die hier im Forum unter Tipps beschrieben sind durchgeführt und hier sind die Logs:
1.Temporäre Datein beseitigt
2.Cobofix
ComboFix 08-02.05.3 - 2008-02-05 17:54:10.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.96 [GMT 1:00]
* Neuer Wiederherstellungspunkt wurde erstellt
[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.
((((((((((((((((((((((( Dateien erstellt von 2008-01-05 bis 2008-02-05 ))))))))))))))))))))))))))))))
.
2008-02-05 15:13 . 2008-02-05 15:30 <DIR> d-------- C:\WINDOWS\system32\ActiveScan
2008-02-05 15:13 . 2008-02-05 15:13 <DIR> d-------- C:\WINDOWS\LastGood
2008-02-05 15:13 . 2008-02-05 15:53 30,590 --a------ C:\WINDOWS\system32\pavas.ico
2008-02-05 15:13 . 2008-02-05 15:53 2,550 --a------ C:\WINDOWS\system32\Uninstall.ico
2008-02-05 15:13 . 2008-02-05 15:53 1,406 --a------ C:\WINDOWS\system32\Help.ico
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-07 09:27 729,600 ----a-w C:\WINDOWS\system32\lsasrv.dll
2006-11-13 12:01 2,976 ----a-w D:\Programme\Report-Scan-20061113-130024.txt
2004-06-27 09:40 27 ----a-w D:\Programme\stinger.opt
2004-06-27 09:26 784,903 ----a-w D:\Programme\stinger.exe
2004-04-29 00:25 1,024 ----a-w C:\Dokumente und Einstellungen\MichaelP\updata.exe
2004-03-11 11:27 40,960 ----a-w D:\Programme\Uninstall_CDS.exe
2004-06-04 20:00 2,814 --sha-w C:\WINDOWS\system32\galga.dat
3. Highjackthis Logfiles
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:36:43, on 05.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\QuickTime\qttask.exe
D:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Handspring\HOTSYNC.EXE
C:\WINDOWS\system32\WgaTray.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
D:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
D:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\DOKUME~1\MichaelP\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hjt.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.framic-music.com/42206/42201.html
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - D:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - D:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Device Detector] "C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe" -autorun
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [updateMgr] D:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [swg] D:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HotSync Manager.lnk = D:\Programme\Handspring\HOTSYNC.EXE
O8 - Extra context menu item: &eBay Search - res://D:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab27571.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - https://homepage.t-online.de/app/static/activex/msxml4.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{89D6E7A0-7726-4954-AA8B-1DA5D6AB62AE}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{A3FEEE9F-431F-4760-B909-9675627EE2DC}: NameServer = 217.237.148.70 217.237.150.115
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - D:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\Diskeeper\DkService.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - D:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
--
End of file - 6475 bytes
4. datfind.bat
Datenträger in Laufwerk C: ist Boot
Volumeseriennummer: F8B0-E7ED
Verzeichnis von C:\WINDOWS\system32
05.02.2008 15:53 2.550 Uninstall.ico
05.02.2008 15:53 1.406 Help.ico
05.02.2008 15:53 30.590 pavas.ico
05.02.2008 09:23 2.206 wpa.dbl
02.01.2008 19:21 17.642.616 MRT.exe
12.12.2007 15:10 387.268 TZLog.log
13.11.2007 12:31 60.416 tzchange.exe
07.11.2007 10:27 729.600 lsasrv.dll
29.10.2007 23:42 1.293.312 quartz.dll
29.10.2007 16:35 123.904 xpsp3res.dll
28.10.2007 09:07 320.094 perfh007.dat
28.10.2007 09:07 40.836 perfc009.dat
28.10.2007 09:07 49.174 perfc007.dat
28.10.2007 09:07 314.508 perfh009.dat
28.10.2007 09:07 732.342 PerfStringBackup.INI
25.10.2007 17:55 8.495.616 shell32.dll
25.10.2007 10:01 2.109.440 wmvcore.dll
25.10.2007 10:00 230.912 wmasf.dll
Ich hoffe jemand kann damit auch was anfangen...
Gruß Micky 36