AntiVir Warnung: APPL/NirCmd3 u. TR/Dldr.Injecter.GF !? |
||
---|---|---|
#0
| ||
10.02.2008, 13:12
Member
Beiträge: 56 |
||
|
||
10.02.2008, 13:15
Ehrenmitglied
Beiträge: 1441 |
#2
Hallo Christin777
Anwendung APPL/NirCmd.3 - ist Combofix - kein Virus ------------------------------------------------------------- Lade die exe hoch, lasse sie prüfen + poste hier den Report http://www.virustotal.com/de/ C:\WINDOWS\system32\userini.exe C:\WINDOWS\system32\userinit.exe C:\Programme\setup.exe __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
10.02.2008, 14:06
Member
Themenstarter Beiträge: 56 |
#3
Hallo Pinguin,
bei der Suche wurden keine ergebnisse ermittelt: weitere Informationen File size: 23040 bytes MD5: 3ae38e3f4f230364247086eac49421b9 SHA1: 1420d0ae2919adb6515169eca38336ccf8dce11e PEiD: - Datei setup.exe empfangen 2008.02.10 13:46:19 (CET) Status: Beendet Ergebnis: 0/32 (0%) ---------------------------------- weitere Informationen File size: 25088 bytes MD5: d1e53dc57143f2584b1dd53b036c0633 SHA1: 53f6e0e6130cf9f0177e6d48295ae9d84fb9f8fa PEiD: - Datei userini.exe empfangen 2008.02.10 13:23:25 (CET) Status: Beendet Ergebnis: 0/30 (0%) ------------------------------------- File size: 25088 bytes MD5: d1e53dc57143f2584b1dd53b036c0633 SHA1: 53f6e0e6130cf9f0177e6d48295ae9d84fb9f8fa PEiD: - Datei userinit.exe empfangen 2008.02.10 13:57:24 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/32 (0%) |
|
|
||
10.02.2008, 16:43
Moderator
Beiträge: 5694 |
#4
Wenn bei VirusTotal die Meldung kommt ” Die Datei wurde bereits analysiert “, dann waehle: „Analisiere die Datei“
|
|
|
||
10.02.2008, 18:26
Ehrenmitglied
Beiträge: 1441 |
#5
du kannst es überall hier versuchen:
virustotal http://www.virustotal.com/flash/index_en.html jotti. http://virusscan.jotti.org/de/.org/de/ threatexpert http://www.threatexpert.com/filescan.aspx viruschief viruschief http://www.viruschief.com/ __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
10.02.2008, 18:44
Member
Themenstarter Beiträge: 56 |
#6
Zitat Tonstudio postetehabe ich gemacht, kam trotzdem nur die Meldung oben! *m* Pinguin: bei einem anderen Scanner kommt auch nur "The submitted file is not detected" !? |
|
|
||
10.02.2008, 22:50
Ehrenmitglied
Beiträge: 1441 |
#7
»»
scanne mit bitdefender + poste hier den report http://virus-protect.org/onlinescan.html (ich trau mich nicht - userini.exe und userinit.exe löschen zu lassen, ohne Bestätigung, dass es Trojaner sind, denn gleichen Namens sind auch Windowsdateien __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
11.02.2008, 17:46
Member
Themenstarter Beiträge: 56 |
#8
So recht weiß ich nicht was ich da machen soll. Kann zwar heraus lesen, daß ich dieses ActiveX installieren muß oder so aber weiß nicht wie und wo. Bitte um Nachsicht, bin weder technisch noch sprachen versiert. *m*
Could not load the Online Scanner! Service Pack 2 was detected on this computer.Click on the information bar and select "Install ActiveX Control...".Click here for other possible fixes. |
|
|
||
11.02.2008, 23:33
Ehrenmitglied
Beiträge: 1441 |
#9
Hallo
wähle Bitdefender, poste dann den report http://virus-protect.org/onlinescan.html dann scanne mit kaspersky (löscht nicht, zeigt nur an) + poste auch den Report http://virus-protect.org/onlinescan.html __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
13.02.2008, 06:24
Member
Themenstarter Beiträge: 56 |
#10
Hallo,
also wie es aussieht ist es kein Virus. Sorry habe erst das mit dem Activ X nicht verstanden, wie gesagt brauche immer etwas länger zum Denken*m* Vielleicht war es das TR/Dldr.Injecter.GE, das hab ich noch in Quarantäne und lösche es am besten einfach. Viele Grüße Christin ------------------------------------------------------------------------------- PROTOKOLL FÜR KASPERSKY ONLINE SCANNER Dienstag, 12. Februar 2008 19:56:36 Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600) Version von Kaspersky Online Scanner: 5.0.98.1 Letztes Update der Antiviren-Datenbanken: 12/02/2008 Anzahl der Einträge in den Antiviren-Datenbanken: 518901 ------------------------------------------------------------------------------- Scan-Einstellungen: Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard Archive untersuchen: ja Mail-Datenbanken untersuchen: ja Untersuchungsobjekt - Kritische Objekte: C:\WINDOWS C:\DOKUME~1\max\LOKALE~1\Temp\ Untersuchungsergebnisse: Untersuchte Objekte insgesamt: 9038 Viren gefunden: 0 Infizierte Objekte gefunden: 0 Verdächtige Objekte gefunden: 0 Untersuchungszeit: 00:07:32 Name des infizierten Objekts / Virusname / Letzte Aktion C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\edbtmp.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen Die Untersuchung wurde abgeschlossen. ------------------------- ------------------------------------------------------------------------------- PROTOKOLL FÜR KASPERSKY ONLINE SCANNER Dienstag, 12. Februar 2008 20:40:17 Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600) Version von Kaspersky Online Scanner: 5.0.98.1 Letztes Update der Antiviren-Datenbanken: 12/02/2008 Anzahl der Einträge in den Antiviren-Datenbanken: 518901 ------------------------------------------------------------------------------- Scan-Einstellungen: Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard Archive untersuchen: ja Mail-Datenbanken untersuchen: ja Untersuchungsobjekt - Arbeitsplatz: C:\ D:\ E:\ F:\ G:\ H:\ I:\ J:\ K:\ L:\ Untersuchungsergebnisse: Untersuchte Objekte insgesamt: 34500 Viren gefunden: 0 Infizierte Objekte gefunden: 0 Verdächtige Objekte gefunden: 0 Untersuchungszeit: 00:39:04 Name des infizierten Objekts / Virusname / Letzte Aktion C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\max\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\max\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\max\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\max\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\max\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\max\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008021220080213\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\max\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\max\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen C:\System Volume Information\_restore{D3C9EB80-7215-455B-AE7D-A943F201AEBB}\RP1\change.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\edbtmp.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen Die Untersuchung wurde abgeschlossen. ------------------------ BitDefender Online Scanner - Real Time Virus Report Generated at: Wed, Feb 13, 2008 - 01:19:17 Scan Info Scanned Files 95935 Infected Files 0 Virus Detected No virus found. This summary of the scan process will be used by the BitDefender Antivirus Lab to create agregate statistics about virus activity around the world. |
|
|
||
13.02.2008, 10:24
Ehrenmitglied
Beiträge: 1441 |
#11
Hallo Christin777
es reicht, dass du die temporären Dateien löschst, kannst du jede Woche mit CCl machen http://www.ccleaner.de/?protecus.de ----------------------------------------------------------------- diese exe ist eine Windowsdatei, sollte man nicht löschen...vielleicht ist es ein Fehlalarm Frag mal im Avira-Forum nach http://forum.avira.com/index.php Zitat C:\WINDOWS\system32\userinit.exeBerichte dann bitte, was die dort dazu meinen.... __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
14.02.2008, 20:47
Member
Themenstarter Beiträge: 56 |
#12
Hallo Pinguin,
ich glaub es hat sich erledigt. Gelöscht hab ich die Datei nicht aber bin gestern nicht mehr in Windows gekommen, eine Datei hätte gefehlt und so wollte ich erst alles neu machen, konnte aber mit der CD alles ohne Verlußte reparieren! Viele Grüße Christin |
|
|
||
habe wieder mal ein Problem. Mein AntiVir klingelte heute mehrfach Alarm (beim Besuch einer Seite und dort wiederun untergeordneter seite) und beim Scannen wurde nachfolgendes gefunden. Auch bei offline und klicken in die Eigenen Dateien kam eine Warnung. Im Netz konnte ich darüber nichts finden, könnt ihr etwas erkennen und helfen!?
Viele Grüße
Christin
C:\Dokumente und Einstellungen\max\Eigene Dateien\C2152591d01
[0] Archivtyp: RAR SFX (self extracting)
--> nircmd.com
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.3
--> nircmd.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47dfcf60.qua' verschoben!
C:\System Volume Information\_restore{D3C9EB80-7215-455B-AE7D-A943F201AEBB}\RP5\A0046622.com
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47ded2fb.qua' verschoben!
C:\System Volume Information\_restore{D3C9EB80-7215-455B-AE7D-A943F201AEBB}\RP5\A0046623.com
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47ded2fe.qua' verschoben!
C:\System Volume Information\_restore{D3C9EB80-7215-455B-AE7D-A943F201AEBB}\RP5\A0046624.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47ded301.qua' verschoben!
C:\WINDOWS\system32\userinit.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Injecter.GF
--------------------
ComboFix 08-02.05.3 - max 2008-02-10 12:18:15.7 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.67 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\max\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\conf.dat
.
((((((((((((((((((((((( Dateien erstellt von 2008-01-10 bis 2008-02-10 ))))))))))))))))))))))))))))))
.
2008-02-10 11:04 . 2004-08-04 01:58 25,088 --a------ C:\WINDOWS\system32\userini.exe
2008-01-25 20:47 . 2008-01-25 20:47 <DIR> d-------- C:\Programme\QIP
2008-01-19 17:39 . 2008-01-19 17:39 1,142 --a------ C:\WINDOWS\mozver.dat
2008-01-19 10:18 . 2008-01-19 10:18 <DIR> d-------- C:\Dokumente und Einstellungen\max\Anwendungsdaten\Talkback
2008-01-19 10:17 . 2008-01-19 10:17 0 --a------ C:\WINDOWS\nsreg.dat
2008-01-19 10:15 . 2008-02-09 22:31 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-01-19 09:47 . 2008-01-19 09:47 3,329,812 --a------ C:\Programme\setup.exe
2008-01-11 22:53 . 2008-01-19 10:15 <DIR> d-------- C:\Programme\Google
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-10 10:04 11,264 ----a-w C:\WINDOWS\system32\userinit.exe
2008-01-24 19:58 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2007-12-15 20:48 --------- d-----w C:\Programme\SopCast
2007-12-15 20:28 --------- d-----w C:\Dokumente und Einstellungen\max\Anwendungsdaten\SopCast
2007-03-07 05:33 18,016 ----a-w C:\Dokumente und Einstellungen\max\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6607E676-1BDE-4cb3-9913-4DC5EBCAE35E}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57 15360]
"NBJ"="C:\Programme\Ahead\Nero BackItUp\NBJ.exe" [2004-08-20 10:47 1912832]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55 5674352]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-01-19 10:15 68856]
"AdobeUpdater"="C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe" [2007-03-01 10:37 2321600]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2002-08-15 11:46 46592 C:\WINDOWS\SOUNDMAN.EXE]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"PCMService"="C:\Programme\Home Cinema\PowerCinema\PCMService.exe" [2004-10-08 16:14 81920]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 18:36 249896]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe" [2003-01-30 17:49 196608]
"HPHmon03"="C:\WINDOWS\system32\hphmon03.exe" [2003-01-30 17:49 311296]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-11-17 14:55 185896]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 01:57 15360]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nlhr"="C:\WINDOWS\System32\AdvPack.Dll" [2004-08-04 01:57 102400]
"tscuninstall"="C:\WINDOWS\system32\tscupgrd.exe" [2004-08-04 01:38 44544]
C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Google Updater.lnk - C:\Programme\Google\Google Updater\GoogleUpdater.exe [2008-01-19 10:15:07 124400]
R0 hotcore;hotcore;C:\WINDOWS\system32\drivers\hotcore.sys [2006-07-12 18:52]
R3 Dot4Usb HPH09;Dot4Usb HPH09;C:\WINDOWS\system32\drivers\hphius09.sys [2003-01-30 17:55]
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-10 12:19:47
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Einträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
Zeit der Fertigstellung: 2008-02-10 12:20:20
ComboFix-quarantined-files.txt 2008-02-10 11:20:05
ComboFix2.txt 2008-01-26 15:31:43
----------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:34:27, on 10.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\HPHipm09.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\system32\hphmon03.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\explorer.exe
C:\DOKUME~1\max\LOKALE~1\Temp\Temporäres Verzeichnis 1 für HTJ.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Gamburg provider - {6607E676-1BDE-4cb3-9913-4DC5EBCAE35E} - unifff.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\system32\hphmon03.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlhr] RunDll32.exe %SystemRoot%\System32\AdvPack.Dll,LaunchINFSection %SystemRoot%\inf\nlite.inf,C (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlhr] RunDll32.exe %SystemRoot%\System32\AdvPack.Dll,LaunchINFSection %SystemRoot%\inf\nlite.inf,C (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlhr] RunDll32.exe %SystemRoot%\System32\AdvPack.Dll,LaunchINFSection %SystemRoot%\inf\nlite.inf,C (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlhr] RunDll32.exe %SystemRoot%\System32\AdvPack.Dll,LaunchINFSection %SystemRoot%\inf\nlite.inf,C (User 'Default user')
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Pml Driver - HP - C:\WINDOWS\system32\HPHipm09.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
--
End of file - 5755 bytes