vundo Probleme ohne Ende...

#0
24.02.2008, 17:36
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#16 Hallo

««
Doppelklick FindAWF.exe - und schreibe: 3 - + klicke "Enter - eine files.txt wird sich öffnen.
kopiere ein

Zitat

F:\Programme\Spybot - Search & Destroy\bak
F:\WINDOWS\system32\bak
klicke oben links auf: Datei - "Speichern unter" - und bestätige mit "ja"

poste hier das Log, welches erscheint

««
erstelle eine neue cfscript.txt (laut Anleitung) - ziehe sie wieder auf das Combofixsymbol + Combofix wieder anwenden (im normalmodus)

Zitat

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tt]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{10EF016D-D1E0-4684-918D-418DB861D0B6}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{22e88050-7be3-47f3-837b-c4a65f5f8c14}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{23C5E2EE-10D4-42F6-89F7-0EE385F19025}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3CFAC24F-9108-439D-9D77-C5C6C5870401}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{41EBD9AA-25B7-4CC7-B330-ACCAB8BC98A9}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5EBBB409-F530-49EE-9C36-7914449A3B2A}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AB25544B-4715-4E06-BB75-A1ADFFA172EA}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AE629598-F5BC-4B4B-BE36-2BFF0D1332E5}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C0BEAB76-E67F-4BA6-9896-16F2F8AB686C}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E6FBC0B9-5C02-4E94-998E-DE42ADA7A2AB}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{e9dd3566-0282-476f-9921-13e67c8ea41a}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"=-

-----------

PC neustarten

««
ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"

««
lade wieder die Combofix
poste den report
http://virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
24.02.2008, 20:44
Member

Themenstarter

Beiträge: 35
#17 Hallo,

hier erst einmal das erste bvon FindAWF.exe

--snip

Find AWF report by noahdfear ©2006
Version 1.40
Option 3 run successfully



bak folders found
~~~~~~~~~~~

Datentr„ger in Laufwerk F: ist BOOT-System

Verzeichnis von F:\PROGRA~1\MESSEN~1\BAK

0 Datei(en) 0 Bytes
2 Verzeichnis(se), 6.122.184.704 Bytes frei
Datentr„ger in Laufwerk F: ist BOOT-System

Verzeichnis von F:\PROGRA~1\SPYBOT~1\BAK

31.05.2005 01:04 1.415.824 TeaTimer.exe
1 Datei(en) 1.415.824 Bytes
2 Verzeichnis(se), 6.122.184.704 Bytes frei
Datentr„ger in Laufwerk F: ist BOOT-System

Verzeichnis von F:\WINDOWS\SYSTEM32\BAK

09.07.2001 10:50 155.648 NeroCheck.exe
1 Datei(en) 155.648 Bytes
2 Verzeichnis(se), 6.122.180.608 Bytes frei


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

2097488 28 Jan 2008 F:\PROGRA~1\SPYBOT~1\TEATIMER.EXE
1415824 31 May 2005 F:\PROGRA~1\SPYBOT~1\BAK\TEATIMER.EXE
36610 6 Mar 2007 F:\WINDOWS\SYSTEM32\NEROCH~1.EXE
155648 9 Jul 2001 F:\WINDOWS\SYSTEM32\BAK\NEROCH~1.EXE


end of report

--

und das hier bekam ich als ich das dfscript auf das (frische) Combofix geschoben hatte. Dabei musste ich dem Teatimer eine Veränderung erlauben. Ich hoffe, das war okay?

Jetzt boote ich den Rechner neu und wende ein neues frisches Combofix an...

--snip
ComboFix 08-02-19.2 - sysop 2008-02-19 21:08:06.10 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.0.1252.1.1031.18.741 [GMT 1:00]
ausgeführt von:: F:\Dokumente und Einstellungen\sysop\Desktop\ComboFix.exe
Command switches used :: F:\Dokumente und Einstellungen\sysop\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-01-19 bis 2008-02-19 ))))))))))))))))))))))))))))))
.

2008-02-19 20:47 . 2008-02-19 20:47 <DIR> d-------- F:\Dokumente und Einstellungen\sysop\Anwendungsdaten\vlc
2008-02-19 19:46 . 2008-02-19 19:46 <DIR> d-------- F:\Programme\CCleaner
2008-02-04 23:03 . 2008-02-16 22:45 729,088 --a------ F:\WINDOWS\GPInstall.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-19 19:49 --------- d-----w F:\Programme\QuickTime
2008-02-04 22:47 --------- d---a-w F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-02-04 21:58 --------- d-----w F:\Programme\Registry System Wizard
2008-02-04 21:47 --------- d-----w F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-02-04 21:46 --------- d-----w F:\Programme\Spybot - Search & Destroy
2008-01-06 04:06 --------- d-----w F:\Dokumente und Einstellungen\sysop\Anwendungsdaten\Move Networks
2007-12-20 21:10 31,744 ----a-w F:\WINDOWS\system32\msnvdrv.dll
2007-12-20 21:10 30,208 ----a-w F:\WINDOWS\system32\commusr.dll
2007-12-20 21:09 31,744 ----a-w F:\WINDOWS\system32\drvdlgdiag.dll
2007-12-20 21:01 31,744 ----a-w F:\WINDOWS\system32\commnet.dll
2007-12-20 21:01 30,208 ----a-w F:\WINDOWS\system32\nvcomm.dll
2007-12-20 21:00 31,744 ----a-w F:\WINDOWS\system32\net64diagms.dll
2007-12-20 21:00 30,208 ----a-w F:\WINDOWS\system32\msnv32usr.dll
2007-12-20 20:59 31,744 ----a-w F:\WINDOWS\system32\msmsdrv32.dll
2007-12-20 20:59 30,208 ----a-w F:\WINDOWS\system32\dlgdiag32usr.dll
2007-12-20 20:51 31,744 ----a-w F:\WINDOWS\system32\nvnetdlg.dll
2007-12-20 20:51 31,744 ----a-w F:\WINDOWS\system32\netcommnv.dll
2007-12-20 20:51 31,744 ----a-w F:\WINDOWS\system32\diagnet32.dll
2007-12-20 20:51 30,208 ----a-w F:\WINDOWS\system32\diagcommdlg.dll
2007-12-20 20:50 30,208 ----a-w F:\WINDOWS\system32\ms64commusr.dll
2007-12-20 20:50 30,208 ----a-w F:\WINDOWS\system32\commnetusr.dll
2007-12-20 20:49 31,744 ----a-w F:\WINDOWS\system32\netcomm.dll
2007-12-20 20:49 30,208 ----a-w F:\WINDOWS\system32\diag32.dll
2007-12-20 20:41 30,208 ----a-w F:\WINDOWS\system32\netdrvdrvcomm.dll
2007-12-20 20:40 31,744 ----a-w F:\WINDOWS\system32\nvdrvcommusr.dll
2007-12-20 20:40 31,744 ----a-w F:\WINDOWS\system32\netdiag.dll
2007-12-20 20:40 30,208 ----a-w F:\WINDOWS\system32\commdrvnv.dll
2007-12-20 20:39 31,744 ----a-w F:\WINDOWS\system32\drvdrvdiagdiag.dll
2007-12-20 20:39 30,208 ----a-w F:\WINDOWS\system32\64drvnet.dll
2007-12-20 20:34 30,208 ----a-w F:\WINDOWS\system32\64diagnetdrv.dll
2007-12-20 20:33 31,744 ----a-w F:\WINDOWS\system32\netusrmscomm.dll
2007-12-20 20:33 31,744 ----a-w F:\WINDOWS\system32\msdiag6464.dll
2007-12-20 20:33 31,744 ----a-w F:\WINDOWS\system32\commcommusr.dll
2007-12-20 20:33 30,208 ----a-w F:\WINDOWS\system32\nvdiag3232.dll
2007-12-20 20:33 30,208 ----a-w F:\WINDOWS\system32\dlg32.dll
2007-12-20 20:32 31,744 ----a-w F:\WINDOWS\system32\nv3264drv.dll
2007-12-20 20:32 31,744 ----a-w F:\WINDOWS\system32\dlg643264.dll
2007-12-20 20:32 31,744 ----a-w F:\WINDOWS\system32\commdrvmsnv.dll
2007-12-20 20:32 30,208 ----a-w F:\WINDOWS\system32\usrnvnvcomm.dll
2007-12-20 20:32 30,208 ----a-w F:\WINDOWS\system32\usr6432.dll
2007-12-20 20:32 30,208 ----a-w F:\WINDOWS\system32\commnvdrvms.dll
2007-12-20 20:25 31,744 ----a-w F:\WINDOWS\system32\64commcommnet.dll
2007-12-20 20:25 30,208 ----a-w F:\WINDOWS\system32\32net64nv.dll
2007-12-20 20:24 31,744 ----a-w F:\WINDOWS\system32\drvcommms.dll
2007-12-20 20:24 30,208 ----a-w F:\WINDOWS\system32\dlgusrusr.dll
2007-12-20 20:23 31,744 ----a-w F:\WINDOWS\system32\netusrusrusr.dll
2007-12-20 20:23 30,208 ----a-w F:\WINDOWS\system32\msdiagcommnet.dll
2007-12-20 20:23 30,208 ----a-w F:\WINDOWS\system32\commcomm64drv.dll
2007-12-20 20:22 30,208 ----a-w F:\WINDOWS\system32\netnet.dll
2007-12-20 20:22 30,208 ----a-w F:\WINDOWS\system32\commdiagnetdlg.dll
2007-12-20 20:15 31,744 ----a-w F:\WINDOWS\system32\dlgnet.dll
2007-12-20 20:15 30,208 ----a-w F:\WINDOWS\system32\drvdrv.dll
2007-12-20 20:14 31,744 ----a-w F:\WINDOWS\system32\nvnvdrv.dll
2007-12-20 20:14 31,744 ----a-w F:\WINDOWS\system32\netdrvnv32.dll
2007-12-20 20:14 31,744 ----a-w F:\WINDOWS\system32\msnet64nv.dll
2007-12-20 20:14 30,208 ----a-w F:\WINDOWS\system32\commusrnv.dll
2007-12-20 20:14 30,208 ----a-w F:\WINDOWS\system32\commcommcomm64.dll
2007-12-20 20:13 31,744 ----a-w F:\WINDOWS\system32\64nvdlg.dll
2007-12-20 20:13 31,744 ----a-w F:\WINDOWS\system32\32netdrv.dll
2007-12-20 20:13 30,208 ----a-w F:\WINDOWS\system32\6464usr.dll
2007-12-20 20:12 31,744 ----a-w F:\WINDOWS\system32\usrdrvusrdrv.dll
2007-12-20 20:12 31,744 ----a-w F:\WINDOWS\system32\diagmsms.dll
2007-12-20 20:12 30,208 ----a-w F:\WINDOWS\system32\64drv32dlg.dll
2007-12-20 20:05 36,864 ----a-w F:\WINDOWS\system32\mscomdiag32.dll
2007-12-20 20:04 31,744 ----a-w F:\WINDOWS\system32\diagnvmsusr.dll
2007-12-20 20:04 31,744 ----a-w F:\WINDOWS\system32\64drv.dll
2007-12-20 20:04 30,208 ----a-w F:\WINDOWS\system32\nvusrusrnv.dll
2007-12-20 20:04 30,208 ----a-w F:\WINDOWS\system32\netdlg32diag.dll
2007-12-20 20:04 30,208 ----a-w F:\WINDOWS\system32\ms64dlgusr.dll
2007-12-20 20:03 31,744 ----a-w F:\WINDOWS\system32\drvnvdrvnv.dll
2007-12-20 20:03 31,744 ----a-w F:\WINDOWS\system32\dlg64msnet.dll
2007-12-20 20:03 30,208 ----a-w F:\WINDOWS\system32\netms.dll
2007-12-20 20:03 30,208 ----a-w F:\WINDOWS\system32\3264diag.dll
2007-12-20 20:02 31,744 ----a-w F:\WINDOWS\system32\nvnvcomm.dll
2007-12-20 20:02 31,744 ----a-w F:\WINDOWS\system32\net3264comm.dll
2007-12-20 20:02 31,744 ----a-w F:\WINDOWS\system32\diagcommcomm32.dll
2007-12-20 20:02 31,744 ----a-w F:\WINDOWS\system32\commdrv.dll
2007-12-20 20:02 30,208 ----a-w F:\WINDOWS\system32\usrdrvmsusr.dll
2007-12-20 20:02 30,208 ----a-w F:\WINDOWS\system32\msnvnv.dll
2007-12-20 19:55 31,744 ----a-w F:\WINDOWS\system32\msmsusr.dll
2007-12-20 19:55 30,208 ----a-w F:\WINDOWS\system32\commdlgnv.dll
2007-12-20 19:54 31,744 ----a-w F:\WINDOWS\system32\usrdrvnet.dll
2007-12-20 19:54 31,744 ----a-w F:\WINDOWS\system32\32dlg.dll
2007-12-20 19:54 30,208 ----a-w F:\WINDOWS\system32\64dlg.dll
2007-12-20 19:53 31,744 ----a-w F:\WINDOWS\system32\usr32usrdiag.dll
2007-12-20 19:53 30,208 ----a-w F:\WINDOWS\system32\drvmsmsdrv.dll
2007-12-20 19:53 30,208 ----a-w F:\WINDOWS\system32\commdlg.dll
2007-12-20 19:53 30,208 ----a-w F:\WINDOWS\system32\3232drv.dll
2007-12-20 19:52 31,744 ----a-w F:\WINDOWS\system32\msmsnet.dll
2007-12-20 19:52 31,744 ----a-w F:\WINDOWS\system32\ms64diag64.dll
2007-12-20 19:52 31,744 ----a-w F:\WINDOWS\system32\diagdlgdrvcomm.dll
2007-12-20 19:52 30,208 ----a-w F:\WINDOWS\system32\nvmsnet.dll
2007-12-20 19:52 30,208 ----a-w F:\WINDOWS\system32\nv64diag.dll
2007-12-20 19:52 30,208 ----a-w F:\WINDOWS\system32\32net.dll
2007-12-20 19:45 31,744 ----a-w F:\WINDOWS\system32\64comm.dll
2007-12-20 19:45 30,208 ----a-w F:\WINDOWS\system32\mscomm32dlg.dll
2007-12-20 19:44 31,744 ----a-w F:\WINDOWS\system32\usr32mscomm.dll
2007-12-20 19:44 31,744 ----a-w F:\WINDOWS\system32\dlgmsdrv64.dll
2007-12-20 19:44 31,744 ----a-w F:\WINDOWS\system32\commdiagnetusr.dll
2007-12-20 19:44 30,208 ----a-w F:\WINDOWS\system32\usrdiag64.dll
.

------- Sigcheck -------

"F:\WINDOWS\system32\svchost.exe"
----a-w 12,800 2001-08-18 12:00:00 F:\WINDOWS\system32\svchost.exe
-c--a-w 12,800 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\svchost.exe

"F:\WINDOWS\system32\user32.dll"
----a-w 562,688 2001-08-18 12:00:00 F:\WINDOWS\system32\user32.dll
-c--a-w 562,688 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\user32.dll

"F:\WINDOWS\system32\ws2_32.dll"
----a-w 75,264 2001-08-18 12:00:00 F:\WINDOWS\system32\ws2_32.dll
-c--a-w 75,264 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\ws2_32.dll

"F:\WINDOWS\system32\wininet.dll"
----a-w 599,552 2001-08-18 12:00:00 F:\WINDOWS\system32\wininet.dll
-c--a-w 599,552 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\wininet.dll

"F:\WINDOWS\system32\drivers\tcpip.sys"
-c--a-w 327,168 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\tcpip.sys
----a-w 327,168 2001-08-18 12:00:00 F:\WINDOWS\system32\drivers\tcpip.sys

"F:\WINDOWS\system32\winlogon.exe"
----a-w 435,200 2001-08-18 12:00:00 F:\WINDOWS\system32\winlogon.exe
-c--a-w 435,200 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\winlogon.exe

"F:\WINDOWS\system32\drivers\ndis.sys"
-c--a-w 161,536 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\ndis.sys
----a-w 161,536 2001-08-18 12:00:00 F:\WINDOWS\system32\drivers\ndis.sys

"F:\WINDOWS\system32\ntkrnlpa.exe"
----a-w 1,872,384 2001-08-18 12:00:00 F:\WINDOWS\system32\ntkrnlpa.exe

"F:\WINDOWS\system32\ntoskrnl.exe"
----a-w 1,900,544 2001-08-18 12:00:00 F:\WINDOWS\system32\ntoskrnl.exe

"F:\WINDOWS\explorer.exe"
----a-w 1,004,032 2001-08-18 12:00:00 F:\WINDOWS\explorer.exe
-c--a-w 1,004,032 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\explorer.exe
.
((((((((((((((((((((((((((((((((((((((((((((( AWF ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
----a-w 1,415,824 2005-05-31 00:04:00 F:\Programme\Spybot - Search & Destroy\bak\TeaTimer.exe
--sha-r 2,097,488 2008-01-28 10:43:40 F:\Programme\Spybot - Search & Destroy\TeaTimer.exe

----a-r 155,648 2001-07-09 09:50:42 F:\WINDOWS\system32\bak\NeroCheck.exe
----a-w 36,610 2007-03-06 21:17:52 F:\WINDOWS\system32\NeroCheck.exe

.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="F:\WINDOWS\System32\ctfmon.exe" [2007-03-06 22:17 36610]
"NvMediaCenter"="F:\WINDOWS\System32\NVMCTRAY.DLL" [2003-05-26 04:18 49152]
"MSMSGS"="F:\Programme\Messenger\msmsgs.exe" [2001-08-02 06:14 1077277]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="F:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2007-03-06 22:17 36610]
"SoundMAX"="F:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2007-03-06 22:17 36610]
"NvCplDaemon"="F:\WINDOWS\System32\NvCpl.dll" [2003-05-26 04:18 4640768]
"NeroFilterCheck"="F:\WINDOWS\system32\NeroCheck.exe" [2007-03-06 22:17 36610]
"InCD"="F:\Programme\Ahead\InCD\InCD.exe" [2007-03-06 22:17 36610]
"IAAnotif"="F:\Programme\Intel\Intel Application Accelerator\iaanotif.exe" [2007-03-06 22:17 36610]
"ATICCC"="F:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2007-03-06 22:17 36610]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="F:\WINDOWS\System32\CTFMON.EXE" [2007-03-06 22:17 36610]

F:\Dokumente und Einstellungen\sysop\Startmen\Programme\Autostart\
Sonic CinePlayer Quick Launch.lnk - F:\Programme\Gemeinsame Dateien\Sonic Shared\cinetray.exe [2002-09-18 13:16:30 98304]

F:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - F:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696]
ATI CATALYST-Infobereich.lnk - F:\Programme\ATI Technologies\ATI.ACE\CLI.exe [2005-08-06 00:07:30 36610]
Server4PC.lnk - F:\Programme\TechniSat DVB\bin\Server4PC.exe [2006-07-04 16:24:02 368640]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoAutoUpdate"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
F:\Programme\MSN Messenger\MsnMsgr.exe

R1 Cinemsup;Cinemsup;F:\WINDOWS\System32\drivers\Cinemsup.sys [2002-07-19 07:10]
R3 SKYNET;TechniSat DVB-PC TV Star PCI;F:\WINDOWS\System32\DRIVERS\SkyNET.SYS [2005-09-29 11:28]
R3 vidcap;vidcap;F:\WINDOWS\System32\DRIVERS\vidcap.sys [2006-12-27 15:47]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-19 21:08:40
Windows 5.1.2600 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-19 21:09:05
ComboFix2.txt 2008-02-19 19:42:30

--

und hier jetzt nach dem neubooten:

--snip

ComboFix 08-02-19.2 - sysop 2008-02-19 21:11:09.11 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.0.1252.1.1031.18.733 [GMT 1:00]
ausgeführt von:: F:\Dokumente und Einstellungen\sysop\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-01-19 bis 2008-02-19 ))))))))))))))))))))))))))))))
.

2008-02-19 20:47 . 2008-02-19 20:47 <DIR> d-------- F:\Dokumente und Einstellungen\sysop\Anwendungsdaten\vlc
2008-02-19 19:46 . 2008-02-19 19:46 <DIR> d-------- F:\Programme\CCleaner
2008-02-04 23:03 . 2008-02-16 22:45 729,088 --a------ F:\WINDOWS\GPInstall.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-19 19:49 --------- d-----w F:\Programme\QuickTime
2008-02-04 22:47 --------- d---a-w F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-02-04 21:58 --------- d-----w F:\Programme\Registry System Wizard
2008-02-04 21:47 --------- d-----w F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-02-04 21:46 --------- d-----w F:\Programme\Spybot - Search & Destroy
2008-01-06 04:06 --------- d-----w F:\Dokumente und Einstellungen\sysop\Anwendungsdaten\Move Networks
2007-12-20 21:10 31,744 ----a-w F:\WINDOWS\system32\msnvdrv.dll
2007-12-20 21:10 30,208 ----a-w F:\WINDOWS\system32\commusr.dll
2007-12-20 21:09 31,744 ----a-w F:\WINDOWS\system32\drvdlgdiag.dll
2007-12-20 21:01 31,744 ----a-w F:\WINDOWS\system32\commnet.dll
2007-12-20 21:01 30,208 ----a-w F:\WINDOWS\system32\nvcomm.dll
2007-12-20 21:00 31,744 ----a-w F:\WINDOWS\system32\net64diagms.dll
2007-12-20 21:00 30,208 ----a-w F:\WINDOWS\system32\msnv32usr.dll
2007-12-20 20:59 31,744 ----a-w F:\WINDOWS\system32\msmsdrv32.dll
2007-12-20 20:59 30,208 ----a-w F:\WINDOWS\system32\dlgdiag32usr.dll
2007-12-20 20:51 31,744 ----a-w F:\WINDOWS\system32\nvnetdlg.dll
2007-12-20 20:51 31,744 ----a-w F:\WINDOWS\system32\netcommnv.dll
2007-12-20 20:51 31,744 ----a-w F:\WINDOWS\system32\diagnet32.dll
2007-12-20 20:51 30,208 ----a-w F:\WINDOWS\system32\diagcommdlg.dll
2007-12-20 20:50 30,208 ----a-w F:\WINDOWS\system32\ms64commusr.dll
2007-12-20 20:50 30,208 ----a-w F:\WINDOWS\system32\commnetusr.dll
2007-12-20 20:49 31,744 ----a-w F:\WINDOWS\system32\netcomm.dll
2007-12-20 20:49 30,208 ----a-w F:\WINDOWS\system32\diag32.dll
2007-12-20 20:41 30,208 ----a-w F:\WINDOWS\system32\netdrvdrvcomm.dll
2007-12-20 20:40 31,744 ----a-w F:\WINDOWS\system32\nvdrvcommusr.dll
2007-12-20 20:40 31,744 ----a-w F:\WINDOWS\system32\netdiag.dll
2007-12-20 20:40 30,208 ----a-w F:\WINDOWS\system32\commdrvnv.dll
2007-12-20 20:39 31,744 ----a-w F:\WINDOWS\system32\drvdrvdiagdiag.dll
2007-12-20 20:39 30,208 ----a-w F:\WINDOWS\system32\64drvnet.dll
2007-12-20 20:34 30,208 ----a-w F:\WINDOWS\system32\64diagnetdrv.dll
2007-12-20 20:33 31,744 ----a-w F:\WINDOWS\system32\netusrmscomm.dll
2007-12-20 20:33 31,744 ----a-w F:\WINDOWS\system32\msdiag6464.dll
2007-12-20 20:33 31,744 ----a-w F:\WINDOWS\system32\commcommusr.dll
2007-12-20 20:33 30,208 ----a-w F:\WINDOWS\system32\nvdiag3232.dll
2007-12-20 20:33 30,208 ----a-w F:\WINDOWS\system32\dlg32.dll
2007-12-20 20:32 31,744 ----a-w F:\WINDOWS\system32\nv3264drv.dll
2007-12-20 20:32 31,744 ----a-w F:\WINDOWS\system32\dlg643264.dll
2007-12-20 20:32 31,744 ----a-w F:\WINDOWS\system32\commdrvmsnv.dll
2007-12-20 20:32 30,208 ----a-w F:\WINDOWS\system32\usrnvnvcomm.dll
2007-12-20 20:32 30,208 ----a-w F:\WINDOWS\system32\usr6432.dll
2007-12-20 20:32 30,208 ----a-w F:\WINDOWS\system32\commnvdrvms.dll
2007-12-20 20:25 31,744 ----a-w F:\WINDOWS\system32\64commcommnet.dll
2007-12-20 20:25 30,208 ----a-w F:\WINDOWS\system32\32net64nv.dll
2007-12-20 20:24 31,744 ----a-w F:\WINDOWS\system32\drvcommms.dll
2007-12-20 20:24 30,208 ----a-w F:\WINDOWS\system32\dlgusrusr.dll
2007-12-20 20:23 31,744 ----a-w F:\WINDOWS\system32\netusrusrusr.dll
2007-12-20 20:23 30,208 ----a-w F:\WINDOWS\system32\msdiagcommnet.dll
2007-12-20 20:23 30,208 ----a-w F:\WINDOWS\system32\commcomm64drv.dll
2007-12-20 20:22 30,208 ----a-w F:\WINDOWS\system32\netnet.dll
2007-12-20 20:22 30,208 ----a-w F:\WINDOWS\system32\commdiagnetdlg.dll
2007-12-20 20:15 31,744 ----a-w F:\WINDOWS\system32\dlgnet.dll
2007-12-20 20:15 30,208 ----a-w F:\WINDOWS\system32\drvdrv.dll
2007-12-20 20:14 31,744 ----a-w F:\WINDOWS\system32\nvnvdrv.dll
2007-12-20 20:14 31,744 ----a-w F:\WINDOWS\system32\netdrvnv32.dll
2007-12-20 20:14 31,744 ----a-w F:\WINDOWS\system32\msnet64nv.dll
2007-12-20 20:14 30,208 ----a-w F:\WINDOWS\system32\commusrnv.dll
2007-12-20 20:14 30,208 ----a-w F:\WINDOWS\system32\commcommcomm64.dll
2007-12-20 20:13 31,744 ----a-w F:\WINDOWS\system32\64nvdlg.dll
2007-12-20 20:13 31,744 ----a-w F:\WINDOWS\system32\32netdrv.dll
2007-12-20 20:13 30,208 ----a-w F:\WINDOWS\system32\6464usr.dll
2007-12-20 20:12 31,744 ----a-w F:\WINDOWS\system32\usrdrvusrdrv.dll
2007-12-20 20:12 31,744 ----a-w F:\WINDOWS\system32\diagmsms.dll
2007-12-20 20:12 30,208 ----a-w F:\WINDOWS\system32\64drv32dlg.dll
2007-12-20 20:05 36,864 ----a-w F:\WINDOWS\system32\mscomdiag32.dll
2007-12-20 20:04 31,744 ----a-w F:\WINDOWS\system32\diagnvmsusr.dll
2007-12-20 20:04 31,744 ----a-w F:\WINDOWS\system32\64drv.dll
2007-12-20 20:04 30,208 ----a-w F:\WINDOWS\system32\nvusrusrnv.dll
2007-12-20 20:04 30,208 ----a-w F:\WINDOWS\system32\netdlg32diag.dll
2007-12-20 20:04 30,208 ----a-w F:\WINDOWS\system32\ms64dlgusr.dll
2007-12-20 20:03 31,744 ----a-w F:\WINDOWS\system32\drvnvdrvnv.dll
2007-12-20 20:03 31,744 ----a-w F:\WINDOWS\system32\dlg64msnet.dll
2007-12-20 20:03 30,208 ----a-w F:\WINDOWS\system32\netms.dll
2007-12-20 20:03 30,208 ----a-w F:\WINDOWS\system32\3264diag.dll
2007-12-20 20:02 31,744 ----a-w F:\WINDOWS\system32\nvnvcomm.dll
2007-12-20 20:02 31,744 ----a-w F:\WINDOWS\system32\net3264comm.dll
2007-12-20 20:02 31,744 ----a-w F:\WINDOWS\system32\diagcommcomm32.dll
2007-12-20 20:02 31,744 ----a-w F:\WINDOWS\system32\commdrv.dll
2007-12-20 20:02 30,208 ----a-w F:\WINDOWS\system32\usrdrvmsusr.dll
2007-12-20 20:02 30,208 ----a-w F:\WINDOWS\system32\msnvnv.dll
2007-12-20 19:55 31,744 ----a-w F:\WINDOWS\system32\msmsusr.dll
2007-12-20 19:55 30,208 ----a-w F:\WINDOWS\system32\commdlgnv.dll
2007-12-20 19:54 31,744 ----a-w F:\WINDOWS\system32\usrdrvnet.dll
2007-12-20 19:54 31,744 ----a-w F:\WINDOWS\system32\32dlg.dll
2007-12-20 19:54 30,208 ----a-w F:\WINDOWS\system32\64dlg.dll
2007-12-20 19:53 31,744 ----a-w F:\WINDOWS\system32\usr32usrdiag.dll
2007-12-20 19:53 30,208 ----a-w F:\WINDOWS\system32\drvmsmsdrv.dll
2007-12-20 19:53 30,208 ----a-w F:\WINDOWS\system32\commdlg.dll
2007-12-20 19:53 30,208 ----a-w F:\WINDOWS\system32\3232drv.dll
2007-12-20 19:52 31,744 ----a-w F:\WINDOWS\system32\msmsnet.dll
2007-12-20 19:52 31,744 ----a-w F:\WINDOWS\system32\ms64diag64.dll
2007-12-20 19:52 31,744 ----a-w F:\WINDOWS\system32\diagdlgdrvcomm.dll
2007-12-20 19:52 30,208 ----a-w F:\WINDOWS\system32\nvmsnet.dll
2007-12-20 19:52 30,208 ----a-w F:\WINDOWS\system32\nv64diag.dll
2007-12-20 19:52 30,208 ----a-w F:\WINDOWS\system32\32net.dll
2007-12-20 19:45 31,744 ----a-w F:\WINDOWS\system32\64comm.dll
2007-12-20 19:45 30,208 ----a-w F:\WINDOWS\system32\mscomm32dlg.dll
2007-12-20 19:44 31,744 ----a-w F:\WINDOWS\system32\usr32mscomm.dll
2007-12-20 19:44 31,744 ----a-w F:\WINDOWS\system32\dlgmsdrv64.dll
2007-12-20 19:44 31,744 ----a-w F:\WINDOWS\system32\commdiagnetusr.dll
2007-12-20 19:44 30,208 ----a-w F:\WINDOWS\system32\usrdiag64.dll
.

------- Sigcheck -------

"F:\WINDOWS\system32\svchost.exe"
----a-w 12,800 2001-08-18 12:00:00 F:\WINDOWS\system32\svchost.exe
-c--a-w 12,800 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\svchost.exe

"F:\WINDOWS\system32\user32.dll"
----a-w 562,688 2001-08-18 12:00:00 F:\WINDOWS\system32\user32.dll
-c--a-w 562,688 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\user32.dll

"F:\WINDOWS\system32\ws2_32.dll"
----a-w 75,264 2001-08-18 12:00:00 F:\WINDOWS\system32\ws2_32.dll
-c--a-w 75,264 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\ws2_32.dll

"F:\WINDOWS\system32\wininet.dll"
----a-w 599,552 2001-08-18 12:00:00 F:\WINDOWS\system32\wininet.dll
-c--a-w 599,552 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\wininet.dll

"F:\WINDOWS\system32\drivers\tcpip.sys"
-c--a-w 327,168 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\tcpip.sys
----a-w 327,168 2001-08-18 12:00:00 F:\WINDOWS\system32\drivers\tcpip.sys

"F:\WINDOWS\system32\winlogon.exe"
----a-w 435,200 2001-08-18 12:00:00 F:\WINDOWS\system32\winlogon.exe
-c--a-w 435,200 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\winlogon.exe

"F:\WINDOWS\system32\drivers\ndis.sys"
-c--a-w 161,536 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\ndis.sys
----a-w 161,536 2001-08-18 12:00:00 F:\WINDOWS\system32\drivers\ndis.sys

"F:\WINDOWS\system32\ntkrnlpa.exe"
----a-w 1,872,384 2001-08-18 12:00:00 F:\WINDOWS\system32\ntkrnlpa.exe

"F:\WINDOWS\system32\ntoskrnl.exe"
----a-w 1,900,544 2001-08-18 12:00:00 F:\WINDOWS\system32\ntoskrnl.exe

"F:\WINDOWS\explorer.exe"
----a-w 1,004,032 2001-08-18 12:00:00 F:\WINDOWS\explorer.exe
-c--a-w 1,004,032 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\explorer.exe
.
((((((((((((((((((((((((((((((((((((((((((((( AWF ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
----a-w 1,415,824 2005-05-31 00:04:00 F:\Programme\Spybot - Search & Destroy\bak\TeaTimer.exe
--sha-r 2,097,488 2008-01-28 10:43:40 F:\Programme\Spybot - Search & Destroy\TeaTimer.exe

----a-r 155,648 2001-07-09 09:50:42 F:\WINDOWS\system32\bak\NeroCheck.exe
----a-w 36,610 2007-03-06 21:17:52 F:\WINDOWS\system32\NeroCheck.exe

.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{10EF016D-D1E0-4684-918D-418DB861D0B6}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{22e88050-7be3-47f3-837b-c4a65f5f8c14}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{23C5E2EE-10D4-42F6-89F7-0EE385F19025}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3CFAC24F-9108-439D-9D77-C5C6C5870401}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{41EBD9AA-25B7-4CC7-B330-ACCAB8BC98A9}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5EBBB409-F530-49EE-9C36-7914449A3B2A}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AB25544B-4715-4E06-BB75-A1ADFFA172EA}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AE629598-F5BC-4B4B-BE36-2BFF0D1332E5}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C0BEAB76-E67F-4BA6-9896-16F2F8AB686C}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E6FBC0B9-5C02-4E94-998E-DE42ADA7A2AB}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{e9dd3566-0282-476f-9921-13e67c8ea41a}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="F:\WINDOWS\System32\ctfmon.exe" [2007-03-06 22:17 36610]
"NvMediaCenter"="F:\WINDOWS\System32\NVMCTRAY.DLL" [2003-05-26 04:18 49152]
"MSMSGS"="F:\Programme\Messenger\msmsgs.exe" [2001-08-02 06:14 1077277]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="F:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2007-03-06 22:17 36610]
"SoundMAX"="F:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2007-03-06 22:17 36610]
"NvCplDaemon"="F:\WINDOWS\System32\NvCpl.dll" [2003-05-26 04:18 4640768]
"NeroFilterCheck"="F:\WINDOWS\system32\NeroCheck.exe" [2007-03-06 22:17 36610]
"InCD"="F:\Programme\Ahead\InCD\InCD.exe" [2007-03-06 22:17 36610]
"IAAnotif"="F:\Programme\Intel\Intel Application Accelerator\iaanotif.exe" [2007-03-06 22:17 36610]
"ATICCC"="F:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2007-03-06 22:17 36610]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="F:\WINDOWS\System32\CTFMON.EXE" [2007-03-06 22:17 36610]

F:\Dokumente und Einstellungen\sysop\Startmen\Programme\Autostart\
Sonic CinePlayer Quick Launch.lnk - F:\Programme\Gemeinsame Dateien\Sonic Shared\cinetray.exe [2002-09-18 13:16:30 98304]

F:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - F:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696]
ATI CATALYST-Infobereich.lnk - F:\Programme\ATI Technologies\ATI.ACE\CLI.exe [2005-08-06 00:07:30 36610]
Server4PC.lnk - F:\Programme\TechniSat DVB\bin\Server4PC.exe [2006-07-04 16:24:02 368640]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoAutoUpdate"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tt]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
F:\Programme\MSN Messenger\MsnMsgr.exe

R1 Cinemsup;Cinemsup;F:\WINDOWS\System32\drivers\Cinemsup.sys [2002-07-19 07:10]
R3 SKYNET;TechniSat DVB-PC TV Star PCI;F:\WINDOWS\System32\DRIVERS\SkyNET.SYS [2005-09-29 11:28]
R3 vidcap;vidcap;F:\WINDOWS\System32\DRIVERS\vidcap.sys [2006-12-27 15:47]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-19 21:11:54
Windows 5.1.2600 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-19 21:12:18
ComboFix2.txt 2008-02-19 20:09:05
Dieser Beitrag wurde am 24.02.2008 um 21:06 Uhr von kruemel_bs editiert.
Seitenanfang Seitenende
24.02.2008, 22:35
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#18 ««
deaktiviere mal bitte den TeaTimer von Spybot - Search

««
dann machst du alles noch mal von vorn, Schritt fuer Schritt, denn was ich sehe, ist das gleiche, wie vorige Seite ;)

Doppelklick FindAWF.exe - und schreibe: 3 - + klicke "Enter - eine files.txt wird sich öffnen.
kopiere ein

Zitat

F:\Programme\Spybot - Search & Destroy\bak
F:\WINDOWS\system32\bak
klicke oben links auf: Datei - "Speichern unter" - und bestätige mit "ja"

poste hier das Log, welches erscheint..

--

dann Combofix-Script - PC neustarten - Combofix deinstallieren - Combofix neu laden
usw. + alle Logs hier
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
25.02.2008, 09:43
Member

Themenstarter

Beiträge: 35
#19 Okay, der TeaTimer ist seit gestern irgendwie auch ausgegangen. Und ich habe den nicht wieder gestartet. Vielleicht sollte ich den mal ganz deinstallieren???

Du schreibst: "eine files.txt wird sich öffnen."

Das tut es aber nicht wirklich, sondern es erscheint eine "folders.txt", wenn ich 3 bei FindAWF wähle. Ich hab das jetzt mal absichtlich in "files.txt" umbenannt und schicke das mal her. Sag mir, ob das so okay ist, dann mache ich mit Combofix weiter.

Eine andere Sache die auch noch etwas unklar ist: Wenn ich bei Combofix das scrift draufschiebe, dann startet das ja sofort ohne dass irgendetwas anderes noch doppelklicken muss. Also wenn ich das richtig verstanden habe soll ich das so machen:

1.
Ich schiebe im Normalmodus das script auf das Combofix und es läuft dann bis zuende. (Das log greife ich mir dann und schicke es hierhin).

2.
Ich lösche Combofix mit dem Kommando Combofix /U

3.
Ich lade es neu und starte das frische Combofix und nehme auch das log mit hierher.

Habe ich vielleicht einen Schritt ausgelassen, weil ich etwas falsch verstanden hatte?

\Tom

hier erst einmal der Report von FindAWF

--snip

Find AWF report by noahdfear ©2006
Version 1.40
Option 3 run successfully



bak folders found
~~~~~~~~~~~

Datentr„ger in Laufwerk F: ist BOOT-System

Verzeichnis von F:\PROGRA~1\MESSEN~1\BAK

0 Datei(en) 0 Bytes
2 Verzeichnis(se), 8.169.500.672 Bytes frei
Datentr„ger in Laufwerk F: ist BOOT-System

Verzeichnis von F:\PROGRA~1\SPYBOT~1\BAK

31.05.2005 01:04 1.415.824 TeaTimer.exe
1 Datei(en) 1.415.824 Bytes
2 Verzeichnis(se), 8.169.500.672 Bytes frei
Datentr„ger in Laufwerk F: ist BOOT-System

Verzeichnis von F:\WINDOWS\SYSTEM32\BAK

09.07.2001 10:50 155.648 NeroCheck.exe
1 Datei(en) 155.648 Bytes
2 Verzeichnis(se), 8.169.496.576 Bytes frei


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

2097488 28 Jan 2008 F:\PROGRA~1\SPYBOT~1\TEATIMER.EXE
1415824 31 May 2005 F:\PROGRA~1\SPYBOT~1\BAK\TEATIMER.EXE
36610 6 Mar 2007 F:\WINDOWS\SYSTEM32\NEROCH~1.EXE
155648 9 Jul 2001 F:\WINDOWS\SYSTEM32\BAK\NEROCH~1.EXE


end of report
Seitenanfang Seitenende
25.02.2008, 10:36
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#20 «
Deinstalliere den Search&Destroi , kannst du später wieder laden...

«
war ein Fehler auf der Seite - Option 3 ergibt eine folders.txt
irgendwas klappt nicht, ich hab mich noch mal schlau gemacht, aber irgendwie bekomme ich die bak-Folder nicht weg, trotz Option 3...
Nun, wir schauen dann später noch mal nach...

---
Combofix -Script anwenden + PC neustarten

erstelle eine neue cfscript.txt (laut Anleitung) - ziehe sie wieder auf das Combofixsymbol + Combofix wieder anwenden (im normalmodus)

Zitat

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tt]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{10EF016D-D1E0-4684-918D-418DB861D0B6}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{22e88050-7be3-47f3-837b-c4a65f5f8c14}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{23C5E2EE-10D4-42F6-89F7-0EE385F19025}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3CFAC24F-9108-439D-9D77-C5C6C5870401}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{41EBD9AA-25B7-4CC7-B330-ACCAB8BC98A9}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5EBBB409-F530-49EE-9C36-7914449A3B2A}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AB25544B-4715-4E06-BB75-A1ADFFA172EA}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AE629598-F5BC-4B4B-BE36-2BFF0D1332E5}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C0BEAB76-E67F-4BA6-9896-16F2F8AB686C}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E6FBC0B9-5C02-4E94-998E-DE42ADA7A2AB}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{e9dd3566-0282-476f-9921-13e67c8ea41a}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"=-
PC neustarten

nun deinstalliere die Combofix , dann lade sie neu + poste den neuen Report
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
25.02.2008, 12:09
Member

Themenstarter

Beiträge: 35
#21 Dieses Mal habe ich folgendes gemacht:

spybot entfernt, dann

FindAWF mit "3" und:

F:\Programme\Spybot - Search & Destroy\bak
F:\WINDOWS\system32\bak

im abgesichertem Modus laufen lassen, siehe log:

--snip

Find AWF report by noahdfear ©2006
Version 1.40
Option 3 run successfully



bak folders found
~~~~~~~~~~~

Datentr„ger in Laufwerk F: ist BOOT-System

Verzeichnis von F:\PROGRA~1\MESSEN~1\BAK

0 Datei(en) 0 Bytes
2 Verzeichnis(se), 8.191.954.944 Bytes frei
Datentr„ger in Laufwerk F: ist BOOT-System

Verzeichnis von F:\PROGRA~1\SPYBOT~1\BAK

31.05.2005 01:04 1.415.824 TeaTimer.exe
1 Datei(en) 1.415.824 Bytes
2 Verzeichnis(se), 8.191.954.944 Bytes frei
Datentr„ger in Laufwerk F: ist BOOT-System

Verzeichnis von F:\WINDOWS\SYSTEM32\BAK

09.07.2001 10:50 155.648 NeroCheck.exe
1 Datei(en) 155.648 Bytes
2 Verzeichnis(se), 8.191.950.848 Bytes frei


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

1415824 31 May 2005 F:\PROGRA~1\SPYBOT~1\BAK\TEATIMER.EXE
36610 6 Mar 2007 F:\WINDOWS\SYSTEM32\NEROCH~1.EXE
155648 9 Jul 2001 F:\WINDOWS\SYSTEM32\BAK\NEROCH~1.EXE


end of report

--

danach habe ich im abgesichertem Modus das script auf ein frisches Combofix geschoben und abarbeiten lassen und danach entfernt, rebootet, und im normalen Modus wieder ein frisches Combofix gestartet. Das log dazu oist hier:

--

ComboFix 08-02-19.2 - sysop 2008-02-19 21:16:40.14 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.0.1252.1.1031.18.754 [GMT 1:00]
ausgeführt von:: F:\Dokumente und Einstellungen\sysop\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-01-19 bis 2008-02-19 ))))))))))))))))))))))))))))))
.

2008-02-19 21:37 . 2008-02-19 22:01 228 --a------ F:\WINDOWS\IfoEdit.INI
2008-02-19 20:47 . 2008-02-19 20:47 <DIR> d-------- F:\Dokumente und Einstellungen\sysop\Anwendungsdaten\vlc
2008-02-19 19:46 . 2008-02-19 19:46 <DIR> d-------- F:\Programme\CCleaner
2008-02-04 23:03 . 2008-02-16 22:45 729,088 --a------ F:\WINDOWS\GPInstall.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-19 20:32 --------- d-----w F:\Programme\Spybot - Search & Destroy
2008-02-19 20:32 --------- d-----w F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-02-19 19:49 --------- d-----w F:\Programme\QuickTime
2008-02-04 22:47 --------- d---a-w F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-02-04 21:58 --------- d-----w F:\Programme\Registry System Wizard
2008-01-06 04:06 --------- d-----w F:\Dokumente und Einstellungen\sysop\Anwendungsdaten\Move Networks
2007-12-20 21:10 31,744 ----a-w F:\WINDOWS\system32\msnvdrv.dll
2007-12-20 21:10 30,208 ----a-w F:\WINDOWS\system32\commusr.dll
2007-12-20 21:09 31,744 ----a-w F:\WINDOWS\system32\drvdlgdiag.dll
2007-12-20 21:01 31,744 ----a-w F:\WINDOWS\system32\commnet.dll
2007-12-20 21:01 30,208 ----a-w F:\WINDOWS\system32\nvcomm.dll
2007-12-20 21:00 31,744 ----a-w F:\WINDOWS\system32\net64diagms.dll
2007-12-20 21:00 30,208 ----a-w F:\WINDOWS\system32\msnv32usr.dll
2007-12-20 20:59 31,744 ----a-w F:\WINDOWS\system32\msmsdrv32.dll
2007-12-20 20:59 30,208 ----a-w F:\WINDOWS\system32\dlgdiag32usr.dll
2007-12-20 20:51 31,744 ----a-w F:\WINDOWS\system32\nvnetdlg.dll
2007-12-20 20:51 31,744 ----a-w F:\WINDOWS\system32\netcommnv.dll
2007-12-20 20:51 31,744 ----a-w F:\WINDOWS\system32\diagnet32.dll
2007-12-20 20:51 30,208 ----a-w F:\WINDOWS\system32\diagcommdlg.dll
2007-12-20 20:50 30,208 ----a-w F:\WINDOWS\system32\ms64commusr.dll
2007-12-20 20:50 30,208 ----a-w F:\WINDOWS\system32\commnetusr.dll
2007-12-20 20:49 31,744 ----a-w F:\WINDOWS\system32\netcomm.dll
2007-12-20 20:49 30,208 ----a-w F:\WINDOWS\system32\diag32.dll
2007-12-20 20:41 30,208 ----a-w F:\WINDOWS\system32\netdrvdrvcomm.dll
2007-12-20 20:40 31,744 ----a-w F:\WINDOWS\system32\nvdrvcommusr.dll
2007-12-20 20:40 31,744 ----a-w F:\WINDOWS\system32\netdiag.dll
2007-12-20 20:40 30,208 ----a-w F:\WINDOWS\system32\commdrvnv.dll
2007-12-20 20:39 31,744 ----a-w F:\WINDOWS\system32\drvdrvdiagdiag.dll
2007-12-20 20:39 30,208 ----a-w F:\WINDOWS\system32\64drvnet.dll
2007-12-20 20:34 30,208 ----a-w F:\WINDOWS\system32\64diagnetdrv.dll
2007-12-20 20:33 31,744 ----a-w F:\WINDOWS\system32\netusrmscomm.dll
2007-12-20 20:33 31,744 ----a-w F:\WINDOWS\system32\msdiag6464.dll
2007-12-20 20:33 31,744 ----a-w F:\WINDOWS\system32\commcommusr.dll
2007-12-20 20:33 30,208 ----a-w F:\WINDOWS\system32\nvdiag3232.dll
2007-12-20 20:33 30,208 ----a-w F:\WINDOWS\system32\dlg32.dll
2007-12-20 20:32 31,744 ----a-w F:\WINDOWS\system32\nv3264drv.dll
2007-12-20 20:32 31,744 ----a-w F:\WINDOWS\system32\dlg643264.dll
2007-12-20 20:32 31,744 ----a-w F:\WINDOWS\system32\commdrvmsnv.dll
2007-12-20 20:32 30,208 ----a-w F:\WINDOWS\system32\usrnvnvcomm.dll
2007-12-20 20:32 30,208 ----a-w F:\WINDOWS\system32\usr6432.dll
2007-12-20 20:32 30,208 ----a-w F:\WINDOWS\system32\commnvdrvms.dll
2007-12-20 20:25 31,744 ----a-w F:\WINDOWS\system32\64commcommnet.dll
2007-12-20 20:25 30,208 ----a-w F:\WINDOWS\system32\32net64nv.dll
2007-12-20 20:24 31,744 ----a-w F:\WINDOWS\system32\drvcommms.dll
2007-12-20 20:24 30,208 ----a-w F:\WINDOWS\system32\dlgusrusr.dll
2007-12-20 20:23 31,744 ----a-w F:\WINDOWS\system32\netusrusrusr.dll
2007-12-20 20:23 30,208 ----a-w F:\WINDOWS\system32\msdiagcommnet.dll
2007-12-20 20:23 30,208 ----a-w F:\WINDOWS\system32\commcomm64drv.dll
2007-12-20 20:22 30,208 ----a-w F:\WINDOWS\system32\netnet.dll
2007-12-20 20:22 30,208 ----a-w F:\WINDOWS\system32\commdiagnetdlg.dll
2007-12-20 20:15 31,744 ----a-w F:\WINDOWS\system32\dlgnet.dll
2007-12-20 20:15 30,208 ----a-w F:\WINDOWS\system32\drvdrv.dll
2007-12-20 20:14 31,744 ----a-w F:\WINDOWS\system32\nvnvdrv.dll
2007-12-20 20:14 31,744 ----a-w F:\WINDOWS\system32\netdrvnv32.dll
2007-12-20 20:14 31,744 ----a-w F:\WINDOWS\system32\msnet64nv.dll
2007-12-20 20:14 30,208 ----a-w F:\WINDOWS\system32\commusrnv.dll
2007-12-20 20:14 30,208 ----a-w F:\WINDOWS\system32\commcommcomm64.dll
2007-12-20 20:13 31,744 ----a-w F:\WINDOWS\system32\64nvdlg.dll
2007-12-20 20:13 31,744 ----a-w F:\WINDOWS\system32\32netdrv.dll
2007-12-20 20:13 30,208 ----a-w F:\WINDOWS\system32\6464usr.dll
2007-12-20 20:12 31,744 ----a-w F:\WINDOWS\system32\usrdrvusrdrv.dll
2007-12-20 20:12 31,744 ----a-w F:\WINDOWS\system32\diagmsms.dll
2007-12-20 20:12 30,208 ----a-w F:\WINDOWS\system32\64drv32dlg.dll
2007-12-20 20:05 36,864 ----a-w F:\WINDOWS\system32\mscomdiag32.dll
2007-12-20 20:04 31,744 ----a-w F:\WINDOWS\system32\diagnvmsusr.dll
2007-12-20 20:04 31,744 ----a-w F:\WINDOWS\system32\64drv.dll
2007-12-20 20:04 30,208 ----a-w F:\WINDOWS\system32\nvusrusrnv.dll
2007-12-20 20:04 30,208 ----a-w F:\WINDOWS\system32\netdlg32diag.dll
2007-12-20 20:04 30,208 ----a-w F:\WINDOWS\system32\ms64dlgusr.dll
2007-12-20 20:03 31,744 ----a-w F:\WINDOWS\system32\drvnvdrvnv.dll
2007-12-20 20:03 31,744 ----a-w F:\WINDOWS\system32\dlg64msnet.dll
2007-12-20 20:03 30,208 ----a-w F:\WINDOWS\system32\netms.dll
2007-12-20 20:03 30,208 ----a-w F:\WINDOWS\system32\3264diag.dll
2007-12-20 20:02 31,744 ----a-w F:\WINDOWS\system32\nvnvcomm.dll
2007-12-20 20:02 31,744 ----a-w F:\WINDOWS\system32\net3264comm.dll
2007-12-20 20:02 31,744 ----a-w F:\WINDOWS\system32\diagcommcomm32.dll
2007-12-20 20:02 31,744 ----a-w F:\WINDOWS\system32\commdrv.dll
2007-12-20 20:02 30,208 ----a-w F:\WINDOWS\system32\usrdrvmsusr.dll
2007-12-20 20:02 30,208 ----a-w F:\WINDOWS\system32\msnvnv.dll
2007-12-20 19:55 31,744 ----a-w F:\WINDOWS\system32\msmsusr.dll
2007-12-20 19:55 30,208 ----a-w F:\WINDOWS\system32\commdlgnv.dll
2007-12-20 19:54 31,744 ----a-w F:\WINDOWS\system32\usrdrvnet.dll
2007-12-20 19:54 31,744 ----a-w F:\WINDOWS\system32\32dlg.dll
2007-12-20 19:54 30,208 ----a-w F:\WINDOWS\system32\64dlg.dll
2007-12-20 19:53 31,744 ----a-w F:\WINDOWS\system32\usr32usrdiag.dll
2007-12-20 19:53 30,208 ----a-w F:\WINDOWS\system32\drvmsmsdrv.dll
2007-12-20 19:53 30,208 ----a-w F:\WINDOWS\system32\commdlg.dll
2007-12-20 19:53 30,208 ----a-w F:\WINDOWS\system32\3232drv.dll
2007-12-20 19:52 31,744 ----a-w F:\WINDOWS\system32\msmsnet.dll
2007-12-20 19:52 31,744 ----a-w F:\WINDOWS\system32\ms64diag64.dll
2007-12-20 19:52 31,744 ----a-w F:\WINDOWS\system32\diagdlgdrvcomm.dll
2007-12-20 19:52 30,208 ----a-w F:\WINDOWS\system32\nvmsnet.dll
2007-12-20 19:52 30,208 ----a-w F:\WINDOWS\system32\nv64diag.dll
2007-12-20 19:52 30,208 ----a-w F:\WINDOWS\system32\32net.dll
2007-12-20 19:45 31,744 ----a-w F:\WINDOWS\system32\64comm.dll
2007-12-20 19:45 30,208 ----a-w F:\WINDOWS\system32\mscomm32dlg.dll
2007-12-20 19:44 31,744 ----a-w F:\WINDOWS\system32\usr32mscomm.dll
2007-12-20 19:44 31,744 ----a-w F:\WINDOWS\system32\dlgmsdrv64.dll
2007-12-20 19:44 31,744 ----a-w F:\WINDOWS\system32\commdiagnetusr.dll
2007-12-20 19:44 30,208 ----a-w F:\WINDOWS\system32\usrdiag64.dll
.

------- Sigcheck -------

"F:\WINDOWS\system32\svchost.exe"
----a-w 12,800 2001-08-18 12:00:00 F:\WINDOWS\system32\svchost.exe
-c--a-w 12,800 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\svchost.exe

"F:\WINDOWS\system32\user32.dll"
----a-w 562,688 2001-08-18 12:00:00 F:\WINDOWS\system32\user32.dll
-c--a-w 562,688 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\user32.dll

"F:\WINDOWS\system32\ws2_32.dll"
----a-w 75,264 2001-08-18 12:00:00 F:\WINDOWS\system32\ws2_32.dll
-c--a-w 75,264 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\ws2_32.dll

"F:\WINDOWS\system32\wininet.dll"
----a-w 599,552 2001-08-18 12:00:00 F:\WINDOWS\system32\wininet.dll
-c--a-w 599,552 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\wininet.dll

"F:\WINDOWS\system32\drivers\tcpip.sys"
-c--a-w 327,168 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\tcpip.sys
----a-w 327,168 2001-08-18 12:00:00 F:\WINDOWS\system32\drivers\tcpip.sys

"F:\WINDOWS\system32\winlogon.exe"
----a-w 435,200 2001-08-18 12:00:00 F:\WINDOWS\system32\winlogon.exe
-c--a-w 435,200 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\winlogon.exe

"F:\WINDOWS\system32\drivers\ndis.sys"
-c--a-w 161,536 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\ndis.sys
----a-w 161,536 2001-08-18 12:00:00 F:\WINDOWS\system32\drivers\ndis.sys

"F:\WINDOWS\system32\ntkrnlpa.exe"
----a-w 1,872,384 2001-08-18 12:00:00 F:\WINDOWS\system32\ntkrnlpa.exe

"F:\WINDOWS\system32\ntoskrnl.exe"
----a-w 1,900,544 2001-08-18 12:00:00 F:\WINDOWS\system32\ntoskrnl.exe

"F:\WINDOWS\explorer.exe"
----a-w 1,004,032 2001-08-18 12:00:00 F:\WINDOWS\explorer.exe
-c--a-w 1,004,032 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\explorer.exe
.
((((((((((((((((((((((((((((((((((((((((((((( AWF ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
----a-w 1,415,824 2005-05-31 00:04:00 F:\Programme\Spybot - Search & Destroy\bak\TeaTimer.exe

----a-r 155,648 2001-07-09 09:50:42 F:\WINDOWS\system32\bak\NeroCheck.exe
----a-w 36,610 2007-03-06 21:17:52 F:\WINDOWS\system32\NeroCheck.exe

.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="F:\WINDOWS\System32\ctfmon.exe" [2007-03-06 22:17 36610]
"NvMediaCenter"="F:\WINDOWS\System32\NVMCTRAY.DLL" [2003-05-26 04:18 49152]
"MSMSGS"="F:\Programme\Messenger\msmsgs.exe" [2001-08-02 06:14 1077277]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="F:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2007-03-06 22:17 36610]
"SoundMAX"="F:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2007-03-06 22:17 36610]
"NvCplDaemon"="F:\WINDOWS\System32\NvCpl.dll" [2003-05-26 04:18 4640768]
"NeroFilterCheck"="F:\WINDOWS\system32\NeroCheck.exe" [2007-03-06 22:17 36610]
"InCD"="F:\Programme\Ahead\InCD\InCD.exe" [2007-03-06 22:17 36610]
"IAAnotif"="F:\Programme\Intel\Intel Application Accelerator\iaanotif.exe" [2007-03-06 22:17 36610]
"ATICCC"="F:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2007-03-06 22:17 36610]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="F:\WINDOWS\System32\CTFMON.EXE" [2007-03-06 22:17 36610]

F:\Dokumente und Einstellungen\sysop\Startmen\Programme\Autostart\
Sonic CinePlayer Quick Launch.lnk - F:\Programme\Gemeinsame Dateien\Sonic Shared\cinetray.exe [2002-09-18 13:16:30 98304]

F:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - F:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696]
ATI CATALYST-Infobereich.lnk - F:\Programme\ATI Technologies\ATI.ACE\CLI.exe [2005-08-06 00:07:30 36610]
Server4PC.lnk - F:\Programme\TechniSat DVB\bin\Server4PC.exe [2006-07-04 16:24:02 368640]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoAutoUpdate"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
F:\Programme\MSN Messenger\MsnMsgr.exe

R1 Cinemsup;Cinemsup;F:\WINDOWS\System32\drivers\Cinemsup.sys [2002-07-19 07:10]
R3 SKYNET;TechniSat DVB-PC TV Star PCI;F:\WINDOWS\System32\DRIVERS\SkyNET.SYS [2005-09-29 11:28]
R3 vidcap;vidcap;F:\WINDOWS\System32\DRIVERS\vidcap.sys [2006-12-27 15:47]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-19 21:17:24
Windows 5.1.2600 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-19 21:17:59
ComboFix2.txt 2008-02-19 20:19:06
Seitenanfang Seitenende
25.02.2008, 13:53
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#22 noch mal bitte Option 2:

Zitat

"F:\Programme\Spybot - Search & Destroy\bak\TeaTimer.exe"
"F:\WINDOWS\system32\bak\NeroCheck.exe"
erst danach Option 3:

Zitat

F:\Programme\Spybot - Search & Destroy\bak
F:\WINDOWS\system32\bak
dann poste den report von Option 3
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
25.02.2008, 15:47
Member

Themenstarter

Beiträge: 35
#23 Hallo,

im abgesicherten Modus oder im normalen Modus?

\Tom
Seitenanfang Seitenende
25.02.2008, 15:56
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#24 im abgesicherten modus machen ;)
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
25.02.2008, 18:06
Member

Themenstarter

Beiträge: 35
#25 Hier das Ergebnis: Ich hoffe es war richtig, dass die ersten Anweisungen in Anführungszeichen standen.

--snipp
Find AWF report by noahdfear ©2006
Version 1.40
Option 3 run successfully



bak folders found
~~~~~~~~~~~

Datentr„ger in Laufwerk F: ist BOOT-System

Verzeichnis von F:\PROGRA~1\MESSEN~1\BAK

0 Datei(en) 0 Bytes
2 Verzeichnis(se), 8.203.522.048 Bytes frei
Datentr„ger in Laufwerk F: ist BOOT-System

Verzeichnis von F:\PROGRA~1\SPYBOT~1\BAK

31.05.2005 01:04 1.415.824 TeaTimer.exe
1 Datei(en) 1.415.824 Bytes
2 Verzeichnis(se), 8.203.522.048 Bytes frei
Datentr„ger in Laufwerk F: ist BOOT-System

Verzeichnis von F:\WINDOWS\SYSTEM32\BAK

09.07.2001 10:50 155.648 NeroCheck.exe
1 Datei(en) 155.648 Bytes
2 Verzeichnis(se), 8.203.517.952 Bytes frei


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

1415824 31 May 2005 F:\PROGRA~1\SPYBOT~1\BAK\TEATIMER.EXE
36610 6 Mar 2007 F:\WINDOWS\SYSTEM32\NEROCH~1.EXE
155648 9 Jul 2001 F:\WINDOWS\SYSTEM32\BAK\NEROCH~1.EXE


end of report
Seitenanfang Seitenende
25.02.2008, 18:56
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#26 ja, Option 2 muss in Anführungsstrichen sein - Option 3 nicht.
Nun... wieder nicht geschafft. ;)

wende noch mal option 2 an + poste das log hier

(beispiel)
http://antispywareoffensief.nl/forum/showthread.php?t=30503
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
25.02.2008, 23:07
Member

Themenstarter

Beiträge: 35
#27 Oj då! Det är ju holländska!

Mit holländisch komme ich nicht zurecht.

aber hier der Bericht:

Ich habe das im abgesicherten Zustand gemacht. Außerdem hatte ich mal das NeroCheck.exe von Hand gelöscht (und wieder hingesetzt). Man müsste die also auch so wegbekommen. Was haben diese bak Ordner denn für eine Funktion?

Möglicherweise liegt es daran, dass bei mir das System auf F liegt und FindAWF damit nicht klarkommt? Außerdem gab es am Anfang mal diese Meldung, dass der Befehl "löschen" falsch geschrieben wurde (das war letzte Woche, ganz am Anfang; ich schrieb darüber) Kann das eine Sache sein?

\Tom

--snip
Find AWF report by noahdfear ©2006
Version 1.40
Option 2 run successfully



bak folders found
~~~~~~~~~~~

Datentr„ger in Laufwerk F: ist BOOT-System

Verzeichnis von F:\PROGRA~1\MESSEN~1\BAK

0 Datei(en) 0 Bytes
2 Verzeichnis(se), 8.125.743.104 Bytes frei
Datentr„ger in Laufwerk F: ist BOOT-System

Verzeichnis von F:\PROGRA~1\SPYBOT~1\BAK

31.05.2005 01:04 1.415.824 TeaTimer.exe
1 Datei(en) 1.415.824 Bytes
2 Verzeichnis(se), 8.125.743.104 Bytes frei
Datentr„ger in Laufwerk F: ist BOOT-System

Verzeichnis von F:\WINDOWS\SYSTEM32\BAK

09.07.2001 10:50 155.648 NeroCheck.exe
1 Datei(en) 155.648 Bytes
2 Verzeichnis(se), 8.125.739.008 Bytes frei


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

1415824 31 May 2005 F:\PROGRA~1\SPYBOT~1\BAK\TEATIMER.EXE
36610 6 Mar 2007 F:\WINDOWS\SYSTEM32\NEROCH~1.EXE
155648 9 Jul 2001 F:\WINDOWS\SYSTEM32\BAK\NEROCH~1.EXE


end of report
Seitenanfang Seitenende
25.02.2008, 23:15
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#28 ja nun verstehe ich es... die Originale waren gelöscht, sieht man auch am Spybot.
Da können wir lange rumprobieren ;)
der Virus befällt die Originaldateien, speichert sich auch als bak-Dateien ab.

Lösche also manuell alles von Nero und Spybot.
Beides kannst du ja irgendwann mal wieder laden.
Und die wichtigen Windowsdateien wurden ja vom Proggie bereinigt ;)

scanne (im abgesicherten modus) + poste den scanreport
http://virus-protect.org/artikel/tools/fprotwindows.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
26.02.2008, 13:18
Member

Themenstarter

Beiträge: 35
#29 Hallo,

habe jetzt die Dateien manuell weggelöscht. Nach einer Weile meckerte der Sonic CinePlayer, gab aber nach 10 Versuchen auf, mir kundzutun, dass ich ein Update machen soll.

Danach habe ich f-prot laufen lassen. Das ging sehr schnell. Ich habe den Verdacht, dass das heutige f-prot nicht mehr alle Dateien durchsucht, kann das sein?

Als ich später den Rechner wieder in den Normalmodus laufen ließ, ging automatisch der Internet Explorer an und suchte nach sowas wie "NeroCheck". Das ging recht schnell. Nachdem ein Fenster mit "Seite nicht gefunden" aufging, blieb es dann ruhig.

Hier der log von f-prot (kostenlose DOS VErsion):

--snip

Virus scanning report - 25 February 2008 @ 21:34

F-PROT ANTIVIRUS
Program version: 3.16f
Engine version: 3.16.13

VIRUS SIGNATURE FILES
SIGN.DEF created 23 February 2008
SIGN2.DEF created 23 February 2008
MACRO.DEF created 23 February 2008

Search: Local hard disks
Action: Report only
Files: "Dumb" scan of all files
Switches: /ARCHIVE /PACKED
No viruses found in memory.
Hard disk boot sectors were not scanned.

Scanning D:
Error on reading D:\
Scanning F:
F:\DOKUME~1\ADMINI~1\NTUSER.DAT Not scanned (in use by another application)
F:\DOKUME~1\ADMINI~1\NTUSER~1.LOG Not scanned (in use by another application)
F:\DOKUME~1\ADMINI~1\LOKALE~1\ANWEND~1\MICROS~1\WINDOWS\USRCLASS.DAT Not scanned (in use by another application)
F:\DOKUME~1\ADMINI~1\LOKALE~1\ANWEND~1\MICROS~1\WINDOWS\USRCLA~1.LOG Not scanned (in use by another application)
F:\DOKUME~1\ALLUSE~1\ANWEND~1\MICROS~1\DRWATS~1\USER.DMP Not scanned (in use by another application)
Scanning G:
G:\VIDEO_~1\RTL\DERDIS~1.M2V Not scanned (in use by another application)
Scanning H:
H:\2007RE~1\TITANIC.PVA Not scanned (in use by another application)
H:\2007TE~2\GANZE_~1\720_76~1\ERST_A~1\BETTYB~1.M2V Not scanned (in use by another application)
H:\DV_AUF~1\BAUING~1.AVI Not scanned (in use by another application)
H:\DV_AUF~1\LAS_VE~1.AVI Not scanned (in use by another application)

Results of virus scanning:

Files: 6486
MBRs: 0
Boot sectors: 0
Objects scanned: 4747

Time: 1:39

No viruses or suspicious files/boot sectors were found.
Seitenanfang Seitenende
26.02.2008, 13:42
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#30 ich frag mich, wie du die DOS-Version zum Laufen gebracht hast... bei mir funktioniert sie nicht, hab sogar die Anleitung von der Seite genommen ....
nun, ich wollte, du lädst das komplette Programm, aber lass.
Lade den Kaspersky, scanne + poste den report
http://virus-protect.org/artikel/tools/kaspersky.html

------------------------------------------------------------------
dann müssen wir auch noch ein "ernstes Wort" reden:
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

ein Rechner ohne jedes WindowsUpdates.. ein total veralteter IE..kein Wunder, dass dein Rechner so verseucht war.
Und wenn du dich nicht um die Updates kümmerst,
www.windowsupdate.com
wird der Rechner sehr schnell wieder verseucht sein.
Ohne jeden Schutz im Internet rumgondeln, geht nicht gut ;)
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: