vundo Probleme ohne Ende... |
||
---|---|---|
#0
| ||
17.02.2008, 00:19
Member
Beiträge: 35 |
||
|
||
17.02.2008, 02:06
Ehrenmitglied
Beiträge: 1441 |
#2
Hallo
wende Combofix an + poste den report http://virus-protect.org/artikel/tools/combofix.html __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
19.02.2008, 18:09
Member
Themenstarter Beiträge: 35 |
#3
Hallo,
hier das was Combofix erstellt hat. Das war gar nicht so leicht, denn wenn ich den Link aufrief wurde der Internet Explorer mit einer Fehlermeldung geschlossen. Ich lud das Programm mit einem anderen Computer runter und schickte es als Email an mich selbst. Während Combofix lief, musste ich übruigens nicht "1" drücken. Außerdem war öfter die Meldung zu sehen " der Befehl 'lösche' ist entweder falsch geschrieben oder konnte nicht gefunden werden". Vielleicht ist das wichtig zu wissen? Wie soll ich weitermachen? \so long Tom ComboFix 08-02-19.2 - sysop 2008-02-16 22:44:47.6 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.0.1252.1.1031.18.760 [GMT 1:00] ausgeführt von:: F:\Dokumente und Einstellungen\sysop\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . F:\WINDOWS\System32\geede.dll F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat F:\WINDOWS\msettings.ini F:\WINDOWS\system32\004HlLdy.dll F:\WINDOWS\system32\00eQD3oL.dll F:\WINDOWS\system32\0265dadU.dll F:\WINDOWS\system32\06757D28.dll F:\WINDOWS\system32\0dPdAa3d.dll F:\WINDOWS\system32\0dX5Mthy.dll F:\WINDOWS\system32\0K828e7G.dll F:\WINDOWS\system32\0m3wC570.dll F:\WINDOWS\system32\0R3xC1I2.dll F:\WINDOWS\system32\16v58L8T.dll F:\WINDOWS\system32\1jKOoc3p.dll F:\WINDOWS\system32\1pV43YK6.dll F:\WINDOWS\system32\1w2p35JY.dll F:\WINDOWS\system32\1YoArr4t.dll F:\WINDOWS\system32\25CNw8x6.dll F:\WINDOWS\system32\25Ndi436.dll F:\WINDOWS\system32\3232.dll F:\WINDOWS\system32\34xD6c3T.dll F:\WINDOWS\system32\3CX423Q5.dll F:\WINDOWS\system32\3G7eB5L8.dll F:\WINDOWS\system32\3m5708j2.dll F:\WINDOWS\system32\3Mc2gF8M.dll F:\WINDOWS\system32\3pa2O4F1.dll F:\WINDOWS\system32\3Yt2HU5m.dll F:\WINDOWS\system32\40LgT6aR.dll F:\WINDOWS\system32\4671RQlk.dll F:\WINDOWS\system32\46m11DSa.dll F:\WINDOWS\system32\4cMLhxE7.dll F:\WINDOWS\system32\4iX7sVgt.dll F:\WINDOWS\system32\4JJ43TE3.dll F:\WINDOWS\system32\4M0y30V7.dll F:\WINDOWS\system32\4mWqm2N4.dll F:\WINDOWS\system32\4Y7H46T1.dll F:\WINDOWS\system32\5BWCDTOQ.dll F:\WINDOWS\system32\5ovUKAEL.dll F:\WINDOWS\system32\5qNc7C1v.dll F:\WINDOWS\system32\5R2jejV4.dll F:\WINDOWS\system32\5SDCG4Am.dll F:\WINDOWS\system32\606fMJAc.dll F:\WINDOWS\system32\6464.dll F:\WINDOWS\system32\64Hb8Uyr.dll F:\WINDOWS\system32\65iMHj0T.dll F:\WINDOWS\system32\6bj56c1b.dll F:\WINDOWS\system32\6hc2GSYe.dll F:\WINDOWS\system32\6mhmjPWh.dll F:\WINDOWS\system32\6w5fNP7O.dll F:\WINDOWS\system32\7eMWTE8r.dll F:\WINDOWS\system32\7EN32XVX.dll F:\WINDOWS\system32\7F10Tn8F.dll F:\WINDOWS\system32\7h5FXG7P.dll F:\WINDOWS\system32\7MY4EFCy.dll F:\WINDOWS\system32\7wfO2sBP.dll F:\WINDOWS\system32\80w8RgJd.dll F:\WINDOWS\system32\87lVh46v.dll F:\WINDOWS\system32\8B322i3Ii.1 F:\WINDOWS\system32\8B322i3Ii.dll . . . . Nicht in der Lage zu löschen F:\WINDOWS\system32\8ri8IxxH.dll F:\WINDOWS\system32\abbnccvf.ini F:\WINDOWS\system32\aC7a7g1O.dll F:\WINDOWS\system32\aibfchmh.ini F:\WINDOWS\system32\aipffefq.ini F:\WINDOWS\system32\aO88kqt6.dll F:\WINDOWS\system32\aQLvs2F5.dll F:\WINDOWS\system32\B5IQDR85.dll F:\WINDOWS\system32\BaFxhEAq.dll F:\WINDOWS\system32\bBG2Ne3M.dll F:\WINDOWS\system32\BEQ863np.dll F:\WINDOWS\system32\bfyxhkhl.ini F:\WINDOWS\system32\BopcE21R.dll F:\WINDOWS\system32\c3S8veq1.dll F:\WINDOWS\system32\CCC7lw2R.dll F:\WINDOWS\system32\cdaorggw.ini F:\WINDOWS\system32\cK088g2v.dll F:\WINDOWS\system32\dH36OGy0.dll F:\WINDOWS\system32\diH5s011.dll F:\WINDOWS\system32\dMD4W414.dll F:\WINDOWS\system32\DTtVypMo.dll F:\WINDOWS\system32\e8d3RC20.dll F:\WINDOWS\system32\edeeg.ini F:\WINDOWS\system32\edeeg.ini2 F:\WINDOWS\system32\ejfklkdk.ini F:\WINDOWS\system32\FFlLA7B5.dll F:\WINDOWS\system32\Fko7sHUU.dll F:\WINDOWS\system32\fxfqwqxy.ini F:\WINDOWS\system32\g53OtHt6.dll F:\WINDOWS\system32\geede.dll F:\WINDOWS\system32\gpbsbeib.ini F:\WINDOWS\system32\GyX0t0Ku.dll F:\WINDOWS\system32\H3748Yu8.dll F:\WINDOWS\system32\H3e7B0s4.dll F:\WINDOWS\system32\h754FnhC.dll F:\WINDOWS\system32\hbhefcfi.ini F:\WINDOWS\system32\HDwdIK7b.dll F:\WINDOWS\system32\i0LTPflV.dll F:\WINDOWS\system32\ip453HGQ.dll F:\WINDOWS\system32\J102G333.dll F:\WINDOWS\system32\j47q6LyE.dll F:\WINDOWS\system32\J8pSqb50.dll F:\WINDOWS\system32\Jb5ie2Gv.dll F:\WINDOWS\system32\jVyqySAU.dll F:\WINDOWS\system32\k3q2HtX4.dll F:\WINDOWS\system32\k6Eiflf7.dll F:\WINDOWS\system32\kD6UU373.dll F:\WINDOWS\system32\kv10Sjw6.dll F:\WINDOWS\system32\kwfteejw.ini F:\WINDOWS\system32\KWsrW8uc.dll F:\WINDOWS\system32\l1N4oG8T.dll F:\WINDOWS\system32\L533t4g2.dll F:\WINDOWS\system32\l5T3e75a.dll F:\WINDOWS\system32\laTa2Obe.dll F:\WINDOWS\system32\lhnngxim.ini F:\WINDOWS\system32\M6vX3BtR.dll F:\WINDOWS\system32\M81Q5q2U.dll F:\WINDOWS\system32\mGqIeAHo.dll F:\WINDOWS\system32\mO0R4HFW.dll F:\WINDOWS\system32\ms32.dll F:\WINDOWS\system32\N156Pp8h.dll F:\WINDOWS\system32\nfEFm240.dll F:\WINDOWS\system32\nO0xgTny.dll F:\WINDOWS\system32\Nv1OEQHc.dll F:\WINDOWS\system32\OlLPYfp3.dll F:\WINDOWS\system32\oMHdC66B.dll F:\WINDOWS\system32\OP6ej2et.dll F:\WINDOWS\system32\p28K54UJ.dll F:\WINDOWS\system32\p5pW6t44.dll F:\WINDOWS\system32\P6OT1or7.dll F:\WINDOWS\system32\PGT51gbv.dll F:\WINDOWS\system32\PIKxh4ri.dll F:\WINDOWS\system32\PJr7k0HC.dll F:\WINDOWS\system32\PqWU012M.dll F:\WINDOWS\system32\q05xTWNR.dll F:\WINDOWS\system32\QB1T10tA.dll F:\WINDOWS\system32\qfetsqvc.ini F:\WINDOWS\system32\qiSUvF4C.dll F:\WINDOWS\system32\qkxahysk.ini F:\WINDOWS\system32\QOE0Qc2J.dll F:\WINDOWS\system32\QqabxPIv.dll F:\WINDOWS\system32\QweFa8fF.dll F:\WINDOWS\system32\QYb0cjK7.dll F:\WINDOWS\system32\Rc8lVS83.dll F:\WINDOWS\system32\rMn41JbC.dll F:\WINDOWS\system32\s06LMU6m.dll F:\WINDOWS\system32\s1lAR2J1.dll F:\WINDOWS\system32\s77r06de.dll F:\WINDOWS\system32\SGX12uxm.dll F:\WINDOWS\system32\sr48M71e.dll F:\WINDOWS\system32\StFn4MUx.dll F:\WINDOWS\system32\stJHI1X7.dll F:\WINDOWS\system32\taLK7u2i.dll F:\WINDOWS\system32\tQ87is01.dll F:\WINDOWS\system32\trduvewm.ini F:\WINDOWS\system32\TVkrEcnO.dll F:\WINDOWS\system32\U16L6FVY.dll F:\WINDOWS\system32\u1v1a0YK.dll F:\WINDOWS\system32\U4qlQ8m6.dll F:\WINDOWS\system32\U7bi7gHm.dll F:\WINDOWS\system32\uLE3GOet.dll F:\WINDOWS\system32\ulgynslo.ini F:\WINDOWS\system32\ulwejfyo.ini F:\WINDOWS\system32\usr32.dll F:\WINDOWS\system32\usr64.dll F:\WINDOWS\system32\UtcoNr82.dll F:\WINDOWS\system32\VI2Ow851.dll F:\WINDOWS\system32\vjmcroao.ini F:\WINDOWS\system32\vokodvkm.ini F:\WINDOWS\system32\vYLHEWN6.dll F:\WINDOWS\system32\W0pshiSu.dll F:\WINDOWS\system32\W31nuEsO.dll F:\WINDOWS\system32\whU7q5OW.dll F:\WINDOWS\system32\wJs1H0J4.dll F:\WINDOWS\system32\wOC1U8Qh.dll F:\WINDOWS\system32\wxakuxms.ini F:\WINDOWS\system32\xE611e3K.dll F:\WINDOWS\system32\xnhGqwcK.dll F:\WINDOWS\system32\Yi4XDGD3.dll F:\WINDOWS\system32\ykbtnpbx.ini F:\WINDOWS\system32\8B322i3Ii.dll . . . . Nicht in der Lage zu löschen ----- BITS: Possible infected sites ----- hxxp://scarddlg.com . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\LEGACY_MICROSOFT_INET_SERVICE ((((((((((((((((((((((( Dateien erstellt von 2008-01-19 bis 2008-02-19 )))))))))))))))))))))))))))))) . 2008-02-16 23:05 . 2008-02-16 22:41 <DIR> d-------- F:\VundoFix Backups 2008-02-04 23:03 . 2008-02-16 22:45 729,088 --a------ F:\WINDOWS\GPInstall.exe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-02-04 22:47 --------- d---a-w F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-02-04 21:58 --------- d-----w F:\Programme\Registry System Wizard 2008-02-04 21:47 --------- d-----w F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-02-04 21:46 --------- d-----w F:\Programme\Spybot - Search & Destroy 2008-01-06 04:06 --------- d-----w F:\Dokumente und Einstellungen\sysop\Anwendungsdaten\Move Networks . ------- Sigcheck ------- "F:\WINDOWS\system32\svchost.exe" ----a-w 12,800 2001-08-18 12:00:00 F:\WINDOWS\system32\svchost.exe -c--a-w 12,800 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\svchost.exe "F:\WINDOWS\system32\user32.dll" ----a-w 562,688 2001-08-18 12:00:00 F:\WINDOWS\system32\user32.dll -c--a-w 562,688 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\user32.dll "F:\WINDOWS\system32\ws2_32.dll" ----a-w 75,264 2001-08-18 12:00:00 F:\WINDOWS\system32\ws2_32.dll -c--a-w 75,264 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\ws2_32.dll "F:\WINDOWS\system32\wininet.dll" ----a-w 599,552 2001-08-18 12:00:00 F:\WINDOWS\system32\wininet.dll -c--a-w 599,552 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\wininet.dll "F:\WINDOWS\system32\drivers\tcpip.sys" -c--a-w 327,168 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\tcpip.sys ----a-w 327,168 2001-08-18 12:00:00 F:\WINDOWS\system32\drivers\tcpip.sys "F:\WINDOWS\system32\winlogon.exe" ----a-w 435,200 2001-08-18 12:00:00 F:\WINDOWS\system32\winlogon.exe -c--a-w 435,200 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\winlogon.exe "F:\WINDOWS\system32\drivers\ndis.sys" -c--a-w 161,536 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\ndis.sys ----a-w 161,536 2001-08-18 12:00:00 F:\WINDOWS\system32\drivers\ndis.sys "F:\WINDOWS\system32\ntkrnlpa.exe" ----a-w 1,872,384 2001-08-18 12:00:00 F:\WINDOWS\system32\ntkrnlpa.exe "F:\WINDOWS\system32\ntoskrnl.exe" ----a-w 1,900,544 2001-08-18 12:00:00 F:\WINDOWS\system32\ntoskrnl.exe "F:\WINDOWS\explorer.exe" ----a-w 1,004,032 2001-08-18 12:00:00 F:\WINDOWS\explorer.exe -c--a-w 1,004,032 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\explorer.exe . ((((((((((((((((((((((((((((((((((((((((((((( AWF )))))))))))))))))))))))))))))))))))))))))))))))))))))))))) . ----a-w 1,228,850 2003-10-14 15:18:04 F:\Programme\Ahead\InCD\bak\InCD.exe ----a-w 36,610 2007-03-06 21:17:52 F:\Programme\Ahead\InCD\InCD.exe ----a-w 585,728 2003-05-30 07:42:22 F:\Programme\Analog Devices\SoundMAX\bak\Smax4.exe ----a-w 36,610 2007-03-06 21:17:52 F:\Programme\Analog Devices\SoundMAX\Smax4.exe ----a-w 790,528 2003-05-29 14:28:32 F:\Programme\Analog Devices\SoundMAX\bak\SMax4PNP.exe ----a-w 36,610 2007-03-06 21:17:52 F:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe ----a-w 61,440 2005-08-05 23:07:30 F:\Programme\ATI Technologies\ATI.ACE\bak\cli.exe ----a-w 36,610 2007-03-06 21:17:52 F:\Programme\ATI Technologies\ATI.ACE\cli.exe ----a-w 126,976 2003-07-02 22:00:00 F:\Programme\Intel\Intel Application Accelerator\bak\iaanotif.exe ----a-w 36,610 2007-03-06 21:17:52 F:\Programme\Intel\Intel Application Accelerator\iaanotif.exe ----a-w 282,624 2006-06-04 19:49:02 F:\Programme\QuickTime\bak\qttask.exe ----a-w 1,415,824 2005-05-31 00:04:00 F:\Programme\Spybot - Search & Destroy\bak\TeaTimer.exe --sha-r 2,097,488 2008-01-28 10:43:40 F:\Programme\Spybot - Search & Destroy\TeaTimer.exe ----a-w 13,312 2001-08-18 12:00:00 F:\WINDOWS\system32\bak\ctfmon.exe ----a-w 36,610 2007-03-06 21:17:52 F:\WINDOWS\system32\ctfmon.exe ----a-w 36,610 2007-03-01 23:05:26 F:\WINDOWS\system32\bak\lsasss.exe ----a-r 155,648 2001-07-09 09:50:42 F:\WINDOWS\system32\bak\NeroCheck.exe ----a-w 36,610 2007-03-06 21:17:52 F:\WINDOWS\system32\NeroCheck.exe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{22e88050-7be3-47f3-837b-c4a65f5f8c14}] F:\WINDOWS\System32\hudhsikk.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AB25544B-4715-4E06-BB75-A1ADFFA172EA}] 2007-11-16 00:00 84480 --a------ f:\windows\system32\dpcdllt.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AE629598-F5BC-4B4B-BE36-2BFF0D1332E5}] 2007-09-21 01:13 110020 --a------ F:\WINDOWS\System32\8B322i3Ii.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{e9dd3566-0282-476f-9921-13e67c8ea41a}] F:\WINDOWS\system32\msac_32.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="F:\WINDOWS\System32\ctfmon.exe" [2007-03-06 22:17 36610] "NvMediaCenter"="F:\WINDOWS\System32\NVMCTRAY.DLL" [2003-05-26 04:18 49152] "MSMSGS"="F:\Programme\Messenger\msmsgs.exe" [2001-08-02 06:14 1077277] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMAXPnP"="F:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2007-03-06 22:17 36610] "SoundMAX"="F:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2007-03-06 22:17 36610] "NvCplDaemon"="F:\WINDOWS\System32\NvCpl.dll" [2003-05-26 04:18 4640768] "NeroFilterCheck"="F:\WINDOWS\system32\NeroCheck.exe" [2007-03-06 22:17 36610] "InCD"="F:\Programme\Ahead\InCD\InCD.exe" [2007-03-06 22:17 36610] "IAAnotif"="F:\Programme\Intel\Intel Application Accelerator\iaanotif.exe" [2007-03-06 22:17 36610] "ATICCC"="F:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2007-03-06 22:17 36610] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="F:\WINDOWS\System32\CTFMON.EXE" [2007-03-06 22:17 36610] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoAutoUpdate"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tt] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] F:\Programme\MSN Messenger\MsnMsgr.exe [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager\appcertdlls] appsecdll REG_EXPAND_SZ F:\WINDOWS\System32\AppCert\wsil32.dll R0 wepvtkts;wepvtkts;F:\WINDOWS\System32\drivers\ntcuicir.dat [] R1 Cinemsup;Cinemsup;F:\WINDOWS\System32\drivers\Cinemsup.sys [2002-07-19 07:10] R3 SKYNET;TechniSat DVB-PC TV Star PCI;F:\WINDOWS\System32\DRIVERS\SkyNET.SYS [2005-09-29 11:28] R3 vidcap;vidcap;F:\WINDOWS\System32\DRIVERS\vidcap.sys [2006-12-27 15:47] . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-02-19 22:46:12 Windows 5.1.2600 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: F:\WINDOWS\system32\winlogon.exe -> F:\WINDOWS\System32\AppCert\ywb11.dll . ------------------------ Other Running Processes ------------------------ . F:\WINDOWS\System32\Ati2evxx.exe F:\Programme\Intel\Intel Application Accelerator\iaantmon.exe F:\Programme\Ahead\InCD\InCDsrv.exe F:\Programme\Analog Devices\SoundMAX\SMAgent.exe F:\WINDOWS\System32\wdfmgr.exe F:\WINDOWS\system32\Ati2evxx.exe F:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe f:\programme\internet explorer\iexplore.exe F:\Programme\TechniSat DVB\bin\Server4PC.exe F:\Programme\Gemeinsame Dateien\Sonic Shared\cinetray.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-02-19 22:47:19 - machine was rebooted ComboFix-quarantined-files.txt 2008-02-19 21:47:16 |
|
|
||
20.02.2008, 14:29
Ehrenmitglied
Beiträge: 1441 |
#4
kruemel_bs
1. awf http://virus-protect.org/artikel/tools/findawf.html erster Schritt: Doppelklick auf FindAWF.exe - und schreibe : 1 [Scan for bak folders] + klicke Enter es wird ein Log (awf.txt) erstellt - kopiere es hier 2. wende das an + poste das komplette Log http://virus-protect.org/datfindcompl.html 3. CCLean. anwenden http://www.ccleaner.de/?protecus.de 4. wende das an + poste das log hier http://virus-protect.org/artikel/tools/tempfiles_bat.html __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
20.02.2008, 18:21
Member
Themenstarter Beiträge: 35 |
#5
Hallo,
hier die gewünschten logs. Ich bedanke mich übrigens dafür dass ihr mir helft!!! zwei Sachen: 1. Beim CCleaner kam am Ende der Ausführung unten in der Windows Statusleiste die Meldung, dass eine Datei im Zusammenhang mit CCleaner beschädigt sei, eventuell eine Datei auf die CCleaner zugreifen will?? Ich versuchte das mit der MAus zu grabben, aber die Textmeldung verschwindet, wenn man mit der Maus drüber geht. 2. tempfiles.bat konnte den Pfand nicht finden. Ich hatte danach alles auf F geändert und bekam ein leeres Editorfenster. Außerdem gibt es bei mir unter Start->Programme->Zubehör keinen Editor. Ich habe dann Wordpad benutzt. Das ist doch okay, oder? \Tom --snip Find AWF report by noahdfear ©2006 Version 1.40 bak folders found ~~~~~~~~~~~ Datentr„ger in Laufwerk F: ist BOOT-System Verzeichnis von F:\PROGRA~1\MESSEN~1\BAK 0 Datei(en) 0 Bytes 2 Verzeichnis(se), 6.091.440.128 Bytes frei Datentr„ger in Laufwerk F: ist BOOT-System Verzeichnis von F:\PROGRA~1\QUICKT~1\BAK 04.06.2006 20:49 282.624 qttask.exe 1 Datei(en) 282.624 Bytes 2 Verzeichnis(se), 6.091.440.128 Bytes frei Datentr„ger in Laufwerk F: ist BOOT-System Verzeichnis von F:\PROGRA~1\SPYBOT~1\BAK 31.05.2005 01:04 1.415.824 TeaTimer.exe 1 Datei(en) 1.415.824 Bytes 2 Verzeichnis(se), 6.091.436.032 Bytes frei Datentr„ger in Laufwerk F: ist BOOT-System Verzeichnis von F:\WINDOWS\SYSTEM32\BAK 18.08.2001 13:00 13.312 ctfmon.exe 02.03.2007 00:05 36.610 lsasss.exe 09.07.2001 10:50 155.648 NeroCheck.exe 3 Datei(en) 205.570 Bytes 2 Verzeichnis(se), 6.091.436.032 Bytes frei Datentr„ger in Laufwerk F: ist BOOT-System Verzeichnis von F:\PROGRA~1\AHEAD\INCD\BAK 14.10.2003 16:18 1.228.850 InCD.exe 1 Datei(en) 1.228.850 Bytes 2 Verzeichnis(se), 6.091.436.032 Bytes frei Datentr„ger in Laufwerk F: ist BOOT-System Verzeichnis von F:\PROGRA~1\ANALOG~1\SOUNDMAX\BAK 30.05.2003 08:42 585.728 Smax4.exe 29.05.2003 15:28 790.528 SMax4PNP.exe 2 Datei(en) 1.376.256 Bytes 2 Verzeichnis(se), 6.091.436.032 Bytes frei Datentr„ger in Laufwerk F: ist BOOT-System Verzeichnis von F:\PROGRA~1\ATITEC~1\ATI.ACE\BAK 06.08.2005 00:07 61.440 cli.exe 1 Datei(en) 61.440 Bytes 2 Verzeichnis(se), 6.091.436.032 Bytes frei Datentr„ger in Laufwerk F: ist BOOT-System Verzeichnis von F:\PROGRA~1\INTEL\INTELA~1\BAK 02.07.2003 23:00 126.976 iaanotif.exe 1 Datei(en) 126.976 Bytes 2 Verzeichnis(se), 6.091.436.032 Bytes frei Duplicate files of bak directory contents ~~~~~~~~~~~~~~~~~~~~~~~ 282624 4 Jun 2006 F:\PROGRA~1\QUICKT~1\BAK\QTTASK.EXE 2097488 28 Jan 2008 F:\PROGRA~1\SPYBOT~1\TEATIMER.EXE 1415824 31 May 2005 F:\PROGRA~1\SPYBOT~1\BAK\TEATIMER.EXE 36610 6 Mar 2007 F:\WINDOWS\SYSTEM32\CTFMON.EXE 13312 18 Aug 2001 F:\WINDOWS\SYSTEM32\BAK\CTFMON.EXE 36610 2 Mar 2007 F:\WINDOWS\SYSTEM32\BAK\LSASSS.EXE 36610 6 Mar 2007 F:\WINDOWS\SYSTEM32\NEROCH~1.EXE 155648 9 Jul 2001 F:\WINDOWS\SYSTEM32\BAK\NEROCH~1.EXE 36610 6 Mar 2007 F:\PROGRA~1\AHEAD\INCD\INCD.EXE 1228850 14 Oct 2003 F:\PROGRA~1\AHEAD\INCD\BAK\INCD.EXE 36610 6 Mar 2007 F:\PROGRA~1\ANALOG~1\SOUNDMAX\SMAX4.EXE 585728 30 May 2003 F:\PROGRA~1\ANALOG~1\SOUNDMAX\BAK\SMAX4.EXE 36610 6 Mar 2007 F:\PROGRA~1\ANALOG~1\SOUNDMAX\SMAX4PNP.EXE 790528 29 May 2003 F:\PROGRA~1\ANALOG~1\SOUNDMAX\BAK\SMAX4PNP.EXE 36610 6 Mar 2007 F:\PROGRA~1\ATITEC~1\ATI.ACE\CLI.EXE 61440 6 Aug 2005 F:\PROGRA~1\ATITEC~1\ATI.ACE\BAK\CLI.EXE 36610 6 Mar 2007 F:\PROGRA~1\INTEL\INTELA~1\IAANOTIF.EXE 126976 2 Jul 2003 F:\PROGRA~1\INTEL\INTELA~1\BAK\IAANOTIF.EXE end of report -- Code
|
|
|
||
20.02.2008, 19:10
Ehrenmitglied
Beiträge: 1441 |
#6
heute abend erstelle ich weitere Anweisungen... im moment ...keine Zeit
__________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
20.02.2008, 20:37
Member
Themenstarter Beiträge: 35 |
#7
okay. Ich habe übrigens beim ersten Programm nur die Stufe "1" ausgeführt, nicht "2", also nur den scan. War das richtig?
Nach dem Starten des Computers war das RAID System nicht mehr ansprechbar, wurde aber nach erneutem Start wieder sichtbar. \Tom |
|
|
||
21.02.2008, 00:08
Ehrenmitglied
Beiträge: 1441 |
#8
natürlich solltest du nur 1 anwenden - nun kommt nr.2 ... und wenn ich das log habe, kommt nummer 3
1. Doppelklick auf FindAWF.exe - und schreibe: 2 [Restore files from bak folders] + klicke "Enter - eine files.txt wird sich öffnen. (kopiere in die Textdatei - rechter Mausklick auf die vom Moderator angegebenen Daten - kopieren, dann Einfügen) Zitat "F:\Programme\Ahead\InCD\bak\InCD.exe"klicke oben links auf: Datei - "Speichern unter" - und bestätige mit "ja" es geschieht folgendes: * It attempts to terminate the process represented by each filename on the list (if running). * Deletes the rogue file from the parent folder (if present). * Copies the original file to the parent folder. kopiere das automatisch erscheinende neue Log - awf.txt ins Sicherheitsforum __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
21.02.2008, 16:38
Member
Themenstarter Beiträge: 35 |
#9
kopiere das automatisch erscheinende neue Log - awf.txt ins Sicherheitsforum ....hiermit geschehen.
Hallo! ich hoffe das ist jetzt das was Du lesen willst? Riskiere ich eigentlich, mein RAID Datenlaufwerk H zu verlieren? \so long Tom --snip Find AWF report by noahdfear ©2006 Version 1.40 Option 2 run successfully bak folders found ~~~~~~~~~~~ Datentr„ger in Laufwerk F: ist BOOT-System Verzeichnis von F:\PROGRA~1\MESSEN~1\BAK 0 Datei(en) 0 Bytes 2 Verzeichnis(se), 6.119.489.536 Bytes frei Datentr„ger in Laufwerk F: ist BOOT-System Verzeichnis von F:\PROGRA~1\QUICKT~1\BAK 04.06.2006 20:49 282.624 qttask.exe 1 Datei(en) 282.624 Bytes 2 Verzeichnis(se), 6.119.489.536 Bytes frei Datentr„ger in Laufwerk F: ist BOOT-System Verzeichnis von F:\PROGRA~1\SPYBOT~1\BAK 31.05.2005 01:04 1.415.824 TeaTimer.exe 1 Datei(en) 1.415.824 Bytes 2 Verzeichnis(se), 6.119.485.440 Bytes frei Datentr„ger in Laufwerk F: ist BOOT-System Verzeichnis von F:\WINDOWS\SYSTEM32\BAK 18.08.2001 13:00 13.312 ctfmon.exe 02.03.2007 00:05 36.610 lsasss.exe 09.07.2001 10:50 155.648 NeroCheck.exe 3 Datei(en) 205.570 Bytes 2 Verzeichnis(se), 6.119.485.440 Bytes frei Datentr„ger in Laufwerk F: ist BOOT-System Verzeichnis von F:\PROGRA~1\AHEAD\INCD\BAK 14.10.2003 16:18 1.228.850 InCD.exe 1 Datei(en) 1.228.850 Bytes 2 Verzeichnis(se), 6.119.485.440 Bytes frei Datentr„ger in Laufwerk F: ist BOOT-System Verzeichnis von F:\PROGRA~1\ANALOG~1\SOUNDMAX\BAK 30.05.2003 08:42 585.728 Smax4.exe 29.05.2003 15:28 790.528 SMax4PNP.exe 2 Datei(en) 1.376.256 Bytes 2 Verzeichnis(se), 6.119.485.440 Bytes frei Datentr„ger in Laufwerk F: ist BOOT-System Verzeichnis von F:\PROGRA~1\ATITEC~1\ATI.ACE\BAK 06.08.2005 00:07 61.440 cli.exe 1 Datei(en) 61.440 Bytes 2 Verzeichnis(se), 6.119.485.440 Bytes frei Datentr„ger in Laufwerk F: ist BOOT-System Verzeichnis von F:\PROGRA~1\INTEL\INTELA~1\BAK 02.07.2003 23:00 126.976 iaanotif.exe 1 Datei(en) 126.976 Bytes 2 Verzeichnis(se), 6.119.485.440 Bytes frei Duplicate files of bak directory contents ~~~~~~~~~~~~~~~~~~~~~~~ 282624 4 Jun 2006 F:\PROGRA~1\QUICKT~1\BAK\QTTASK.EXE 2097488 28 Jan 2008 F:\PROGRA~1\SPYBOT~1\TEATIMER.EXE 1415824 31 May 2005 F:\PROGRA~1\SPYBOT~1\BAK\TEATIMER.EXE 36610 6 Mar 2007 F:\WINDOWS\SYSTEM32\CTFMON.EXE 13312 18 Aug 2001 F:\WINDOWS\SYSTEM32\BAK\CTFMON.EXE 36610 2 Mar 2007 F:\WINDOWS\SYSTEM32\BAK\LSASSS.EXE 36610 6 Mar 2007 F:\WINDOWS\SYSTEM32\NEROCH~1.EXE 155648 9 Jul 2001 F:\WINDOWS\SYSTEM32\BAK\NEROCH~1.EXE 36610 6 Mar 2007 F:\PROGRA~1\AHEAD\INCD\INCD.EXE 1228850 14 Oct 2003 F:\PROGRA~1\AHEAD\INCD\BAK\INCD.EXE 36610 6 Mar 2007 F:\PROGRA~1\ANALOG~1\SOUNDMAX\SMAX4.EXE 585728 30 May 2003 F:\PROGRA~1\ANALOG~1\SOUNDMAX\BAK\SMAX4.EXE 36610 6 Mar 2007 F:\PROGRA~1\ANALOG~1\SOUNDMAX\SMAX4PNP.EXE 790528 29 May 2003 F:\PROGRA~1\ANALOG~1\SOUNDMAX\BAK\SMAX4PNP.EXE 36610 6 Mar 2007 F:\PROGRA~1\ATITEC~1\ATI.ACE\CLI.EXE 61440 6 Aug 2005 F:\PROGRA~1\ATITEC~1\ATI.ACE\BAK\CLI.EXE 36610 6 Mar 2007 F:\PROGRA~1\INTEL\INTELA~1\IAANOTIF.EXE 126976 2 Jul 2003 F:\PROGRA~1\INTEL\INTELA~1\BAK\IAANOTIF.EXE end of report |
|
|
||
21.02.2008, 17:52
Ehrenmitglied
Beiträge: 1441 |
#10
1. datei mit rechts anklicken - mit Texteditor oeffnen
F:\WINDOWS\wininit.ini poste, was dort steht --------------------------------- NEU kopiere das in den Texteditor - abspeichern als look32.bat (unter alle Dateien abspeichern) und auf dem Desktop abspeichern - klicke die bat doppelt, poste, was im Texteditor erscheint Zitat cd\2. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern Zitat KILLALL::Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden. boote in den abgesicherten modus cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen - Combofix wieder anwenden - tippe 1 PC wieder neustarten 3. Doppelklick FindAWF.exe http://virus-protect.org/artikel/tools/findawf.html - und schreibe: 3 - + klicke "Enter - eine files.txt wird sich öffnen. Zitat F:\WINDOWS\SYSTEM32\BAKklicke oben links auf: Datei - "Speichern unter" - und bestätige mit "ja" kopiere das Log, welches erscheint ins Sicherheitsforum «««««««««« 4. ComboFix entfernen Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" 5. lade combofix neu, poste das neue log http://virus-protect.org/artikel/tools/combofix.html __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
21.02.2008, 23:57
Member
Themenstarter Beiträge: 35 |
#11
Hallo,
Punkt 1 poste ich schon einmal hier unten. Bei Punkt zwei will ich vorher nochmal fragen: wenn ich das textfile auf das Combofix ziehe, dann wende ich es doch auch an, nicht wahr? Weil Du schreibst: [...]-combofix anwenden - [...] also meinst Du es EINMAL anwenden an dieser Stelle, ja? Danach steht: PC wieder neustarten Soll das wieder im abgesicherten Modus geschehen? \Tom --snip [rename] c:\tempjunk8274.tmp=F:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted nul=c:\tempjunk6150.tmp c:\tempjunk6870.tmp=F:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted c:\tempjunk8782.tmp=F:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted c:\tempjunk2164.tmp=F:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted c:\tempjunk6135.tmp=F:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted c:\tempjunk6504.tmp=F:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted c:\tempjunk4725.tmp=F:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted c:\tempjunk7375.tmp=F:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted c:\tempjunk7040.tmp=F:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted c:\tempjunk3285.tmp=F:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted c:\tempjunk1467.tmp=F:\WINDOWS\system32\ntos.exe_tobedeleted c:\tempjunk4922.tmp=F:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted c:\tempjunk9797.tmp=F:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted c:\tempjunk6150.tmp=F:\WINDOWS\system32\mscomm.dll |
|
|
||
22.02.2008, 00:22
Ehrenmitglied
Beiträge: 1441 |
#12
erstelle bitte die cfscript.txt-Datei neu, ich hab was im Script geaendert........
führe bitte das im abgesicherten Modus durch: - (F8 drücken, wenn der Rechner hochfährt.) du ziehst die txt-Datei auf das combofix-Symbol. dannach klickst du das Combofix-Symbol an, schreibst in das Fenster, was sich oeffnet : 1 dann loescht die Combofix, was ich ins Script geschrieben habe ------- dann: lasse überprüfen: http://www.virustotal.com/de/ F:\WINDOWS\system32\msnvdrv.dll F:\WINDOWS\system32\commusr.dll poste hier die Reporte __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
24.02.2008, 12:19
Member
Themenstarter Beiträge: 35 |
#13
Hallo,
hier jetzt alle logs. Ich hoffe, ich habe alles richtig gemacht. Dieses VirusTotal ist ja auch eine tolle Sache!! Danke. Was soll ich jetzt tun? \Tom --snip [rename] c:\tempjunk8274.tmp=F:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted nul=c:\tempjunk6150.tmp c:\tempjunk6870.tmp=F:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted c:\tempjunk8782.tmp=F:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted c:\tempjunk2164.tmp=F:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted c:\tempjunk6135.tmp=F:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted c:\tempjunk6504.tmp=F:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted c:\tempjunk4725.tmp=F:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted c:\tempjunk7375.tmp=F:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted c:\tempjunk7040.tmp=F:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted c:\tempjunk3285.tmp=F:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted c:\tempjunk1467.tmp=F:\WINDOWS\system32\ntos.exe_tobedeleted c:\tempjunk4922.tmp=F:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted c:\tempjunk9797.tmp=F:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted c:\tempjunk6150.tmp=F:\WINDOWS\system32\mscomm.dll -- look32.bat: --snip Datentr„ger in Laufwerk F: ist BOOT-System Volumeseriennummer: EC20-F9A1 Verzeichnis von F:\WINDOWS\system32\AppCert 13.11.2007 15:13 81.920 ywb11.dll 09.11.2007 19:09 81.920 wby10.dll 17.10.2007 14:38 81.920 ywb10.dll 17.10.2007 14:29 24 filter.drv 18.08.2001 13:00 24.576 wsil32.dll 18.08.2001 13:00 54.684 wnl32.dll 6 Datei(en) 325.044 Bytes 0 Verzeichnis(se), 6.105.772.032 Bytes frei -- jetzt hier das combofix log, im abgesicherten modus ausgefuehrt. Eine 1 bracuhte ich nicht tippen, dafuer musste ich aber am ende das Programm abwuergen, denn combofix wollte ein reboot durchfzehren und windows ließ es nicht. danach habe ich den rechner noch ein zweites mal booten lassen da ich nach dem reboot nur ein schwarzes fenster uebrig hatte und das log nicht irgendwo reinkopieren konnte. Und genau da befinde ich mich: Ich nehme jetzt das log aus F\: und kopiere es hier rein. --snip ComboFix 08-02-19.2 - Administrator 2008-02-19 20:59:54.7 - NTFSx86 MINIMAL Microsoft Windows XP Professional 5.1.2600.0.1252.1.1031.18.852 [GMT 1:00] ausgeführt von:: F:\Dokumente und Einstellungen\sysop\Desktop\ComboFix.exe Command switches used :: F:\Dokumente und Einstellungen\sysop\Desktop\cfscript.txt [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] FILE :: F:\DOKUME~1\sysop\LOKALE~1\Temp\JET1.tmp F:\DOKUME~1\sysop\LOKALE~1\Temp\JETFE66.tmp F:\WINDOWS\System32\8B322i3Ii.dll F:\WINDOWS\System32\AppCert\wsil32.dll F:\WINDOWS\System32\AppCert\ywb11.dll f:\windows\system32\dpcdllt.dll F:\WINDOWS\System32\drivers\ntcuicir.dat F:\WINDOWS\System32\hudhsikk.dll F:\WINDOWS\system32\msac_32.dll F:\WINDOWS\system32\ntos.exe_tobedeleted F:\WINDOWS\Temp\JET1.tmp F:\WINDOWS\Temp\JETFE66.tmp F:\WINDOWS\wininit.ini . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . F:\WINDOWS\system32\8B322i3Ii.dll F:\windows\System32\AppCert F:\windows\System32\AppCert\filter.drv F:\windows\System32\AppCert\wby10.dll F:\windows\System32\AppCert\wnl32.dll F:\WINDOWS\System32\AppCert\wsil32.dll F:\windows\System32\AppCert\ywb10.dll F:\windows\System32\AppCert\ywb11.dll f:\windows\system32\dpcdllt.dll F:\WINDOWS\System32\drivers\ntcuicir.dat F:\WINDOWS\wininit.ini . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\LEGACY_WEPVTKTS -------\wepvtkts ((((((((((((((((((((((( Dateien erstellt von 2008-01-19 bis 2008-02-19 )))))))))))))))))))))))))))))) . 2008-02-19 20:47 . 2008-02-19 20:47 <DIR> d-------- F:\Dokumente und Einstellungen\sysop\Anwendungsdaten\vlc 2008-02-19 19:48 . 2008-02-19 19:48 <DIR> d-------- F:\VundoFix Backups 2008-02-19 19:46 . 2008-02-19 19:46 <DIR> d-------- F:\Programme\CCleaner 2008-02-04 23:03 . 2008-02-16 22:45 729,088 --a------ F:\WINDOWS\GPInstall.exe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-02-04 22:47 --------- d---a-w F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-02-04 21:58 --------- d-----w F:\Programme\Registry System Wizard 2008-02-04 21:47 --------- d-----w F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-02-04 21:46 --------- d-----w F:\Programme\Spybot - Search & Destroy 2008-01-06 04:06 --------- d-----w F:\Dokumente und Einstellungen\sysop\Anwendungsdaten\Move Networks . ------- Sigcheck ------- "F:\WINDOWS\system32\svchost.exe" ----a-w 12,800 2001-08-18 12:00:00 F:\WINDOWS\system32\svchost.exe -c--a-w 12,800 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\svchost.exe "F:\WINDOWS\system32\user32.dll" ----a-w 562,688 2001-08-18 12:00:00 F:\WINDOWS\system32\user32.dll -c--a-w 562,688 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\user32.dll "F:\WINDOWS\system32\ws2_32.dll" ----a-w 75,264 2001-08-18 12:00:00 F:\WINDOWS\system32\ws2_32.dll -c--a-w 75,264 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\ws2_32.dll "F:\WINDOWS\system32\wininet.dll" ----a-w 599,552 2001-08-18 12:00:00 F:\WINDOWS\system32\wininet.dll -c--a-w 599,552 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\wininet.dll "F:\WINDOWS\system32\drivers\tcpip.sys" -c--a-w 327,168 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\tcpip.sys ----a-w 327,168 2001-08-18 12:00:00 F:\WINDOWS\system32\drivers\tcpip.sys "F:\WINDOWS\system32\winlogon.exe" ----a-w 435,200 2001-08-18 12:00:00 F:\WINDOWS\system32\winlogon.exe -c--a-w 435,200 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\winlogon.exe "F:\WINDOWS\system32\drivers\ndis.sys" -c--a-w 161,536 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\ndis.sys ----a-w 161,536 2001-08-18 12:00:00 F:\WINDOWS\system32\drivers\ndis.sys "F:\WINDOWS\system32\ntkrnlpa.exe" ----a-w 1,872,384 2001-08-18 12:00:00 F:\WINDOWS\system32\ntkrnlpa.exe "F:\WINDOWS\system32\ntoskrnl.exe" ----a-w 1,900,544 2001-08-18 12:00:00 F:\WINDOWS\system32\ntoskrnl.exe "F:\WINDOWS\explorer.exe" ----a-w 1,004,032 2001-08-18 12:00:00 F:\WINDOWS\explorer.exe -c--a-w 1,004,032 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\explorer.exe . ((((((((((((((((((((((((((((((((((((((((((((( AWF )))))))))))))))))))))))))))))))))))))))))))))))))))))))))) . ----a-w 1,228,850 2003-10-14 15:18:04 F:\Programme\Ahead\InCD\bak\InCD.exe ----a-w 36,610 2007-03-06 21:17:52 F:\Programme\Ahead\InCD\InCD.exe ----a-w 585,728 2003-05-30 07:42:22 F:\Programme\Analog Devices\SoundMAX\bak\Smax4.exe ----a-w 36,610 2007-03-06 21:17:52 F:\Programme\Analog Devices\SoundMAX\Smax4.exe ----a-w 790,528 2003-05-29 14:28:32 F:\Programme\Analog Devices\SoundMAX\bak\SMax4PNP.exe ----a-w 36,610 2007-03-06 21:17:52 F:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe ----a-w 61,440 2005-08-05 23:07:30 F:\Programme\ATI Technologies\ATI.ACE\bak\cli.exe ----a-w 36,610 2007-03-06 21:17:52 F:\Programme\ATI Technologies\ATI.ACE\cli.exe ----a-w 126,976 2003-07-02 22:00:00 F:\Programme\Intel\Intel Application Accelerator\bak\iaanotif.exe ----a-w 36,610 2007-03-06 21:17:52 F:\Programme\Intel\Intel Application Accelerator\iaanotif.exe ----a-w 282,624 2006-06-04 19:49:02 F:\Programme\QuickTime\bak\qttask.exe ----a-w 1,415,824 2005-05-31 00:04:00 F:\Programme\Spybot - Search & Destroy\bak\TeaTimer.exe --sha-r 2,097,488 2008-01-28 10:43:40 F:\Programme\Spybot - Search & Destroy\TeaTimer.exe ----a-w 13,312 2001-08-18 12:00:00 F:\WINDOWS\system32\bak\ctfmon.exe ----a-w 36,610 2007-03-06 21:17:52 F:\WINDOWS\system32\ctfmon.exe ----a-w 36,610 2007-03-01 23:05:26 F:\WINDOWS\system32\bak\lsasss.exe ----a-r 155,648 2001-07-09 09:50:42 F:\WINDOWS\system32\bak\NeroCheck.exe ----a-w 36,610 2007-03-06 21:17:52 F:\WINDOWS\system32\NeroCheck.exe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="F:\WINDOWS\System32\CTFMON.EXE" [2007-03-06 22:17 36610] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] "SpybotDeletingB6515"="command /c del F:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" [ ] "SpybotDeletingD9545"="cmd /c del F:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" [ ] "SpybotDeletingB8170"="command /c del F:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted" [ ] "SpybotDeletingD6195"="cmd /c del F:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted" [ ] "SpybotDeletingB8650"="command /c del F:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" [ ] "SpybotDeletingD5103"="cmd /c del F:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" [ ] "SpybotDeletingB9572"="command /c del F:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted" [ ] "SpybotDeletingD5403"="cmd /c del F:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted" [ ] "SpybotDeletingB7474"="command /c del F:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" [ ] "SpybotDeletingD7139"="cmd /c del F:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" [ ] "SpybotDeletingB5029"="command /c del F:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted" [ ] "SpybotDeletingD499"="cmd /c del F:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted" [ ] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMAXPnP"="F:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2007-03-06 22:17 36610] "SoundMAX"="F:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2007-03-06 22:17 36610] "NvCplDaemon"="F:\WINDOWS\System32\NvCpl.dll" [2003-05-26 04:18 4640768] "NeroFilterCheck"="F:\WINDOWS\system32\NeroCheck.exe" [2007-03-06 22:17 36610] "InCD"="F:\Programme\Ahead\InCD\InCD.exe" [2007-03-06 22:17 36610] "IAAnotif"="F:\Programme\Intel\Intel Application Accelerator\iaanotif.exe" [2007-03-06 22:17 36610] "ATICCC"="F:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2007-03-06 22:17 36610] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="F:\WINDOWS\System32\CTFMON.EXE" [2007-03-06 22:17 36610] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] F:\Programme\MSN Messenger\MsnMsgr.exe S1 Cinemsup;Cinemsup;F:\WINDOWS\System32\drivers\Cinemsup.sys [2002-07-19 07:10] S3 SKYNET;TechniSat DVB-PC TV Star PCI;F:\WINDOWS\System32\DRIVERS\SkyNET.SYS [2005-09-29 11:28] S3 vidcap;vidcap;F:\WINDOWS\System32\DRIVERS\vidcap.sys [2006-12-27 15:47] . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-02-19 20:33:54 Windows 5.1.2600 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-02-19 20:35:44 - machine was rebooted ComboFix-quarantined-files.txt 2008-02-19 19:35:40 -- und nun mache ich den nächsten schritt: findawf (immer noch im abgesicherten modus) --snip Find AWF report by noahdfear ©2006 Version 1.40 Option 3 run successfully bak folders found ~~~~~~~~~~~ Datentr„ger in Laufwerk F: ist BOOT-System Verzeichnis von F:\PROGRA~1\MESSEN~1\BAK 0 Datei(en) 0 Bytes 2 Verzeichnis(se), 6.039.789.568 Bytes frei Datentr„ger in Laufwerk F: ist BOOT-System Verzeichnis von F:\PROGRA~1\SPYBOT~1\BAK 31.05.2005 01:04 1.415.824 TeaTimer.exe 1 Datei(en) 1.415.824 Bytes 2 Verzeichnis(se), 6.039.789.568 Bytes frei Datentr„ger in Laufwerk F: ist BOOT-System Verzeichnis von F:\WINDOWS\SYSTEM32\BAK 09.07.2001 10:50 155.648 NeroCheck.exe 1 Datei(en) 155.648 Bytes 2 Verzeichnis(se), 6.039.785.472 Bytes frei Duplicate files of bak directory contents ~~~~~~~~~~~~~~~~~~~~~~~ 2097488 28 Jan 2008 F:\PROGRA~1\SPYBOT~1\TEATIMER.EXE 1415824 31 May 2005 F:\PROGRA~1\SPYBOT~1\BAK\TEATIMER.EXE 36610 6 Mar 2007 F:\WINDOWS\SYSTEM32\NEROCH~1.EXE 155648 9 Jul 2001 F:\WINDOWS\SYSTEM32\BAK\NEROCH~1.EXE end of report -- ...und noch einmal Combofix --snip ComboFix 08-02-19.2 - Administrator 2008-02-19 20:53:12.8 - NTFSx86 MINIMAL Microsoft Windows XP Professional 5.1.2600.0.1252.1.1031.18.845 [GMT 1:00] ausgeführt von:: F:\Dokumente und Einstellungen\sysop\Desktop\ComboFix.exe [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . ((((((((((((((((((((((( Dateien erstellt von 2008-01-19 bis 2008-02-19 )))))))))))))))))))))))))))))) . 2008-02-19 20:47 . 2008-02-19 20:47 <DIR> d-------- F:\Dokumente und Einstellungen\sysop\Anwendungsdaten\vlc 2008-02-19 19:46 . 2008-02-19 19:46 <DIR> d-------- F:\Programme\CCleaner 2008-02-04 23:03 . 2008-02-16 22:45 729,088 --a------ F:\WINDOWS\GPInstall.exe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-02-19 19:49 --------- d-----w F:\Programme\QuickTime 2008-02-04 22:47 --------- d---a-w F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-02-04 21:58 --------- d-----w F:\Programme\Registry System Wizard 2008-02-04 21:47 --------- d-----w F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-02-04 21:46 --------- d-----w F:\Programme\Spybot - Search & Destroy 2008-01-06 04:06 --------- d-----w F:\Dokumente und Einstellungen\sysop\Anwendungsdaten\Move Networks 2007-12-20 21:10 31,744 ----a-w F:\WINDOWS\system32\msnvdrv.dll 2007-12-20 21:10 30,208 ----a-w F:\WINDOWS\system32\commusr.dll 2007-12-20 21:09 31,744 ----a-w F:\WINDOWS\system32\drvdlgdiag.dll 2007-12-20 21:01 31,744 ----a-w F:\WINDOWS\system32\commnet.dll 2007-12-20 21:01 30,208 ----a-w F:\WINDOWS\system32\nvcomm.dll 2007-12-20 21:00 31,744 ----a-w F:\WINDOWS\system32\net64diagms.dll 2007-12-20 21:00 30,208 ----a-w F:\WINDOWS\system32\msnv32usr.dll 2007-12-20 20:59 31,744 ----a-w F:\WINDOWS\system32\msmsdrv32.dll 2007-12-20 20:59 30,208 ----a-w F:\WINDOWS\system32\dlgdiag32usr.dll 2007-12-20 20:51 31,744 ----a-w F:\WINDOWS\system32\nvnetdlg.dll 2007-12-20 20:51 31,744 ----a-w F:\WINDOWS\system32\netcommnv.dll 2007-12-20 20:51 31,744 ----a-w F:\WINDOWS\system32\diagnet32.dll 2007-12-20 20:51 30,208 ----a-w F:\WINDOWS\system32\diagcommdlg.dll 2007-12-20 20:50 30,208 ----a-w F:\WINDOWS\system32\ms64commusr.dll 2007-12-20 20:50 30,208 ----a-w F:\WINDOWS\system32\commnetusr.dll 2007-12-20 20:49 31,744 ----a-w F:\WINDOWS\system32\netcomm.dll 2007-12-20 20:49 30,208 ----a-w F:\WINDOWS\system32\diag32.dll 2007-12-20 20:41 30,208 ----a-w F:\WINDOWS\system32\netdrvdrvcomm.dll 2007-12-20 20:40 31,744 ----a-w F:\WINDOWS\system32\nvdrvcommusr.dll 2007-12-20 20:40 31,744 ----a-w F:\WINDOWS\system32\netdiag.dll 2007-12-20 20:40 30,208 ----a-w F:\WINDOWS\system32\commdrvnv.dll 2007-12-20 20:39 31,744 ----a-w F:\WINDOWS\system32\drvdrvdiagdiag.dll 2007-12-20 20:39 30,208 ----a-w F:\WINDOWS\system32\64drvnet.dll 2007-12-20 20:34 30,208 ----a-w F:\WINDOWS\system32\64diagnetdrv.dll 2007-12-20 20:33 31,744 ----a-w F:\WINDOWS\system32\netusrmscomm.dll 2007-12-20 20:33 31,744 ----a-w F:\WINDOWS\system32\msdiag6464.dll 2007-12-20 20:33 31,744 ----a-w F:\WINDOWS\system32\commcommusr.dll 2007-12-20 20:33 30,208 ----a-w F:\WINDOWS\system32\nvdiag3232.dll 2007-12-20 20:33 30,208 ----a-w F:\WINDOWS\system32\dlg32.dll 2007-12-20 20:32 31,744 ----a-w F:\WINDOWS\system32\nv3264drv.dll 2007-12-20 20:32 31,744 ----a-w F:\WINDOWS\system32\dlg643264.dll 2007-12-20 20:32 31,744 ----a-w F:\WINDOWS\system32\commdrvmsnv.dll 2007-12-20 20:32 30,208 ----a-w F:\WINDOWS\system32\usrnvnvcomm.dll 2007-12-20 20:32 30,208 ----a-w F:\WINDOWS\system32\usr6432.dll 2007-12-20 20:32 30,208 ----a-w F:\WINDOWS\system32\commnvdrvms.dll 2007-12-20 20:25 31,744 ----a-w F:\WINDOWS\system32\64commcommnet.dll 2007-12-20 20:25 30,208 ----a-w F:\WINDOWS\system32\32net64nv.dll 2007-12-20 20:24 31,744 ----a-w F:\WINDOWS\system32\drvcommms.dll 2007-12-20 20:24 30,208 ----a-w F:\WINDOWS\system32\dlgusrusr.dll 2007-12-20 20:23 31,744 ----a-w F:\WINDOWS\system32\netusrusrusr.dll 2007-12-20 20:23 30,208 ----a-w F:\WINDOWS\system32\msdiagcommnet.dll 2007-12-20 20:23 30,208 ----a-w F:\WINDOWS\system32\commcomm64drv.dll 2007-12-20 20:22 30,208 ----a-w F:\WINDOWS\system32\netnet.dll 2007-12-20 20:22 30,208 ----a-w F:\WINDOWS\system32\commdiagnetdlg.dll 2007-12-20 20:15 31,744 ----a-w F:\WINDOWS\system32\dlgnet.dll 2007-12-20 20:15 30,208 ----a-w F:\WINDOWS\system32\drvdrv.dll 2007-12-20 20:14 31,744 ----a-w F:\WINDOWS\system32\nvnvdrv.dll 2007-12-20 20:14 31,744 ----a-w F:\WINDOWS\system32\netdrvnv32.dll 2007-12-20 20:14 31,744 ----a-w F:\WINDOWS\system32\msnet64nv.dll 2007-12-20 20:14 30,208 ----a-w F:\WINDOWS\system32\commusrnv.dll 2007-12-20 20:14 30,208 ----a-w F:\WINDOWS\system32\commcommcomm64.dll 2007-12-20 20:13 31,744 ----a-w F:\WINDOWS\system32\64nvdlg.dll 2007-12-20 20:13 31,744 ----a-w F:\WINDOWS\system32\32netdrv.dll 2007-12-20 20:13 30,208 ----a-w F:\WINDOWS\system32\6464usr.dll 2007-12-20 20:12 31,744 ----a-w F:\WINDOWS\system32\usrdrvusrdrv.dll 2007-12-20 20:12 31,744 ----a-w F:\WINDOWS\system32\diagmsms.dll 2007-12-20 20:12 30,208 ----a-w F:\WINDOWS\system32\64drv32dlg.dll 2007-12-20 20:05 36,864 ----a-w F:\WINDOWS\system32\mscomdiag32.dll 2007-12-20 20:04 31,744 ----a-w F:\WINDOWS\system32\diagnvmsusr.dll 2007-12-20 20:04 31,744 ----a-w F:\WINDOWS\system32\64drv.dll 2007-12-20 20:04 30,208 ----a-w F:\WINDOWS\system32\nvusrusrnv.dll 2007-12-20 20:04 30,208 ----a-w F:\WINDOWS\system32\netdlg32diag.dll 2007-12-20 20:04 30,208 ----a-w F:\WINDOWS\system32\ms64dlgusr.dll 2007-12-20 20:03 31,744 ----a-w F:\WINDOWS\system32\drvnvdrvnv.dll 2007-12-20 20:03 31,744 ----a-w F:\WINDOWS\system32\dlg64msnet.dll 2007-12-20 20:03 30,208 ----a-w F:\WINDOWS\system32\netms.dll 2007-12-20 20:03 30,208 ----a-w F:\WINDOWS\system32\3264diag.dll 2007-12-20 20:02 31,744 ----a-w F:\WINDOWS\system32\nvnvcomm.dll 2007-12-20 20:02 31,744 ----a-w F:\WINDOWS\system32\net3264comm.dll 2007-12-20 20:02 31,744 ----a-w F:\WINDOWS\system32\diagcommcomm32.dll 2007-12-20 20:02 31,744 ----a-w F:\WINDOWS\system32\commdrv.dll 2007-12-20 20:02 30,208 ----a-w F:\WINDOWS\system32\usrdrvmsusr.dll 2007-12-20 20:02 30,208 ----a-w F:\WINDOWS\system32\msnvnv.dll 2007-12-20 19:55 31,744 ----a-w F:\WINDOWS\system32\msmsusr.dll 2007-12-20 19:55 30,208 ----a-w F:\WINDOWS\system32\commdlgnv.dll 2007-12-20 19:54 31,744 ----a-w F:\WINDOWS\system32\usrdrvnet.dll 2007-12-20 19:54 31,744 ----a-w F:\WINDOWS\system32\32dlg.dll 2007-12-20 19:54 30,208 ----a-w F:\WINDOWS\system32\64dlg.dll 2007-12-20 19:53 31,744 ----a-w F:\WINDOWS\system32\usr32usrdiag.dll 2007-12-20 19:53 30,208 ----a-w F:\WINDOWS\system32\drvmsmsdrv.dll 2007-12-20 19:53 30,208 ----a-w F:\WINDOWS\system32\commdlg.dll 2007-12-20 19:53 30,208 ----a-w F:\WINDOWS\system32\3232drv.dll 2007-12-20 19:52 31,744 ----a-w F:\WINDOWS\system32\msmsnet.dll 2007-12-20 19:52 31,744 ----a-w F:\WINDOWS\system32\ms64diag64.dll 2007-12-20 19:52 31,744 ----a-w F:\WINDOWS\system32\diagdlgdrvcomm.dll 2007-12-20 19:52 30,208 ----a-w F:\WINDOWS\system32\nvmsnet.dll 2007-12-20 19:52 30,208 ----a-w F:\WINDOWS\system32\nv64diag.dll 2007-12-20 19:52 30,208 ----a-w F:\WINDOWS\system32\32net.dll 2007-12-20 19:45 31,744 ----a-w F:\WINDOWS\system32\64comm.dll 2007-12-20 19:45 30,208 ----a-w F:\WINDOWS\system32\mscomm32dlg.dll 2007-12-20 19:44 31,744 ----a-w F:\WINDOWS\system32\usr32mscomm.dll 2007-12-20 19:44 31,744 ----a-w F:\WINDOWS\system32\dlgmsdrv64.dll 2007-12-20 19:44 31,744 ----a-w F:\WINDOWS\system32\commdiagnetusr.dll 2007-12-20 19:44 30,208 ----a-w F:\WINDOWS\system32\usrdiag64.dll . ------- Sigcheck ------- "F:\WINDOWS\system32\svchost.exe" ----a-w 12,800 2001-08-18 12:00:00 F:\WINDOWS\system32\svchost.exe -c--a-w 12,800 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\svchost.exe "F:\WINDOWS\system32\user32.dll" ----a-w 562,688 2001-08-18 12:00:00 F:\WINDOWS\system32\user32.dll -c--a-w 562,688 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\user32.dll "F:\WINDOWS\system32\ws2_32.dll" ----a-w 75,264 2001-08-18 12:00:00 F:\WINDOWS\system32\ws2_32.dll -c--a-w 75,264 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\ws2_32.dll "F:\WINDOWS\system32\wininet.dll" ----a-w 599,552 2001-08-18 12:00:00 F:\WINDOWS\system32\wininet.dll -c--a-w 599,552 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\wininet.dll "F:\WINDOWS\system32\drivers\tcpip.sys" -c--a-w 327,168 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\tcpip.sys ----a-w 327,168 2001-08-18 12:00:00 F:\WINDOWS\system32\drivers\tcpip.sys "F:\WINDOWS\system32\winlogon.exe" ----a-w 435,200 2001-08-18 12:00:00 F:\WINDOWS\system32\winlogon.exe -c--a-w 435,200 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\winlogon.exe "F:\WINDOWS\system32\drivers\ndis.sys" -c--a-w 161,536 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\ndis.sys ----a-w 161,536 2001-08-18 12:00:00 F:\WINDOWS\system32\drivers\ndis.sys "F:\WINDOWS\system32\ntkrnlpa.exe" ----a-w 1,872,384 2001-08-18 12:00:00 F:\WINDOWS\system32\ntkrnlpa.exe "F:\WINDOWS\system32\ntoskrnl.exe" ----a-w 1,900,544 2001-08-18 12:00:00 F:\WINDOWS\system32\ntoskrnl.exe "F:\WINDOWS\explorer.exe" ----a-w 1,004,032 2001-08-18 12:00:00 F:\WINDOWS\explorer.exe -c--a-w 1,004,032 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\explorer.exe . ((((((((((((((((((((((((((((((((((((((((((((( AWF )))))))))))))))))))))))))))))))))))))))))))))))))))))))))) . ----a-w 1,415,824 2005-05-31 00:04:00 F:\Programme\Spybot - Search & Destroy\bak\TeaTimer.exe --sha-r 2,097,488 2008-01-28 10:43:40 F:\Programme\Spybot - Search & Destroy\TeaTimer.exe ----a-r 155,648 2001-07-09 09:50:42 F:\WINDOWS\system32\bak\NeroCheck.exe ----a-w 36,610 2007-03-06 21:17:52 F:\WINDOWS\system32\NeroCheck.exe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="F:\WINDOWS\System32\CTFMON.EXE" [2007-03-06 22:17 36610] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] "SpybotDeletingB6515"="command /c del F:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" [ ] "SpybotDeletingD9545"="cmd /c del F:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" [ ] "SpybotDeletingB8170"="command /c del F:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted" [ ] "SpybotDeletingD6195"="cmd /c del F:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted" [ ] "SpybotDeletingB8650"="command /c del F:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" [ ] "SpybotDeletingD5103"="cmd /c del F:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" [ ] "SpybotDeletingB9572"="command /c del F:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted" [ ] "SpybotDeletingD5403"="cmd /c del F:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted" [ ] "SpybotDeletingB7474"="command /c del F:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" [ ] "SpybotDeletingD7139"="cmd /c del F:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" [ ] "SpybotDeletingB5029"="command /c del F:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted" [ ] "SpybotDeletingD499"="cmd /c del F:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted" [ ] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMAXPnP"="F:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2007-03-06 22:17 36610] "SoundMAX"="F:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2007-03-06 22:17 36610] "NvCplDaemon"="F:\WINDOWS\System32\NvCpl.dll" [2003-05-26 04:18 4640768] "NeroFilterCheck"="F:\WINDOWS\system32\NeroCheck.exe" [2007-03-06 22:17 36610] "InCD"="F:\Programme\Ahead\InCD\InCD.exe" [2007-03-06 22:17 36610] "IAAnotif"="F:\Programme\Intel\Intel Application Accelerator\iaanotif.exe" [2007-03-06 22:17 36610] "ATICCC"="F:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2007-03-06 22:17 36610] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="F:\WINDOWS\System32\CTFMON.EXE" [2007-03-06 22:17 36610] F:\Dokumente und Einstellungen\sysop\Startmen\Programme\Autostart\ Sonic CinePlayer Quick Launch.lnk - F:\Programme\Gemeinsame Dateien\Sonic Shared\cinetray.exe [2002-09-18 13:16:30 98304] F:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Reader - Schnellstart.lnk - F:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696] ATI CATALYST-Infobereich.lnk - F:\Programme\ATI Technologies\ATI.ACE\CLI.exe [2005-08-06 00:07:30 36610] Server4PC.lnk - F:\Programme\TechniSat DVB\bin\Server4PC.exe [2006-07-04 16:24:02 368640] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] F:\Programme\MSN Messenger\MsnMsgr.exe S1 Cinemsup;Cinemsup;F:\WINDOWS\System32\drivers\Cinemsup.sys [2002-07-19 07:10] S3 SKYNET;TechniSat DVB-PC TV Star PCI;F:\WINDOWS\System32\DRIVERS\SkyNET.SYS [2005-09-29 11:28] S3 vidcap;vidcap;F:\WINDOWS\System32\DRIVERS\vidcap.sys [2006-12-27 15:47] . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-02-19 20:54:07 Windows 5.1.2600 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-02-19 20:54:56 ComboFix2.txt 2008-02-19 19:35:45 -- ueberpruefungen: Datei msnvdrv.dll empfangen 2008.02.24 12:00:30 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/32 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 6. Geschätzte Startzeit is zwischen 54 und 77 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.2.22.0 2008.02.22 - AntiVir 7.6.0.67 2008.02.22 - Authentium 4.93.8 2008.02.24 - Avast 4.7.1098.0 2008.02.23 - AVG 7.5.0.516 2008.02.24 - BitDefender 7.2 2008.02.24 - CAT-QuickHeal 9.50 2008.02.22 - ClamAV 0.92.1 2008.02.24 - DrWeb 4.44.0.09170 2008.02.24 - eSafe 7.0.15.0 2008.02.21 - eTrust-Vet 31.3.5557 2008.02.23 - Ewido 4.0 2008.02.24 - FileAdvisor 1 2008.02.24 - Fortinet 3.14.0.0 2008.02.24 - F-Prot 4.4.2.54 2008.02.23 - F-Secure 6.70.13260.0 2008.02.23 - Ikarus T3.1.1.20 2008.02.24 - Kaspersky 7.0.0.125 2008.02.24 - McAfee 5236 2008.02.22 - Microsoft 1.3204 2008.02.24 - NOD32v2 2898 2008.02.23 - Norman 5.80.02 2008.02.22 - Panda 9.0.0.4 2008.02.24 - Prevx1 V2 2008.02.24 - Rising 20.32.62.00 2008.02.24 - Sophos 4.26.0 2008.02.24 - Sunbelt 3.0.893.0 2008.02.23 - Symantec 10 2008.02.24 - TheHacker 6.2.9.228 2008.02.23 - VBA32 3.12.6.1 2008.02.21 - VirusBuster 4.3.26:9 2008.02.23 - Webwasher-Gateway 6.6.2 2008.02.23 - weitere Informationen File size: 31744 bytes MD5: 083aa6e15dc2eac3f93d5e20f9337061 SHA1: 27e1262c8e1dc428104b9b0c5d311e658f0a8db4 PEiD: - -- Datei commusr.dll empfangen 2008.02.24 12:07:13 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/32 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 6. Geschätzte Startzeit is zwischen 54 und 77 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.2.22.0 2008.02.22 - AntiVir 7.6.0.67 2008.02.22 - Authentium 4.93.8 2008.02.24 - Avast 4.7.1098.0 2008.02.23 - AVG 7.5.0.516 2008.02.24 - BitDefender 7.2 2008.02.24 - CAT-QuickHeal 9.50 2008.02.22 - ClamAV 0.92.1 2008.02.24 - DrWeb 4.44.0.09170 2008.02.24 - eSafe 7.0.15.0 2008.02.21 - eTrust-Vet 31.3.5557 2008.02.23 - Ewido 4.0 2008.02.24 - FileAdvisor 1 2008.02.24 - Fortinet 3.14.0.0 2008.02.24 - F-Prot 4.4.2.54 2008.02.23 - F-Secure 6.70.13260.0 2008.02.23 - Ikarus T3.1.1.20 2008.02.24 - Kaspersky 7.0.0.125 2008.02.24 - McAfee 5236 2008.02.22 - Microsoft 1.3204 2008.02.24 - NOD32v2 2898 2008.02.23 - Norman 5.80.02 2008.02.22 - Panda 9.0.0.4 2008.02.24 - Prevx1 V2 2008.02.24 - Rising 20.32.62.00 2008.02.24 - Sophos 4.26.0 2008.02.24 - Sunbelt 3.0.893.0 2008.02.23 - Symantec 10 2008.02.24 - TheHacker 6.2.9.228 2008.02.23 - VBA32 3.12.6.1 2008.02.21 - VirusBuster 4.3.26:9 2008.02.23 - Webwasher-Gateway 6.6.2 2008.02.23 - weitere Informationen File size: 30208 bytes MD5: 24d8f11386ec6d76d7aababf520a7809 SHA1: 69cb7247ed8d02b0420ce9a7cd7a7bbb0aa1e30c PEiD: - |
|
|
||
24.02.2008, 14:35
Ehrenmitglied
Beiträge: 1441 |
#14
Hallo,
1. Doppelklick auf FindAWF.exe - und schreibe: 2 [Restore files from bak folders] + klicke "Enter - eine files.txt wird sich öffnen. (kopiere in die Textdatei - rechter Mausklick auf die vom Moderator angegebenen Daten - kopieren, dann Einfügen) Zitat "F:\Programme\Spybot - Search & Destroy\bak\TeaTimer.exe"klicke oben links auf: Datei - "Speichern unter" - und bestätige mit "ja" es geschieht folgendes: * It attempts to terminate the process represented by each filename on the list (if running). * Deletes the rogue file from the parent folder (if present). * Copies the original file to the parent folder. kopiere das automatisch erscheinende neue Log - awf.txt ins Sicherheitsforum ---------------------------------------------------------------- 2. erstelle eine neue cfscript.txt (laut Anleitung) - ziehe sie wieder auf das Combofixsymbol + Combofix wieder anwenden (im normalmodus) Zitat Registry::PC neustarten __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
24.02.2008, 17:24
Member
Themenstarter Beiträge: 35 |
#15
Hallo,
hier die logs nach: FindAWF und nach (Normalmodus) Combofix mit "2" \so long Tom -- Find AWF report by noahdfear ©2006 Version 1.40 Option 2 run successfully bak folders found ~~~~~~~~~~~ Datentr„ger in Laufwerk F: ist BOOT-System Verzeichnis von F:\PROGRA~1\MESSEN~1\BAK 0 Datei(en) 0 Bytes 2 Verzeichnis(se), 6.182.916.096 Bytes frei Datentr„ger in Laufwerk F: ist BOOT-System Verzeichnis von F:\PROGRA~1\SPYBOT~1\BAK 31.05.2005 01:04 1.415.824 TeaTimer.exe 1 Datei(en) 1.415.824 Bytes 2 Verzeichnis(se), 6.182.916.096 Bytes frei Datentr„ger in Laufwerk F: ist BOOT-System Verzeichnis von F:\WINDOWS\SYSTEM32\BAK 09.07.2001 10:50 155.648 NeroCheck.exe 1 Datei(en) 155.648 Bytes 2 Verzeichnis(se), 6.182.912.000 Bytes frei Duplicate files of bak directory contents ~~~~~~~~~~~~~~~~~~~~~~~ 2097488 28 Jan 2008 F:\PROGRA~1\SPYBOT~1\TEATIMER.EXE 1415824 31 May 2005 F:\PROGRA~1\SPYBOT~1\BAK\TEATIMER.EXE 36610 6 Mar 2007 F:\WINDOWS\SYSTEM32\NEROCH~1.EXE 155648 9 Jul 2001 F:\WINDOWS\SYSTEM32\BAK\NEROCH~1.EXE end of report --snip ComboFix 08-02-19.2 - sysop 2008-02-19 20:41:28.9 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.0.1252.1.1031.18.721 [GMT 1:00] ausgeführt von:: F:\Dokumente und Einstellungen\sysop\Desktop\ComboFix.exe Command switches used :: F:\Dokumente und Einstellungen\sysop\Desktop\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . ((((((((((((((((((((((( Dateien erstellt von 2008-01-19 bis 2008-02-19 )))))))))))))))))))))))))))))) . 2008-02-19 20:47 . 2008-02-19 20:47 <DIR> d-------- F:\Dokumente und Einstellungen\sysop\Anwendungsdaten\vlc 2008-02-19 19:46 . 2008-02-19 19:46 <DIR> d-------- F:\Programme\CCleaner 2008-02-04 23:03 . 2008-02-16 22:45 729,088 --a------ F:\WINDOWS\GPInstall.exe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-02-19 19:49 --------- d-----w F:\Programme\QuickTime 2008-02-04 22:47 --------- d---a-w F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-02-04 21:58 --------- d-----w F:\Programme\Registry System Wizard 2008-02-04 21:47 --------- d-----w F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-02-04 21:46 --------- d-----w F:\Programme\Spybot - Search & Destroy 2008-01-06 04:06 --------- d-----w F:\Dokumente und Einstellungen\sysop\Anwendungsdaten\Move Networks 2007-12-20 21:10 31,744 ----a-w F:\WINDOWS\system32\msnvdrv.dll 2007-12-20 21:10 30,208 ----a-w F:\WINDOWS\system32\commusr.dll 2007-12-20 21:09 31,744 ----a-w F:\WINDOWS\system32\drvdlgdiag.dll 2007-12-20 21:01 31,744 ----a-w F:\WINDOWS\system32\commnet.dll 2007-12-20 21:01 30,208 ----a-w F:\WINDOWS\system32\nvcomm.dll 2007-12-20 21:00 31,744 ----a-w F:\WINDOWS\system32\net64diagms.dll 2007-12-20 21:00 30,208 ----a-w F:\WINDOWS\system32\msnv32usr.dll 2007-12-20 20:59 31,744 ----a-w F:\WINDOWS\system32\msmsdrv32.dll 2007-12-20 20:59 30,208 ----a-w F:\WINDOWS\system32\dlgdiag32usr.dll 2007-12-20 20:51 31,744 ----a-w F:\WINDOWS\system32\nvnetdlg.dll 2007-12-20 20:51 31,744 ----a-w F:\WINDOWS\system32\netcommnv.dll 2007-12-20 20:51 31,744 ----a-w F:\WINDOWS\system32\diagnet32.dll 2007-12-20 20:51 30,208 ----a-w F:\WINDOWS\system32\diagcommdlg.dll 2007-12-20 20:50 30,208 ----a-w F:\WINDOWS\system32\ms64commusr.dll 2007-12-20 20:50 30,208 ----a-w F:\WINDOWS\system32\commnetusr.dll 2007-12-20 20:49 31,744 ----a-w F:\WINDOWS\system32\netcomm.dll 2007-12-20 20:49 30,208 ----a-w F:\WINDOWS\system32\diag32.dll 2007-12-20 20:41 30,208 ----a-w F:\WINDOWS\system32\netdrvdrvcomm.dll 2007-12-20 20:40 31,744 ----a-w F:\WINDOWS\system32\nvdrvcommusr.dll 2007-12-20 20:40 31,744 ----a-w F:\WINDOWS\system32\netdiag.dll 2007-12-20 20:40 30,208 ----a-w F:\WINDOWS\system32\commdrvnv.dll 2007-12-20 20:39 31,744 ----a-w F:\WINDOWS\system32\drvdrvdiagdiag.dll 2007-12-20 20:39 30,208 ----a-w F:\WINDOWS\system32\64drvnet.dll 2007-12-20 20:34 30,208 ----a-w F:\WINDOWS\system32\64diagnetdrv.dll 2007-12-20 20:33 31,744 ----a-w F:\WINDOWS\system32\netusrmscomm.dll 2007-12-20 20:33 31,744 ----a-w F:\WINDOWS\system32\msdiag6464.dll 2007-12-20 20:33 31,744 ----a-w F:\WINDOWS\system32\commcommusr.dll 2007-12-20 20:33 30,208 ----a-w F:\WINDOWS\system32\nvdiag3232.dll 2007-12-20 20:33 30,208 ----a-w F:\WINDOWS\system32\dlg32.dll 2007-12-20 20:32 31,744 ----a-w F:\WINDOWS\system32\nv3264drv.dll 2007-12-20 20:32 31,744 ----a-w F:\WINDOWS\system32\dlg643264.dll 2007-12-20 20:32 31,744 ----a-w F:\WINDOWS\system32\commdrvmsnv.dll 2007-12-20 20:32 30,208 ----a-w F:\WINDOWS\system32\usrnvnvcomm.dll 2007-12-20 20:32 30,208 ----a-w F:\WINDOWS\system32\usr6432.dll 2007-12-20 20:32 30,208 ----a-w F:\WINDOWS\system32\commnvdrvms.dll 2007-12-20 20:25 31,744 ----a-w F:\WINDOWS\system32\64commcommnet.dll 2007-12-20 20:25 30,208 ----a-w F:\WINDOWS\system32\32net64nv.dll 2007-12-20 20:24 31,744 ----a-w F:\WINDOWS\system32\drvcommms.dll 2007-12-20 20:24 30,208 ----a-w F:\WINDOWS\system32\dlgusrusr.dll 2007-12-20 20:23 31,744 ----a-w F:\WINDOWS\system32\netusrusrusr.dll 2007-12-20 20:23 30,208 ----a-w F:\WINDOWS\system32\msdiagcommnet.dll 2007-12-20 20:23 30,208 ----a-w F:\WINDOWS\system32\commcomm64drv.dll 2007-12-20 20:22 30,208 ----a-w F:\WINDOWS\system32\netnet.dll 2007-12-20 20:22 30,208 ----a-w F:\WINDOWS\system32\commdiagnetdlg.dll 2007-12-20 20:15 31,744 ----a-w F:\WINDOWS\system32\dlgnet.dll 2007-12-20 20:15 30,208 ----a-w F:\WINDOWS\system32\drvdrv.dll 2007-12-20 20:14 31,744 ----a-w F:\WINDOWS\system32\nvnvdrv.dll 2007-12-20 20:14 31,744 ----a-w F:\WINDOWS\system32\netdrvnv32.dll 2007-12-20 20:14 31,744 ----a-w F:\WINDOWS\system32\msnet64nv.dll 2007-12-20 20:14 30,208 ----a-w F:\WINDOWS\system32\commusrnv.dll 2007-12-20 20:14 30,208 ----a-w F:\WINDOWS\system32\commcommcomm64.dll 2007-12-20 20:13 31,744 ----a-w F:\WINDOWS\system32\64nvdlg.dll 2007-12-20 20:13 31,744 ----a-w F:\WINDOWS\system32\32netdrv.dll 2007-12-20 20:13 30,208 ----a-w F:\WINDOWS\system32\6464usr.dll 2007-12-20 20:12 31,744 ----a-w F:\WINDOWS\system32\usrdrvusrdrv.dll 2007-12-20 20:12 31,744 ----a-w F:\WINDOWS\system32\diagmsms.dll 2007-12-20 20:12 30,208 ----a-w F:\WINDOWS\system32\64drv32dlg.dll 2007-12-20 20:05 36,864 ----a-w F:\WINDOWS\system32\mscomdiag32.dll 2007-12-20 20:04 31,744 ----a-w F:\WINDOWS\system32\diagnvmsusr.dll 2007-12-20 20:04 31,744 ----a-w F:\WINDOWS\system32\64drv.dll 2007-12-20 20:04 30,208 ----a-w F:\WINDOWS\system32\nvusrusrnv.dll 2007-12-20 20:04 30,208 ----a-w F:\WINDOWS\system32\netdlg32diag.dll 2007-12-20 20:04 30,208 ----a-w F:\WINDOWS\system32\ms64dlgusr.dll 2007-12-20 20:03 31,744 ----a-w F:\WINDOWS\system32\drvnvdrvnv.dll 2007-12-20 20:03 31,744 ----a-w F:\WINDOWS\system32\dlg64msnet.dll 2007-12-20 20:03 30,208 ----a-w F:\WINDOWS\system32\netms.dll 2007-12-20 20:03 30,208 ----a-w F:\WINDOWS\system32\3264diag.dll 2007-12-20 20:02 31,744 ----a-w F:\WINDOWS\system32\nvnvcomm.dll 2007-12-20 20:02 31,744 ----a-w F:\WINDOWS\system32\net3264comm.dll 2007-12-20 20:02 31,744 ----a-w F:\WINDOWS\system32\diagcommcomm32.dll 2007-12-20 20:02 31,744 ----a-w F:\WINDOWS\system32\commdrv.dll 2007-12-20 20:02 30,208 ----a-w F:\WINDOWS\system32\usrdrvmsusr.dll 2007-12-20 20:02 30,208 ----a-w F:\WINDOWS\system32\msnvnv.dll 2007-12-20 19:55 31,744 ----a-w F:\WINDOWS\system32\msmsusr.dll 2007-12-20 19:55 30,208 ----a-w F:\WINDOWS\system32\commdlgnv.dll 2007-12-20 19:54 31,744 ----a-w F:\WINDOWS\system32\usrdrvnet.dll 2007-12-20 19:54 31,744 ----a-w F:\WINDOWS\system32\32dlg.dll 2007-12-20 19:54 30,208 ----a-w F:\WINDOWS\system32\64dlg.dll 2007-12-20 19:53 31,744 ----a-w F:\WINDOWS\system32\usr32usrdiag.dll 2007-12-20 19:53 30,208 ----a-w F:\WINDOWS\system32\drvmsmsdrv.dll 2007-12-20 19:53 30,208 ----a-w F:\WINDOWS\system32\commdlg.dll 2007-12-20 19:53 30,208 ----a-w F:\WINDOWS\system32\3232drv.dll 2007-12-20 19:52 31,744 ----a-w F:\WINDOWS\system32\msmsnet.dll 2007-12-20 19:52 31,744 ----a-w F:\WINDOWS\system32\ms64diag64.dll 2007-12-20 19:52 31,744 ----a-w F:\WINDOWS\system32\diagdlgdrvcomm.dll 2007-12-20 19:52 30,208 ----a-w F:\WINDOWS\system32\nvmsnet.dll 2007-12-20 19:52 30,208 ----a-w F:\WINDOWS\system32\nv64diag.dll 2007-12-20 19:52 30,208 ----a-w F:\WINDOWS\system32\32net.dll 2007-12-20 19:45 31,744 ----a-w F:\WINDOWS\system32\64comm.dll 2007-12-20 19:45 30,208 ----a-w F:\WINDOWS\system32\mscomm32dlg.dll 2007-12-20 19:44 31,744 ----a-w F:\WINDOWS\system32\usr32mscomm.dll 2007-12-20 19:44 31,744 ----a-w F:\WINDOWS\system32\dlgmsdrv64.dll 2007-12-20 19:44 31,744 ----a-w F:\WINDOWS\system32\commdiagnetusr.dll 2007-12-20 19:44 30,208 ----a-w F:\WINDOWS\system32\usrdiag64.dll . ------- Sigcheck ------- "F:\WINDOWS\system32\svchost.exe" ----a-w 12,800 2001-08-18 12:00:00 F:\WINDOWS\system32\svchost.exe -c--a-w 12,800 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\svchost.exe "F:\WINDOWS\system32\user32.dll" ----a-w 562,688 2001-08-18 12:00:00 F:\WINDOWS\system32\user32.dll -c--a-w 562,688 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\user32.dll "F:\WINDOWS\system32\ws2_32.dll" ----a-w 75,264 2001-08-18 12:00:00 F:\WINDOWS\system32\ws2_32.dll -c--a-w 75,264 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\ws2_32.dll "F:\WINDOWS\system32\wininet.dll" ----a-w 599,552 2001-08-18 12:00:00 F:\WINDOWS\system32\wininet.dll -c--a-w 599,552 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\wininet.dll "F:\WINDOWS\system32\drivers\tcpip.sys" -c--a-w 327,168 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\tcpip.sys ----a-w 327,168 2001-08-18 12:00:00 F:\WINDOWS\system32\drivers\tcpip.sys "F:\WINDOWS\system32\winlogon.exe" ----a-w 435,200 2001-08-18 12:00:00 F:\WINDOWS\system32\winlogon.exe -c--a-w 435,200 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\winlogon.exe "F:\WINDOWS\system32\drivers\ndis.sys" -c--a-w 161,536 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\ndis.sys ----a-w 161,536 2001-08-18 12:00:00 F:\WINDOWS\system32\drivers\ndis.sys "F:\WINDOWS\system32\ntkrnlpa.exe" ----a-w 1,872,384 2001-08-18 12:00:00 F:\WINDOWS\system32\ntkrnlpa.exe "F:\WINDOWS\system32\ntoskrnl.exe" ----a-w 1,900,544 2001-08-18 12:00:00 F:\WINDOWS\system32\ntoskrnl.exe "F:\WINDOWS\explorer.exe" ----a-w 1,004,032 2001-08-18 12:00:00 F:\WINDOWS\explorer.exe -c--a-w 1,004,032 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\explorer.exe . ((((((((((((((((((((((((((((((((((((((((((((( AWF )))))))))))))))))))))))))))))))))))))))))))))))))))))))))) . ----a-w 1,415,824 2005-05-31 00:04:00 F:\Programme\Spybot - Search & Destroy\bak\TeaTimer.exe --sha-r 2,097,488 2008-01-28 10:43:40 F:\Programme\Spybot - Search & Destroy\TeaTimer.exe ----a-r 155,648 2001-07-09 09:50:42 F:\WINDOWS\system32\bak\NeroCheck.exe ----a-w 36,610 2007-03-06 21:17:52 F:\WINDOWS\system32\NeroCheck.exe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{10EF016D-D1E0-4684-918D-418DB861D0B6}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{22e88050-7be3-47f3-837b-c4a65f5f8c14}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{23C5E2EE-10D4-42F6-89F7-0EE385F19025}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3CFAC24F-9108-439D-9D77-C5C6C5870401}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{41EBD9AA-25B7-4CC7-B330-ACCAB8BC98A9}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5EBBB409-F530-49EE-9C36-7914449A3B2A}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AB25544B-4715-4E06-BB75-A1ADFFA172EA}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AE629598-F5BC-4B4B-BE36-2BFF0D1332E5}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C0BEAB76-E67F-4BA6-9896-16F2F8AB686C}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E6FBC0B9-5C02-4E94-998E-DE42ADA7A2AB}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{e9dd3566-0282-476f-9921-13e67c8ea41a}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="F:\WINDOWS\System32\ctfmon.exe" [2007-03-06 22:17 36610] "NvMediaCenter"="F:\WINDOWS\System32\NVMCTRAY.DLL" [2003-05-26 04:18 49152] "MSMSGS"="F:\Programme\Messenger\msmsgs.exe" [2001-08-02 06:14 1077277] "SpybotSD TeaTimer"="F:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMAXPnP"="F:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2007-03-06 22:17 36610] "SoundMAX"="F:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2007-03-06 22:17 36610] "NvCplDaemon"="F:\WINDOWS\System32\NvCpl.dll" [2003-05-26 04:18 4640768] "NeroFilterCheck"="F:\WINDOWS\system32\NeroCheck.exe" [2007-03-06 22:17 36610] "InCD"="F:\Programme\Ahead\InCD\InCD.exe" [2007-03-06 22:17 36610] "IAAnotif"="F:\Programme\Intel\Intel Application Accelerator\iaanotif.exe" [2007-03-06 22:17 36610] "ATICCC"="F:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2007-03-06 22:17 36610] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="F:\WINDOWS\System32\CTFMON.EXE" [2007-03-06 22:17 36610] F:\Dokumente und Einstellungen\sysop\Startmen\Programme\Autostart\ Sonic CinePlayer Quick Launch.lnk - F:\Programme\Gemeinsame Dateien\Sonic Shared\cinetray.exe [2002-09-18 13:16:30 98304] F:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Reader - Schnellstart.lnk - F:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696] ATI CATALYST-Infobereich.lnk - F:\Programme\ATI Technologies\ATI.ACE\CLI.exe [2005-08-06 00:07:30 36610] Server4PC.lnk - F:\Programme\TechniSat DVB\bin\Server4PC.exe [2006-07-04 16:24:02 368640] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoAutoUpdate"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tt] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] F:\Programme\MSN Messenger\MsnMsgr.exe R1 Cinemsup;Cinemsup;F:\WINDOWS\System32\drivers\Cinemsup.sys [2002-07-19 07:10] R3 SKYNET;TechniSat DVB-PC TV Star PCI;F:\WINDOWS\System32\DRIVERS\SkyNET.SYS [2005-09-29 11:28] R3 vidcap;vidcap;F:\WINDOWS\System32\DRIVERS\vidcap.sys [2006-12-27 15:47] . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-02-19 20:42:02 Windows 5.1.2600 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-02-19 20:42:29 ComboFix2.txt 2008-02-19 19:54:57 |
|
|
||
ich bin schon kurz davor meinen PC aus dem Fenster zu kippen. Ich bekomme mit VundoFix und Spybot meine Trojaner nicht los. Trotz Teatimer haben sich immer wieder irgendwelche dlls wie zb urqonlm.dll in den System32 Ordner gesetzt. Wenn ich den Rechner im abgesichterten Modus einigermassen sauber zu glauben meine, ist der nach wenigen Minuten im Normalmodus wieder verseucht.
Vielelicht bekomme ich das System ja doch noch wieder hin?
\so long
Tom
Hier mein HiJackThis logfile:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:11:19, on 16.02.2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal
Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\System32\Ati2evxx.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\Explorer.EXE
F:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
F:\Programme\Spybot - Search & Destroy\TeaTimer.exe
F:\Programme\TechniSat DVB\bin\Server4PC.exe
F:\Programme\Gemeinsame Dateien\Sonic Shared\cinetray.exe
F:\Programme\Intel\Intel Application Accelerator\iaantmon.exe
F:\Programme\Ahead\InCD\InCDsrv.exe
F:\Programme\Analog Devices\SoundMAX\SMAgent.exe
F:\WINDOWS\System32\svchost.exe
F:\Programme\internet explorer\iexplore.exe
F:\Programme\internet explorer\iexplore.exe
F:\Dokumente und Einstellungen\sysop\Desktop\HijackThis.exe
O4 - HKLM\..\Run: [SoundMAXPnP] F:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "F:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] F:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [IAAnotif] F:\Programme\Intel\Intel Application Accelerator\iaanotif.exe
O4 - HKLM\..\Run: [ATICCC] "F:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "F:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Sonic CinePlayer Quick Launch.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = F:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ATI CATALYST-Infobereich.lnk = F:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Server4PC.lnk = F:\Programme\TechniSat DVB\bin\Server4PC.exe
O13 - Gopher Prefix:
O23 - Service: Gatewaydienst auf Anwendungsebene (ALG) - Unknown owner - F:\WINDOWS\System32\alg.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - F:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe
O23 - Service: IAA Event Monitor (IAANTMon) - Intel - F:\Programme\Intel\Intel Application Accelerator\iaantmon.exe
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - F:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - F:\Programme\WinPcap\rpcapd.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - F:\Programme\Analog Devices\SoundMAX\SMAgent.exe
--
End of file - 3611 bytes