Home » Spyware & Browser Hijacker Support Forum » System Alert: Malware Threats » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1 2

Antworten

System Alert: Malware Threats

17.02.2008, 12:39

gilbo

...neu hier

Beiträge: 4

#1 hallo zusammen,
seit gestern folgendes problem auf meinem laptop
blinkendes gelbes dreieck im stil vom windows mit obenstehender meldung;
IE öffnet sich selbständig, startseite verändert und zu angeblichen antispywareseiten verlinkt
diverse "systemeigene" sicherheitswarnungen poppen ab und zu auf
teilweise wird es von scannern entdeckt (S&D,adaware 07,) aber wirklich entfernen konnte ich es bisher nicht
scheint sich ja um ein bekanntes problem zu handeln,
bekomme es aber alleine nicht hin leider...

unter anderem hier
c

rogramme/netproject/sbsm.exe
c

rogramme/netproject/sbmntr.exe
c

rogramme/netproject/scit.exe
wird etwas gefunden

hijack logfile hab ich angehängt,

combofix log:

ComboFix 08-02-17.2 - Kristin 2008-02-17 13:05:38.1 - NTFSx86
Microsoft® Windows Vista™ Home Basic 6.0.6000.0.1252.1.1031.18.295 [GMT 1:00]
ausgeführt von:: C:\Users\Kristin\AppData\Roaming\Opera\Opera\profile\cache4\temporary_download\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Program Files\Helper

.
((((((((((((((((((((((( Dateien erstellt von 2008-01-17 bis 2008-02-17 ))))))))))))))))))))))))))))))
.

2008-02-17 01:25 . 2008-02-17 01:45 <DIR> d-------- C:\Users\All Users\Spybot - Search & Destroy
2008-02-17 01:25 . 2008-02-17 01:45 <DIR> d-------- C:\ProgramData\Spybot - Search & Destroy
2008-02-17 01:25 . 2008-02-17 01:25 <DIR> d-------- C:\Program Files\Spybot - Search & Destroy
2008-02-17 01:07 . 2008-02-17 01:08 <DIR> d-------- C:\Users\All Users\Lavasoft
2008-02-17 01:07 . 2008-02-17 01:08 <DIR> d-------- C:\ProgramData\Lavasoft
2008-02-17 01:07 . 2008-02-17 01:07 <DIR> d-------- C:\Program Files\Lavasoft
2008-02-17 01:03 . 2008-02-17 01:03 <DIR> d-------- C:\Program Files\Common Files\Wise Installation Wizard
2008-02-16 20:56 . 2008-02-16 20:59 <DIR> d-a------ C:\Users\All Users\TEMP
2008-02-16 20:56 . 2008-02-16 20:59 <DIR> d-a------ C:\ProgramData\TEMP
2008-02-16 20:39 . 2008-02-16 20:39 <DIR> d-------- C:\Program Files\PrevxCSI
2008-02-16 20:21 . 2008-02-17 01:00 <DIR> d-------- C:\Users\Kristin\AppData\Roaming\PrevxCSI
2008-02-16 20:21 . 2008-02-17 00:56 10,752 --a------ C:\Windows\System32\drivers\pxark.sys
2008-02-16 20:02 . 2008-02-16 20:02 <DIR> d-------- C:\Program Files\Trend Micro
2008-02-16 19:09 . 2008-02-17 00:48 <DIR> d-------- C:\Program Files\NetProject
2008-02-14 10:00 . 2008-02-14 10:00 194,560 --a------ C:\Windows\System32\WebClnt.dll
2008-02-14 10:00 . 2008-02-14 10:00 110,080 --a------ C:\Windows\System32\drivers\mrxdav.sys
2008-02-14 09:54 . 2008-02-14 09:54 3,504,696 --a------ C:\Windows\System32\ntkrnlpa.exe
2008-02-14 09:53 . 2008-02-14 09:53 4,247,552 --a------ C:\Windows\System32\GameUXLegacyGDFs.dll
2008-02-14 09:53 . 2008-02-14 09:53 1,686,528 --a------ C:\Windows\System32\gameux.dll
2008-02-14 09:53 . 2008-02-14 09:53 11,776 --a------ C:\Windows\System32\sbunattend.exe
2008-01-20 12:14 . 2008-01-20 12:14 108,768 --a------ C:\Windows\System32\drivers\ACEDRV08.sys
2008-01-20 12:09 . 2008-01-20 12:09 <DIR> d-------- C:\Users\Kristin\Netzwerk

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-17 11:50 --------- d-----w C:\Users\Kristin\AppData\Roaming\Skype
2008-02-17 10:57 --------- d-----w C:\Program Files\Opera
2008-02-17 00:00 --------- d-----w C:\Program Files\Common Files\Symantec Shared
2008-02-16 23:45 --------- d-----w C:\Program Files\Winamp
2008-02-14 09:07 --------- d-----w C:\Program Files\Windows Sidebar
2008-02-14 09:07 --------- d-----w C:\Program Files\Windows Mail
2008-02-14 08:54 803,328 ----a-w C:\Windows\system32\drivers\tcpip.sys
2008-02-14 08:53 537,600 ----a-w C:\Windows\AppPatch\AcLayers.dll
2008-02-14 08:53 449,536 ----a-w C:\Windows\AppPatch\AcSpecfc.dll
2008-02-14 08:53 173,056 ----a-w C:\Windows\AppPatch\AcXtrnal.dll
2008-02-14 08:50 824,832 ----a-w C:\Windows\System32\wininet.dll
2008-02-14 08:50 56,320 ----a-w C:\Windows\System32\iesetup.dll
2008-02-14 08:50 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll
2008-02-14 08:50 26,624 ----a-w C:\Windows\System32\ieUnatt.exe
2007-12-30 10:29 9,728 ----a-w C:\Windows\System32\LAPRXY.DLL
2007-12-30 10:29 8,704 ----a-w C:\Windows\System32\hcrstco.dll
2007-12-30 10:29 8,704 ----a-w C:\Windows\System32\hccoin.dll
2007-12-30 10:29 73,216 ----a-w C:\Windows\system32\drivers\usbccgp.sys
2007-12-30 10:29 5,888 ----a-w C:\Windows\system32\drivers\usbd.sys
2007-12-30 10:29 38,400 ----a-w C:\Windows\system32\drivers\usbehci.sys
2007-12-30 10:29 23,040 ----a-w C:\Windows\system32\drivers\usbuhci.sys
2007-12-30 10:29 224,768 ----a-w C:\Windows\system32\drivers\usbport.sys
2007-12-30 10:29 223,232 ----a-w C:\Windows\System32\WMASF.DLL
2007-12-30 10:29 192,000 ----a-w C:\Windows\system32\drivers\usbhub.sys
2007-12-30 10:29 1,327,104 ----a-w C:\Windows\System32\quartz.dll
2007-12-30 10:27 84,992 ----a-w C:\Windows\system32\drivers\srvnet.sys
2007-12-30 10:27 58,368 ----a-w C:\Windows\system32\drivers\mrxsmb20.sys
2007-12-30 10:27 130,048 ----a-w C:\Windows\system32\drivers\srv2.sys
2007-12-30 10:27 101,888 ----a-w C:\Windows\system32\drivers\mrxsmb.sys
2007-12-14 10:32 12,632 ----a-w C:\Windows\System32\lsdelete.exe
2007-09-04 15:05 174 --sha-w C:\Program Files\desktop.ini
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8BD4438C-2511-4B93-AD34-2BDCD0FF78D2}]
C:\Program Files\Helper\1203185411.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C2A1C5CB-C0EF-4689-9436-F62CCA1C5383}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{81705D67-3F73-4983-859B-97D0922E5ABE}"= C:\Program Files\NetProject\wamdl.dll [ ]

[HKEY_CLASSES_ROOT\clsid\{81705d67-3f73-4983-859b-97d0922e5abe}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-02-14 09:53 1232896]
"TOSCDSPD"="TOSCDSPD.EXE" []
"Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2007-03-30 12:34 25263144]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2007-04-22 17:20 1006264]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0\bin\jusched.exe" [2006-12-16 09:41 77824]
"TPwrMain"="C:\Program Files\TOSHIBA\Power Saver\TPwrMain.EXE" [2006-12-14 19:07 411768]
"HSON"="C:\Program Files\TOSHIBA\TBS\HSON.exe" [2006-12-07 16:49 55416]
"SmoothView"="C:\Program Files\Toshiba\SmoothView\SmoothView.exe" [2006-12-14 19:09 493688]
"00TCrdMain"="C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe" [2006-12-11 17:27 530552]
"NvSvc"="C:\Windows\system32\nvsvc.dll" [2006-12-07 20:25 90191]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2006-12-07 20:25 7766016]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2006-12-07 20:25 81920]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2006-10-27 13:50 815104]
"NDSTray.exe"="NDSTray.exe" []
"topi"="C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe" [2006-12-15 17:11 577536]
"RtHDVCpl"="RtHDVCpl.exe" [2006-11-07 14:50 3772416 C:\Windows\RtHDVCpl.exe]
"IgfxTray"="C:\Windows\system32\igfxtray.exe" [2006-11-06 09:02 98304]
"HotKeysCmds"="C:\Windows\system32\hkcmd.exe" [2006-11-06 09:05 106496]
"Persistence"="C:\Windows\system32\igfxpers.exe" [2006-11-06 09:02 81920]
"Toshiba Registration"="C:\Program Files\Toshiba\Registration\ToshibaRegistration.exe" [2006-12-13 15:42 554640]
"avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 21:27 249896]
"Device Detector"="C:\Program Files\Common Files\ACD Systems\DE\DevDetect.exe" [2005-06-28 11:16 221184]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2007-05-14 23:22 35328]

C:\Users\Kristin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
PrevxCSI.lnk - C:\Program Files\PrevxCSI\prevxcsi.exe [2008-02-16 20:39:23 94208]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"some"= C:\Program Files\NetProject\scit.exe
"start"= C:\Program Files\NetProject\sbmntr.exe

R0 pxark;pxark;C:\Windows\system32\drivers\pxark.sys [2008-02-17 00:56]
R2 ACEDRV08;ACEDRV08;C:\Windows\system32\drivers\ACEDRV08.sys [2008-01-20 12:14]
R2 SBSDWSCService;SBSD Security Center Service;C:\Program Files\Spybot []
R2 TOSHIBA Bluetooth Service;TOSHIBA Bluetooth Service;c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe [2006-10-31 22:40]
R3 FwLnk;FwLnk Driver;C:\Windows\system32\DRIVERS\FwLnk.sys [2006-11-19 22:11]
R3 igfx;igfx;C:\Windows\system32\DRIVERS\igdkmd32.sys [2006-11-06 10:29]
R3 NETw4v32;Intel(R) Wireless WiFi Link Adaptertreiber für Windows Vista 32 Bit;C:\Windows\system32\DRIVERS\NETw4v32.sys [2007-09-26 13:12]
R3 tdcmdpst;TOSHIBA Writing Engine Filter Driver;C:\Windows\system32\DRIVERS\tdcmdpst.sys [2006-10-18 11:50]
S3 NETw3v32;Intel(R) PRO/Wireless 3945ABG Adaptertreiber für Windows Vista 32 Bit;C:\Windows\system32\DRIVERS\NETw3v32.sys [2006-10-30 09:42]
S3 tosrfec;Bluetooth ACPI;C:\Windows\system32\DRIVERS\tosrfec.sys [2006-10-23 16:32]
S4 KR10I;KR10I;C:\Windows\system32\drivers\kr10i.sys [2006-02-14 18:50]
S4 KR10N;KR10N;C:\Windows\system32\drivers\kr10n.sys [2006-02-14 18:41]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc

.
Inhalt des "geplante Tasks" Ordners
"2008-02-16 23:45:22 C:\Windows\Tasks\User_Feed_Synchronization-{7EF5CC87-B7E2-45CF-82EB-C3E2E5868936}.job"
- C:\Windows\system32\msfeedssync.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-17 13:08:14
Windows 6.0.6000 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-17 13:08:57
.
2008-02-15 19:26:29 --- E O F ---

gibt es hoffnung ? :-)
mfg und danke im vorraus
gilbo

Anhang: hijackthis.txt

Dieser Beitrag wurde am 17.02.2008 um 14:11 Uhr von gilbo editiert.

17.02.2008, 14:12

Argus

Ehrenmitglied

Beiträge: 6028

#2 Hallo,

________________________________________________________

««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Registry::
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{81705D67-3F73-4983-859B-97D0922E5ABE}"=-
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C2A1C5CB-C0EF-4689-9436-F62CCA1C5383}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8BD4438C-2511-4B93-AD34-2BDCD0FF78D2}]
[-HKEY_CLASSES_ROOT\clsid\{81705d67-3f73-4983-859b-97d0922e5abe}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"some"=-
"start"=-

Folder::
C:\Program Files\Helper
C:\Program Files\NetProject

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen
danach: Combofix noch einmal anwenden - tippe 1

PC neustarten

»»
poste das neue Log von Combofix
__________
MfG Argus

17.02.2008, 16:56

gilbo

...neu hier

Themenstarter

Beiträge: 4

#3 ok, hab ich :

ComboFix 08-02-17.2 - Kristin 2008-02-17 16:47:57.3 - NTFSx86
Microsoft® Windows Vista™ Home Basic 6.0.6000.0.1252.1.1031.18.344 [GMT 1:00]
ausgeführt von:: C:\Users\Kristin\Desktop\ComboFix.exe
.

((((((((((((((((((((((( Dateien erstellt von 2008-01-17 bis 2008-02-17 ))))))))))))))))))))))))))))))
.

2008-02-17 16:35 . 2008-02-17 16:35 161,307,411 --a------ C:\Windows\MEMORY.DMP
2008-02-17 01:25 . 2008-02-17 01:45 <DIR> d-------- C:\Users\All Users\Spybot - Search & Destroy
2008-02-17 01:25 . 2008-02-17 01:45 <DIR> d-------- C:\ProgramData\Spybot - Search & Destroy
2008-02-17 01:25 . 2008-02-17 01:25 <DIR> d-------- C:\Program Files\Spybot - Search & Destroy
2008-02-17 01:07 . 2008-02-17 01:08 <DIR> d-------- C:\Users\All Users\Lavasoft
2008-02-17 01:07 . 2008-02-17 01:08 <DIR> d-------- C:\ProgramData\Lavasoft
2008-02-17 01:07 . 2008-02-17 01:07 <DIR> d-------- C:\Program Files\Lavasoft
2008-02-17 01:03 . 2008-02-17 01:03 <DIR> d-------- C:\Program Files\Common Files\Wise Installation Wizard
2008-02-16 20:56 . 2008-02-16 20:59 <DIR> d-a------ C:\Users\All Users\TEMP
2008-02-16 20:56 . 2008-02-16 20:59 <DIR> d-a------ C:\ProgramData\TEMP
2008-02-16 20:39 . 2008-02-16 20:39 <DIR> d-------- C:\Program Files\PrevxCSI
2008-02-16 20:21 . 2008-02-17 01:00 <DIR> d-------- C:\Users\Kristin\AppData\Roaming\PrevxCSI
2008-02-16 20:21 . 2008-02-17 00:56 10,752 --a------ C:\Windows\System32\drivers\pxark.sys
2008-02-16 20:02 . 2008-02-16 20:02 <DIR> d-------- C:\Program Files\Trend Micro
2008-02-16 19:09 . 2008-02-17 00:48 <DIR> d-------- C:\Program Files\NetProject
2008-02-14 10:00 . 2008-02-14 10:00 194,560 --a------ C:\Windows\System32\WebClnt.dll
2008-02-14 10:00 . 2008-02-14 10:00 110,080 --a------ C:\Windows\System32\drivers\mrxdav.sys
2008-02-14 09:54 . 2008-02-14 09:54 3,504,696 --a------ C:\Windows\System32\ntkrnlpa.exe
2008-02-14 09:53 . 2008-02-14 09:53 4,247,552 --a------ C:\Windows\System32\GameUXLegacyGDFs.dll
2008-02-14 09:53 . 2008-02-14 09:53 1,686,528 --a------ C:\Windows\System32\gameux.dll
2008-02-14 09:53 . 2008-02-14 09:53 11,776 --a------ C:\Windows\System32\sbunattend.exe
2008-01-20 12:14 . 2008-01-20 12:14 108,768 --a------ C:\Windows\System32\drivers\ACEDRV08.sys
2008-01-20 12:09 . 2008-01-20 12:09 <DIR> d-------- C:\Users\Kristin\Netzwerk

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-17 15:46 --------- d-----w C:\Users\Kristin\AppData\Roaming\Skype
2008-02-17 10:57 --------- d-----w C:\Program Files\Opera
2008-02-17 00:00 --------- d-----w C:\Program Files\Common Files\Symantec Shared
2008-02-16 23:45 --------- d-----w C:\Program Files\Winamp
2008-02-14 09:07 --------- d-----w C:\Program Files\Windows Sidebar
2008-02-14 09:07 --------- d-----w C:\Program Files\Windows Mail
2008-02-14 08:54 803,328 ----a-w C:\Windows\system32\drivers\tcpip.sys
2008-02-14 08:53 537,600 ----a-w C:\Windows\AppPatch\AcLayers.dll
2008-02-14 08:53 449,536 ----a-w C:\Windows\AppPatch\AcSpecfc.dll
2008-02-14 08:53 173,056 ----a-w C:\Windows\AppPatch\AcXtrnal.dll
2008-02-14 08:50 824,832 ----a-w C:\Windows\System32\wininet.dll
2008-02-14 08:50 56,320 ----a-w C:\Windows\System32\iesetup.dll
2008-02-14 08:50 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll
2008-02-14 08:50 26,624 ----a-w C:\Windows\System32\ieUnatt.exe
2007-12-30 10:29 9,728 ----a-w C:\Windows\System32\LAPRXY.DLL
2007-12-30 10:29 8,704 ----a-w C:\Windows\System32\hcrstco.dll
2007-12-30 10:29 8,704 ----a-w C:\Windows\System32\hccoin.dll
2007-12-30 10:29 73,216 ----a-w C:\Windows\system32\drivers\usbccgp.sys
2007-12-30 10:29 5,888 ----a-w C:\Windows\system32\drivers\usbd.sys
2007-12-30 10:29 38,400 ----a-w C:\Windows\system32\drivers\usbehci.sys
2007-12-30 10:29 23,040 ----a-w C:\Windows\system32\drivers\usbuhci.sys
2007-12-30 10:29 224,768 ----a-w C:\Windows\system32\drivers\usbport.sys
2007-12-30 10:29 223,232 ----a-w C:\Windows\System32\WMASF.DLL
2007-12-30 10:29 192,000 ----a-w C:\Windows\system32\drivers\usbhub.sys
2007-12-30 10:29 1,327,104 ----a-w C:\Windows\System32\quartz.dll
2007-12-30 10:27 84,992 ----a-w C:\Windows\system32\drivers\srvnet.sys
2007-12-30 10:27 58,368 ----a-w C:\Windows\system32\drivers\mrxsmb20.sys
2007-12-30 10:27 130,048 ----a-w C:\Windows\system32\drivers\srv2.sys
2007-12-30 10:27 101,888 ----a-w C:\Windows\system32\drivers\mrxsmb.sys
2007-12-14 10:32 12,632 ----a-w C:\Windows\System32\lsdelete.exe
2007-09-04 15:05 174 --sha-w C:\Program Files\desktop.ini
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8BD4438C-2511-4B93-AD34-2BDCD0FF78D2}]
C:\Program Files\Helper\1203185411.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C2A1C5CB-C0EF-4689-9436-F62CCA1C5383}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{81705D67-3F73-4983-859B-97D0922E5ABE}"= C:\Program Files\NetProject\wamdl.dll [ ]

[HKEY_CLASSES_ROOT\clsid\{81705d67-3f73-4983-859b-97d0922e5abe}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-02-14 09:53 1232896]
"TOSCDSPD"="TOSCDSPD.EXE" []
"Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2007-03-30 12:34 25263144]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2007-04-22 17:20 1006264]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0\bin\jusched.exe" [2006-12-16 09:41 77824]
"TPwrMain"="C:\Program Files\TOSHIBA\Power Saver\TPwrMain.EXE" [2006-12-14 19:07 411768]
"HSON"="C:\Program Files\TOSHIBA\TBS\HSON.exe" [2006-12-07 16:49 55416]
"SmoothView"="C:\Program Files\Toshiba\SmoothView\SmoothView.exe" [2006-12-14 19:09 493688]
"00TCrdMain"="C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe" [2006-12-11 17:27 530552]
"NvSvc"="C:\Windows\system32\nvsvc.dll" [2006-12-07 20:25 90191]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2006-12-07 20:25 7766016]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2006-12-07 20:25 81920]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2006-10-27 13:50 815104]
"NDSTray.exe"="NDSTray.exe" []
"topi"="C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe" [2006-12-15 17:11 577536]
"RtHDVCpl"="RtHDVCpl.exe" [2006-11-07 14:50 3772416 C:\Windows\RtHDVCpl.exe]
"IgfxTray"="C:\Windows\system32\igfxtray.exe" [2006-11-06 09:02 98304]
"HotKeysCmds"="C:\Windows\system32\hkcmd.exe" [2006-11-06 09:05 106496]
"Persistence"="C:\Windows\system32\igfxpers.exe" [2006-11-06 09:02 81920]
"Toshiba Registration"="C:\Program Files\Toshiba\Registration\ToshibaRegistration.exe" [2006-12-13 15:42 554640]
"avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 21:27 249896]
"Device Detector"="C:\Program Files\Common Files\ACD Systems\DE\DevDetect.exe" [2005-06-28 11:16 221184]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2007-05-14 23:22 35328]

C:\Users\Kristin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
PrevxCSI.lnk - C:\Program Files\PrevxCSI\prevxcsi.exe [2008-02-16 20:39:23 94208]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"some"= C:\Program Files\NetProject\scit.exe
"start"= C:\Program Files\NetProject\sbmntr.exe

R0 pxark;pxark;C:\Windows\system32\drivers\pxark.sys [2008-02-17 00:56]
R2 ACEDRV08;ACEDRV08;C:\Windows\system32\drivers\ACEDRV08.sys [2008-01-20 12:14]
R2 SBSDWSCService;SBSD Security Center Service;C:\Program Files\Spybot []
R2 TOSHIBA Bluetooth Service;TOSHIBA Bluetooth Service;c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe [2006-10-31 22:40]
R3 FwLnk;FwLnk Driver;C:\Windows\system32\DRIVERS\FwLnk.sys [2006-11-19 22:11]
R3 igfx;igfx;C:\Windows\system32\DRIVERS\igdkmd32.sys [2006-11-06 10:29]
R3 NETw4v32;Intel(R) Wireless WiFi Link Adaptertreiber für Windows Vista 32 Bit;C:\Windows\system32\DRIVERS\NETw4v32.sys [2007-09-26 13:12]
R3 tdcmdpst;TOSHIBA Writing Engine Filter Driver;C:\Windows\system32\DRIVERS\tdcmdpst.sys [2006-10-18 11:50]
S3 NETw3v32;Intel(R) PRO/Wireless 3945ABG Adaptertreiber für Windows Vista 32 Bit;C:\Windows\system32\DRIVERS\NETw3v32.sys [2006-10-30 09:42]
S3 tosrfec;Bluetooth ACPI;C:\Windows\system32\DRIVERS\tosrfec.sys [2006-10-23 16:32]
S4 KR10I;KR10I;C:\Windows\system32\drivers\kr10i.sys [2006-02-14 18:50]
S4 KR10N;KR10N;C:\Windows\system32\drivers\kr10n.sys [2006-02-14 18:41]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc

.
Inhalt des "geplante Tasks" Ordners
"2008-02-16 23:45:22 C:\Windows\Tasks\User_Feed_Synchronization-{7EF5CC87-B7E2-45CF-82EB-C3E2E5868936}.job"
- C:\Windows\system32\msfeedssync.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-17 16:50:38
Windows 6.0.6000 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-17 16:51:26
ComboFix2.txt 2008-02-17 12:08:58
.
2008-02-15 19:26:29 --- E O F ---

17.02.2008, 17:14

Pinguin

Ehrenmitglied

Beiträge: 1441

#4 nicht korrekt gemacht.. die zu löschenden Dateien sind alle noch da

also alles noch mal von vorn ..und bitte genau beachten, was geschrieben wurde, wie man die txt-Datei abspeichert und dann auf combofix-Symbol zieht.
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

17.02.2008, 18:14

gilbo

...neu hier

Themenstarter

Beiträge: 4

#5 diesmal hats geklappt,
beim ersten mal waren wohl die falschen folder angegeben
vielen dank für die schnelle hilfe
...

ComboFix 08-02-17.2 - Kristin 2008-02-17 18:04:52.5 - NTFSx86
Microsoft® Windows Vista™ Home Basic 6.0.6000.0.1252.1.1031.18.388 [GMT 1:00]
ausgeführt von:: C:\Users\Kristin\Desktop\ComboFix.exe
Command switches used :: C:\Users\Kristin\Desktop\cfscript.txt
.

((((((((((((((((((((((( Dateien erstellt von 2008-01-17 bis 2008-02-17 ))))))))))))))))))))))))))))))
.

2008-02-17 16:35 . 2008-02-17 16:35 161,307,411 --a------ C:\Windows\MEMORY.DMP
2008-02-17 01:25 . 2008-02-17 01:45 <DIR> d-------- C:\Users\All Users\Spybot - Search & Destroy
2008-02-17 01:25 . 2008-02-17 01:45 <DIR> d-------- C:\ProgramData\Spybot - Search & Destroy
2008-02-17 01:25 . 2008-02-17 01:25 <DIR> d-------- C:\Program Files\Spybot - Search & Destroy
2008-02-17 01:07 . 2008-02-17 01:08 <DIR> d-------- C:\Users\All Users\Lavasoft
2008-02-17 01:07 . 2008-02-17 01:08 <DIR> d-------- C:\ProgramData\Lavasoft
2008-02-17 01:07 . 2008-02-17 01:07 <DIR> d-------- C:\Program Files\Lavasoft
2008-02-17 01:03 . 2008-02-17 01:03 <DIR> d-------- C:\Program Files\Common Files\Wise Installation Wizard
2008-02-16 20:56 . 2008-02-16 20:59 <DIR> d-a------ C:\Users\All Users\TEMP
2008-02-16 20:56 . 2008-02-16 20:59 <DIR> d-a------ C:\ProgramData\TEMP
2008-02-16 20:39 . 2008-02-16 20:39 <DIR> d-------- C:\Program Files\PrevxCSI
2008-02-16 20:21 . 2008-02-17 01:00 <DIR> d-------- C:\Users\Kristin\AppData\Roaming\PrevxCSI
2008-02-16 20:21 . 2008-02-17 00:56 10,752 --a------ C:\Windows\System32\drivers\pxark.sys
2008-02-16 20:02 . 2008-02-16 20:02 <DIR> d-------- C:\Program Files\Trend Micro
2008-02-14 10:00 . 2008-02-14 10:00 194,560 --a------ C:\Windows\System32\WebClnt.dll
2008-02-14 10:00 . 2008-02-14 10:00 110,080 --a------ C:\Windows\System32\drivers\mrxdav.sys
2008-02-14 09:54 . 2008-02-14 09:54 3,504,696 --a------ C:\Windows\System32\ntkrnlpa.exe
2008-02-14 09:53 . 2008-02-14 09:53 4,247,552 --a------ C:\Windows\System32\GameUXLegacyGDFs.dll
2008-02-14 09:53 . 2008-02-14 09:53 1,686,528 --a------ C:\Windows\System32\gameux.dll
2008-02-14 09:53 . 2008-02-14 09:53 11,776 --a------ C:\Windows\System32\sbunattend.exe
2008-01-20 12:14 . 2008-01-20 12:14 108,768 --a------ C:\Windows\System32\drivers\ACEDRV08.sys
2008-01-20 12:09 . 2008-01-20 12:09 <DIR> d-------- C:\Users\Kristin\Netzwerk

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-17 17:04 --------- d-----w C:\Users\Kristin\AppData\Roaming\Skype
2008-02-17 10:57 --------- d-----w C:\Program Files\Opera
2008-02-17 00:00 --------- d-----w C:\Program Files\Common Files\Symantec Shared
2008-02-16 23:45 --------- d-----w C:\Program Files\Winamp
2008-02-14 09:07 --------- d-----w C:\Program Files\Windows Sidebar
2008-02-14 09:07 --------- d-----w C:\Program Files\Windows Mail
2008-02-14 08:58 54,784 ----a-w C:\Windows\system32\drivers\i8042prt.sys
2008-02-14 08:58 495,160 ----a-w C:\Windows\system32\drivers\Wdf01000.sys
2008-02-14 08:58 35,384 ----a-w C:\Windows\system32\drivers\WdfLdr.sys
2008-02-14 08:58 35,384 ----a-w C:\Windows\system32\drivers\kbdclass.sys
2008-02-14 08:58 34,360 ----a-w C:\Windows\system32\drivers\mouclass.sys
2008-02-14 08:58 19,968 ----a-w C:\Windows\system32\drivers\sermouse.sys
2008-02-14 08:58 15,872 ----a-w C:\Windows\system32\drivers\mouhid.sys
2008-02-14 08:58 15,872 ----a-w C:\Windows\system32\drivers\kbdhid.sys
2008-02-14 08:54 803,328 ----a-w C:\Windows\system32\drivers\tcpip.sys
2008-02-14 08:54 45,112 ----a-w C:\Windows\system32\drivers\pciidex.sys
2008-02-14 08:54 216,632 ----a-w C:\Windows\system32\drivers\netio.sys
2008-02-14 08:54 211,000 ----a-w C:\Windows\system32\drivers\volsnap.sys
2008-02-14 08:54 21,560 ----a-w C:\Windows\system32\drivers\atapi.sys
2008-02-14 08:54 2,144,256 ----a-w C:\Windows\AppPatch\AcGenral.dll
2008-02-14 08:54 17,464 ----a-w C:\Windows\system32\drivers\intelide.sys
2008-02-14 08:54 154,624 ----a-w C:\Windows\system32\drivers\nwifi.sys
2008-02-14 08:54 109,624 ----a-w C:\Windows\system32\drivers\ataport.sys
2008-02-14 08:54 1,060,920 ----a-w C:\Windows\system32\drivers\ntfs.sys
2008-02-14 08:53 537,600 ----a-w C:\Windows\AppPatch\AcLayers.dll
2008-02-14 08:53 449,536 ----a-w C:\Windows\AppPatch\AcSpecfc.dll
2008-02-14 08:53 173,056 ----a-w C:\Windows\AppPatch\AcXtrnal.dll
2008-02-14 08:50 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll
2007-12-30 10:30 28,344 ----a-w C:\Windows\system32\drivers\battc.sys
2007-12-30 10:30 258,232 ----a-w C:\Windows\system32\drivers\acpi.sys
2007-12-30 10:30 20,920 ----a-w C:\Windows\system32\drivers\compbatt.sys
2007-12-30 10:30 2,923,520 ----a-w C:\Windows\explorer.exe
2007-12-30 10:30 14,208 ----a-w C:\Windows\system32\drivers\CmBatt.sys
2007-12-30 10:29 73,216 ----a-w C:\Windows\system32\drivers\usbccgp.sys
2007-12-30 10:29 5,888 ----a-w C:\Windows\system32\drivers\usbd.sys
2007-12-30 10:29 38,400 ----a-w C:\Windows\system32\drivers\usbehci.sys
2007-12-30 10:29 23,040 ----a-w C:\Windows\system32\drivers\usbuhci.sys
2007-12-30 10:29 224,768 ----a-w C:\Windows\system32\drivers\usbport.sys
2007-12-30 10:29 192,000 ----a-w C:\Windows\system32\drivers\usbhub.sys
2007-12-30 10:27 84,992 ----a-w C:\Windows\system32\drivers\srvnet.sys
2007-12-30 10:27 58,368 ----a-w C:\Windows\system32\drivers\mrxsmb20.sys
2007-12-30 10:27 130,048 ----a-w C:\Windows\system32\drivers\srv2.sys
2007-12-30 10:27 101,888 ----a-w C:\Windows\system32\drivers\mrxsmb.sys
2007-09-04 15:05 174 --sha-w C:\Program Files\desktop.ini
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-02-14 09:53 1232896]
"TOSCDSPD"="TOSCDSPD.EXE" []
"Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2007-03-30 12:34 25263144]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2007-04-22 17:20 1006264]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0\bin\jusched.exe" [2006-12-16 09:41 77824]
"TPwrMain"="C:\Program Files\TOSHIBA\Power Saver\TPwrMain.EXE" [2006-12-14 19:07 411768]
"HSON"="C:\Program Files\TOSHIBA\TBS\HSON.exe" [2006-12-07 16:49 55416]
"SmoothView"="C:\Program Files\Toshiba\SmoothView\SmoothView.exe" [2006-12-14 19:09 493688]
"00TCrdMain"="C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe" [2006-12-11 17:27 530552]
"NvSvc"="C:\Windows\system32\nvsvc.dll" [2006-12-07 20:25 90191]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2006-12-07 20:25 7766016]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2006-12-07 20:25 81920]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2006-10-27 13:50 815104]
"NDSTray.exe"="NDSTray.exe" []
"topi"="C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe" [2006-12-15 17:11 577536]
"RtHDVCpl"="RtHDVCpl.exe" [2006-11-07 14:50 3772416 C:\Windows\RtHDVCpl.exe]
"IgfxTray"="C:\Windows\system32\igfxtray.exe" [2006-11-06 09:02 98304]
"HotKeysCmds"="C:\Windows\system32\hkcmd.exe" [2006-11-06 09:05 106496]
"Persistence"="C:\Windows\system32\igfxpers.exe" [2006-11-06 09:02 81920]
"Toshiba Registration"="C:\Program Files\Toshiba\Registration\ToshibaRegistration.exe" [2006-12-13 15:42 554640]
"avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 21:27 249896]
"Device Detector"="C:\Program Files\Common Files\ACD Systems\DE\DevDetect.exe" [2005-06-28 11:16 221184]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2007-05-14 23:22 35328]

C:\Users\Kristin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
PrevxCSI.lnk - C:\Program Files\PrevxCSI\prevxcsi.exe [2008-02-16 20:39:23 94208]

R0 pxark;pxark;C:\Windows\system32\drivers\pxark.sys [2008-02-17 00:56]
R2 ACEDRV08;ACEDRV08;C:\Windows\system32\drivers\ACEDRV08.sys [2008-01-20 12:14]
R3 FwLnk;FwLnk Driver;C:\Windows\system32\DRIVERS\FwLnk.sys [2006-11-19 22:11]
R3 igfx;igfx;C:\Windows\system32\DRIVERS\igdkmd32.sys [2006-11-06 10:29]
R3 NETw4v32;Intel(R) Wireless WiFi Link Adaptertreiber für Windows Vista 32 Bit;C:\Windows\system32\DRIVERS\NETw4v32.sys [2007-09-26 13:12]
R3 tdcmdpst;TOSHIBA Writing Engine Filter Driver;C:\Windows\system32\DRIVERS\tdcmdpst.sys [2006-10-18 11:50]
S3 NETw3v32;Intel(R) PRO/Wireless 3945ABG Adaptertreiber für Windows Vista 32 Bit;C:\Windows\system32\DRIVERS\NETw3v32.sys [2006-10-30 09:42]
S3 tosrfec;Bluetooth ACPI;C:\Windows\system32\DRIVERS\tosrfec.sys [2006-10-23 16:32]
S4 KR10I;KR10I;C:\Windows\system32\drivers\kr10i.sys [2006-02-14 18:50]
S4 KR10N;KR10N;C:\Windows\system32\drivers\kr10n.sys [2006-02-14 18:41]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc

.
Inhalt des "geplante Tasks" Ordners
"2008-02-16 23:45:22 C:\Windows\Tasks\User_Feed_Synchronization-{7EF5CC87-B7E2-45CF-82EB-C3E2E5868936}.job"
- C:\Windows\system32\msfeedssync.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-17 18:08:02
Windows 6.0.6000 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Windows\system32\agrsmsvc.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Windows\system32\TODDSrv.exe
C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
C:\Windows\system32\conime.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Synaptics\SynTP\SynToshiba.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-02-17 18:10:44 - machine was rebooted [Kristin]
ComboFix-quarantined-files.txt 2008-02-17 17:10:37
ComboFix2.txt 2008-02-17 15:51:27
ComboFix3.txt 2008-02-17 12:08:58
.
2008-02-15 19:26:29 --- E O F ---

17.02.2008, 19:42

Pinguin

Ehrenmitglied

Beiträge: 1441

#6 ««
gut gemacht

sind die Popups weg ???

ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"

--

scanne + poste den scanreport
http://virus-protect.org/artikel/tools/malwarebytes.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

17.02.2008, 21:07

gilbo

...neu hier

Themenstarter

Beiträge: 4

#7 ja ist alles weg
nochmal danke :-)

13.10.2008, 18:47

Markers1192

...neu hier

Beiträge: 5

#8 Hallo Ich hab ein Problem an meiner taskleiste steht system alert und unerwünschte Programme tauchen auf. Ich hab mit Combofix ein log erstellt. Könnt ih mir bitte helfen ? Danke im voraus

13.10.2008, 19:37

Swisstreasure

Moderator

Beiträge: 5694

#9 Dann poste dieses Log hier.

Gruss Swiss

13.10.2008, 20:31

Markers1192

...neu hier

Beiträge: 5

#10 ComboFix 08-10-11.04 - Assasin's Creed 2008-10-13 11:16:34.1 - NTFSx86
ausgeführt von:: D:\Dokumente und Einstellungen\Assasin's Creed\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

D:\Dokumente und Einstellungen\Assasin's Creed\Eigene Dateien\My Documents.url
D:\Programme\Applications\iebr.dll
D:\Programme\Applications\iebt.dll
D:\Programme\Applications\iebu.exe
D:\Programme\Applications\myd.ico
D:\Programme\Applications\mym.ico
D:\Programme\Applications\myp.ico
D:\Programme\Applications\myv.ico
D:\Programme\Applications\ot.ico
D:\Programme\Applications\ts.ico
D:\Programme\Applications\wcm.exe
D:\Programme\Applications\wcs.exe
D:\WINDOWS\system32\msxml71.dll
D:\WINDOWS\system32\TDSSinit.dll
D:\WINDOWS\system32\tdssl.dll
D:\WINDOWS\system32\tdssservers.dat

.
((((((((((((((((((((((( Dateien erstellt von 2008-09-13 bis 2008-10-13 ))))))))))))))))))))))))))))))
.

2008-10-13 10:55 . 2008-10-13 11:24 <DIR> d-a------ D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-10-13 10:51 . 2008-10-13 10:52 <DIR> d-------- D:\Programme\VirRL2009
2008-10-13 10:50 . 2008-10-13 11:22 <DIR> d-------- D:\Programme\Applications
2008-10-09 17:00 . 2008-10-09 17:01 137 --a------ D:\WINDOWS\tmp.tmp.tmp
2008-10-08 20:42 . 2008-10-08 20:45 <DIR> d-------- D:\Programme\Windows Live Safety Center
2008-10-05 09:45 . 2008-10-05 09:46 <DIR> d-------- D:\Programme\EAGLE-5.2.0
2008-09-29 08:34 . 2008-10-11 21:43 <DIR> d-------- D:\Dokumente und Einstellungen\Assasin's Creed\Anwendungsdaten\Kaspersky_Key_Finder_(KKF
2008-09-28 19:24 . 2008-09-28 19:24 <DIR> d-------- D:\Programme\Xilisoft
2008-09-27 14:00 . 2008-10-13 11:23 117,484 --a------ D:\WINDOWS\system32\oodbs.lor
2008-09-23 17:53 . 2008-09-23 17:53 <DIR> d-------- D:\Programme\EAGLE-4.16r2
2008-09-22 17:29 . 2008-09-22 17:29 <DIR> d-------- D:\Dokumente und Einstellungen\Assasin's Creed\WINDOWS
2008-09-22 17:29 . 1997-04-08 20:08 299,520 --a------ D:\WINDOWS\uninst.exe
2008-09-18 18:45 . 2007-04-09 13:23 28,040 --a------ D:\WINDOWS\system32\mdimon.dll
2008-09-18 18:45 . 2008-09-18 18:45 400 --a------ D:\WINDOWS\ODBC.INI
2008-09-18 18:40 . 2008-09-18 18:42 <DIR> d-------- D:\WINDOWS\SHELLNEW
2008-09-18 18:39 . 2008-09-18 18:39 <DIR> d-------- D:\Programme\Microsoft.NET
2008-09-16 13:48 . 2008-04-13 20:45 32,128 --a------ D:\WINDOWS\system32\drivers\usbccgp.sys
2008-09-16 13:48 . 2008-04-13 20:45 32,128 --a--c--- D:\WINDOWS\system32\dllcache\usbccgp.sys
2008-09-14 19:35 . 2008-09-28 11:14 <DIR> d-------- D:\Programme\ImTOO

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-13 09:26 6,929,696 --sha-w D:\WINDOWS\system32\drivers\fidbox.dat
2008-10-13 09:24 399,648 --sha-w D:\WINDOWS\system32\drivers\fidbox2.dat
2008-10-13 09:22 95,876 --sha-w D:\WINDOWS\system32\drivers\fidbox.idx
2008-10-13 09:22 40,532 --sha-w D:\WINDOWS\system32\drivers\fidbox2.idx
2008-10-13 09:10 --------- d-----w D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-10-13 08:49 15,360 --s-a-w D:\WINDOWS\system32\eivrbsi.dll
2008-10-13 08:32 --------- d-----w D:\Dokumente und Einstellungen\Assasin's Creed\Anwendungsdaten\UseNeXT
2008-09-18 14:55 --------- d-----w D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-09-17 17:08 --------- d-----w D:\Programme\OO Software
2008-09-15 06:43 --------- d-----w D:\Dokumente und Einstellungen\Assasin's Creed\Anwendungsdaten\AdobeUM
2008-09-02 18:21 --------- d-----w D:\Programme\Hewlett-Packard
2008-09-01 16:22 --------- d--h--w D:\Programme\InstallShield Installation Information
2008-08-31 17:54 --------- d-----w D:\Dokumente und Einstellungen\Assasin's Creed\Anwendungsdaten\Xerox
2008-08-31 17:42 --------- d-----w D:\Dokumente und Einstellungen\Assasin's Creed\Anwendungsdaten\Ordner HP Share-to-Web
2008-08-31 10:53 --------- d-----w D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus!
2008-08-31 07:15 --------- d-----w D:\Programme\Windows Live
2008-08-31 07:15 --------- d-----w D:\Programme\MSN Messenger
2008-08-31 07:15 --------- d-----w D:\Programme\Messenger Plus! Live
2008-08-30 18:20 --------- d-----w D:\Dokumente und Einstellungen\Assasin's Creed\Anwendungsdaten\CadSoft
2008-08-24 06:04 --------- d-----w D:\Programme\MSXML 4.0
2008-08-23 08:26 --------- d-----w D:\Programme\Gemeinsame Dateien\xing shared
2008-08-23 08:26 --------- d-----w D:\Programme\Gemeinsame Dateien\Real
2008-08-23 08:25 499,712 ----a-w D:\WINDOWS\system32\msvcp71.dll
2008-08-23 08:25 348,160 ----a-w D:\WINDOWS\system32\msvcr71.dll
2008-08-22 19:56 --------- d-----w D:\Dokumente und Einstellungen\Assasin's Creed\Anwendungsdaten\Nero
2008-08-22 19:51 --------- d-----w D:\Programme\Gemeinsame Dateien\Nero
2008-08-22 19:47 --------- d-----w D:\Programme\Nero
2008-08-22 19:47 --------- d-----w D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-08-22 19:15 --------- d-----w D:\Dokumente und Einstellungen\Assasin's Creed\Anwendungsdaten\TuneUp Software
2008-08-22 19:14 306,432 ----a-w D:\WINDOWS\system32\TuneUpDefragService.exe
2008-08-22 19:14 --------- d-----w D:\Programme\TuneUp Utilities 2008
2008-08-22 19:13 --------- d-----w D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-08-22 19:11 --------- d-----w D:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-08-22 18:52 --------- d-----w D:\Programme\UseNeXT
2008-08-22 18:08 --------- d-----w D:\Programme\Gemeinsame Dateien\Adobe
2008-08-22 18:02 --------- d-----w D:\Programme\Lavasoft
2008-08-22 18:02 --------- d-----w D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-08-22 17:31 --------- d-----w D:\Programme\Windows Media Connect 2
2008-08-22 17:27 --------- d-----w D:\Dokumente und Einstellungen\Assasin's Creed\Anwendungsdaten\vlc
2008-08-22 17:26 --------- d-----w D:\Programme\VideoLAN
2008-08-22 17:23 --------- d-----w D:\Dokumente und Einstellungen\Assasin's Creed\Anwendungsdaten\Winamp
2008-08-22 17:19 --------- d-----w D:\Programme\Winamp
2008-08-22 16:50 --------- d-----w D:\Programme\Alcohol Soft
2008-08-22 16:46 --------- d-----w D:\Programme\Realtek AC97
2008-08-22 16:46 --------- d-----w D:\Programme\Gemeinsame Dateien\InstallShield
2008-08-22 05:28 112,144 ----a-w D:\WINDOWS\system32\drivers\kl1.sys
2008-08-22 05:25 96,976 ----a-w D:\WINDOWS\system32\drivers\klin.dat
2008-08-22 05:25 87,855 ----a-w D:\WINDOWS\system32\drivers\klick.dat
2008-08-22 05:09 --------- d-----w D:\Programme\Kaspersky Lab
2008-08-22 05:08 --------- d-----w D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2008-08-21 18:51 --------- d-----w D:\Programme\ZyDAS Technology Corporation
2008-08-21 14:07 --------- d-----w D:\Programme\microsoft frontpage
2008-08-21 14:06 558,142 ----a-w D:\WINDOWS\java\Packages\6CRRNR7L.ZIP
2008-08-21 14:06 155,995 ----a-w D:\WINDOWS\java\Packages\MCRX3RXR.ZIP
2008-08-21 14:05 --------- d-----w D:\Programme\Online-Dienste
2008-08-21 14:04 --------- d-----w D:\Programme\Gemeinsame Dateien\Dienste
2008-07-18 20:10 94,920 ----a-w D:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w D:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w D:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w D:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w D:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w D:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 1,811,656 ----a-w D:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:08 205,000 ----a-w D:\WINDOWS\system32\wuweb.dll
2008-07-18 20:07 270,880 ----a-w D:\WINDOWS\system32\mucltui.dll
2008-07-18 20:07 210,976 ----a-w D:\WINDOWS\system32\muweb.dll
2002-08-29 12:00 94,800 --sh--w D:\WINDOWS\twain.dll
2008-04-14 02:22 50,688 --sh--w D:\WINDOWS\twain_32.dll
2008-04-14 02:22 1,028,096 --sh--w D:\WINDOWS\system32\mfc42.dll
2008-04-14 02:22 57,344 --sh--w D:\WINDOWS\system32\msvcirt.dll
2008-04-14 02:22 413,696 --sh--w D:\WINDOWS\system32\msvcp60.dll
2008-04-14 02:22 343,040 --sh--w D:\WINDOWS\system32\msvcrt.dll
2008-04-14 02:22 551,936 --sh--w D:\WINDOWS\system32\oleaut32.dll
2008-04-14 02:22 84,992 --sh--w D:\WINDOWS\system32\olepro32.dll
2008-04-14 02:22 12,288 --sh--w D:\WINDOWS\system32\regsvr32.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A81EBFD7-0FA3-41ec-B60D-6DAE78B4D31A}]
2008-10-11 13:02 73728 --a------ D:\Programme\VirRL2009\VirRLWarning.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="D:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"msnmsgr"="D:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]
"VirRL2009"="D:\Programme\VirRL2009\VirRL2009.exe" [2008-10-11 1810432]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="D:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]
"TkBellExe"="D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-08-23 185896]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 D:\WINDOWS\soundman.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="D:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\SharedTaskScheduler]
"{da75fab1-136e-4ead-834d-0e04fbd6edc1}"= "D:\WINDOWS\system32\eivrbsi.dll" [2008-10-13 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=D:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=D:\WINDOWS\system32\ctfmon.exe
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="D:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"
"msnmsgr"="D:\Programme\MSN Messenger\msnmsgr.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"TkBellExe"="D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
"NBKeyScan"="D:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"D:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"D:\\Programme\\MSN Messenger\\livecall.exe"=
"D:\\Programme\\xerox\\nwwia\\XrxFTPLt.exe"=
"D:\\Programme\\Mozilla Firefox\\firefox.exe"=
"D:\\Programme\\VirRL2009\\VirRL2009.exe"=

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2008-10-10 D:\WINDOWS\Tasks\1-Klick-Wartung.job
- D:\Programme\TuneUp Utilities 2008\OneClick.exe [2007-12-14 13:17]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{BE1A344F-9FF5-4024-949B-52205E6DB2D0} - D:\Programme\Applications\iebt.dll
HKLM-Explorer_Run-smile - D:\Programme\Applications\wcs.exe

.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - D:\Dokumente und Einstellungen\Assasin's Creed\Anwendungsdaten\Mozilla\Firefox\Profiles\6s78rzxr.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.de
FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll
FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nprjplug.dll
FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF -: plugin - D:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
.
.
------- Dateityp-Verknüpfung -------
.
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-13 11:24:11
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
D:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
D:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
D:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
D:\WINDOWS\system32\oodag.exe
D:\Programme\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-13 11:37:29 - PC wurde neu gestartet [Assasin's Creed]
ComboFix-quarantined-files.txt 2008-10-13 09:37:11

Vor Suchlauf: 5 Verzeichnis(se), 19,589,341,184 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 20,620,374,016 Bytes frei

213 --- E O F --- 2008-09-20 18:33:14

13.10.2008, 21:15

Argus

Ehrenmitglied

Beiträge: 6028

#11 Prüfe mal diese Datei(en) bei Virustotal http://www.virustotal.com/flash/index_en.html

Zitat

D:\WINDOWS\system32\eivrbsi.dll

Note: Wenn bei ViruTotal die Meldung kommt ” Die Datei wurde bereits analysiert “wähle „Analysiere die Datei“
Poste nur die URL am Ende
__________
MfG Argus

13.10.2008, 22:17

Markers1192

...neu hier

Beiträge: 5

#12 http://www.virustotal.com/de/analisis/af5c51314fb652f4bb2b1bc20d60aeb7

13.10.2008, 22:31

Sabina

Ehrenmitglied

Beiträge: 29434

#13 Hallo Markers1192

««
Virustotal http://www.virustotal.com/flash/index_en.html

D:\WINDOWS\tmp.tmp.tmp

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren

------------------------------------------------------------------

«
lösche:
D:\Dokumente und Einstellungen\Assasin's Creed\Anwendungsdaten\Kaspersky_Key_Finder_(KKF

««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"D:\Programme\VirRL2009\VirRL2009.exe"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VirRL2009"=-
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A81EBFD7-0FA3-41ec-B60D-6DAE78B4D31A}]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\SharedTaskScheduler]
"{da75fab1-136e-4ead-834d-0e04fbd6edc1}"=-

File::
D:\WINDOWS\system32\eivrbsi.dll

Folder::
D:\Programme\VirRL2009
D:\Programme\Applications

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen

Dann erscheint ein "öffnen mit" -bestätigen - und Combofix startet neu

in C:\ComboFix.txt ist alles gespeichert, kopiere es ab
__________
MfG Sabina

rund um die PC-Sicherheit

13.10.2008, 22:36

Markers1192

...neu hier

Beiträge: 5

#14 nahdem die combo,txt gespeichert ist soll ich es dann posten ?

13.10.2008, 22:37

Sabina

Ehrenmitglied

Beiträge: 29434

#15 ich habe das script inzwischen verändert ...du bist zu fix

erstelle eine neue cfscript.txt - dann auf combofix ziehen, dann kopiere hier das neue Log von Combofix (ich will sehen, ob das Script funktioniert hat)
__________
MfG Sabina

rund um die PC-Sicherheit

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1 2