kein Internet und dauernd RUNDLL - Fehlermeldung |
||
---|---|---|
#0
| ||
28.02.2008, 20:05
Member
Beiträge: 13 |
||
|
||
28.02.2008, 22:56
Ehrenmitglied
Beiträge: 6028 |
#2
«
bringe LSPFix auf deinen Rechner: Lade Dir LSPFix http://virus-protect.org/lspfix.html Starten > Häckchen bei "i know what I'm doing" > Remove qdshm.dll von Links nach Rechts -> "Finish" anklicken Neustarten. __________ MfG Argus |
|
|
||
29.02.2008, 15:29
Member
Themenstarter Beiträge: 13 |
#3
Hallo!
Das Internet funktioniert wieder, Danke! Aber das war wohl erst der Anfang, ich glaube der Rechner ist ziemlich stark infiziert... Combofix funktioniert immer noch nicht, das Fenster geht auf, es heißt der Combofix wird vorbereitet, dann geht das Fenster wieder zu und nichts passiert. Ich habe alle Fenster geschlossen und AntiVir deaktiviert. Der Rechner bringt beim hochfahren folgende Fehlermeldungen: 1.: jeweils RUNDLL: Fehler beim Laden von D:\WINDOWS\system32\fwcj.dll D:\WINDOWS\Downl~1\r3jf6x9p.dll Das angegebene Modul wurde nicht gefunden 2.: Fujitsu Display Controls Error accessing registry The application will now terminate Hier die Logs: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:09, on 2008-02-29 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\Explorer.EXE D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe D:\Programme\Fujitsu\Utils\FjDspMon.exe D:\Programme\Fujitsu\Utils\fjevents.exe D:\Programme\Fujitsu\Utils\FjMnuIco.exe D:\WINDOWS\system32\igfxext.exe D:\Programme\iTunes\iTunesHelper.exe D:\WINDOWS\system32\hkcmd.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe D:\WINDOWS\system32\ctfmon.exe D:\WINDOWS\system32\WTablet\TabUserW.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe D:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe D:\WINDOWS\System32\digtizer.exe D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\system32\Tablet.exe D:\Programme\iPod\bin\iPodService.exe D:\WINDOWS\system32\wuauclt.exe D:\WINDOWS\system32\wscntfy.exe D:\Dokumente und Einstellungen\Golf\Desktop\HJT\HJT.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1 O2 - BHO: Invoke Class - {42A3A616-FF3C-4713-A5C2-4F1B566CEF51} - D:\WINDOWS\system32\0451.dll (file missing) O4 - HKLM\..\Run: [FjDspMon] D:\Programme\Fujitsu\Utils\FjDspMon.exe O4 - HKLM\..\Run: [FjEvents] D:\Programme\Fujitsu\Utils\fjevents.exe O4 - HKLM\..\Run: [Fujitsu Menu] D:\Programme\Fujitsu\Utils\FjMnuIco.exe O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [HotKeysCmds] D:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe O4 - HKLM\..\Policies\Explorer\Run: [r3jf6x9p] rundll32 "D:\WINDOWS\Downlo~1\r3jf6x9p.dll",start O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Picture Motion Browser Medien-Prüfung.lnk = D:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: TabUserW.exe.lnk = D:\WINDOWS\system32\WTablet\TabUserW.exe O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Autodata Limited License Service - Autodata Limited - D:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe O23 - Service: Digitizer Service (Digitizer) - WACOM - D:\WINDOWS\System32\digtizer.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - D:\Programme\iPod\bin\iPodService.exe O23 - Service: TabletService - Wacom Technology, Corp. - D:\WINDOWS\system32\Tablet.exe -- End of file - 4179 bytes . . Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten . . Datenträger in Laufwerk D: ist Windows XP Volumeseriennummer: 343D-802A Verzeichnis von D:\WINDOWS\system32 2008-02-29 15:06 37,332 tablet.dat 2008-02-29 14:11 2,550 Uninstall.ico 2008-02-29 14:11 1,406 Help.ico 2008-02-29 14:11 30,590 pavas.ico 2008-02-29 08:53 2,206 wpa.dbl 2008-01-26 20:18 119,744 FNTCACHE.DAT 2007-12-11 10:57 49,152 QuickTime.qts 2007-12-11 10:57 65,536 QuickTimeVR.qtx . . . Datenträger in Laufwerk D: ist Windows XP Volumeseriennummer: 343D-802A Verzeichnis von D:\DOKUME~1\Golf\LOKALE~1\Temp 2008-02-29 15:10 103,962 datfind.txt 2008-02-29 15:08 114,688 ~DF3B27.tmp 2008-02-28 16:58 847,872 cml4C.tmp 2008-02-28 09:10 27,031 U3Launcher.log 2008-02-04 22:02 251,904 .Sony_PMBrowser2000_BrowserDiskCache 2008-02-04 22:02 84,296 .Sony_PMBrowser2000_BrowserDiskCache.idx 2008-01-27 01:32 2,112 WCESLog.log 2008-01-27 01:31 302 WCESCOMM.LOG 2008-01-27 01:29 1,310 WcesView.log 2008-01-26 20:19 2,730 wmgsdisc.log 2008-01-26 20:19 498 WCESMgr.log 2007-12-19 17:47 2,143 QTInstallCode.log 2007-12-19 17:47 3,310 qtplugin.log 2007-12-12 17:32 5,991 {D5068583-D569-468B-9755-5FBF5848F46F}.log 2007-12-12 17:32 737 {CE2121C6-C94D-4A73-8EA4-6943F33EE335}.log 2007-12-12 17:31 1,477 {ACE66099-E18E-4037-83C8-9D182E5B9FA8}.log 2007-12-12 17:30 831 {22EB2FA7-1BA0-4FFB-972F-353EC6ABA9D5}.log 2007-12-12 17:30 880 {28B97CAB-828F-49D8-A30A-675476F9BA92}.log 2007-12-12 17:30 882 {6813C983-427E-4511-8456-E98FCAA1A125}.log 2007-12-12 17:29 882 {FA6CC4B4-7741-4F8D-8E81-15C4BAB9869B}.log 2007-12-12 17:29 882 {9C423CF6-2DAA-4A37-94B8-59D7ECC7DB13}.log 2007-12-12 17:29 882 {4E7DC12A-3597-4A94-9429-F6C6987361B1}.log 2007-12-12 17:28 882 {7DADB304-AF20-48C3-A780-4B4133A08817}.log 2007-12-05 23:33 16,384 ~DFA117.tmp 2007-12-05 23:22 16,384 ~DF8904.tmp 2007-12-05 23:06 16,384 ~DFE6E7.tmp 2007-12-05 23:01 0 ppt3.tmp 2007-12-05 23:00 16,384 ~DF83EC.tmp 2007-12-05 22:58 16,384 ~DF2D23.tmp . . . Datenträger in Laufwerk D: ist Windows XP Volumeseriennummer: 343D-802A Verzeichnis von D:\WINDOWS 2008-02-29 15:08 53,248 PSEXESVC.EXE 2008-02-29 15:06 981,876 WindowsUpdate.log 2008-02-29 15:06 159 wiadebug.log 2008-02-29 15:06 50 wiaservc.log 2008-02-29 15:06 54,156 QTFont.qfn 2008-02-29 15:06 0 0.log 2008-02-29 15:06 2,048 bootstat.dat 2008-02-29 15:04 1,896,940 ntbtlog.txt 2008-02-29 14:12 572,898 setupapi.log 2008-02-29 14:04 32 pavsig.txt 2008-02-29 11:23 32,638 SchedLgU.Txt 2008-02-28 16:58 53,248 9f91.exe 2008-02-28 10:43 1,988 ErrRegDoc.txt 2008-02-28 10:31 17,737 ntdtcsetup.log 2008-02-28 10:31 1,917 imsins.log 2008-02-28 10:31 3,533 ocmsn.log 2008-02-28 10:31 31,170 comsetup.log 2008-02-28 10:31 33,474 tsoc.log 2008-02-28 10:31 3,429 tabletoc.log 2008-02-28 10:31 95,570 iis6.log 2008-02-28 10:31 40,864 ocgen.log 2008-02-28 10:31 5,050 MedCtrOC.log 2008-02-28 10:31 11,389 netfxocm.log 2008-02-28 10:31 3,374 msgsocm.log 2008-02-28 10:31 56,033 FaxSetup.log 2008-02-28 10:31 23,356 msmqinst.log 2008-02-28 10:24 0 nsreg.dat 2008-02-28 09:56 122,880 f95e1.txt 2008-01-26 20:15 1,374 imsins.BAK 2008-01-26 20:15 6,195 KB909394.log 2008-01-26 20:15 815 updspapi.log 2008-01-26 20:15 8,800 KB894476.log 2008-01-26 20:15 586 avmcowlan.log 2008-01-26 20:15 1,239 avmcoins.log 2008-01-26 20:12 400 ODBC.INI 2007-12-19 17:48 1,409 QTFont.for 2007-12-11 15:57 227 system.ini . . . Datenträger in Laufwerk D: ist Windows XP Volumeseriennummer: 343D-802A Verzeichnis von D:\WINDOWS\temp 2008-02-28 16:58 847,872 cml22E.tmp 2008-02-28 16:58 847,872 cml9.tmp 2008-02-28 16:58 847,872 cml95.tmp . . . Datenträger in Laufwerk D: ist Windows XP Volumeseriennummer: 343D-802A Verzeichnis von D:\WINDOWS\Downloaded Program Files 2007-08-29 15:43 3,084 install.log 2007-08-29 15:43 38,428 unagiuninst.exe 2007-06-11 11:21 5,021 swflash.inf 2006-08-24 08:28 141,424 asinst.dll 2006-01-27 21:44 65 desktop.ini 5 Datei(en) 188,022 Bytes 0 Verzeichnis(se), 12,970,790,912 Bytes frei . . . Das Ergebnisfile von Panda hänge mit an. Vielen Dank Anhang: Activescan.txt
|
|
|
||
29.02.2008, 15:46
Ehrenmitglied
Beiträge: 1441 |
#4
Mölli
1. http://virus-protect.org/artikel/tools/otmoveIt.html öffne: OTMoveIt.exe Kopiere rein: im linken Fenster ,wo steht: Paste Standard List of Files/Folders to be Move Zitat D:\Dokumente und Einstellungen\Golf\Lokale Einstellungen\Temp\cml11.tmpKlicke auf den Roten MoveIt! Wenn das Tool fertig ist wird ein Log erstellt (*******_******.log *steht für Datum und Zeit In Datei C:\_OTMoveIt\MovedFiles\ Mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" --------------------------- «« ComboFix entfernen Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
29.02.2008, 16:00
Member
Themenstarter Beiträge: 13 |
#5
Hallo!
D:\Dokumente und Einstellungen\Golf\Lokale Einstellungen\Temp\cml11.tmp moved successfully. D:\Dokumente und Einstellungen\Golf\Lokale Einstellungen\Temp\cml16.tmp moved successfully. D:\Dokumente und Einstellungen\Golf\Lokale Einstellungen\Temp\cml17.tmp moved successfully. D:\Dokumente und Einstellungen\Golf\Lokale Einstellungen\Temp\cml1B.tmp moved successfully. D:\Dokumente und Einstellungen\Golf\Lokale Einstellungen\Temp\cml1E.tmp moved successfully. D:\Dokumente und Einstellungen\Golf\Lokale Einstellungen\Temp\cml4C.tmp moved successfully. D:\Dokumente und Einstellungen\Golf\Lokale Einstellungen\Temp\cmlD.tmp moved successfully. D:\Dokumente und Einstellungen\Golf\Lokale Einstellungen\Temp\cmlE.tmp moved successfully. D:\WINDOWS\temp\cml22E.tmp moved successfully. D:\WINDOWS\temp\cml9.tmp moved successfully. D:\WINDOWS\temp\cml95.tmp moved successfully. D:\WINDOWS\9f91.exe moved successfully. OTMoveIt2 v1.0.20 log created on 02292008_155600 Vielen Dank! |
|
|
||
01.03.2008, 01:56
Ehrenmitglied
Beiträge: 1441 |
#6
Hallo,
scanne mit ewido, lasse löschen, was gefunden wird + poste den scanreport http://virus-protect.org/onlinescan.html __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
01.03.2008, 12:51
Member
Themenstarter Beiträge: 13 |
#7
Hallo!
Hier der Report: __________________________________________________ ewido anti-spyware online scanner http://www.ewido.net __________________________________________________ Name: TrackingCookie.Netflame Path: D:\Dokumente und Einstellungen\Golf\Cookies\golf@ssl-hints.netflame[2].txt Risk: Medium Name: TrackingCookie.Serving-sys Path: D:\Dokumente und Einstellungen\Administrator\Cookies\administrator@bs.serving-sys[2].txt Risk: Medium Name: TrackingCookie.Doubleclick Path: D:\Dokumente und Einstellungen\Administrator\Cookies\administrator@doubleclick[1].txt Risk: Medium Name: TrackingCookie.Ivwbox Path: D:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ivwbox[1].txt Risk: Medium Name: TrackingCookie.2o7 Path: D:\Dokumente und Einstellungen\Administrator\Cookies\administrator@msnportal.112.2o7[1].txt Risk: Medium Name: TrackingCookie.Serving-sys Path: D:\Dokumente und Einstellungen\Administrator\Cookies\administrator@serving-sys[1].txt Risk: Medium Name: Trojan.Agent Path: D:\WINDOWS\system32\config\systemprofile\Favoriten\ÊÕ²Ø.url Risk: High Folgende Fehlermeldung erscheint immernoch beim Start: RUNDLL: Fehler beim Laden von D:\WINDOWS\system32\fwcj.dll D:\WINDOWS\Downl~1\r3jf6x9p.dll Das angegebene Modul wurde nicht gefunden Vielen Dank! |
|
|
||
01.03.2008, 14:59
Ehrenmitglied
Beiträge: 1441 |
#8
Hallo,
lade Combofix , scanne - poste den report http://virus-protect.org/artikel/tools/combofix.html __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
01.03.2008, 17:45
Member
Themenstarter Beiträge: 13 |
#9
Hallo!
ComboFix 08-03-01.3 - Golf 2008-03-01 17:41:06.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1713 [GMT 1:00] ausgeführt von:: D:\Dokumente und Einstellungen\Golf\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . ((((((((((((((((((((((( Dateien erstellt von 2008-02-01 bis 2008-03-01 )))))))))))))))))))))))))))))) . 2008-03-01 12:11 . 2008-03-01 12:11 <DIR> d---s---- D:\Dokumente und Einstellungen\Golf\UserData 2008-02-29 15:56 . 2008-02-29 15:56 <DIR> d-------- D:\_OTMoveIt 2008-02-29 15:02 . 2008-02-29 15:02 <DIR> dr------- D:\Dokumente und Einstellungen\Administrator\Eigene Dateien 2008-02-29 14:11 . 2008-03-01 12:59 30,590 --a------ D:\WINDOWS\system32\pavas.ico 2008-02-28 10:24 . 2008-02-28 10:24 0 --a------ D:\WINDOWS\nsreg.dat 2008-02-28 09:52 . 2004-01-23 00:00 159,744 --a------ D:\WINDOWS\system32\igfxres.dll 2008-02-28 09:47 . 2008-02-28 10:30 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-02-28 09:22 . 2008-02-28 09:22 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft 2008-02-28 09:15 . 2006-01-27 21:41 <DIR> d--h----- D:\Dokumente und Einstellungen\Administrator\Vorlagen 2008-02-28 09:15 . 2006-01-27 21:32 <DIR> dr------- D:\Dokumente und Einstellungen\Administrator\Startmenü 2008-02-28 09:15 . 2006-01-27 21:32 <DIR> d--h----- D:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2008-02-28 09:15 . 2006-01-27 21:32 <DIR> d--h----- D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2008-02-28 09:15 . 2008-02-28 19:21 <DIR> d-------- D:\Dokumente und Einstellungen\Administrator\Favoriten 2008-02-28 09:15 . 2006-01-27 21:32 <DIR> d--h----- D:\Dokumente und Einstellungen\Administrator\Druckumgebung 2008-02-28 09:15 . 2008-02-29 14:03 <DIR> dr-h----- D:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2008-02-28 09:12 . 2002-12-31 13:00 401,408 --a------ D:\kmd.exe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-02-29 10:19 --------- d-----w D:\Programme\iTunes 2008-02-28 08:10 --------- d-----w D:\Dokumente und Einstellungen\Golf\Anwendungsdaten\U3 2008-01-27 00:31 --------- d-----w D:\Programme\Microsoft ActiveSync 2007-08-30 01:20 20 ----a-w D:\Dokumente und Einstellungen\Golf\mhsha1.dat 2006-03-06 11:42 1,798 ----a-w D:\Programme\INSTALL.LOG . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{42A3A616-FF3C-4713-A5C2-4F1B566CEF51}] D:\WINDOWS\system32\0451.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="D:\WINDOWS\system32\ctfmon.exe" [2002-12-31 13:00 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "FjDspMon"="D:\Programme\Fujitsu\Utils\FjDspMon.exe" [2004-10-14 14:56 20480] "FjEvents"="D:\Programme\Fujitsu\Utils\fjevents.exe" [2004-12-16 15:08 20480] "Fujitsu Menu"="D:\Programme\Fujitsu\Utils\FjMnuIco.exe" [2004-12-16 15:10 32768] "QuickTime Task"="D:\Programme\QuickTime\QTTask.exe" [2007-12-11 10:56 286720] "iTunesHelper"="D:\Programme\iTunes\iTunesHelper.exe" [2007-12-11 12:10 267048] "HotKeysCmds"="D:\WINDOWS\system32\hkcmd.exe" [2004-01-23 00:00 118784] "avgnt"="D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-03-01 08:05 249896] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="D:\WINDOWS\system32\CTFMON.EXE" [2002-12-31 13:00 15360] D:\Dokumente und Einstellungen\Golf\Startmen\Programme\Autostart\ Picture Motion Browser Medien-Prfung.lnk - D:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe [2007-12-12 17:29:08 344064] D:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Microsoft Office.lnk - D:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04 83360] TabUserW.exe.lnk - D:\WINDOWS\system32\WTablet\TabUserW.exe [2006-05-30 21:02:21 114688] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run] "r3jf6x9p"= rundll32 "D:\WINDOWS\Downlo~1\r3jf6x9p.dll",start [HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate\au] "NoAutoUpdate"= 1 (0x1) [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{ACADABAF-1000-0010-8000-10AA006D2EA4}"= D:\WINDOWS\system32\system.dat [ ] [HKLM\~\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk] backup=D:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup [HKLM\~\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] backup=D:\WINDOWS\pss\Microsoft Office.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVMWlanClient] --a------ 2006-06-23 10:24 343552 D:\Programme\avmwlanstick\FRITZWLANMini.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck] D:\WINDOWS\system32\dumprep 0 -k [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mode] E:\NBDriver.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mppds] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2001-07-09 11:50 155648 D:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] --a------ 2003-10-31 19:42 32768 D:\Programme\CyberLink\PowerDVD\PDVDServ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "wuauserv"=2 (0x2) "TapiSrv"=3 (0x3) "mnmsrvc"=3 (0x3) [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) R2 AVMPORT;AVMPORT;D:\WINDOWS\system32\drivers\avmport.sys [2004-05-26 16:52] R2 ECBatteryDRV;ECBatteryDRV;D:\WINDOWS\system32\drivers\ECBatteryDRV.sys [2003-03-19 07:37] R2 ECMonitorDRV;ECMonitorDRV;D:\WINDOWS\system32\drivers\ECMonitorDRV.sys [2003-01-29 04:03] R2 ECUtilityDRV;ECUtilityDRV;D:\WINDOWS\system32\drivers\ECUtilityDRV.sys [2003-01-29 04:03] R2 HotCPUDRV;HotCPUDRV;D:\WINDOWS\system32\drivers\HotCPUDRV.sys [2003-01-29 04:03] R2 WinBootDRV;WinBootDRV;D:\WINDOWS\system32\drivers\WinBootDRV.sys [2003-01-29 04:02] R3 {E6759E0C-470B-44DC-A4A1-627E68BB3A85};AIM 3.0 SI164;D:\WINDOWS\system32\drivers\A302.sys [2004-01-23 00:00] R3 AVMCOWAN;AVMCOWAN;D:\WINDOWS\system32\DRIVERS\AVMCOWAN.sys [2004-09-16 01:00] R3 CONAN;CONAN;D:\WINDOWS\system32\drivers\o2mmb.sys [2004-11-18 23:00] R3 FUJ02E1;%FUJ02E1.DeviceDesc%;D:\WINDOWS\system32\Drivers\FUJ02E1.sys [2004-10-18 15:08] R3 MbxStby;MbxStby;D:\WINDOWS\system32\drivers\MbxStby.sys [2004-11-18 23:00] R3 O2SCBUS;O2Micro SmartCardBus Reader;D:\WINDOWS\system32\DRIVERS\ozscr.sys [2003-06-11 17:53] R3 WacomISDPen;Wacom Penabled HID MiniDriver;D:\WINDOWS\system32\DRIVERS\wacomisdpen.sys [2005-12-05 10:58] S0 ijyar1;ijyar;D:\WINDOWS\system32\DRIVERS\ijyar1.sys [] S2 1szghrg;1szghrg;D:\WINDOWS\system32\drivers\1szghrg.sys [] S2 x9ai7apm2t;x9ai7apm2t;D:\WINDOWS\system32\drivers\x9ai7apm2t.sys [] S3 FWLANUSB;AVM FRITZ!WLAN;D:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-04-06 00:00] S3 FXUSBASE;Eumex 5520PC (WinXP/2000);D:\WINDOWS\system32\DRIVERS\fxusbase.sys [2004-09-16 01:00] S3 hidpen;Wacom Serial Pen HID MiniDriver;D:\WINDOWS\system32\DRIVERS\hidpen.sys [2005-07-04 12:34] S3 ldiskl;ldiskl;D:\DOKUME~1\Golf\LOKALE~1\Temp\ldiskl.sys [] S3 NETPPPOI;PPP over ISDN;D:\WINDOWS\system32\DRIVERS\NETPPPOI.SYS [] S3 OZSCR;O2Micro SmartCardBus Smartcard Reader;D:\WINDOWS\system32\DRIVERS\ozscr.sys [2003-06-11 17:53] S3 tap0801;TAP-Win32 Adapter V8;D:\WINDOWS\system32\DRIVERS\tap0801.sys [2006-10-01 13:37] S3 WacomPen;Wacom HID-Treiber für seriellen Stift;D:\WINDOWS\system32\DRIVERS\wacompen.sys [2004-08-03 23:04] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] zaobxixr REG_MULTI_SZ zaobxixr [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{119eeaf0-b121-11da-8977-000b5d726418}] \Shell\AutoRun\command - H:\setupSNK.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{65dc3540-55ab-11dc-8b12-000b5d726418}] \Shell\AutoRun\command - G:\pushinst.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a46a28c8-5df9-11dc-8b28-000b5d726418}] \Shell\AutoRun\command - F:\LaunchU3.exe -a [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a46a28c9-5df9-11dc-8b28-000b5d726418}] \Shell\AutoRun\command - D:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Setup.pif . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-01 17:42:43 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-03-01 17:43:16 . 2007-08-29 02:36:57 --- E O F --- Gruss Mölli |
|
|
||
01.03.2008, 21:30
Ehrenmitglied
Beiträge: 1441 |
#10
Hallo,
1. Oeffne den Texteditor (Notepad) und kopiere diesen Text rein. mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. abspeichern als: export.bat Doppeltklicken und kopiere den Text ab, der angezeigt wird. - c:\key4.txt Zitat regedit /e c:\key4.txt "HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost"poste, was im Texterditor erscheint __________________________________________________________ 2. http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) ijyar1 in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. in: "Enter search strings" (reinschreiben oder reinkopieren) 1szghrg in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. __________________________________________________________________ 3. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern Zitat KILLALL::Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden. cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen danach: Combofix noch einmal anwenden - tippe 1, wenn sich das blaue Fenster öffnet tippe 1 PC neustarten ---------- 4. poste das neue Log vom HijackThis __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
02.03.2008, 11:03
Member
Themenstarter Beiträge: 13 |
#11
Guten Morgen!
Folgende Fehlermeldung erscheint immernoch beim Start: RUNDLL: Fehler beim Laden von D:\WINDOWS\Downl~1\r3jf6x9p.dll Das angegebene Modul wurde nicht gefunden Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] "HTTPFilter"=hex(7):48,00,54,00,54,00,50,00,46,00,69,00,6c,00,74,00,65,00,72,\ 00,00,00,00,00 "LocalService"=hex(7):41,00,6c,00,65,00,72,00,74,00,65,00,72,00,00,00,57,00,65,\ 00,62,00,43,00,6c,00,69,00,65,00,6e,00,74,00,00,00,4c,00,6d,00,48,00,6f,00,\ 73,00,74,00,73,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,52,00,65,00,67,\ 00,69,00,73,00,74,00,72,00,79,00,00,00,75,00,70,00,6e,00,70,00,68,00,6f,00,\ 73,00,74,00,00,00,53,00,53,00,44,00,50,00,53,00,52,00,56,00,00,00,00,00 "NetworkService"=hex(7):44,00,6e,00,73,00,43,00,61,00,63,00,68,00,65,00,00,00,\ 00,00 "netsvcs"=hex(7):36,00,74,00,6f,00,34,00,00,00,41,00,70,00,70,00,4d,00,67,00,\ 6d,00,74,00,00,00,41,00,75,00,64,00,69,00,6f,00,53,00,72,00,76,00,00,00,42,\ 00,72,00,6f,00,77,00,73,00,65,00,72,00,00,00,43,00,72,00,79,00,70,00,74,00,\ 53,00,76,00,63,00,00,00,44,00,4d,00,53,00,65,00,72,00,76,00,65,00,72,00,00,\ 00,44,00,48,00,43,00,50,00,00,00,45,00,52,00,53,00,76,00,63,00,00,00,45,00,\ 76,00,65,00,6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,46,00,61,\ 00,73,00,74,00,55,00,73,00,65,00,72,00,53,00,77,00,69,00,74,00,63,00,68,00,\ 69,00,6e,00,67,00,43,00,6f,00,6d,00,70,00,61,00,74,00,69,00,62,00,69,00,6c,\ 00,69,00,74,00,79,00,00,00,48,00,69,00,64,00,53,00,65,00,72,00,76,00,00,00,\ 49,00,61,00,73,00,00,00,49,00,70,00,72,00,69,00,70,00,00,00,49,00,72,00,6d,\ 00,6f,00,6e,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,53,00,65,00,72,00,\ 76,00,65,00,72,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,57,00,6f,00,72,\ 00,6b,00,73,00,74,00,61,00,74,00,69,00,6f,00,6e,00,00,00,4d,00,65,00,73,00,\ 73,00,65,00,6e,00,67,00,65,00,72,00,00,00,4e,00,65,00,74,00,6d,00,61,00,6e,\ 00,00,00,4e,00,6c,00,61,00,00,00,4e,00,74,00,6d,00,73,00,73,00,76,00,63,00,\ 00,00,4e,00,57,00,43,00,57,00,6f,00,72,00,6b,00,73,00,74,00,61,00,74,00,69,\ 00,6f,00,6e,00,00,00,4e,00,77,00,73,00,61,00,70,00,61,00,67,00,65,00,6e,00,\ 74,00,00,00,52,00,61,00,73,00,61,00,75,00,74,00,6f,00,00,00,52,00,61,00,73,\ 00,6d,00,61,00,6e,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,61,00,63,00,\ 63,00,65,00,73,00,73,00,00,00,53,00,63,00,68,00,65,00,64,00,75,00,6c,00,65,\ 00,00,00,53,00,65,00,63,00,6c,00,6f,00,67,00,6f,00,6e,00,00,00,53,00,45,00,\ 4e,00,53,00,00,00,53,00,68,00,61,00,72,00,65,00,64,00,61,00,63,00,63,00,65,\ 00,73,00,73,00,00,00,53,00,52,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,\ 00,00,54,00,61,00,70,00,69,00,73,00,72,00,76,00,00,00,54,00,68,00,65,00,6d,\ 00,65,00,73,00,00,00,54,00,72,00,6b,00,57,00,6b,00,73,00,00,00,57,00,33,00,\ 32,00,54,00,69,00,6d,00,65,00,00,00,57,00,5a,00,43,00,53,00,56,00,43,00,00,\ 00,57,00,6d,00,69,00,00,00,57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,70,00,\ 00,00,77,00,69,00,6e,00,6d,00,67,00,6d,00,74,00,00,00,77,00,73,00,63,00,73,\ 00,76,00,63,00,00,00,78,00,6d,00,6c,00,70,00,72,00,6f,00,76,00,00,00,42,00,\ 49,00,54,00,53,00,00,00,77,00,75,00,61,00,75,00,73,00,65,00,72,00,76,00,00,\ 00,53,00,68,00,65,00,6c,00,6c,00,48,00,57,00,44,00,65,00,74,00,65,00,63,00,\ 74,00,69,00,6f,00,6e,00,00,00,68,00,65,00,6c,00,70,00,73,00,76,00,63,00,00,\ 00,57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,4e,00,00,00,00,00 "DcomLaunch"=hex(7):44,00,63,00,6f,00,6d,00,4c,00,61,00,75,00,6e,00,63,00,68,\ 00,00,00,54,00,65,00,72,00,6d,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,\ 00,00,00,00 "rpcss"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "imgsvc"=hex(7):53,00,74,00,69,00,53,00,76,00,63,00,00,00,00,00 "termsvcs"=hex(7):54,00,65,00,72,00,6d,00,53,00,65,00,72,00,76,00,69,00,63,00,\ 65,00,00,00,00,00 "bthsvcs"=hex(7):42,00,74,00,68,00,53,00,65,00,72,00,76,00,00,00,00,00 "zaobxixr"=hex(7):7a,00,61,00,6f,00,62,00,78,00,69,00,78,00,72,00,00,00,00,00 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost\DComLaunch] "CoInitializeSecurityParam"=dword:00000001 "DefaultRpcStackSize"=dword:00000008 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost\HTTPFilter] "CoInitializeSecurityParam"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost\LocalService] "CoInitializeSecurityParam"=dword:00000001 "AuthenticationCapabilities"=dword:00002000 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost\netsvcs] "CoInitializeSecurityParam"=dword:00000001 "AuthenticationCapabilities"=dword:00003020 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost\PCHealth] "CoInitializeSecurityParam"=dword:00000002 "AuthenticationCapabilities"=dword:00000040 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost\termsvcs] "CoInitializeSecurityParam"=dword:00000001 "DefaultRpcStackSize"=dword:00000008 ___________________________________________________________________ Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.5.0 ; Results at 2008-03-02 10:31:57 for strings: ; 'ijyar1' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_IJYAR1] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_IJYAR1\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_IJYAR1\0000] "Service"="ijyar1" "DeviceDesc"="ijyar1" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_IJYAR1\0000\Control] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ijyar1] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ijyar1] ; Contents of value: ; System32\DRIVERS\ijyar1.sys "ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\ 52,00,49,00,56,00,45,00,52,00,53,00,5c,00,69,00,6a,00,79,00,61,00,72,00,31,\ 00,2e,00,73,00,79,00,73,00,00,00 "DisplayName"="ijyar1" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ijyar1\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ijyar1\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ijyar1\Enum] "0"="Root\\LEGACY_IJYAR1\\0000" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_IJYAR1] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_IJYAR1\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_IJYAR1\0000] "Service"="ijyar1" "DeviceDesc"="ijyar1" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ijyar1] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ijyar1] ; Contents of value: ; System32\DRIVERS\ijyar1.sys "ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\ 52,00,49,00,56,00,45,00,52,00,53,00,5c,00,69,00,6a,00,79,00,61,00,72,00,31,\ 00,2e,00,73,00,79,00,73,00,00,00 "DisplayName"="ijyar1" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ijyar1\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IJYAR1] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IJYAR1\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IJYAR1\0000] "Service"="ijyar1" "DeviceDesc"="ijyar1" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IJYAR1\0000\Control] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ijyar1] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ijyar1] ; Contents of value: ; System32\DRIVERS\ijyar1.sys "ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\ 52,00,49,00,56,00,45,00,52,00,53,00,5c,00,69,00,6a,00,79,00,61,00,72,00,31,\ 00,2e,00,73,00,79,00,73,00,00,00 "DisplayName"="ijyar1" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ijyar1\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ijyar1\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ijyar1\Enum] "0"="Root\\LEGACY_IJYAR1\\0000" ; End Of The Log... ---------------------------------------------------------------------------- Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.5.0 ; Results at 2008-03-02 10:33:17 for strings: ; '1szghrg' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_1SZGHRG] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_1SZGHRG\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_1SZGHRG\0000] "Service"="1szghrg" "DeviceDesc"="1szghrg" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_1SZGHRG\0000\Control] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\1szghrg] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\1szghrg] ; Contents of value: ; \??\D:\WINDOWS\system32\drivers\1szghrg.sys "ImagePath"=hex(2):5c,00,3f,00,3f,00,5c,00,44,00,3a,00,5c,00,57,00,49,00,4e,00,\ 44,00,4f,00,57,00,53,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,\ 00,5c,00,64,00,72,00,69,00,76,00,65,00,72,00,73,00,5c,00,31,00,73,00,7a,00,\ 67,00,68,00,72,00,67,00,2e,00,73,00,79,00,73,00,00,00 "DisplayName"="1szghrg" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\1szghrg\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\1szghrg\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\1szghrg\Enum] "0"="Root\\LEGACY_1SZGHRG\\0000" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_1SZGHRG] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_1SZGHRG\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_1SZGHRG\0000] "Service"="1szghrg" "DeviceDesc"="1szghrg" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\1szghrg] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\1szghrg] ; Contents of value: ; \??\D:\WINDOWS\system32\drivers\1szghrg.sys "ImagePath"=hex(2):5c,00,3f,00,3f,00,5c,00,44,00,3a,00,5c,00,57,00,49,00,4e,00,\ 44,00,4f,00,57,00,53,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,\ 00,5c,00,64,00,72,00,69,00,76,00,65,00,72,00,73,00,5c,00,31,00,73,00,7a,00,\ 67,00,68,00,72,00,67,00,2e,00,73,00,79,00,73,00,00,00 "DisplayName"="1szghrg" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\1szghrg\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_1SZGHRG] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_1SZGHRG\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_1SZGHRG\0000] "Service"="1szghrg" "DeviceDesc"="1szghrg" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_1SZGHRG\0000\Control] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\1szghrg] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\1szghrg] ; Contents of value: ; \??\D:\WINDOWS\system32\drivers\1szghrg.sys "ImagePath"=hex(2):5c,00,3f,00,3f,00,5c,00,44,00,3a,00,5c,00,57,00,49,00,4e,00,\ 44,00,4f,00,57,00,53,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,\ 00,5c,00,64,00,72,00,69,00,76,00,65,00,72,00,73,00,5c,00,31,00,73,00,7a,00,\ 67,00,68,00,72,00,67,00,2e,00,73,00,79,00,73,00,00,00 "DisplayName"="1szghrg" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\1szghrg\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\1szghrg\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\1szghrg\Enum] "0"="Root\\LEGACY_1SZGHRG\\0000" ; End Of The Log... ----------------------------------------------------------------------------- ComboFix 08-03-01.3 - Golf 2008-03-02 10:38:06.3 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1737 [GMT 1:00] ausgeführt von:: D:\Dokumente und Einstellungen\Golf\Desktop\ComboFix.exe Command switches used :: D:\Dokumente und Einstellungen\Golf\Desktop\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] FILE :: D:\WINDOWS\Downloaded Program Files\r3jf6x9p.dll D:\WINDOWS\system32\0451.dll . ((((((((((((((((((((((( Dateien erstellt von 2008-02-02 bis 2008-03-02 )))))))))))))))))))))))))))))) . 2008-03-01 12:11 . 2008-03-01 12:11 <DIR> d---s---- D:\Dokumente und Einstellungen\Golf\UserData 2008-02-29 15:56 . 2008-02-29 15:56 <DIR> d-------- D:\_OTMoveIt 2008-02-29 15:02 . 2008-02-29 15:02 <DIR> dr------- D:\Dokumente und Einstellungen\Administrator\Eigene Dateien 2008-02-29 14:11 . 2008-03-01 12:59 30,590 --a------ D:\WINDOWS\system32\pavas.ico 2008-02-28 10:24 . 2008-02-28 10:24 0 --a------ D:\WINDOWS\nsreg.dat 2008-02-28 09:52 . 2004-01-23 00:00 159,744 --a------ D:\WINDOWS\system32\igfxres.dll 2008-02-28 09:47 . 2008-02-28 10:30 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-02-28 09:22 . 2008-02-28 09:22 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft 2008-02-28 09:15 . 2006-01-27 21:41 <DIR> d--h----- D:\Dokumente und Einstellungen\Administrator\Vorlagen 2008-02-28 09:15 . 2006-01-27 21:32 <DIR> dr------- D:\Dokumente und Einstellungen\Administrator\Startmen 2008-02-28 09:15 . 2006-01-27 21:32 <DIR> d--h----- D:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2008-02-28 09:15 . 2008-03-01 17:43 <DIR> d--h----- D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2008-02-28 09:15 . 2008-02-28 19:21 <DIR> d-------- D:\Dokumente und Einstellungen\Administrator\Favoriten 2008-02-28 09:15 . 2006-01-27 21:32 <DIR> d--h----- D:\Dokumente und Einstellungen\Administrator\Druckumgebung 2008-02-28 09:15 . 2008-02-29 14:03 <DIR> dr-h----- D:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2008-02-28 09:12 . 2002-12-31 13:00 401,408 --a------ D:\kmd.exe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-02-29 10:19 --------- d-----w D:\Programme\iTunes 2008-02-28 08:10 --------- d-----w D:\Dokumente und Einstellungen\Golf\Anwendungsdaten\U3 2008-01-27 00:31 --------- d-----w D:\Programme\Microsoft ActiveSync 2007-08-30 01:20 20 ----a-w D:\Dokumente und Einstellungen\Golf\mhsha1.dat 2006-03-06 11:42 1,798 ----a-w D:\Programme\INSTALL.LOG . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{42A3A616-FF3C-4713-A5C2-4F1B566CEF51}] D:\WINDOWS\system32\0451.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="D:\WINDOWS\system32\ctfmon.exe" [2002-12-31 13:00 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "FjDspMon"="D:\Programme\Fujitsu\Utils\FjDspMon.exe" [2004-10-14 14:56 20480] "FjEvents"="D:\Programme\Fujitsu\Utils\fjevents.exe" [2004-12-16 15:08 20480] "Fujitsu Menu"="D:\Programme\Fujitsu\Utils\FjMnuIco.exe" [2004-12-16 15:10 32768] "QuickTime Task"="D:\Programme\QuickTime\QTTask.exe" [2007-12-11 10:56 286720] "iTunesHelper"="D:\Programme\iTunes\iTunesHelper.exe" [2007-12-11 12:10 267048] "HotKeysCmds"="D:\WINDOWS\system32\hkcmd.exe" [2004-01-23 00:00 118784] "avgnt"="D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-03-01 08:05 249896] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="D:\WINDOWS\system32\CTFMON.EXE" [2002-12-31 13:00 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run] "r3jf6x9p"= rundll32 "D:\WINDOWS\Downlo~1\r3jf6x9p.dll",start [HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate\au] "NoAutoUpdate"= 1 (0x1) [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{ACADABAF-1000-0010-8000-10AA006D2EA4}"= D:\WINDOWS\system32\system.dat [ ] [HKLM\~\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk] backup=D:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup [HKLM\~\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] backup=D:\WINDOWS\pss\Microsoft Office.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVMWlanClient] --a------ 2006-06-23 10:24 343552 D:\Programme\avmwlanstick\FRITZWLANMini.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck] D:\WINDOWS\system32\dumprep 0 -k [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mode] E:\NBDriver.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mppds] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2001-07-09 11:50 155648 D:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] --a------ 2003-10-31 19:42 32768 D:\Programme\CyberLink\PowerDVD\PDVDServ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "wuauserv"=2 (0x2) "TapiSrv"=3 (0x3) "mnmsrvc"=3 (0x3) [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) R2 AVMPORT;AVMPORT;D:\WINDOWS\system32\drivers\avmport.sys [2004-05-26 16:52] R2 ECBatteryDRV;ECBatteryDRV;D:\WINDOWS\system32\drivers\ECBatteryDRV.sys [2003-03-19 07:37] R2 ECMonitorDRV;ECMonitorDRV;D:\WINDOWS\system32\drivers\ECMonitorDRV.sys [2003-01-29 04:03] R2 ECUtilityDRV;ECUtilityDRV;D:\WINDOWS\system32\drivers\ECUtilityDRV.sys [2003-01-29 04:03] R2 HotCPUDRV;HotCPUDRV;D:\WINDOWS\system32\drivers\HotCPUDRV.sys [2003-01-29 04:03] R2 WinBootDRV;WinBootDRV;D:\WINDOWS\system32\drivers\WinBootDRV.sys [2003-01-29 04:02] R3 {E6759E0C-470B-44DC-A4A1-627E68BB3A85};AIM 3.0 SI164;D:\WINDOWS\system32\drivers\A302.sys [2004-01-23 00:00] R3 AVMCOWAN;AVMCOWAN;D:\WINDOWS\system32\DRIVERS\AVMCOWAN.sys [2004-09-16 01:00] R3 CONAN;CONAN;D:\WINDOWS\system32\drivers\o2mmb.sys [2004-11-18 23:00] R3 FUJ02E1;%FUJ02E1.DeviceDesc%;D:\WINDOWS\system32\Drivers\FUJ02E1.sys [2004-10-18 15:08] R3 MbxStby;MbxStby;D:\WINDOWS\system32\drivers\MbxStby.sys [2004-11-18 23:00] R3 O2SCBUS;O2Micro SmartCardBus Reader;D:\WINDOWS\system32\DRIVERS\ozscr.sys [2003-06-11 17:53] R3 WacomISDPen;Wacom Penabled HID MiniDriver;D:\WINDOWS\system32\DRIVERS\wacomisdpen.sys [2005-12-05 10:58] S0 ijyar1;ijyar;D:\WINDOWS\system32\DRIVERS\ijyar1.sys [] S2 1szghrg;1szghrg;D:\WINDOWS\system32\drivers\1szghrg.sys [] S2 x9ai7apm2t;x9ai7apm2t;D:\WINDOWS\system32\drivers\x9ai7apm2t.sys [] S3 FWLANUSB;AVM FRITZ!WLAN;D:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-04-06 00:00] S3 FXUSBASE;Eumex 5520PC (WinXP/2000);D:\WINDOWS\system32\DRIVERS\fxusbase.sys [2004-09-16 01:00] S3 hidpen;Wacom Serial Pen HID MiniDriver;D:\WINDOWS\system32\DRIVERS\hidpen.sys [2005-07-04 12:34] S3 ldiskl;ldiskl;D:\DOKUME~1\Golf\LOKALE~1\Temp\ldiskl.sys [] S3 NETPPPOI;PPP over ISDN;D:\WINDOWS\system32\DRIVERS\NETPPPOI.SYS [] S3 OZSCR;O2Micro SmartCardBus Smartcard Reader;D:\WINDOWS\system32\DRIVERS\ozscr.sys [2003-06-11 17:53] S3 tap0801;TAP-Win32 Adapter V8;D:\WINDOWS\system32\DRIVERS\tap0801.sys [2006-10-01 13:37] S3 WacomPen;Wacom HID-Treiber für seriellen Stift;D:\WINDOWS\system32\DRIVERS\wacompen.sys [2004-08-03 23:04] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] zaobxixr REG_MULTI_SZ zaobxixr [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{119eeaf0-b121-11da-8977-000b5d726418}] \Shell\AutoRun\command - H:\setupSNK.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{65dc3540-55ab-11dc-8b12-000b5d726418}] \Shell\AutoRun\command - G:\pushinst.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a46a28c8-5df9-11dc-8b28-000b5d726418}] \Shell\AutoRun\command - F:\LaunchU3.exe -a [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a46a28c9-5df9-11dc-8b28-000b5d726418}] \Shell\AutoRun\command - D:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Setup.pif . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-02 10:42:56 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . D:\WINDOWS\System32\SCardSvr.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe D:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe D:\WINDOWS\System32\digtizer.exe D:\WINDOWS\system32\igfxext.exe D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe D:\WINDOWS\system32\Tablet.exe D:\WINDOWS\system32\wdfmgr.exe D:\WINDOWS\system32\rundll32.exe D:\WINDOWS\system32\igfxext.exe D:\WINDOWS\system32\WTablet\TabUserW.exe D:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe D:\Programme\Fujitsu\Utils\FjDock.exe D:\Programme\iPod\bin\iPodService.exe D:\WINDOWS\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-03-02 10:44:51 - machine was rebooted ComboFix2.txt 2008-03-01 16:43:16 . 2007-08-29 02:36:57 --- E O F --- ------------------------------------------------------------------------------------- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:57, on 2008-03-02 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\system32\spoolsv.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe D:\Programme\Fujitsu\Utils\FjDspMon.exe D:\Programme\Fujitsu\Utils\fjevents.exe D:\Programme\Fujitsu\Utils\FjMnuIco.exe D:\Programme\iTunes\iTunesHelper.exe D:\WINDOWS\system32\hkcmd.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe D:\WINDOWS\system32\ctfmon.exe D:\WINDOWS\system32\igfxext.exe D:\WINDOWS\system32\WTablet\TabUserW.exe D:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe D:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe D:\WINDOWS\System32\digtizer.exe D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\system32\Tablet.exe D:\Programme\iPod\bin\iPodService.exe D:\Dokumente und Einstellungen\Golf\Desktop\HJT\HJT.exe D:\WINDOWS\system32\wuauclt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1 O2 - BHO: Invoke Class - {42A3A616-FF3C-4713-A5C2-4F1B566CEF51} - D:\WINDOWS\system32\0451.dll (file missing) O4 - HKLM\..\Run: [FjDspMon] D:\Programme\Fujitsu\Utils\FjDspMon.exe O4 - HKLM\..\Run: [FjEvents] D:\Programme\Fujitsu\Utils\fjevents.exe O4 - HKLM\..\Run: [Fujitsu Menu] D:\Programme\Fujitsu\Utils\FjMnuIco.exe O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [HotKeysCmds] D:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe O4 - HKLM\..\Policies\Explorer\Run: [r3jf6x9p] rundll32 "D:\WINDOWS\Downlo~1\r3jf6x9p.dll",start O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Picture Motion Browser Medien-Prüfung.lnk = D:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: TabUserW.exe.lnk = D:\WINDOWS\system32\WTablet\TabUserW.exe O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Autodata Limited License Service - Autodata Limited - D:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe O23 - Service: Digitizer Service (Digitizer) - WACOM - D:\WINDOWS\System32\digtizer.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - D:\Programme\iPod\bin\iPodService.exe O23 - Service: TabletService - Wacom Technology, Corp. - D:\WINDOWS\system32\Tablet.exe -- End of file - 4695 bytes Vielen Dank! |
|
|
||
02.03.2008, 12:39
Ehrenmitglied
Beiträge: 1441 |
#12
Hallo,
1. deaktiviere Spybot - Search & Destroy 2. HijackThis Setze ein Häckchen in das Kästchen vor den genannten Eintrag der im SicherheitsForum als zu "fixen" (löschen) empfohlen wurde) - keine anderen !! und wähle fix checked. Zitat O2 - BHO: Invoke Class - {42A3A616-FF3C-4713-A5C2-4F1B566CEF51} - D:\WINDOWS\system32\0451.dll (file missing)------------------------------------------------------------- 3. erstelle eine neue cfscript.txt (nach Anleitung) Zitat KILLALL::boote in den abgesicherten Modus - F8 drücken, wenn der Rechner hochfährt ziehe die cfscript.txt wieder auf das symbol von Combofix + die Combofix neu anwenden 4. boote wieder in den normalmodus 5. poste das neue Log von Combofix __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
02.03.2008, 13:43
Member
Themenstarter Beiträge: 13 |
#13
Hallo!
Die RUNDLL - Fehlermeldung ist jetzt weg, es erscheint jetzt nur noch die Meldung: Fujitsu Display Controls Error accessing registry The application will now terminate Diese Fehlermeldung hat der Laptop aber wohl schon von Anfang an gehabt, liegt wohl nicht an einem Virus o.ä.? ComboFix 08-03-01.3 - Golf 2008-03-02 13:30:41.5 - NTFSx86 MINIMAL Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1800 [GMT 1:00] ausgeführt von:: D:\Dokumente und Einstellungen\Golf\Desktop\ComboFix.exe Command switches used :: D:\Dokumente und Einstellungen\Golf\Desktop\cfscript.txt [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] FILE :: D:\WINDOWS\system32\drivers\1szghrg.sys D:\WINDOWS\System32\DRIVERS\ijyar1.sys . ((((((((((((((((((((((( Dateien erstellt von 2008-02-02 bis 2008-03-02 )))))))))))))))))))))))))))))) . 2008-03-01 12:11 . 2008-03-01 12:11 <DIR> d---s---- D:\Dokumente und Einstellungen\Golf\UserData 2008-02-29 15:56 . 2008-02-29 15:56 <DIR> d-------- D:\_OTMoveIt 2008-02-29 15:02 . 2008-02-29 15:02 <DIR> dr------- D:\Dokumente und Einstellungen\Administrator\Eigene Dateien 2008-02-29 14:11 . 2008-03-01 12:59 30,590 --a------ D:\WINDOWS\system32\pavas.ico 2008-02-28 10:24 . 2008-02-28 10:24 0 --a------ D:\WINDOWS\nsreg.dat 2008-02-28 09:52 . 2004-01-23 00:00 159,744 --a------ D:\WINDOWS\system32\igfxres.dll 2008-02-28 09:47 . 2008-02-28 10:30 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-02-28 09:22 . 2008-02-28 09:22 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft 2008-02-28 09:15 . 2006-01-27 21:41 <DIR> d--h----- D:\Dokumente und Einstellungen\Administrator\Vorlagen 2008-02-28 09:15 . 2006-01-27 21:32 <DIR> dr------- D:\Dokumente und Einstellungen\Administrator\Startmen 2008-02-28 09:15 . 2006-01-27 21:32 <DIR> d--h----- D:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2008-02-28 09:15 . 2008-03-02 11:06 <DIR> d--h----- D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2008-02-28 09:15 . 2008-02-28 19:21 <DIR> d-------- D:\Dokumente und Einstellungen\Administrator\Favoriten 2008-02-28 09:15 . 2006-01-27 21:32 <DIR> d--h----- D:\Dokumente und Einstellungen\Administrator\Druckumgebung 2008-02-28 09:15 . 2008-02-29 14:03 <DIR> dr-h----- D:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2008-02-28 09:12 . 2002-12-31 13:00 401,408 --a------ D:\kmd.exe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-02-29 10:19 --------- d-----w D:\Programme\iTunes 2008-02-28 08:10 --------- d-----w D:\Dokumente und Einstellungen\Golf\Anwendungsdaten\U3 2008-01-27 00:31 --------- d-----w D:\Programme\Microsoft ActiveSync 2007-08-30 01:20 20 ----a-w D:\Dokumente und Einstellungen\Golf\mhsha1.dat 2006-03-06 11:42 1,798 ----a-w D:\Programme\INSTALL.LOG . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="D:\WINDOWS\system32\ctfmon.exe" [2002-12-31 13:00 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "FjDspMon"="D:\Programme\Fujitsu\Utils\FjDspMon.exe" [2004-10-14 14:56 20480] "FjEvents"="D:\Programme\Fujitsu\Utils\fjevents.exe" [2004-12-16 15:08 20480] "Fujitsu Menu"="D:\Programme\Fujitsu\Utils\FjMnuIco.exe" [2004-12-16 15:10 32768] "QuickTime Task"="D:\Programme\QuickTime\QTTask.exe" [2007-12-11 10:56 286720] "iTunesHelper"="D:\Programme\iTunes\iTunesHelper.exe" [2007-12-11 12:10 267048] "HotKeysCmds"="D:\WINDOWS\system32\hkcmd.exe" [2004-01-23 00:00 118784] "avgnt"="D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-03-01 08:05 249896] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="D:\WINDOWS\system32\CTFMON.EXE" [2002-12-31 13:00 15360] [HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate\au] "NoAutoUpdate"= 1 (0x1) [HKLM\~\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk] backup=D:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup [HKLM\~\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] backup=D:\WINDOWS\pss\Microsoft Office.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVMWlanClient] --a------ 2006-06-23 10:24 343552 D:\Programme\avmwlanstick\FRITZWLANMini.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck] D:\WINDOWS\system32\dumprep 0 -k [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mode] E:\NBDriver.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mppds] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2001-07-09 11:50 155648 D:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] --a------ 2003-10-31 19:42 32768 D:\Programme\CyberLink\PowerDVD\PDVDServ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "wuauserv"=2 (0x2) "TapiSrv"=3 (0x3) "mnmsrvc"=3 (0x3) [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) R2 AVMPORT;AVMPORT;D:\WINDOWS\system32\drivers\avmport.sys [2004-05-26 16:52] R2 ECBatteryDRV;ECBatteryDRV;D:\WINDOWS\system32\drivers\ECBatteryDRV.sys [2003-03-19 07:37] R2 ECMonitorDRV;ECMonitorDRV;D:\WINDOWS\system32\drivers\ECMonitorDRV.sys [2003-01-29 04:03] R2 ECUtilityDRV;ECUtilityDRV;D:\WINDOWS\system32\drivers\ECUtilityDRV.sys [2003-01-29 04:03] R2 HotCPUDRV;HotCPUDRV;D:\WINDOWS\system32\drivers\HotCPUDRV.sys [2003-01-29 04:03] R2 WinBootDRV;WinBootDRV;D:\WINDOWS\system32\drivers\WinBootDRV.sys [2003-01-29 04:02] R3 {E6759E0C-470B-44DC-A4A1-627E68BB3A85};AIM 3.0 SI164;D:\WINDOWS\system32\drivers\A302.sys [2004-01-23 00:00] R3 AVMCOWAN;AVMCOWAN;D:\WINDOWS\system32\DRIVERS\AVMCOWAN.sys [2004-09-16 01:00] R3 CONAN;CONAN;D:\WINDOWS\system32\drivers\o2mmb.sys [2004-11-18 23:00] R3 FUJ02E1;%FUJ02E1.DeviceDesc%;D:\WINDOWS\system32\Drivers\FUJ02E1.sys [2004-10-18 15:08] R3 MbxStby;MbxStby;D:\WINDOWS\system32\drivers\MbxStby.sys [2004-11-18 23:00] R3 O2SCBUS;O2Micro SmartCardBus Reader;D:\WINDOWS\system32\DRIVERS\ozscr.sys [2003-06-11 17:53] R3 WacomISDPen;Wacom Penabled HID MiniDriver;D:\WINDOWS\system32\DRIVERS\wacomisdpen.sys [2005-12-05 10:58] S2 x9ai7apm2t;x9ai7apm2t;D:\WINDOWS\system32\drivers\x9ai7apm2t.sys [] S3 FWLANUSB;AVM FRITZ!WLAN;D:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-04-06 00:00] S3 FXUSBASE;Eumex 5520PC (WinXP/2000);D:\WINDOWS\system32\DRIVERS\fxusbase.sys [2004-09-16 01:00] S3 hidpen;Wacom Serial Pen HID MiniDriver;D:\WINDOWS\system32\DRIVERS\hidpen.sys [2005-07-04 12:34] S3 ldiskl;ldiskl;D:\DOKUME~1\Golf\LOKALE~1\Temp\ldiskl.sys [] S3 NETPPPOI;PPP over ISDN;D:\WINDOWS\system32\DRIVERS\NETPPPOI.SYS [] S3 OZSCR;O2Micro SmartCardBus Smartcard Reader;D:\WINDOWS\system32\DRIVERS\ozscr.sys [2003-06-11 17:53] S3 tap0801;TAP-Win32 Adapter V8;D:\WINDOWS\system32\DRIVERS\tap0801.sys [2006-10-01 13:37] S3 WacomPen;Wacom HID-Treiber für seriellen Stift;D:\WINDOWS\system32\DRIVERS\wacompen.sys [2004-08-03 23:04] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{119eeaf0-b121-11da-8977-000b5d726418}] \Shell\AutoRun\command - H:\setupSNK.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{65dc3540-55ab-11dc-8b12-000b5d726418}] \Shell\AutoRun\command - G:\pushinst.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-02 13:36:14 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . D:\WINDOWS\System32\SCardSvr.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe D:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe D:\WINDOWS\System32\digtizer.exe D:\WINDOWS\system32\igfxext.exe D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe D:\WINDOWS\system32\igfxext.exe D:\WINDOWS\system32\Tablet.exe D:\Programme\Fujitsu\Utils\FjDock.exe D:\WINDOWS\system32\wdfmgr.exe D:\WINDOWS\system32\WTablet\TabUserW.exe D:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe D:\Programme\iPod\bin\iPodService.exe D:\WINDOWS\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-03-02 13:37:54 - machine was rebooted ComboFix-quarantined-files.txt 2008-03-02 12:37:51 ComboFix2.txt 2008-03-02 10:06:40 ComboFix3.txt 2008-03-02 09:44:52 ComboFix4.txt 2008-03-01 16:43:16 . 2007-08-29 02:36:57 --- E O F --- Gruß Mölli |
|
|
||
02.03.2008, 15:06
Ehrenmitglied
Beiträge: 1441 |
#14
1.
gehe in die Registry Start - Ausführen - regedit klicke dich durch zu den Schlüsseln: [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 - in 0 ändern "UpdatesDisableNotify"=dword:00000001 - in 0 ändern [HKEY_LOCAL_MACHINE\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) - in 1 ändern HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU "NoAutoUpdate"= 1 (0x1) - in 0 ändern es muss dann dort stehen: "NoAutoUpdate"=dword:00000000 Speichern + PC neustarten ------------------------------------------------------------------ 2. Dial-a-fix laden + anwenden http://virus-protect.org/artikel/tools/dial_a_fix.html 3. ComboFix entfernen Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" 4. lade Combofix neu + poste den Report hier http://virus-protect.org/artikel/tools/combofix.html __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
03.03.2008, 09:35
Member
Themenstarter Beiträge: 13 |
#15
Hallo!
Kurz bevor Combofix den Computer heruntergefahren hat erschien eine Fehlermeldung mit: Combofix... kann nicht auf die Anwendung zugreifen da es von einer anderen Anwendung verwendet wird (oder so ähnlich). Der Computer hat sich dann beim Herunterfahren aufgehängt, ich musste ihn von Hand ausmachen. ComboFix 08-03-03.6 - Golf 2008-03-03 9:10:24.7 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1692 [GMT 1:00] ausgeführt von:: D:\Dokumente und Einstellungen\Golf\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . ((((((((((((((((((((((( Dateien erstellt von 2008-02-03 bis 2008-03-03 )))))))))))))))))))))))))))))) . 2008-03-03 09:04 . 2008-03-03 09:05 <DIR> d-------- D:\WINDOWS\system32\CatRoot2 2008-03-02 17:25 . 2002-12-31 13:00 401,408 --a------ D:\CF2170.exe 2008-03-01 12:11 . 2008-03-01 12:11 <DIR> d---s---- D:\Dokumente und Einstellungen\Golf\UserData 2008-02-29 15:02 . 2008-02-29 15:02 <DIR> dr------- D:\Dokumente und Einstellungen\Administrator\Eigene Dateien 2008-02-29 14:11 . 2008-03-01 12:59 30,590 --a------ D:\WINDOWS\system32\pavas.ico 2008-02-28 10:24 . 2008-02-28 10:24 0 --a------ D:\WINDOWS\nsreg.dat 2008-02-28 09:52 . 2004-01-23 00:00 159,744 --a------ D:\WINDOWS\system32\igfxres.dll 2008-02-28 09:47 . 2008-02-28 10:30 <DIR> d-------- D:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy 2008-02-28 09:22 . 2008-02-28 09:22 <DIR> d-------- D:\DOKUME~1\ALLUSE~1\ANWEND~1\Grisoft 2008-02-28 09:15 . 2006-01-27 21:41 <DIR> d--h----- D:\Dokumente und Einstellungen\Administrator\Vorlagen 2008-02-28 09:15 . 2006-01-27 21:32 <DIR> dr------- D:\Dokumente und Einstellungen\Administrator\Startmen 2008-02-28 09:15 . 2006-01-27 21:32 <DIR> d--h----- D:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2008-02-28 09:15 . 2008-03-02 17:32 <DIR> d--h----- D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2008-02-28 09:15 . 2008-02-28 19:21 <DIR> d-------- D:\Dokumente und Einstellungen\Administrator\Favoriten 2008-02-28 09:15 . 2006-01-27 21:32 <DIR> d--h----- D:\Dokumente und Einstellungen\Administrator\Druckumgebung 2008-02-28 09:15 . 2008-02-29 14:03 <DIR> dr-h----- D:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2008-02-28 09:12 . 2002-12-31 13:00 401,408 --a------ D:\kmd.exe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-02-29 10:19 --------- d-----w D:\Programme\iTunes 2008-02-28 08:10 --------- d-----w D:\Dokumente und Einstellungen\Golf\Anwendungsdaten\U3 2008-01-27 00:31 --------- d-----w D:\Programme\Microsoft ActiveSync 2007-08-30 01:20 20 ----a-w D:\Dokumente und Einstellungen\Golf\mhsha1.dat 2006-03-06 11:42 1,798 ----a-w D:\Programme\INSTALL.LOG . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="D:\WINDOWS\system32\ctfmon.exe" [2002-12-31 13:00 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "FjDspMon"="D:\Programme\Fujitsu\Utils\FjDspMon.exe" [2004-10-14 14:56 20480] "FjEvents"="D:\Programme\Fujitsu\Utils\fjevents.exe" [2004-12-16 15:08 20480] "Fujitsu Menu"="D:\Programme\Fujitsu\Utils\FjMnuIco.exe" [2004-12-16 15:10 32768] "QuickTime Task"="D:\Programme\QuickTime\QTTask.exe" [2007-12-11 10:56 286720] "iTunesHelper"="D:\Programme\iTunes\iTunesHelper.exe" [2007-12-11 12:10 267048] "HotKeysCmds"="D:\WINDOWS\system32\hkcmd.exe" [2004-01-23 00:00 118784] "avgnt"="D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-03-01 08:05 249896] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="D:\WINDOWS\system32\CTFMON.EXE" [2002-12-31 13:00 15360] D:\DOKUME~1\ALLUSE~1\STARTM~1\PROGRA~1\AUTOST~1\ Microsoft Office.lnk - D:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04 83360] TabUserW.exe.lnk - D:\WINDOWS\system32\WTablet\TabUserW.exe [2006-05-30 21:02:21 114688] [HKLM\~\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk] backup=D:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup [HKLM\~\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] backup=D:\WINDOWS\pss\Microsoft Office.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVMWlanClient] --a------ 2006-06-23 10:24 343552 D:\Programme\avmwlanstick\FRITZWLANMini.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck] D:\WINDOWS\system32\dumprep 0 -k [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mode] E:\NBDriver.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mppds] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2001-07-09 11:50 155648 D:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] --a------ 2003-10-31 19:42 32768 D:\Programme\CyberLink\PowerDVD\PDVDServ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "wuauserv"=2 (0x2) "TapiSrv"=3 (0x3) "mnmsrvc"=3 (0x3) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) R2 AVMPORT;AVMPORT;D:\WINDOWS\system32\drivers\avmport.sys [2004-05-26 16:52] R2 ECBatteryDRV;ECBatteryDRV;D:\WINDOWS\system32\drivers\ECBatteryDRV.sys [2003-03-19 07:37] R2 ECMonitorDRV;ECMonitorDRV;D:\WINDOWS\system32\drivers\ECMonitorDRV.sys [2003-01-29 04:03] R2 ECUtilityDRV;ECUtilityDRV;D:\WINDOWS\system32\drivers\ECUtilityDRV.sys [2003-01-29 04:03] R2 HotCPUDRV;HotCPUDRV;D:\WINDOWS\system32\drivers\HotCPUDRV.sys [2003-01-29 04:03] R2 WinBootDRV;WinBootDRV;D:\WINDOWS\system32\drivers\WinBootDRV.sys [2003-01-29 04:02] R3 {E6759E0C-470B-44DC-A4A1-627E68BB3A85};AIM 3.0 SI164;D:\WINDOWS\system32\drivers\A302.sys [2004-01-23 00:00] R3 AVMCOWAN;AVMCOWAN;D:\WINDOWS\system32\DRIVERS\AVMCOWAN.sys [2004-09-16 01:00] R3 CONAN;CONAN;D:\WINDOWS\system32\drivers\o2mmb.sys [2004-11-18 23:00] R3 FUJ02E1;%FUJ02E1.DeviceDesc%;D:\WINDOWS\system32\Drivers\FUJ02E1.sys [2004-10-18 15:08] R3 MbxStby;MbxStby;D:\WINDOWS\system32\drivers\MbxStby.sys [2004-11-18 23:00] R3 O2SCBUS;O2Micro SmartCardBus Reader;D:\WINDOWS\system32\DRIVERS\ozscr.sys [2003-06-11 17:53] R3 WacomISDPen;Wacom Penabled HID MiniDriver;D:\WINDOWS\system32\DRIVERS\wacomisdpen.sys [2005-12-05 10:58] S2 x9ai7apm2t;x9ai7apm2t;D:\WINDOWS\system32\drivers\x9ai7apm2t.sys [] S3 FWLANUSB;AVM FRITZ!WLAN;D:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-04-06 00:00] S3 FXUSBASE;Eumex 5520PC (WinXP/2000);D:\WINDOWS\system32\DRIVERS\fxusbase.sys [2004-09-16 01:00] S3 hidpen;Wacom Serial Pen HID MiniDriver;D:\WINDOWS\system32\DRIVERS\hidpen.sys [2005-07-04 12:34] S3 ldiskl;ldiskl;D:\DOKUME~1\Golf\LOKALE~1\Temp\ldiskl.sys [] S3 NETPPPOI;PPP over ISDN;D:\WINDOWS\system32\DRIVERS\NETPPPOI.SYS [] S3 OZSCR;O2Micro SmartCardBus Smartcard Reader;D:\WINDOWS\system32\DRIVERS\ozscr.sys [2003-06-11 17:53] S3 tap0801;TAP-Win32 Adapter V8;D:\WINDOWS\system32\DRIVERS\tap0801.sys [2006-10-01 13:37] S3 WacomPen;Wacom HID-Treiber für seriellen Stift;D:\WINDOWS\system32\DRIVERS\wacompen.sys [2004-08-03 23:04] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{119eeaf0-b121-11da-8977-000b5d726418}] \Shell\AutoRun\command - H:\setupSNK.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{65dc3540-55ab-11dc-8b12-000b5d726418}] \Shell\AutoRun\command - G:\pushinst.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-03 09:20:21 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . D:\WINDOWS\System32\SCardSvr.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe D:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe D:\WINDOWS\System32\digtizer.exe D:\WINDOWS\system32\igfxext.exe D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe D:\WINDOWS\system32\igfxext.exe D:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe D:\WINDOWS\system32\Tablet.exe D:\WINDOWS\system32\wdfmgr.exe D:\Programme\Fujitsu\Utils\FjDock.exe D:\Programme\iPod\bin\iPodService.exe D:\WINDOWS\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-03-03 9:22:21 - machine was rebooted ComboFix2.txt 2008-03-02 16:32:13 ComboFix3.txt 2008-03-02 12:37:55 . 2007-08-29 02:36:57 --- E O F --- Gruß Mölli |
|
|
||
Habe gerade ein paar Probleme mit einem Laptop:
Das Internet funktioniert nicht, und soald man etwas anklickt kommt eine Fehlermeldung dass das Modul RUNDLL nicht gefunden werden konnte. Combofix konnte ich nicht durchführen, das Fenster hat sich nach kurzer Zeit wieder geschlossen, auch im abgesicherten Modus. Im abgesicherten Modus kommt die Fehlermeldung übrigens nicht. Antivir findet nichts, ist aber schon lange nicht mehr aktualisiert worden da das Internet wohl schon einige Zeit nicht mehr funktioniert.Hier die Logs:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:47, on 2008-02-28
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Fujitsu\Utils\FjDspMon.exe
D:\Programme\Fujitsu\Utils\fjevents.exe
D:\Programme\Fujitsu\Utils\FjMnuIco.exe
D:\Programme\iTunes\iTunesHelper.exe
D:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
D:\WINDOWS\system32\hkcmd.exe
D:\WINDOWS\system32\igfxext.exe
D:\WINDOWS\system32\ctfmon.exe
D:\WINDOWS\system32\WTablet\TabUserW.exe
D:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
D:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
D:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
D:\WINDOWS\System32\digtizer.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\WINDOWS\system32\45e81.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\Tablet.exe
D:\Programme\iPod\bin\iPodService.exe
D:\WINDOWS\system32\wscntfy.exe
D:\Dokumente und Einstellungen\Golf\Desktop\HJT\HJT.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.msn.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1
O2 - BHO: Invoke Class - {42A3A616-FF3C-4713-A5C2-4F1B566CEF51} - D:\WINDOWS\system32\0451.dll
O4 - HKLM\..\Run: [FjDspMon] D:\Programme\Fujitsu\Utils\FjDspMon.exe
O4 - HKLM\..\Run: [FjEvents] D:\Programme\Fujitsu\Utils\fjevents.exe
O4 - HKLM\..\Run: [Fujitsu Menu] D:\Programme\Fujitsu\Utils\FjMnuIco.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [HotKeysCmds] D:\WINDOWS\system32\hkcmd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Picture Motion Browser Medien-Prüfung.lnk = D:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: TabUserW.exe.lnk = D:\WINDOWS\system32\WTablet\TabUserW.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'd:\windows\system32\qdshm.dll' missing
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Autodata Limited License Service - Autodata Limited - D:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - D:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Digitizer Service (Digitizer) - WACOM - D:\WINDOWS\System32\digtizer.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: TabletService - Wacom Technology, Corp. - D:\WINDOWS\system32\Tablet.exe
--
End of file - 4264 bytes
.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datenträger in Laufwerk D: ist Windows XP
Volumeseriennummer: 343D-802A
Verzeichnis von D:\WINDOWS\system32
2008-02-28 19:40 37,332 tablet.dat
2008-02-27 20:09 110 d3d1caps.SRG
2008-02-27 19:45 2,206 wpa.dbl
2008-02-04 21:34 29 -12-81-29-89
2008-01-26 20:18 119,744 FNTCACHE.DAT
2007-12-11 10:57 65,536 QuickTimeVR.qtx
2007-12-11 10:57 49,152 QuickTime.qts
Datenträger in Laufwerk D: ist Windows XP
Volumeseriennummer: 343D-802A
Verzeichnis von D:\DOKUME~1\Golf\LOKALE~1\Temp
2008-02-28 19:49 104,152 datfind.txt
2008-02-28 09:10 27,031 U3Launcher.log
2008-02-04 22:02 251,904 .Sony_PMBrowser2000_BrowserDiskCache
2008-02-04 22:02 84,296 .Sony_PMBrowser2000_BrowserDiskCache.idx
2008-01-27 01:32 2,112 WCESLog.log
2008-01-27 01:31 302 WCESCOMM.LOG
2008-01-27 01:29 1,310 WcesView.log
2008-01-26 20:19 2,730 wmgsdisc.log
2008-01-26 20:19 498 WCESMgr.log
2007-12-19 17:47 2,143 QTInstallCode.log
2007-12-19 17:47 3,310 qtplugin.log
2007-12-12 17:32 5,991 {D5068583-D569-468B-9755-5FBF5848F46F}.log
2007-12-12 17:32 737 {CE2121C6-C94D-4A73-8EA4-6943F33EE335}.log
2007-12-12 17:31 1,477 {ACE66099-E18E-4037-83C8-9D182E5B9FA8}.log
2007-12-12 17:30 831 {22EB2FA7-1BA0-4FFB-972F-353EC6ABA9D5}.log
2007-12-12 17:30 880 {28B97CAB-828F-49D8-A30A-675476F9BA92}.log
2007-12-12 17:30 882 {6813C983-427E-4511-8456-E98FCAA1A125}.log
2007-12-12 17:29 882 {FA6CC4B4-7741-4F8D-8E81-15C4BAB9869B}.log
2007-12-12 17:29 882 {9C423CF6-2DAA-4A37-94B8-59D7ECC7DB13}.log
2007-12-12 17:29 882 {4E7DC12A-3597-4A94-9429-F6C6987361B1}.log
2007-12-12 17:28 882 {7DADB304-AF20-48C3-A780-4B4133A08817}.log
2007-12-05 23:33 16,384 ~DFA117.tmp
2007-12-05 23:22 16,384 ~DF8904.tmp
2007-12-05 23:06 16,384 ~DFE6E7.tmp
2007-12-05 23:01 0 ppt3.tmp
2007-12-05 23:00 16,384 ~DF83EC.tmp
2007-12-05 22:58 16,384 ~DF2D23.tmp
Datenträger in Laufwerk D: ist Windows XP
Volumeseriennummer: 343D-802A
Verzeichnis von D:\WINDOWS
2008-02-28 19:42 53,248 PSEXESVC.EXE
2008-02-28 19:40 159 wiadebug.log
2008-02-28 19:40 942,258 WindowsUpdate.log
2008-02-28 19:40 50 wiaservc.log
2008-02-28 19:39 54,156 QTFont.qfn
2008-02-28 19:39 0 0.log
2008-02-28 19:39 2,048 bootstat.dat
2008-02-28 19:37 499,798 setupapi.log
2008-02-28 19:36 1,054,704 ntbtlog.txt
2008-02-28 14:43 32,638 SchedLgU.Txt
2008-02-28 10:43 1,988 ErrRegDoc.txt
2008-02-28 10:31 3,533 ocmsn.log
2008-02-28 10:31 1,917 imsins.log
2008-02-28 10:31 3,429 tabletoc.log
2008-02-28 10:31 17,737 ntdtcsetup.log
2008-02-28 10:31 95,570 iis6.log
2008-02-28 10:31 33,474 tsoc.log
2008-02-28 10:31 31,170 comsetup.log
2008-02-28 10:31 40,864 ocgen.log
2008-02-28 10:31 5,050 MedCtrOC.log
2008-02-28 10:31 11,389 netfxocm.log
2008-02-28 10:31 3,374 msgsocm.log
2008-02-28 10:31 56,033 FaxSetup.log
2008-02-28 10:31 23,356 msmqinst.log
2008-02-28 10:24 0 nsreg.dat
2008-02-14 21:16 135 NeroDigital.ini
2008-01-26 20:15 1,374 imsins.BAK
2008-01-26 20:15 6,195 KB909394.log
2008-01-26 20:15 815 updspapi.log
2008-01-26 20:15 8,800 KB894476.log
2008-01-26 20:15 1,239 avmcoins.log
2008-01-26 20:15 586 avmcowlan.log
2008-01-26 20:12 400 ODBC.INI
2008-01-26 20:12 726 win.ini
2007-12-19 17:48 1,409 QTFont.for
2007-12-11 15:57 227 system.ini
Datenträger in Laufwerk D: ist Windows XP
Volumeseriennummer: 343D-802A
Verzeichnis von D:\WINDOWS\temp
2008-02-28 19:40 147,456 ~my2.tmp
.
.
Datenträger in Laufwerk D: ist Windows XP
Volumeseriennummer: 343D-802A
Verzeichnis von D:\WINDOWS\Downloaded Program Files
Vielen Dank schonmal!
Gruß