Privacy is in danger Virus |
||
---|---|---|
#0
| ||
11.03.2008, 15:19
...neu hier
Beiträge: 4 |
||
|
||
11.03.2008, 16:37
Ehrenmitglied
Beiträge: 1441 |
#2
hallo,
wende bitte Combofix an + poste hier den report http://www.virus-protect.org/artikel/tools/combofix.html __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
11.03.2008, 20:44
...neu hier
Themenstarter Beiträge: 4 |
#3
mit der rechten Maustaste den Text markieren -> komplett abkopieren -> im Forum, wo du einen Beitrag eröffnet hast -> einfügen
Diese Stelle ist mir nicht ganz klar. Ist damit gemeint ich muss den Log hier rein posten? Und wenn ja, was ist der Sinn? Das ist mein Combofix-Report: Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.729 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\Benjamin Walch\Eigene Dateien\Downloads\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\f3PSSavr.scr . ((((((((((((((((((((((( Dateien erstellt von 2008-02-11 bis 2008-03-11 )))))))))))))))))))))))))))))) . 2008-03-11 14:41 . 2008-03-11 14:41 <DIR> d-------- C:\WINDOWS\ERUNT 2008-03-11 14:28 . 2008-03-11 15:04 <DIR> d-------- C:\SDFix 2008-03-11 09:07 . 2008-03-11 09:07 <DIR> d-------- C:\WINDOWS\Content.IE5 2008-03-11 01:04 . 2005-11-29 16:26 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2008-03-11 01:04 . 2005-11-29 16:21 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü 2008-03-11 01:04 . 2005-11-29 16:21 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2008-03-11 01:04 . 2005-11-29 16:21 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2008-03-11 01:04 . 2005-11-29 16:21 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten 2008-03-11 01:04 . 2005-11-29 16:21 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung 2008-03-11 01:04 . 2005-11-29 16:21 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2008-03-11 00:45 . 2008-03-11 09:23 <DIR> d-------- C:\smitRem 2008-03-10 23:54 . 2008-03-11 09:04 <DIR> d-------- C:\Programme\RogueRemover FREE 2008-03-10 23:54 . 2008-03-10 23:54 <DIR> d-------- C:\Programme\CCleaner 2008-03-10 17:41 . 2008-03-10 17:41 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Xfire 2008-03-02 13:40 . 2008-03-02 13:41 <DIR> d-------- C:\Programme\Windows Live 2008-03-02 13:40 . 2008-03-02 13:40 <DIR> d--hsc--- C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller 2008-03-02 13:40 . 2008-03-02 13:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller 2008-02-23 14:27 . 2008-03-08 16:49 141 --a------ C:\WINDOWS\LODERUNN.INI 2008-02-23 14:26 . 2008-02-23 14:26 <DIR> d-------- C:\SIERRA 2008-02-23 14:26 . 1994-08-25 01:01 30,544 --a------ C:\WINDOWS\system\DIB.DRV 2008-02-21 02:57 . 2008-02-21 02:57 54,608 --a------ C:\WINDOWS\system32\xfcodec.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-03-11 19:53 --------- d-----w C:\Dokumente und Einstellungen\Benjamin Walch\Anwendungsdaten\Xfire 2008-03-11 11:46 --------- d-----w C:\Programme\World of Warcraft 2008-03-11 07:59 --------- d-----w C:\Programme\Windows Live Toolbar 2008-03-11 07:33 --------- d-----w C:\Programme\Steam 2008-03-10 23:22 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-03-10 17:46 --------- d-----w C:\Dokumente und Einstellungen\Benjamin Walch\Anwendungsdaten\uTorrent 2008-03-10 17:18 --------- d-----w C:\Programme\Guitar Pro 5 2008-03-07 18:33 --------- d-----w C:\Programme\eMule 2008-03-06 02:25 --------- d-s---w C:\Programme\Xfire 2008-03-03 17:26 --------- d-----w C:\Dokumente und Einstellungen\Benjamin Walch\Anwendungsdaten\teamspeak2 2008-03-02 12:41 --------- d-----w C:\Programme\MSN Messenger 2008-02-18 14:55 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe 2008-02-16 10:42 --------- d-----w C:\Programme\Minilyrics 2008-02-13 22:15 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help 2008-01-26 15:00 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-01-17 15:06 --------- d-----w C:\Programme\Java 2005-12-01 15:12 129,620,048 ----a-w C:\Dokumente und Einstellungen\Benjamin Walch\WoW-1.8.3.4807-to-0.9.0-deDE-patch.exe 2005-12-01 15:12 129,620,048 ----a-w C:\Dokumente und Einstellungen\Benjamin Walch\PTCpatch.exe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MSMSGS"="C:\Programme\Messenger\MSMSGS.exe" [2004-10-13 17:24 1694208] "LDM"="C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-10-30 17:06 67128] "msnmsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-03-29 21:05 339968] "SigmatelSysTrayApp"="stsystra.exe" [2005-03-22 18:20 339968 C:\WINDOWS\stsystra.exe] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-12 16:11 249896] "Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2005-05-20 14:46 28160 C:\WINDOWS\KHALMNPR.Exe] "mmtask"="C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe" [2005-05-03 09:37 53248] "QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2007-06-29 05:24 286720] "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-09-26 13:42 267064] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 08:57 15360] C:\Dokumente und Einstellungen\Benjamin Walch\Startmen\Programme\Autostart\ Xfire.lnk - C:\Programme\Xfire\Xfire.exe [2008-02-21 02:57:28 2945872] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Logitech Desktop Messenger.lnk - C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2007-10-30 17:06:08 67128] Logitech SetPoint.lnk - C:\Programme\Logitech\SetPoint\SetPoint.exe [2007-03-22 17:13:42 450560] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "C:\\WINDOWS\\system32\\rundll32.exe"= "C:\\WINDOWS\\system32\\dpvsetup.exe"= "C:\\WINDOWS\\system32\\sessmgr.exe"= "C:\\Programme\\World of Warcraft\\Launcher.exe"= "C:\\Programme\\eMule\\emule.exe"= "C:\\Programme\\Xfire\\Xfire.exe"= "C:\\StubInstaller.exe"= "C:\\Programme\\LimeWire\\LimeWire.exe"= "C:\\Dokumente und Einstellungen\\Benjamin Walch\\Eigene Dateien\\utorrent 1.6.exe"= "C:\\Programme\\Steam\\SteamApps\\qcm_maanu\\counter-strike source\\hl2.exe"= "C:\\Games\\Rune\\System\\Rune.exe"= "C:\\Games\\Siedler 3\\S3.EXE"= "%windir%\\system32\\sessmgr.exe"= "C:\\Games\\UT2004\\System\\UT2004.exe"= "C:\\WINDOWS\\system32\\dplaysvr.exe"= "C:\\Programme\\SecondLife\\SLVoice.exe"= "C:\\Programme\\SecondLife\\SecondLife.exe"= "C:\\Games\\Warcraft III\\Warcraft III.exe"= "C:\\Programme\\Sienzo\\DMM\\DMM.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= "C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"= "C:\\Games\\RF Online\\RF.exe"= "C:\\diskw\\usr\\local\\Apache2\\bin\\Apache.exe"= "C:\\Programme\\World of Warcraft\\BackgroundDownloader.exe"= "C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "C:\\Programme\\Lionhead Studios Ltd\\Black & White\\runblack.exe"= "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3724:TCP"= 3724:TCP:Blizzard Downloader "6112:TCP"= 6112:TCP:Blizzard Downloader "6881:TCP"= 6881:TCP:Blizzard Downloader "6999:TCP"= 6999:TCP:Blizzard Downloader S4 Boonty Games;Boonty Games;"C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe" [2007-03-24 02:42] . Inhalt des "geplante Tasks" Ordners "2008-03-11 16:25:03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Programme\Apple Software Update\SoftwareUpdate.exe "2008-03-11 19:38:02 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job" - C:\Programme\Windows Live Toolbar\MSNTBUP.EXE . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-11 21:00:46 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-03-11 21:02:50 ComboFix-quarantined-files.txt 2008-03-11 20:02:47 . 2008-02-13 22:17:04 --- E O F --- Dieser Beitrag wurde am 11.03.2008 um 21:08 Uhr von ikNo3 editiert.
|
|
|
||
11.03.2008, 22:07
Ehrenmitglied
Beiträge: 6028 |
#4
Entferne auf C:\SDFix\ backups -->papierkorb leeren
CombiFix entfernen Start > Ausführen>Kopiere rein ComboFix /U OK Entferne auf C:\combofix.txt Java http://board.protecus.de/t32385.htm Malwarebytes Anti-Malware http://www.virus-protect.org/artikel/tools/malwarebytes.html Download MBAM zum Desktop Doppelklick mbam-setup und waehle Deutsch,das Program wird jetzt ge-updatet Waehle bei Reiter “Scanner”>Schnell Scan durchfuehren Waehle alle Laufwerke>Scan laufen lassen Wenn am Ende infizierungen gefunden werden,anhaacken und entfernen lassen Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt) Poste dessen inhalt hier ins Forum Note: Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK Danach wird gefragt den Rechner neu zu starten,lass es zu __________ MfG Argus |
|
|
||
11.03.2008, 22:48
...neu hier
Themenstarter Beiträge: 4 |
#5
ComboFix /U wird nicht gefunden! Ich solle nachschauen ob der Name richtig ist und sonst nach der Datei suchen.
Anti-Malwarebericht: Malwarebytes' Anti-Malware 1.08 Datenbank Version: 479 Scan Art: Schnell Scan Objekte gescannt: 26946 Scan Dauer: 4 minute(s), 23 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 51 Infizierte Registrierungswerte: 0 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 1 Infizierte Dateien: 4 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\CLSID\{00a6faf6-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{07b18ea9-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\mywebsearch.htmlpanel (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\mywebsearch.htmlpanel.1 (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\mywebsearchtoolbar.toolbarplugin (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\mywebsearchtoolbar.toolbarplugin.1 (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\mywebsearch.pseudotransparentplugin (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\mywebsearch.pseudotransparentplugin.1 (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{7473d294-b7bb-4f24-ae82-7e2ce94bb6a9} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{7473d296-b7bb-4f24-ae82-7e2ce94bb6a9} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{e342af55-b78a-4cd0-a2bb-da7f52d9d25e} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{e342af55-b78a-4cd0-a2bb-da7f52d9d25f} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Typelib\{0d26bc71-a633-4e71-ad31-eadc3a1b6a3a} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{17de5e5e-bfe3-4e83-8e1f-8755795359ec} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{1f52a5fa-a705-4415-b975-88503b291728} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{3e720451-b472-4954-b7aa-33069eb53906} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{3e720453-b472-4954-b7aa-33069eb53906} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Typelib\{3e720450-b472-4954-b7aa-33069eb53906} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{7473d293-b7bb-4f24-ae82-7e2ce94bb6a9} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{7473d295-b7bb-4f24-ae82-7e2ce94bb6a9} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{7473d297-b7bb-4f24-ae82-7e2ce94bb6a9} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Typelib\{c8cecde3-1ae1-4c4a-ad82-6d5b00212144} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\AppID\{127df9b4-d75d-44a6-af78-8c3a8ceb03db} (Adware.WhenUSave) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\acm.acmfactory (Adware.WhenUSave) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{a9aae1ab-9688-42c5-86f5-c12f6b9015ad} (Adware.WhenUSave) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\acm.acmfactory.1 (Adware.WhenUSave) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{0be385a3-85a5-4722-b677-68dae891ff21} (Adware.WhenUSave) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{272c0d60-0561-4c83-b3db-eb0a71f9d2eb} (Adware.WhenUSave) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{284477e4-a7cb-4055-9e1b-0ea7cba28945} (Adware.WhenUSave) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{43382522-a846-46f4-ac57-1f71ae6e1086} (Adware.WhenUSave) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{572fb162-c0ba-4edf-8cff-e3846153b9b0} (Adware.WhenUSave) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{70ca4938-6a0f-4641-a9a9-c936e4c1e7de} (Adware.WhenUSave) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{72a836d1-bc00-43c0-a941-17960e4fb842} (Adware.WhenUSave) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{7468213e-010e-4ec6-a17d-642e909ba7ec} (Adware.WhenUSave) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{a916af3c-976d-4358-8736-95bea0b5fd2c} (Adware.WhenUSave) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{b86f4810-19a9-4050-9ac9-b5cf60b5799a} (Adware.WhenUSave) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{bb5b7e14-f8b4-4365-a24d-f4965c33e1ee} (Adware.WhenUSave) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{be45f056-e005-437b-be88-23acf70b0b6a} (Adware.WhenUSave) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{c13d4627-02f5-4b03-897a-bf6a90022dd2} (Adware.WhenUSave) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{c636f1fc-6ae4-4e6a-90ab-6d61d821a0dd} (Adware.WhenUSave) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{cb971ac0-6408-40da-a540-92f9f256f51f} (Adware.WhenUSave) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{d5694dfe-43b6-4e05-aa29-8c556c968973} (Adware.WhenUSave) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{e2032ec2-a9ac-4ed7-9bdb-ebecacf076f2} (Adware.WhenUSave) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{ebab4a71-8c34-461a-b57d-dd041d439555} (Adware.WhenUSave) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{f06fea43-0cc3-4bf6-a85b-5efb1c07aa4b} (Adware.WhenUSave) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{fc94a0f7-9c7c-4ae2-9106-5c212332b209} (Adware.WhenUSave) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Typelib\{df901432-1b9f-4f5b-9e56-301c553f9095} (Adware.WhenUSave) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Classes\etlrlws.bfrp (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Classes\etlrlws.ToolBar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\AppID\ACM.DLL (Adware.WhenUSave) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine Malware Objekte gefunden) Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: C:\Programme\Save (Adware.WhenUSave) -> Quarantined and deleted successfully. Infizierte Dateien: C:\Programme\Save\ACM.dll (Adware.WhenUSave) -> Quarantined and deleted successfully. C:\Programme\Save\extra.exe (Adware.WhenUSave) -> Quarantined and deleted successfully. C:\Programme\Save\saveupdate.exe (Adware.WhenUSave) -> Quarantined and deleted successfully. C:\Programme\Save\store.db (Adware.WhenUSave) -> Quarantined and deleted successfully. Dieser Beitrag wurde am 11.03.2008 um 23:10 Uhr von ikNo3 editiert.
|
|
|
||
12.03.2008, 00:10
Ehrenmitglied
Beiträge: 6028 |
#6
Das du ComboFix nicht mit ComboFix /U entfernen kannst,kommt daher das die Anleitung nicht befolgt worden ist
ComboFix muss immer auf dem Desktop stehen Zitat C:\Dokumente und Einstellungen\Benjamin Walch\Eigene Dateien\Downloads\ComboFix.exeSystemwiederherstellung http://www.virus-protect.org/systemwiederherstellung.html Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. - dann wieder aktivieren Entferne Hijack This 1.99.1 und…….. Erstellen eines Hijackthis-Logfiles Als erstes mach ein neuen Ordner auf C:\ z.b. C:\HijackThis,download HijackThis.exe dahin Download: HijackThis202 Doppelklick HijackThis.exe und installiere das Tool in C:\Programme Am Ende steht auf dein Desktop eine verknüpfung __________ MfG Argus |
|
|
||
12.03.2008, 16:28
...neu hier
Themenstarter Beiträge: 4 |
#7
Ich glaube der Virus ist weg. Scheint als ob den einige Leute in letzter Zeit hatten. Ich hoffe einfach er ist wirklich weg, wäre auch stolz da ich eigentlich keine Ahnung von Computern habe und trotzdem geschafft hätte, danke deiner Hilfe natürlich.
Mfg! |
|
|
||
Nun habe ich es mit SDFix versucht und lade jetzt mal das Ergebnis und ein Highjackthis-Logfile hoch.
Ich hoffe er ist endlich weg, da er nach einer Weile immer wieder kommt.
SDFix: Version 1.155
Run by Benjamin Walch on 11.03.2008 at 14:45
Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix
Checking Services :
Restoring Windows Registry Values
Restoring Windows Default Hosts File
Restoring Default HomePage Value
Restoring Default Desktop Components Value
Rebooting
Checking Files :
Trojan Files Found:
C:\Dokumente und Einstellungen\Benjamin Walch\Favoriten\Error Cleaner.url - Deleted
C:\Dokumente und Einstellungen\Benjamin Walch\Favoriten\Privacy Protector.url - Deleted
C:\Dokumente und Einstellungen\Benjamin Walch\Favoriten\Spyware&Malware Protection.url - Deleted
C:\DOKUME~1\BENJAM~1\LOKALE~1\Temp\ac8zt2.dat - Deleted
C:\WINDOWS\altvxvm.dll - Deleted
C:\WINDOWS\bokpkov.dll - Deleted
C:\WINDOWS\etlrlws.dll - Deleted
C:\WINDOWS\fmsxwqs.exe - Deleted
Removing Temp Files
ADS Check :
Final Check :
catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-11 14:53:39
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 177
Remaining Services :
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\WINDOWS\\system32\\rundll32.exe"="C:\\WINDOWS\\system32\\rundll32.exe:*isabled:Eine DLL-Datei als Anwendung ausfhren"
"C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\WINDOWS\\system32\\dpvsetup.exe:*isabled:Microsoft DirectPlay Voice Test"
"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*isabled:@xpsp2res.dll,-22019"
"C:\\Games\\Rune an Domki\\System\\Rune.exe"="C:\\Games\\Rune an Domki\\System\\Rune.exe:*:Enabled:Rune"
"C:\\Programme\\World of Warcraft\\Launcher.exe"="C:\\Programme\\World of Warcraft\\Launcher.exe:*:Enabled:World of Warcraft"
"C:\\Programme\\eMule\\emule.exe"="C:\\Programme\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Programme\\CA\\eTrust EZ Armor\\eTrust EZ Antivirus\\autodown.exe"="C:\\Programme\\CA\\eTrust EZ Armor\\eTrust EZ Antivirus\\autodown.exe:*:Enabled:Antivirus aktualisieren"
"C:\\Programme\\CA\\eTrust EZ Armor\\eTrust EZ Antivirus\\CAV.exe"="C:\\Programme\\CA\\eTrust EZ Armor\\eTrust EZ Antivirus\\CAV.exe:*:Enabled:eTrust EZ Antivirus"
"C:\\Programme\\World of Warcraft\\Glider\\Glider\\Glider.exe"="C:\\Programme\\World of Warcraft\\Glider\\Glider\\Glider.exe:*:Enabled: "
"C:\\Programme\\Xfire\\Xfire.exe"="C:\\Programme\\Xfire\\Xfire.exe:*:Enabled:Xfire"
"C:\\Programme\\BearShare\\BearShare.exe"="C:\\Programme\\BearShare\\BearShare.exe:*:Enabled:BearShare"
"C:\\StubInstaller.exe"="C:\\StubInstaller.exe:*:Enabled:LimeWire swarmed installer"
"C:\\Programme\\LimeWire\\LimeWire.exe"="C:\\Programme\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"C:\\Dokumente und Einstellungen\\Benjamin Walch\\Desktop\\utorrent_1.6.exe"="C:\\Dokumente und Einstellungen\\Benjamin Walch\\Desktop\\utorrent_1.6.exe:*:Enabled:æTorrent"
"C:\\Dokumente und Einstellungen\\Benjamin Walch\\Eigene Dateien\\utorrent_1.6.exe"="C:\\Dokumente und Einstellungen\\Benjamin Walch\\Eigene Dateien\\utorrent_1.6.exe:*:Enabled:æTorrent"
"C:\\Dokumente und Einstellungen\\Benjamin Walch\\Eigene Dateien\\utorrent 1.6.exe"="C:\\Dokumente und Einstellungen\\Benjamin Walch\\Eigene Dateien\\utorrent 1.6.exe:*:Enabled:æTorrent"
"C:\\Programme\\Steam\\SteamApps\\qcm_maanu\\counter-strike source\\hl2.exe"="C:\\Programme\\Steam\\SteamApps\\qcm_maanu\\counter-strike source\\hl2.exe:*:Enabled:hl2"
"C:\\UT2004\\System\\UT2004.exe"="C:\\UT2004\\System\\UT2004.exe:*:Enabled:UT2004"
"C:\\Games\\Rune\\System\\Rune.exe"="C:\\Games\\Rune\\System\\Rune.exe:*:Enabled:Rune"
"C:\\Games\\Siedler 3\\S3.EXE"="C:\\Games\\Siedler 3\\S3.EXE:*:Enabled:Siedler3"
"C:\\Programme\\uTorrent\\utorrent.exe"="C:\\Programme\\uTorrent\\utorrent.exe:*:Enabled:æTorrent"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Games\\UT2004\\System\\UT2004.exe"="C:\\Games\\UT2004\\System\\UT2004.exe:*:Enabled:UT2004"
"C:\\WINDOWS\\system32\\dplaysvr.exe"="C:\\WINDOWS\\system32\\dplaysvr.exe:*:Enabled:Microsoft DirectPlay Helper"
"C:\\Programme\\SecondLife\\SLVoice.exe"="C:\\Programme\\SecondLife\\SLVoice.exe:*:Enabled:SLVoice"
"C:\\Programme\\SecondLife\\SecondLife.exe"="C:\\Programme\\SecondLife\\SecondLife.exe:*:Enabled:Second Life"
"C:\\Games\\Warcraft III\\Warcraft III.exe"="C:\\Games\\Warcraft III\\Warcraft III.exe:*:Enabled:Warcraft III"
"C:\\Programme\\Sienzo\\DMM\\DMM.exe"="C:\\Programme\\Sienzo\\DMM\\DMM.exe:*:EnabledMM"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Programme\\Azureus\\Azureus.exe"="C:\\Programme\\Azureus\\Azureus.exe:*:Enabled:Azureus"
"C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"="C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger"
"C:\\Games\\RF Online\\RF.exe"="C:\\Games\\RF Online\\RF.exe:*:Enabled:RFLauncher"
"C:\\diskw\\usr\\local\\Apache2\\bin\\Apache.exe"="C:\\diskw\\usr\\local\\Apache2\\bin\\Apache.exe:*:Enabled:Apache HTTP Server"
"C:\\Programme\\World of Warcraft\\BackgroundDownloader.exe"="C:\\Programme\\World of Warcraft\\BackgroundDownloader.exe:*:Enabled:Blizzard Downloader"
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\\Programme\\Lionhead Studios Ltd\\Black & White\\runblack.exe"="C:\\Programme\\Lionhead Studios Ltd\\Black & White\\runblack.exe:*:Enabled:lh"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"="C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
Remaining Files :
File Backups: - C:\SDFix\backups\backups.zip
Files with Hidden Attributes :
Tue 10 Jan 2006 4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Fri 3 Nov 2006 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv02.tmp"
Thu 13 Dec 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\0a67b6c406b1d7e0f5c1e6f6d44a3f6e\BIT6.tmp"
Thu 13 Dec 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\18b19374451d28a8fbaf1939cf31ff45\BIT9.tmp"
Thu 13 Dec 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\26924cbc8132a10b438ce6e2b49d4652\BIT5.tmp"
Thu 13 Dec 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\2d9afc485ff57441ce14a08241df89e8\BITB.tmp"
Thu 24 Jan 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\585dc2612ebcefc90e7dee4c276ee95e\BIT1.tmp"
Thu 13 Dec 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\ad2d37be81d37204b0a12680c06ffd51\BIT8.tmp"
Thu 13 Dec 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\d77b9b5b8fed23dd91f50d167cce60d3\BITA.tmp"
Thu 13 Dec 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\ed6c7531380802fe7c2504f3909edb19\BIT7.tmp"
Tue 10 Jan 2006 4,348 ...H. --- "C:\Dokumente und Einstellungen\Benjamin Walch\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv1key.bak"
Fri 27 Oct 2006 20 A..H. --- "C:\Dokumente und Einstellungen\Benjamin Walch\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv1lic.bak"
Tue 10 Jan 2006 400 A.SH. --- "C:\Dokumente und Einstellungen\Benjamin Walch\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv2key.bak"
Finished!
Highjacjthis Logifile:
Logfile of HijackThis v1.99.1
Scan saved at 15:18:37, on 11.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Xfire\Xfire.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Benjamin Walch\Eigene Dateien\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.ch/0SEDECH/SAOS01?FORM=TOOLBR
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-ch\msntabres.dll.mui/229?171a2e0da7ff4442832719fc4bdff3cc
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-ch\msntabres.dll.mui/230?171a2e0da7ff4442832719fc4bdff3cc
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MrobeService - Unknown owner - C:\WINDOWS\system32\MRobeService.exe (file missing)