Home » Spyware & Browser Hijacker Support Forum » Virus "Warning Spyware detected on your computer!" auf Desktop, wie entfernen? » Themenansicht
Virus "Warning Spyware detected on your computer!" auf Desktop, wie entfernen?Thema ist geschlossen! |
||
|---|---|---|
Thema ist geschlossen! |
||
| #0
| ||
|
24.08.2008, 10:45
Ehrenmitglied
 Beiträge: 29434 |
||
 
|
|
|
|
25.08.2008, 22:42
...neu hier
Beiträge: 1 |
#122
Hallo,
ich hatte das Problem heute auch, dann habe ich den File lphcnncjoec3u.exe gefunden und gelöscht. Er steht in window\sytem32 und im fehlt das b vom Bildschirmschoner vielleicht funktioniert es bei Dir auch |
|
|
|
|
|
|
25.08.2008, 22:50
Moderator
Beiträge: 5694 |
#123
Hallo pc13
So einfach geht das nicht  Mache folgendes: 1. Cleaner anwenden http://www.virus-protect.org/ccleaner.html 2. Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log: http://virus-protect.org/artikel/tools/malwarebytes.html 3. poste das Logfile von Combofix http://www.virus-protect.org/artikel/tools/combofix.html 4. Erstelle ein Hijackthis-Logfiles Anleitung: http://virus-protect.org/hjtkurz.html Gruss Swiss |
|
|
|
|
|
|
25.08.2008, 23:52
Ehrenmitglied
Beiträge: 29434 |
#124
Hallo pc13
Zitat b vom Bildschirmschonerscanne mit smitfraudfix (option 2 ) - dann erscheint das MS-Blau und du kannst ein neues Desktop-Bild einstellen http://virus-protect.org/artikel/tools/smitfrautfix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
27.08.2008, 15:25
Member
Beiträge: 12 |
#125
hi,
ich habe ein ähnliches problem. zuerst hatte ich einen weißen desktop hintergrund mit der bekannten spywarewarnung und einem fenster indem ich einer anti-spyware installation zustimmen sollte. zudem wurde auch die windows firewall deaktiviert. dies trat bei jedem neustart auf. dann bin ich durch google auf diesen thread gestoßen, dachte mir "prima scheint ja ein lösbares problem zu sein", und bin kurz aus dem zimmer gegangen. danach war der bildschirm blau und mir wurde mitgeteilt ein schwerwiegendes problem sei aufgetreten. starte ich jetzt den pc fährt windows nicht richtig hoch, alles was ich sehe ist mein mausanzeiger vor einem schwarzen hintergrund. starte ich windows im abgesicherten modus wird meine w-lan karte anscheinend nicht erkannt. somit kann ich nicht die vorgeschlagenen schritte durchführen. sollte das problem nicht oder nur sehr schwer zu beheben sein könnte ich auch das komplette system deinstallieren, da ich diesen pc noch nicht lange habe und mir somit kein großer datenverlust droht. Für eine hilfeanleitung wäre ich sehr, sehr dankbar. mfg cuthbert |
|
|
|
|
|
|
27.08.2008, 15:34
Ehrenmitglied
Beiträge: 29434 |
#126
Hallo cuthbert
man kann im abgesicherten Modus den Modus wählen, wo auch die Netzwerktreiber mit geladen werden. Versuche es mal. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
27.08.2008, 16:23
Member
Beiträge: 12 |
#127
danke für die fixe antwort!
leider kann ich auf dem befallenen rechner keines der vier oben angegebenen programme installieren. CCleaner hab ich runtergeladen, aber wenn ich es installieren will kriege ich einen nsis error "installer integrity check has failed. ..." und bei den anderen drei kriege ich wenn ich sie runterladen will eine fehlermeldung "... Die Serververbindung konnte nicht hergestellt werden" ??? aber wie schon gesagt, wenn es die möglichkeit gibt das system komplett zu deinstallieren, und ich somit windows nochmal komplett installieren muss, wäre das auch nicht sonderlich schlimm. zwar nervig aber kein beinbruch... |
|
|
|
|
|
|
27.08.2008, 16:39
Member
Beiträge: 325 |
#128
@ cuthbert
Was hast Du denn überhaupt für ein Betriebsystem (da Dein Rechner noch nicht so alt ist,nehme ich mal an "Vista) ?? |
|
|
|
|
|
|
27.08.2008, 16:56
Member
Beiträge: 12 |
||
|
|
|
|
|
27.08.2008, 17:09
Member
Beiträge: 325 |
#130
Vllt können wir ja mal versuchen das System erstmal wieder einen kleinen "Türspalt" zu öffnen.(Weiß aber noch nicht ob es was bringt im abgesicherten)
Lade Dir mal die folgende -inf Datei runter und versuche ob Du sie ausführen und installieren kannst.Mit einer möglichen ersten Reperatur ist es dann vllt. möglich das evtl Dein System im Normalen dann wieder halbwegs ansprechbar ist. Kannst es ja mal probieren!? (die beräumt im besten Fall aber nur die Spitze des Eisberges, Ziel ist es erstmal irgendwelche Tools wieder zum Laufen zu bringen.) Datei: http://downloads.andymanchesta.com/RemovalTools/XP_VirusAlert_Repair.inf |
|
|
|
|
|
|
27.08.2008, 17:18
Member
Beiträge: 12 |
#131
wenn ich die datei öffne bin ich in einem text editor mit folgendem inhalt
[Version] Signature="$Windows NT$" [DefaultInstall] DelReg=RemoveRestrictions AddReg=ResetRegChanges [ResetRegChanges] HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,Start_ShowControlPanel,0x10001,0x00000002 HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,Start_ShowHelp,0x10001,0x00000001 HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,Start_ShowMyComputer,0x10001,0x00000002 HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,Start_ShowMyDocs,0x10001,0x00000001 HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,Start_ShowMyMusic,0x10001,0x00000001 HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,Start_ShowMyPics,0x10001,0x00000001 HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,Start_ShowNetPlaces,0x10001,0x00000001 HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,Start_ShowRun,0x10001,0x00000001 HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,Start_ShowSearch,0x10001,0x00000001 HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoDrives,0x10001,0x00000000 [RemoveRestrictions] HKCU, "Software\Microsoft\Windows\CurrentVersion\Policies","DisableRegistryTools" HKCU, "Software\Microsoft\Windows\CurrentVersion\Policies","DisableTaskMgr" HKCU, "Software\Microsoft\Windows\CurrentVersion\Policies","NoDispCPL" HKCU, "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer","NoSetFolders" HKCU, "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer","NoStartMenuMorePrograms" HKCU, "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer","NoToolbarCustomize" HKCU, "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer","StartMenuLogoff" HKCU, "Software\Microsoft\Windows\CurrentVersion\Policies\System","DisableCMD" HKCU, "Software\Microsoft\Windows\CurrentVersion\Policies\System","DisableRegistryTools" HKCU, "Software\Microsoft\Windows\CurrentVersion\Policies\System","DisableTaskMgr" HKCU, "Software\Microsoft\Windows\CurrentVersion\Policies\System","NoDispCPL" HKCU, "Software\Policies\Microsoft\Internet Explorer\Restrictions","NoBrowserOptions" HKCU, "Software\Policies\Microsoft\Windows\system","DisableCMD" was mache ich damit jetzt? |
|
|
|
|
|
|
27.08.2008, 17:26
Member
Beiträge: 325 |
#132
Das ist der Inhalt.
Um diesen zu installieren machst du einen rechtsclick darauf und gehst auf "Installieren" dann wird es in die Reg eingetragen: |
|
|
|
|
|
|
27.08.2008, 17:33
Member
Beiträge: 12 |
#133
achsooo....
das hatte ich natürlich auch gemacht, aber ich dachte danach würde sich irgend ein fenster öffnen hab jetzt das system neu gestartet, und siehe da es läuft wieder. dafür schon mal vielen dank! hole mir jetzt die progs und poste die logs. |
|
|
|
|
|
|
27.08.2008, 17:39
Member
Beiträge: 325 |
#134
Beachte bitte, solange der Unrat noch auf Deinem PC ist, können die Einträge jederzeit wieder zum "Bösen" gefak't werden wenn die Schadware sich wieder austobt.---> Eile ist geboten ggf. die Inf immer nochmal drüberjagen.
|
|
|
|
|
|
|
27.08.2008, 18:25
Member
Beiträge: 12 |
#135
so hier schon mal der log von malwarebytes, die andren werden hoffentlich bald folgen.
Malwarebytes' Anti-Malware 1.25 Datenbank Version: 1089 Windows 5.1.2600 Service Pack 2 18:22:29 27.08.2008 mbam-log-08-27-2008 (18-22-29).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 36279 Laufzeit: 1 minute(s), 17 second(s) Infizierte Speicherprozesse: 2 Infizierte Speichermodule: 1 Infizierte Registrierungsschlüssel: 3 Infizierte Registrierungswerte: 7 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 0 Infizierte Dateien: 23 Infizierte Speicherprozesse: E:\WINDOWS\system32\lphcjkaj0ej1c.exe (Trojan.FakeAlert) -> Unloaded process successfully. E:\WINDOWS\system32\drivers\svchost.exe (Heuristics.Reserved.Word.Exploit) -> Failed to unload process. Infizierte Speichermodule: E:\WINDOWS\system32\blphcjkaj0ej1c.scr (Trojan.FakeAlert) -> Delete on reboot. Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphcjkaj0ej1c (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\inrhcnkaj0ej1c (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: E:\WINDOWS\system32\blphcjkaj0ej1c.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully. E:\WINDOWS\system32\drivers\svchost.exe (Trojan.Agent) -> Delete on reboot. E:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> Delete on reboot. E:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Delete on reboot. E:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> Delete on reboot. E:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> Delete on reboot. E:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Quarantined and deleted successfully. E:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> Delete on reboot. E:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot. E:\WINDOWS\system32\lphcjkaj0ej1c.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. E:\WINDOWS\system32\phcjkaj0ej1c.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully. E:\Dokumente und Einstellungen\Dom\Lokale Einstellungen\Temp\.tt69.tmp.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. E:\Dokumente und Einstellungen\Dom\Lokale Einstellungen\Temp\.tt1.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. E:\Dokumente und Einstellungen\Dom\Lokale Einstellungen\Temp\.tt3.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. E:\Dokumente und Einstellungen\Dom\Lokale Einstellungen\Temp\.tt4.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. E:\Dokumente und Einstellungen\Dom\Lokale Einstellungen\Temp\.tt5.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. E:\Dokumente und Einstellungen\Dom\Lokale Einstellungen\Temp\.tt6.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. E:\Dokumente und Einstellungen\Dom\Lokale Einstellungen\Temp\.tt7.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. E:\Dokumente und Einstellungen\Dom\Lokale Einstellungen\Temp\.ttA.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. E:\Dokumente und Einstellungen\Dom\Lokale Einstellungen\Temp\.ttC.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. E:\Dokumente und Einstellungen\Dom\Lokale Einstellungen\Temp\.ttD.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. E:\Dokumente und Einstellungen\Dom\Lokale Einstellungen\Temp\.ttE.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. E:\Dokumente und Einstellungen\Dom\Lokale Einstellungen\Temp\.ttF.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. der log von combofix ComboFix 08-08-26.03 - Dom 2008-08-27 18:28:12.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1688 [GMT 2:00] ausgeführt von:: E:\Dokumente und Einstellungen\Dom\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt [color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color] . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_TDSSSERV -------\Service_tdssserv ((((((((((((((((((((((( Dateien erstellt von 2008-07-27 bis 2008-08-27 )))))))))))))))))))))))))))))) . 2008-08-27 17:51 . 2008-08-27 17:51 <DIR> d-------- E:\Programme\Malwarebytes' Anti-Malware 2008-08-27 17:51 . 2008-08-27 17:51 <DIR> d-------- E:\Dokumente und Einstellungen\Dom\Anwendungsdaten\Malwarebytes 2008-08-27 17:51 . 2008-08-27 17:51 <DIR> d-------- E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-08-27 17:51 . 2008-08-17 15:01 38,472 --a------ E:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-08-27 17:51 . 2008-08-17 15:01 17,144 --a------ E:\WINDOWS\system32\drivers\mbam.sys 2008-08-27 17:34 . 2008-08-27 17:34 <DIR> d-------- E:\Programme\CCleaner 2008-08-27 15:48 . 2008-08-27 15:48 <DIR> d-------- E:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird 2008-08-27 14:22 . 2008-08-14 18:38 <DIR> d--h----- E:\Dokumente und Einstellungen\Administrator\Vorlagen 2008-08-27 14:22 . 2008-08-14 19:32 <DIR> dr------- E:\Dokumente und Einstellungen\Administrator\Startmen 2008-08-27 14:22 . 2008-08-14 19:32 <DIR> d--h----- E:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2008-08-27 14:22 . 2008-08-14 19:32 <DIR> d--h----- E:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2008-08-27 14:22 . 2008-08-27 15:42 <DIR> d-------- E:\Dokumente und Einstellungen\Administrator\Favoriten 2008-08-27 14:22 . 2008-08-14 19:32 <DIR> d--h----- E:\Dokumente und Einstellungen\Administrator\Druckumgebung 2008-08-27 14:22 . 2008-08-27 15:48 <DIR> dr-h----- E:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2008-08-27 14:22 . 2008-08-27 14:22 <DIR> d-------- E:\Dokumente und Einstellungen\Administrator 2008-08-27 12:47 . 2008-08-27 12:47 <DIR> d-------- E:\Dokumente und Einstellungen\Dom\Anwendungsdaten\OpenOffice.org2 2008-08-27 12:46 . 2008-08-27 12:46 <DIR> d-------- E:\Programme\OpenOffice.org 2.4 2008-08-27 12:44 . 2008-08-27 12:44 <DIR> d-------- E:\Programme\Open Office 2008-08-27 11:16 . 2008-08-27 11:16 <DIR> d-------- E:\WINDOWS\Sun 2008-08-27 11:12 . 2008-08-27 11:12 <DIR> d-------- E:\Programme\Java 2008-08-27 11:12 . 2008-06-10 02:32 73,728 --a------ E:\WINDOWS\system32\javacpl.cpl 2008-08-27 11:11 . 2008-08-27 11:11 <DIR> d-------- E:\Programme\Gemeinsame Dateien\Java 2008-08-26 13:51 . 2005-03-14 14:01 208,896 --------- E:\WINDOWS\system32\SSRemove.exe 2008-08-26 13:51 . 2005-03-03 13:32 151,552 --a------ E:\WINDOWS\system32\SSCoInst.exe 2008-08-26 13:51 . 2005-03-03 19:09 57,344 --a------ E:\WINDOWS\system32\SSCoInst.dll 2008-08-26 13:51 . 2005-04-08 11:29 20,622 --a------ E:\WINDOWS\system32\SUGS2LMK.DLL 2008-08-26 13:51 . 2005-03-14 14:01 8,478 --------- E:\WINDOWS\system32\SP119.ICO 2008-08-26 13:51 . 2005-03-03 20:23 604 --a------ E:\WINDOWS\system32\SUGS2LMK.SMT 2008-08-26 13:50 . 2008-08-26 13:50 <DIR> d-------- E:\WINDOWS\Samsung 2008-08-26 13:50 . 2005-03-14 14:01 41,984 --------- E:\WINDOWS\system32\drivers\DGIVECP.SYS 2008-08-26 13:40 . 2004-08-03 23:01 25,856 --a------ E:\WINDOWS\system32\drivers\usbprint.sys 2008-08-26 13:40 . 2004-08-03 23:01 25,856 --a--c--- E:\WINDOWS\system32\dllcache\usbprint.sys 2008-08-24 22:08 . 2008-08-26 23:12 <DIR> d-------- E:\Programme\PokerStars 2008-08-18 14:32 . 2008-08-18 14:32 <DIR> d--hs---- E:\WINDOWS\ftpcache 2008-08-18 14:30 . 2008-08-18 14:30 <DIR> d-------- E:\Programme\id Software 2008-08-16 14:39 . 2008-08-16 14:39 <DIR> d-------- E:\Programme\Alcohol Soft 2008-08-16 14:36 . 2008-08-16 14:36 716,272 --a------ E:\WINDOWS\system32\drivers\sptd.sys 2008-08-15 22:52 . 2008-08-15 22:52 449 --a------ E:\Verknpfung mit Programme.lnk 2008-08-15 20:59 . 2006-02-28 14:00 13,463,552 --a--c--- E:\WINDOWS\system32\dllcache\hwxjpn.dll 2008-08-15 20:58 . 2006-02-28 14:00 290,816 --a--c--- E:\WINDOWS\system32\dllcache\adsiis51.dll 2008-08-15 20:57 . 2008-08-15 20:57 749 -rah----- E:\WINDOWS\WindowsShell.Manifest 2008-08-15 20:57 . 2008-08-15 20:57 749 -rah----- E:\WINDOWS\system32\wuaucpl.cpl.manifest 2008-08-15 20:57 . 2008-08-15 20:57 749 -rah----- E:\WINDOWS\system32\sapi.cpl.manifest 2008-08-15 20:57 . 2008-08-15 20:57 749 -rah----- E:\WINDOWS\system32\nwc.cpl.manifest 2008-08-15 20:57 . 2008-08-15 20:57 749 -rah----- E:\WINDOWS\system32\ncpa.cpl.manifest 2008-08-15 20:57 . 2008-08-15 20:57 488 -rah----- E:\WINDOWS\system32\logonui.exe.manifest 2008-08-15 20:42 . 2006-02-28 14:00 1,086,058 -ra------ E:\WINDOWS\SET28.tmp 2008-08-15 20:42 . 2006-02-28 14:00 1,014,663 -ra------ E:\WINDOWS\SET25.tmp 2008-08-15 20:42 . 2006-02-28 14:00 14,573 -ra------ E:\WINDOWS\SET71.tmp 2008-08-15 20:42 . 2006-02-28 14:00 14,043 -ra------ E:\WINDOWS\SET35.tmp 2008-08-15 20:37 . 2008-08-15 20:37 <DIR> d-------- E:\WINDOWS\NV768164.TMP 2008-08-15 20:35 . 2006-02-28 14:00 1,086,058 -ra------ E:\WINDOWS\SET27.tmp 2008-08-15 20:35 . 2006-02-28 14:00 1,014,663 -ra------ E:\WINDOWS\SET24.tmp 2008-08-15 20:35 . 2006-02-28 14:00 14,573 -ra------ E:\WINDOWS\SET70.tmp 2008-08-15 20:35 . 2006-02-28 14:00 14,043 -ra------ E:\WINDOWS\SET34.tmp 2008-08-15 20:28 . 2008-08-15 20:29 <DIR> d-------- E:\WINDOWS\NV768172.TMP 2008-08-15 20:27 . 2006-02-28 14:00 14,573 -ra------ E:\WINDOWS\SET6F.tmp 2008-08-15 20:26 . 2006-02-28 14:00 1,086,058 -ra------ E:\WINDOWS\SET26.tmp 2008-08-15 20:26 . 2006-02-28 14:00 1,014,663 -ra------ E:\WINDOWS\SET23.tmp 2008-08-15 20:26 . 2006-02-28 14:00 14,043 -ra------ E:\WINDOWS\SET33.tmp 2008-08-15 20:15 . 2008-08-15 20:15 <DIR> d-------- E:\WINDOWS\NV768156.TMP 2008-08-15 20:15 . 2008-05-19 18:16 186,407 --a------ E:\WINDOWS\system32\nvapps.nvb 2008-08-15 16:50 . 2008-08-15 16:50 <DIR> d-------- E:\Dokumente und Einstellungen\Dom\Anwendungsdaten\Ubisoft 2008-08-15 16:45 . 2008-08-15 16:45 <DIR> d-------- E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ubisoft 2008-08-15 16:44 . 2007-10-12 15:14 3,734,536 --a------ E:\WINDOWS\system32\d3dx9_36.dll 2008-08-15 16:31 . 2008-08-15 16:31 <DIR> d-------- E:\Programme\Ubisoft 2008-08-15 13:36 . 2008-08-15 13:36 <DIR> d-------- E:\Programme\RivaTuner v2.09 2008-08-15 11:14 . 2008-08-15 22:42 24,944 --a------ E:\WINDOWS\system32\drivers\GVTDrv.sys 2008-08-15 11:10 . 1998-10-02 19:00 327,168 --a------ E:\WINDOWS\IsUninst.exe 2008-08-15 11:07 . 2008-08-15 11:07 <DIR> d-------- E:\Programme\Yahoo! 2008-08-15 11:06 . 2008-08-15 11:06 <DIR> d----c--- E:\WINDOWS\system32\DRVSTORE 2008-08-15 11:06 . 2008-08-15 11:06 <DIR> d-------- E:\Programme\DIFX 2008-08-15 11:06 . 2006-06-18 23:38 43,520 --a------ E:\WINDOWS\system32\drivers\AmdK8.sys 2008-08-15 11:04 . 2008-08-15 11:14 15,600 --a------ E:\WINDOWS\gdrv.sys 2008-08-15 00:35 . 2008-08-15 00:35 <DIR> d-------- E:\Programme\Lavalys 2008-08-15 00:12 . 2008-08-27 17:44 <DIR> d-------- E:\Eingang 2008-08-14 22:05 . 2008-08-14 22:05 <DIR> d-------- E:\WINDOWS\OPTIONS 2008-08-14 22:05 . 2008-06-16 15:08 109,184 --a------ E:\WINDOWS\system32\drivers\Rtenicxp.sys 2008-08-14 21:34 . 2008-08-27 15:51 <DIR> d-------- E:\Programme\Mozilla Thunderbird 2008-08-14 21:34 . 2008-08-14 21:34 <DIR> d-------- E:\Dokumente und Einstellungen\Dom\Anwendungsdaten\Thunderbird 2008-08-14 19:48 . 2008-08-27 18:30 <DIR> d-------- E:\Programme\SpeedFan 2008-08-14 19:48 . 2008-08-14 19:48 45 --a------ E:\WINDOWS\system32\initdebug.nfo 2008-08-14 19:41 . 2008-08-14 19:42 <DIR> d-------- E:\Programme\Gemeinsame Dateien\Adobe 2008-08-14 19:41 . 2008-08-14 19:41 <DIR> d-------- E:\Programme\foobar2000 2008-08-14 19:41 . 2008-08-14 19:41 <DIR> d-------- E:\Dokumente und Einstellungen\Dom\Anwendungsdaten\vlc 2008-08-14 19:41 . 2008-08-27 13:04 <DIR> d-------- E:\Dokumente und Einstellungen\Dom\Anwendungsdaten\foobar2000 2008-08-14 19:39 . 2008-08-14 19:39 <DIR> d-------- E:\Programme\VideoLAN 2008-08-14 19:35 . 2001-08-17 14:59 3,072 --a------ E:\WINDOWS\system32\drivers\audstub.sys 2008-08-14 19:34 . 2004-08-04 01:40 57,600 --a------ E:\WINDOWS\system32\drivers\redbook.sys 2008-08-14 19:33 . 2001-08-17 14:46 6,400 --a------ E:\WINDOWS\system32\drivers\enum1394.sys 2008-08-14 19:32 . 2008-08-14 18:38 <DIR> d--h----- E:\Dokumente und Einstellungen\Default User\Vorlagen 2008-08-14 19:32 . 2008-08-14 19:32 <DIR> dr------- E:\Dokumente und Einstellungen\Default User\Startmen 2008-08-14 19:32 . 2008-08-14 19:32 <DIR> d--h----- E:\Dokumente und Einstellungen\Default User\Netzwerkumgebung 2008-08-14 19:32 . 2008-08-14 19:32 <DIR> dr-h----- E:\Dokumente und Einstellungen\Default User\Lokale Einstellungen 2008-08-14 19:32 . 2008-08-14 19:32 <DIR> d-------- E:\Dokumente und Einstellungen\Default User\Favoriten 2008-08-14 19:32 . 2008-08-14 19:32 <DIR> d--h----- E:\Dokumente und Einstellungen\Default User\Druckumgebung 2008-08-14 19:32 . 2008-08-27 12:46 <DIR> d--h----- E:\Dokumente und Einstellungen\All Users\Vorlagen 2008-08-14 19:32 . 2008-08-27 12:46 <DIR> dr------- E:\Dokumente und Einstellungen\All Users\Startmen 2008-08-14 19:32 . 2008-08-14 19:32 <DIR> d-------- E:\Dokumente und Einstellungen\All Users\Favoriten 2008-08-14 19:32 . 2008-08-14 18:39 <DIR> dr------- E:\Dokumente und Einstellungen\All Users\Dokumente 2008-08-14 19:31 . 2008-08-27 18:27 <DIR> d-------- E:\WINDOWS\system32\CatRoot2 2008-08-14 19:31 . 2008-08-26 13:51 <DIR> d-------- E:\WINDOWS\system32\CatRoot 2008-08-14 19:31 . 2008-08-14 19:32 <DIR> dr-h----- E:\Dokumente und Einstellungen\Default User\Anwendungsdaten 2008-08-14 19:31 . 2008-08-15 20:42 <DIR> d--h----- E:\Dokumente und Einstellungen\Default User 2008-08-14 19:31 . 2008-08-27 17:51 <DIR> dr-h----- E:\Dokumente und Einstellungen\All Users\Anwendungsdaten 2008-08-14 19:31 . 2008-08-14 18:41 <DIR> d-------- E:\Dokumente und Einstellungen\All Users 2008-08-14 19:31 . 2008-08-27 14:22 <DIR> d-------- E:\Dokumente und Einstellungen 2008-08-14 19:31 . 2006-02-28 14:00 1,086,058 -ra------ E:\WINDOWS\SET4.tmp 2008-08-14 19:31 . 2006-02-28 14:00 1,014,663 -ra------ E:\WINDOWS\SET3.tmp 2008-08-14 19:31 . 2008-08-15 16:44 285,591 --a------ E:\WINDOWS\setupapi.old 2008-08-14 19:30 . 2008-08-14 19:30 13,646 --a------ E:\WINDOWS\system32\wpa.bak 2008-08-14 19:22 . 2008-08-15 21:01 <DIR> d-------- E:\WINDOWS\nview 2008-08-14 19:22 . 2008-05-16 14:01 446,464 --a------ E:\WINDOWS\system32\nvudisp.exe 2008-08-14 19:22 . 2008-08-27 18:30 181,833 --a------ E:\WINDOWS\system32\nvapps.xml 2008-08-14 19:22 . 2008-05-16 14:01 18,070 --a------ E:\WINDOWS\system32\nvdisp.nvu 2008-08-14 19:21 . 2008-08-18 14:27 <DIR> d-------- E:\Programme\Gemeinsame Dateien\InstallShield 2008-08-14 19:21 . 2008-08-14 19:21 <DIR> d-------- E:\NVIDIA 2008-08-14 19:21 . 2008-05-16 11:48 446,464 --a------ E:\WINDOWS\system32\NVUNINST.EXE 2008-08-14 19:03 . 2008-08-14 19:03 0 --a------ E:\WINDOWS\nsreg.dat 2008-08-14 19:02 . 2008-08-14 19:02 7,333,664 --a------ E:\Programme\Firefox Setup 3.0.1.exe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-18 12:32 163,644 ----a-w E:\WINDOWS\system32\drivers\secdrv.sys 2008-08-18 12:32 --------- d--h--w E:\Programme\InstallShield Installation Information 2008-08-14 20:05 --------- d-----w E:\Programme\Realtek 2008-08-14 18:57 315,392 ----a-w E:\WINDOWS\HideWin.exe 2008-08-14 16:54 --------- d-----w E:\Programme\Avira 2008-08-14 16:54 --------- d-----w E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-08-14 16:48 --------- d-----w E:\Programme\abit 2008-08-14 16:47 --------- d-----w E:\Dokumente und Einstellungen\Dom\Anwendungsdaten\InstallShield 2008-08-14 16:47 --------- d-----w E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Universal abit 2008-08-14 16:42 --------- d-----w E:\Programme\microsoft frontpage 2008-08-14 16:40 --------- d-----w E:\Programme\Online-Dienste 2008-08-14 16:39 --------- d-----w E:\Programme\Gemeinsame Dateien\Dienste 2008-07-18 20:10 94,920 ----a-w E:\WINDOWS\system32\cdm.dll 2008-07-18 20:10 53,448 ----a-w E:\WINDOWS\system32\wuauclt.exe 2008-07-18 20:10 45,768 ----a-w E:\WINDOWS\system32\wups2.dll 2008-07-18 20:10 36,552 ----a-w E:\WINDOWS\system32\wups.dll 2008-07-18 20:09 563,912 ----a-w E:\WINDOWS\system32\wuapi.dll 2008-07-18 20:09 325,832 ----a-w E:\WINDOWS\system32\wucltui.dll 2008-07-18 20:09 205,000 ----a-w E:\WINDOWS\system32\wuweb.dll 2008-07-18 20:09 1,811,656 ----a-w E:\WINDOWS\system32\wuaueng.dll 2008-06-27 09:24 4,742,656 ----a-w E:\WINDOWS\system32\drivers\RtkHDAud.sys 2008-06-27 09:23 16,875,008 ----a-w E:\WINDOWS\RTHDCPL.exe 2008-06-19 14:42 2,808,832 ----a-w E:\WINDOWS\alcwzrd.exe 2008-06-19 14:27 9,715,200 ----a-w E:\WINDOWS\RTLCPL.exe 2008-06-19 14:20 57,344 ----a-w E:\WINDOWS\Alcmtr.exe 2008-06-18 16:01 77,824 ----a-w E:\WINDOWS\SoundMan.exe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="E:\WINDOWS\system32\ctfmon.exe" [2006-02-28 14:00 15360] "AlcoholAutomount"="E:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" [2008-03-20 18:46 217544] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AirPaceWifi"="E:\Programme\abit\abit uGuru\AirPaceWifi.exe" [2007-02-08 14:17 2240512] "avgnt"="E:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 14:28 266497] "NvCplDaemon"="E:\WINDOWS\system32\NvCpl.dll" [2008-05-16 14:01 13529088] "Adobe Reader Speed Launcher"="E:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 02:38 34672] "NvMediaCenter"="E:\WINDOWS\system32\NvMcTray.dll" [2008-05-16 14:01 86016] "SunJavaUpdateSched"="E:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784] "nwiz"="nwiz.exe" [2008-05-16 14:01 1630208 E:\WINDOWS\system32\nwiz.exe] "RTHDCPL"="RTHDCPL.EXE" [2008-06-27 11:23 16875008 E:\WINDOWS\RTHDCPL.exe] "SoundMan"="SOUNDMAN.EXE" [2008-06-18 18:01 77824 E:\WINDOWS\SoundMan.exe] "AlcWzrd"="ALCWZRD.EXE" [2008-06-19 16:42 2808832 E:\WINDOWS\alcwzrd.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="E:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 14:00 15360] [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "E:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx9.exe"= "E:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx10.exe"= "E:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Launcher.exe"= "E:\\Programme\\Malwarebytes' Anti-Malware\\mbam.exe"= "E:\\Programme\\Malwarebytes' Anti-Malware\\unins000.exe"= S0 zwftu;zwftu;E:\WINDOWS\system32\drivers\elvoshe.sys [] S3 AR2425;abit AirPace Wi-Fi Wireless Network Adapter Service;E:\WINDOWS\system32\DRIVERS\aw5006.sys [2006-12-18 11:30] . . ------- Zus„tzlicher Scan ------- . FireFox -: Profile - E:\Dokumente und Einstellungen\Dom\Anwendungsdaten\Mozilla\Firefox\Profiles\zmb5isfq.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.web.de/ . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-27 18:30:32 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Weitere, laufende Prozesse ------------------------ . E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe E:\WINDOWS\system32\nvsvc32.exe E:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe E:\WINDOWS\system32\rundll32.exe E:\Programme\SpeedFan\speedfan.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-08-27 18:31:31 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2008-08-27 16:31:28 Pre-Run: 7 Verzeichnis(se), 391,233,515,520 Bytes frei Post-Run: 9 Verzeichnis(se), 391,252,312,064 Bytes frei 230 inzwischen ist edr desktop nur noch blau. und die log von hijack Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:38:21, on 27.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: E:\WINDOWS\System32\smss.exe E:\WINDOWS\system32\winlogon.exe E:\WINDOWS\system32\services.exe E:\WINDOWS\system32\lsass.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\WINDOWS\system32\spoolsv.exe E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe E:\WINDOWS\system32\nvsvc32.exe E:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe E:\Programme\abit\abit uGuru\AirPaceWifi.exe E:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe E:\WINDOWS\RTHDCPL.EXE E:\WINDOWS\SOUNDMAN.EXE E:\WINDOWS\system32\RUNDLL32.EXE E:\Programme\Java\jre1.6.0_07\bin\jusched.exe E:\WINDOWS\system32\ctfmon.exe E:\Programme\SpeedFan\speedfan.exe E:\WINDOWS\system32\wuauclt.exe E:\WINDOWS\explorer.exe E:\WINDOWS\system32\notepad.exe E:\Programme\Mozilla Firefox\firefox.exe E:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.6.0_07\bin\ssv.dll O4 - HKLM\..\Run: [AirPaceWifi] "E:\Programme\abit\abit uGuru\AirPaceWifi.exe" -nogui O4 - HKLM\..\Run: [avgnt] "E:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [AlcoholAutomount] "E:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: SpeedFan.lnk = E:\Programme\SpeedFan\speedfan.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_07\bin\ssv.dll O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - E:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe -- End of file - 4044 bytes Dieser Beitrag wurde am 27.08.2008 um 18:39 Uhr von cuthbert editiert.
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
1.
diese datei scheint vom Panda zu sein, dennoch bitte prüfen....
C:\WINDOWS\system32\pfdnnt.exe
Virustotal http://www.virustotal.com/flash/index_en.html
Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren
2.
wende navilog an - option 1 und option 2 danach - post hier den report von option2
http://virus-protect.org/artikel/tools/navilog.html
3.
scanne mit Malwarebytes, lasse alles entfernen, was gefunden wird + poste den report
http://virus-protect.org/artikel/tools/malwarebytes.html
__________
MfG Sabina
rund um die PC-Sicherheit