TR/Vundo.Gen lässt sich nicht löschen!!! |
||
---|---|---|
#0
| ||
27.03.2008, 17:10
...neu hier
Beiträge: 6 |
||
|
||
27.03.2008, 17:47
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo,
« mit dem HijackThis löschen ("fixen") Klicke: "Do a system scan only" Setze ein Häckchen in das Kästchen vor den genannten Eintrag und wähle fix checked. + starte den Rechner neu. Zitat O2 - BHO: (no name) - {153EF6B4-B1C8-40C0-BAA5-A5286459548E} - C:\WINDOWS\system32\pmnlm.dll«« Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" «« scanne + lasse alles gefundene entfernen http://virus-protect.org/artikel/tools/malwarebytes.html dann sollte wieder alles o.k. sein __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
27.03.2008, 21:15
...neu hier
Themenstarter Beiträge: 6 |
#3
Vielen dank. Ich bin nichtmal da zu gekommen ihn zu loeschen. Da ich Hijackthis vor Combofix laufen lassen hab, zeigte es mir da den virus noch an. Aber combofix hat den wohl gelöscht. Vielen dank trotzdem für die Hilfe Kann man so immer viruse finden? solche strings finden in denen etwas keinen Namen hat?
|
|
|
||
30.03.2008, 14:01
Member
Beiträge: 3716 |
#4
nein so kann man das nciht. (immer)
|
|
|
||
31.03.2008, 16:51
...neu hier
Beiträge: 1 |
#5
Hallo zusammen
Ich habe das selbe problem mit dem TR/Vundo.Gen Könntet ihr mir schritt für schritt helfen da ich übehraupt nicht klar komme. Danke schön im voraus Dieser Beitrag wurde am 31.03.2008 um 16:55 Uhr von raphi87 editiert.
|
|
|
||
31.03.2008, 18:39
Ehrenmitglied
Beiträge: 29434 |
#6
raphi87
wende CCl eaner und combofix an - von Combofix postest du dann das log, was erstellt wird (ist alles auf der seite erKlärt) http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
10.04.2008, 18:07
...neu hier
Beiträge: 1 |
#7
Hi zusammen, hab ihn auch. Hier das Ergebnis von datfind:
Verzeichnis von c:\ 10.04.2008 17:52 0 dirdat.txt 10.04.2008 17:31 468.766.720 hiberfil.sys 10.04.2008 17:31 704.643.072 pagefile.sys 10.04.2008 11:47 898 VundoFix.txt 05.04.2008 14:52 211 BOOT.INI Verzeichnis von C:\WINDOWS\system32 10.04.2008 17:32 54.112 vsconfig.xml 10.04.2008 12:30 976 history.aaw 10.04.2008 12:30 2.544 settings.aaw 10.04.2008 12:29 235.121 mpqss.ini 10.04.2008 12:27 233.808 mpqss.ini2 10.04.2008 09:48 3.648 rjjfqeys.dll 10.04.2008 09:46 88.640 axwernke.dll 10.04.2008 09:46 0 clkcnt.txt 08.04.2008 23:25 3.648 kwgigwqt.dll 06.04.2008 18:22 138.848 FNTCACHE.DAT 06.04.2008 16:01 38.400 vtusttt.dll 06.04.2008 15:59 38.400 xxyywwv.dll 06.04.2008 15:18 38.400 vtursss.dll 06.04.2008 14:00 38.400 tuvsrqq.dll 06.04.2008 13:55 38.400 efcbxxw.dll 06.04.2008 13:43 38.400 wvutsts.dll 04.04.2008 16:31 306.432 TuneUpDefragService.exe 03.04.2008 11:07 1.158 wpa.dbl 21.03.2008 15:04 23.440 jupdate-1.6.0_05-b13.log 22.02.2008 02:33 69.632 javacpl.cpl 22.02.2008 02:33 139.264 javaws.exe 22.02.2008 01:23 135.168 javaw.exe 22.02.2008 01:23 135.168 java.exe 11.01.2008 06:33 44.544 pngfilt.dll Verzeichnis von C:\WINDOWS 10.04.2008 17:51 101.157 BM251a25c3.xml 10.04.2008 17:38 5.549 BM251a25c3.txt 10.04.2008 17:37 22 pskt.ini 10.04.2008 17:32 97 ComponentList.xml 10.04.2008 17:32 159 wiadebug.log 10.04.2008 17:31 0 0.log 10.04.2008 17:31 2.048 bootstat.dat 10.04.2008 12:29 32.544 SchedLgU.Txt 10.04.2008 12:29 50 wiaservc.log 10.04.2008 12:29 841 WindowsUpdate.log 09.04.2008 23:21 155 winamp.ini 05.04.2008 14:52 664 win.ini 05.04.2008 14:52 277 system.ini 03.04.2008 11:08 4.232 ModemLog_Agere Systems AC'97 Modem.txt 09.03.2008 16:18 212 Clony2.ini 05.03.2008 13:00 1.538.824 CISUnins.exe 05.03.2008 13:00 1.538.824 CICUnins.exe Verzeichnis von C:\DOKUME~1\Bush-d\LOKALE~1\Temp 10.04.2008 17:51 22.230 b240x400.tmp 10.04.2008 17:51 22.230 b120x600.tmp 10.04.2008 17:51 22.230 b120x90.tmp 10.04.2008 17:51 22.230 b728x90.tmp 10.04.2008 17:51 22.230 b720x300.tmp 10.04.2008 17:51 22.230 b468x60.tmp 10.04.2008 17:51 22.230 b336x280.tmp 10.04.2008 17:51 22.230 b300x250.tmp 10.04.2008 17:51 22.230 b300x100.tmp 10.04.2008 17:51 22.230 b250x250.tmp 10.04.2008 17:51 22.230 b125x125.tmp 10.04.2008 17:51 22.230 b234x60.tmp 10.04.2008 17:51 22.230 b180x150.tmp 10.04.2008 17:51 22.230 b160x600.tmp 10.04.2008 17:51 22.230 b120x240.tmp 10.04.2008 17:34 2.309 libFNP_events.log 10.04.2008 11:47 4 Twain001.Mtx 10.04.2008 11:47 669 TWAIN.LOG 10.04.2008 11:47 156 Twunk001.MTX 10.04.2008 10:24 4.800 Z@R33.tmp 10.04.2008 10:24 1.409 Z@S34.tmp 10.04.2008 10:24 9.392 Z@R31.tmp 10.04.2008 10:24 1.409 Z@S32.tmp 10.04.2008 10:24 1.409 Z@S30.tmp 10.04.2008 10:24 11.324 Z@R2F.tmp 10.04.2008 10:23 1.409 Z@S2C.tmp 10.04.2008 10:23 1.409 Z@S2E.tmp 10.04.2008 10:23 19.768 Z@R2B.tmp 10.04.2008 10:23 23.456 Z@R2D.tmp 10.04.2008 10:22 8.264 Z@R27.tmp 10.04.2008 10:22 8.060 Z@R29.tmp 10.04.2008 10:22 1.409 Z@S28.tmp 10.04.2008 10:22 1.409 Z@S2A.tmp 10.04.2008 10:22 10.988 Z@R25.tmp 10.04.2008 10:22 1.409 Z@S26.tmp 10.04.2008 10:08 1.409 Z@S10.tmp 10.04.2008 10:08 17.576 Z@RF.tmp 10.04.2008 10:08 1.409 Z@SE.tmp 10.04.2008 10:08 4.496 Z@RD.tmp 10.04.2008 10:08 1.409 Z@SC.tmp 10.04.2008 10:08 13.968 Z@RB.tmp 10.04.2008 10:08 1.409 Z@SA.tmp 10.04.2008 10:08 14.828 Z@R9.tmp 10.04.2008 10:08 16.856 Z@R7.tmp 10.04.2008 10:08 1.409 Z@S8.tmp 10.04.2008 10:06 3.651 Acr4CCC.tmp 10.04.2008 10:04 0 Twunk002.MTX 10.04.2008 09:40 3.668 cnv2.tmp 09.04.2008 23:23 208 java_install_reg.log 09.04.2008 22:38 0 fla6.tmp 08.04.2008 23:35 32.768 ~DFA926.tmp 08.04.2008 18:47 3.668 cnv1.tmp 07.04.2008 23:53 16.384 ~DF5D3B.tmp 07.04.2008 23:53 16.384 ~DFEBFB.tmp 07.04.2008 22:29 32.768 ~DF1C10.tmp 07.04.2008 18:22 927.435 nvcbin.def.DD0B6467.TMP 06.04.2008 23:31 480 output1207517470859 06.04.2008 23:27 624 output1207517258359 06.04.2008 23:04 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}18783.html 06.04.2008 16:01 43 removalfile.bat 06.04.2008 16:01 53.760 Keygen.exe 06.04.2008 15:23 1.600 {AC76BA86-1033-F400-7760-000000000003}.ini 06.04.2008 13:59 265.949.336 Acrobat Pro 8.1.exe 06.04.2008 02:11 3.668 cnv3F.tmp 05.04.2008 10:24 3.668 cnv4E.tmp Wäre super wenn ihr mir sagen könntet, was ich in den Avenger kopieren muss. Danke schon im Voraus für eure Hilfe |
|
|
||
11.04.2008, 11:43
Ehrenmitglied
Beiträge: 29434 |
#8
Hallo Bush-d
« http://virus-protect.org/artikel/tools/otmoveIt.html Download OTMoveIt zum Desktop öffne: OTMoveIt.exe Kopiere rein: im linken Fenster ,wo steht: Paste Standard List of Files/Folders to be Move Zitat C:\Dokumente und Einstellungen\Bush-d\Lokale Einstellungen\Temp\b240x400.tmpKlicke auf den Roten MoveIt! wende CCl eaner und combofix an - von Combofix postest du dann das log, was erstellt wird (ist alles auf der seite erKlärt) http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Ich wurde auf dieses Forum hingewiesen und hoffe man kann mir hier helfen. Ich habe schon seit gut 2-3 Wochen einen nervigen Trojaner. Ja ich weiß das ist sehr blöd so lange einen Virus zu haben und sich nicht drum zu kümmern. Ich habe mindestens 10 Antivir checks gemacht aber nichts gefunden. Der Name ist wie oben steht TR/Vundo.Gen und meist tritt er in System32 als dll. oder in Dokumente und Einstellungen auf. Jetzt habe ich meinen Zugemüllten pc komplett aufgeraümt, unnötiges gelöscht, mehrfache scanns und Cleaner angewendet. Virus ist noch da. Aber mein pc um rund 70 GB leichter^^ Also hier sind meine Logs etc. Genaue Pfad des Viruses kann ich noch nicht angegeben. Er tritt alle paar Stunden ein, sobald er wieder auffällt poste ich die Pfade.
An manchen stellen habe ich einen Teil gelöscht bzw. ersetz da dort mein Reallife namen steht
1.Hijackthis Log
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:26:51, on 27.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Programme\Scramby\voicetunerserver.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\mmrtkrnl.exe
C:\Programme\DAP\DAP.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Dokumente und Einstellungen\(NAME ENTFERNT)\Desktop\Protection\HJT.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {153EF6B4-B1C8-40C0-BAA5-A5286459548E} - C:\WINDOWS\system32\pmnlm.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {E9383002-FC55-4330-B9C9-67E03BC5C840} - C:\WINDOWS\system32\ssttsst.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Realtime Audio Engine] "mmrtkrnl.exe" /i
O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Programme\DAP\DAP.EXE" /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O8 - Extra context menu item: &Clean Traces - C:\Programme\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Programme\DAP\dapextie.htm
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Download &all with DAP - C:\Programme\DAP\dapextie2.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O20 - Winlogon Notify: ssttsst - C:\WINDOWS\SYSTEM32\ssttsst.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Voice Tuner (voicetuner) - RapidSolution - C:\Programme\Scramby\voicetunerserver.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
--
End of file - 6553 bytes
2.Combofix
ComboFix 08-03-26.1 - (NAME ENTFERNT) 2008-03-27 16:32:36.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1670 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\(NAME ENTFERNT)\Desktop\Protection\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.
(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\mlnmp.ini
C:\WINDOWS\system32\mlnmp.ini2
C:\WINDOWS\system32\pmnlm.dll
C:\WINDOWS\system32\ssttsst.dll
.
((((((((((((((((((((((( Dateien erstellt von 2008-02-27 bis 2008-03-27 ))))))))))))))))))))))))))))))
.
2008-03-27 09:55 . 2008-03-27 09:55 1 --a------ C:\Dokumente und Einstellungen\(NAME ENTFERNT)\SI.bin
2008-03-27 09:50 . 2008-03-27 09:50 <DIR> d-------- C:\Dokumente und Einstellungen\(NAME ENTFERNT)\Anwendungsdaten\MSNInstaller
2008-03-26 15:32 . 2008-03-26 15:32 <DIR> d--hs---- C:\WINDOWS\ftpcache
2008-03-26 15:32 . 2007-03-12 16:42 3,495,784 --a------ C:\WINDOWS\system32\d3dx9_33.dll
2008-03-26 15:32 . 2007-03-12 16:42 1,123,696 --a------ C:\WINDOWS\system32\D3DCompiler_33.dll
2008-03-26 15:32 . 2007-03-15 16:57 443,752 --a------ C:\WINDOWS\system32\d3dx10_33.dll
2008-03-26 15:32 . 2007-05-31 19:30 266,088 --a------ C:\WINDOWS\system32\xactengine2_8.dll
2008-03-26 15:32 . 2007-04-04 18:55 261,480 --a------ C:\WINDOWS\system32\xactengine2_7.dll
2008-03-26 15:32 . 2007-05-31 19:29 18,280 --a------ C:\WINDOWS\system32\x3daudio1_2.dll
2008-03-26 15:31 . 2008-03-26 15:31 311 --a------ C:\WINDOWS\game.ini
2008-03-26 15:25 . 2008-03-26 15:25 <DIR> d-------- C:\Programme\Activision
2008-03-24 11:07 . 2008-03-24 11:18 <DIR> d-------- C:\swsetup
2008-03-23 07:50 . 1980-03-27 10:10 <DIR> d-------- C:\Dokumente und Einstellungen\(NAME ENTFERNT)\Anwendungsdaten\tor
2008-03-17 21:52 . 2003-03-22 08:25 <DIR> d-------- C:\Programme\VstPlugins
2008-03-17 21:52 . 2002-07-07 23:14 1,294,336 --a------ C:\WINDOWS\system32\vorbis.acm
2008-03-17 21:52 . 2006-06-20 09:56 225,280 --a------ C:\WINDOWS\system32\rewire.dll
2008-03-14 15:11 . 2008-03-14 15:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-03-14 13:59 . 2008-03-14 13:59 <DIR> d-------- C:\Dokumente und Einstellungen\(NAME ENTFERNT)\.DownloadManager
2008-03-12 10:43 . 2008-03-12 14:07 <DIR> d-------- C:\Programme\Vstep
2008-03-02 16:55 . 2008-03-27 09:44 <DIR> d-------- C:\Programme\ICQToolbar
2008-03-02 02:36 . <DIR> C:\Dokumente und Einstellungen\(NAME ENTFERNT)\Anwendungsdaten\Meine Die Schlacht um MittelerdeT II-Dateien
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2020-11-27 17:11 --------- d-----w C:\Programme\Ulead Systems
2008-03-27 15:37 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-03-27 08:55 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-27 08:53 --------- d-----w C:\Programme\EA GAMES
2008-03-27 08:42 --------- d-----w C:\Programme\Ubi Soft Games
2008-03-27 08:32 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-03-27 08:06 --------- d-----w C:\Programme\PokerStars.NET
2008-03-27 08:06 --------- d-----w C:\Programme\MIDI-Composer 1
2008-03-27 08:05 --------- d-----w C:\Programme\Atari
2008-03-27 07:50 --------- d-----w C:\Dokumente und Einstellungen\(NAME ENTFERNT)\Anwendungsdaten\TrueCrypt
2008-03-25 14:29 --------- d-----w C:\Programme\Ghost Control
2008-03-25 14:21 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ghost Controls
2008-03-13 21:04 --------- d-----w C:\Programme\SH3 Commander
2008-03-03 10:18 --------- d-----w C:\Programme\LucasArts
2008-03-02 02:04 --------- d-----w C:\Dokumente und Einstellungen\(NAME ENTFERNT)\Anwendungsdaten\Meine Die Schlacht um Mittelerde™ II-Dateien
2008-03-01 18:44 --------- d-----w C:\Programme\Cain
2008-03-01 18:07 --------- d-----w C:\Programme\Ubisoft
2008-03-01 18:07 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-02-25 19:43 --------- d-----w C:\Programme\WinPcap
2008-02-23 11:20 --------- d-----w C:\Programme\Windows Messaging
2008-02-16 11:35 --------- d-----w C:\Programme\Rockstar Games
2008-02-14 20:53 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL
2008-02-14 20:50 --------- d-----w C:\Programme\AOL 9.0
2008-02-14 19:49 --------- d-----w C:\Programme\DAP
2008-02-03 18:08 --------- d-----w C:\Programme\Silkroad
2008-02-01 12:27 --------- d-----w C:\Dokumente und Einstellungen\(NAME ENTFERNT)\Anwendungsdaten\BellCraft.com
2008-01-31 14:07 --------- d-----w C:\Dokumente und Einstellungen\(NAME ENTFERNT)\Anwendungsdaten\Apple Computer
2008-01-29 13:43 --------- d-----w C:\Programme\QuickTime
2008-01-29 13:43 --------- d-----w C:\Programme\iTunes
2008-01-29 13:43 --------- d-----w C:\Programme\iPod
2008-01-29 13:43 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-01-29 13:42 --------- d-----w C:\Programme\Gemeinsame Dateien\Apple
2008-01-29 13:42 --------- d-----w C:\Programme\Apple Software Update
2008-01-29 13:42 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2005-12-11 16:52 22,328 ----a-w C:\Dokumente und Einstellungen\(NAME ENTFERNT)\Anwendungsdaten\PnkBstrK.sys
1999-04-23 22:22 12 --sha-w C:\WINDOWS\system\WININETICMP32.drv
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 13:00 15360]
"AlcoholAutomount"="C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" [2007-07-02 11:27 219520]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-08-04 01:11 1667584]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-11-24 12:44 7573504]
"nwiz"="nwiz.exe" [2006-11-24 12:44 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-11-24 12:44 86016]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2004-10-27 15:21 61952 C:\WINDOWS\system32\HdAShCut.exe]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 10:11 925696]
"SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2005-09-07 15:35 716800]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-01-10 15:27 385024]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-11-05 20:26 249896]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06 40048]
"Realtime Audio Engine"="mmrtkrnl.exe" [2007-07-18 15:52 70144 C:\WINDOWS\system32\mmrtkrnl.exe]
"DownloadAccelerator"="C:\Programme\DAP\DAP.exe" [2008-02-14 20:44 3057152]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 13:00 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssttsst]
ssttsst.dll
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^AOL 9.0 Tray-Symbol.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\AOL 9.0 Tray-Symbol.lnk
backup=C:\WINDOWS\pss\AOL 9.0 Tray-Symbol.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Macro Express 3.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Macro Express 3.lnk
backup=C:\WINDOWS\pss\Macro Express 3.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Metacafe.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Metacafe.lnk
backup=C:\WINDOWS\pss\Metacafe.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Office-Start.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Office-Start.lnk
backup=C:\WINDOWS\pss\Office-Start.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Privoxy.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Privoxy.lnk
backup=C:\WINDOWS\pss\Privoxy.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^(NAME ENTFERNT)^Startmenü^Programme^Autostart^Metacafe.lnk]
path=C:\Dokumente und Einstellungen\(NAME ENTFERNT)\Startmenü\Programme\Autostart\Metacafe.lnk
backup=C:\WINDOWS\pss\Metacafe.lnkStartup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^(NAME ENTFERNT)^Startmenü^Programme^Autostart^Voobys.lnk]
path=C:\Dokumente und Einstellungen\(NAME ENTFERNT)\Startmenü\Programme\Autostart\Voobys.lnk
backup=C:\WINDOWS\pss\Voobys.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdVantage]
C:\Programme\AdVantage\AdVantage.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Anti-Blaxx Manager]
C:\Programme\Anti-Blaxx 1.18\Anti-Blaxx.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOLDialer]
-ra------ 2007-06-21 13:42 70952 C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HostManager]
--a------ 2006-09-26 01:52 50736 C:\Programme\Gemeinsame Dateien\AOL\1195834282\ee\AOLSoftware.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
C:\Programme\ICQ6\ICQ.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-01-15 03:22 267048 C:\Programme\iTunes\iTunesHelper.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Vidalia]
C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\AOL 9.0\\waol.exe"=
"C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe"=
"C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe"=
"C:\\Programme\\Gemeinsame Dateien\\aol\\1195834282\\ee\\aolsoftware.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\DAP\\DAP.exe"=
"C:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-02-23 04:38]
R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys [2006-02-23 04:39]
R1 oreans32;oreans32;C:\WINDOWS\system32\drivers\oreans32.sys [2005-12-12 14:51]
R2 voicetuner;Voice Tuner;C:\Programme\Scramby\voicetunerserver.exe [2007-03-10 15:35]
R3 msloop;Microsoft Loopbackadaptertreiber;C:\WINDOWS\system32\DRIVERS\loop.sys [2001-08-17 13:53]
S3 projectx1;projectx1;C:\DOKUME~1\LEIFRU~1\LOKALE~1\Temp\Rar$EX00.922\ProjectX3.0 (Private)\FelipeZe.sys []
.
Inhalt des "geplante Tasks" Ordners
"2008-03-17 06:30:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-27 16:37:37
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Eintr„ge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-27 16:38:46 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-27 15:38:44
14 Verzeichnis(se), 129,074,995,200 Bytes frei
16 Verzeichnis(se), 129,017,753,600 Bytes frei
3.Logfiles mittels datfind.bat
Hierzu muss ich sagen, ich habe lange ein falsches Datum meines Systems eingestellt. Habe es nie umgestellt darum sind diese Logs extrem unvollständig.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1CE9-F1F4
Verzeichnis von C:\WINDOWS\system32
27.03.2008 16:37 23.697 FFASTLOG.TXT
27.03.2008 16:37 51.048 nvapps.xml
27.03.2008 16:25 13.646 wpa.dbl
24.03.2008 22:46 103.108 AdobeFnt.lst
14.03.2008 17:13 1.425.288 FNTCACHE.DAT
01.03.2008 18:31 400.760 perfh009.dat
01.03.2008 18:31 75.186 perfc007.dat
01.03.2008 18:31 415.454 perfh007.dat
01.03.2008 18:31 62.422 perfc009.dat
01.03.2008 18:31 963.876 PerfStringBackup.INI
23.02.2008 12:22 6.256 mapisvc.inf
23.02.2008 12:21 69.632 system.mdw
14.02.2008 20:44 172.032 AniGIF.ocx
14.02.2008 20:44 479.298 wbocx.ocx
14.02.2008 20:44 50.688 wbhelp2.dll
2133 Datei(en) 437.240.448 Bytes
0 Verzeichnis(se), 129.024.925.696 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1CE9-F1F4
Verzeichnis von C:\DOKUME~1\LEIFRU~1\LOKALE~1\Temp
27.03.2008 17:00 104.347 datfind.txt
27.03.2008 16:59 32.768 ~WRS0000.tmp
27.03.2008 16:58 512 ~DFD04E.tmp
3 Datei(en) 137.627 Bytes
0 Verzeichnis(se), 129.024.950.272 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1CE9-F1F4
Verzeichnis von C:\WINDOWS
27.03.2008 16:43 462.159 WindowsUpdate.log
27.03.2008 16:37 227 system.ini
27.03.2008 16:37 0 0.log
27.03.2008 16:37 2.048 bootstat.dat
27.03.2008 16:36 32.628 SchedLgU.Txt
27.03.2008 15:59 994 win.ini
27.03.2008 15:50 108 GMouse.ini
27.03.2008 09:52 54.156 QTFont.qfn
26.03.2008 15:31 311 game.ini
14.03.2008 14:22 41.984 ArtGalry.cag
25.02.2008 11:52 7.680 (NAME ENTFERNT).pcb
23.02.2008 19:06 262.144 outlook.pst
23.02.2008 19:05 23.580 Microsoft Outlook.FAV
23.02.2008 19:05 8.674 extend.dat
23.02.2008 12:23 15.348 (NAME ENTFERNT).acl
23.02.2008 12:22 22 exchng.ini
23.02.2008 12:22 634 ODBC.INI
23.02.2008 12:22 4.348 ODBCINST.INI
22.02.2008 15:51 443 WPE PRO.INI
13.02.2008 10:42 1.816 TSearch.INI
12.02.2008 10:59 754 WORDPAD.INI
86 Datei(en) 11.553.046 Bytes
0 Verzeichnis(se), 129.024.946.176 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1CE9-F1F4
Verzeichnis von C:\WINDOWS\temp
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1CE9-F1F4
Verzeichnis von C:\WINDOWS\Downloaded Program Files
03.11.2007 16:58 65 desktop.ini
25.07.2002 16:13 24.576 dwusplay.dll
25.07.2002 16:13 196.608 dwusplay.exe
25.07.2002 16:05 172.032 isusweb.dll
4 Datei(en) 393.281 Bytes
0 Verzeichnis(se), 129.024.946.176 Bytes frei
4.Symtome
Keine speziellen festgestellt, tritt willkürlich auf, bzw nicht beim ausführen speizieller Dateien/Programme.
Hoffe ihr könnt mir helfen