Avira infiziert, Trojaner? |
||
---|---|---|
#0
| ||
27.03.2008, 17:17
Member
Beiträge: 14 |
||
|
||
27.03.2008, 19:19
Moderator
Beiträge: 7805 |
#2
Teste bitte eine der Dateien, von den Avira behauptet, sie koennten befallen sein bei Virustotal
Teste diese DAteien bitte auch dort: C:\dglbdpfzh.exe C:\mitm.exe Bitte die kompletten Berichte hier hineinkopieren... __________ MfG Ralf SEO-Spam Hunter |
|
|
||
27.03.2008, 23:05
Member
Themenstarter Beiträge: 14 |
#3
Die infizierten Dateien von Antivir wurden bereits gelöscht, aber beim Versuch der Deinstallation/Neuinstallation kommt: "Die CRC-Summe von setup.exe wurde verändert. Dies könnte durch einen Virus verursacht worden sein."
Die Datei C:\dglbdpfzh.exe existiert nicht... (?) HIer die logs von C:\mitm.exe Datei mitm.exe empfangen 2008.03.27 22:41:13 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 1/32 (3.13%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.3.26.0 2008.03.27 - AntiVir 7.6.0.75 2008.03.27 - Authentium 4.93.8 2008.03.27 - Avast 4.7.1098.0 2008.03.27 - AVG 7.5.0.516 2008.03.27 - BitDefender 7.2 2008.03.27 - CAT-QuickHeal 9.50 2008.03.26 - ClamAV 0.92.1 2008.03.27 - DrWeb 4.44.0.09170 2008.03.27 - eSafe 7.0.15.0 2008.03.18 - eTrust-Vet 31.3.5648 2008.03.27 - Ewido 4.0 2008.03.27 - F-Prot 4.4.2.54 2008.03.27 - F-Secure 6.70.13260.0 2008.03.27 - FileAdvisor 1 2008.03.27 - Fortinet 3.14.0.0 2008.03.27 - Ikarus T3.1.1.20 2008.03.27 Win32.SuspectCrc Kaspersky 7.0.0.125 2008.03.27 - McAfee 5261 2008.03.27 - Microsoft 1.3301 2008.03.27 - NOD32v2 2979 2008.03.27 - Norman 5.80.02 2008.03.26 - Panda 9.0.0.4 2008.03.26 - Prevx1 V2 2008.03.27 - Rising 20.37.32.00 2008.03.27 - Sophos 4.27.0 2008.03.27 - Sunbelt 3.0.978.0 2008.03.18 - Symantec 10 2008.03.27 - TheHacker 6.2.92.256 2008.03.27 - VBA32 3.12.6.3 2008.03.25 - VirusBuster 4.3.26:9 2008.03.27 - Webwasher-Gateway 6.6.2 2008.03.27 - weitere Informationen File size: 7900 bytes MD5: 6d90f8113ca34edc8a6b8101bb64d74d SHA1: 38602b4d28e120f3efdf9ef1feef0259aafea173 PEiD: - |
|
|
||
27.03.2008, 23:57
Ehrenmitglied
Beiträge: 6028 |
||
|
||
28.03.2008, 12:46
Member
Themenstarter Beiträge: 14 |
#5
gibts auch ne möglichkeit, den trojaner zu entfernen, ohne neuaufzusetzen?
|
|
|
||
28.03.2008, 13:01
Ehrenmitglied
Beiträge: 29434 |
#6
Schlango2
1. mit dem HijackThis löschen ("fixen") Klicke: "Do a system scan only" Setze ein Häckchen in das Kästchen vor den genannten Eintrag und wähle fix checked. Zitat O2 - BHO: Class - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - C:\Programme\LinkOptimizer\LinkOptimizer.dll (file missing)--------------------------- 2. wende fixwareout an + poste nach neustart den report hier http://www.virus-protect.org/artikel/tools/fixwareout.html --------------- 3. eventuelle Fehlermeldungen kannst du vernachlässigen... Start -- Ausführen -- schreib rein: cmd dann kopiere rein: sc stop MSWinLogonProcService [klicke "enter"] und warte ein bisschen, dann kopiere rein: sc delete MSWinLogonProcService [klicke "enter"] sc stop Windows Logon Process Service [klicke "enter"] sc delete Windows Logon Process Service [klicke "enter"] ------------------------------------------------------------- 4. http://www.virus-protect.org/artikel/tools/otmoveIt.html öffne: OTMoveIt.exe Kopiere rein: im linken Fenster ,wo steht: Paste Standard List of Files/Folders to be Move Zitat C:\mitm.exeKlicke auf den Roten MoveIt! poste hier das löschlog 5. das neue Log vom HjackThis + das neue Log von Combofix __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.03.2008, 16:32
Member
Themenstarter Beiträge: 14 |
#7
2.
Username "Häßelbarth" - 2008-03-28 14:56:39 [Fixwareout edited 9/01/2007] ~~~~~ Prerun check Der DNS-Auflösungscache wurde geleert. System was rebooted successfully. ~~~~~ Postrun check HKLM\SOFTWARE\~\Winlogon\ "System"="" .... .... ~~~~~ Misc files. .... ~~~~~ Checking for older varients. .... ~~~~~ Current runs (hklm hkcu "run" Keys Only) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run] "dpdx32o"="C:\\WINDOWS\\System32\\dpdx32o.exe" "Share-to-Web Namespace Daemon"="C:\\Programme\\Hewlett-Packard\\HP Share-to-Web\\hpgs2wnd.exe" "NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup" "NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit" "MDM Rock 4"="C:\\WINDOWS\\System32\\kfoymtelj.exe" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\\WINDOWS\\System32\\ctfmon.exe" "swg"="C:\\Programme\\Google\\GoogleToolbarNotifier\\GoogleToolbarNotifier.exe" .... Hosts file was reset, If you use a custom hosts file please replace it... ~~~~~ End report ~~~~~ 4.C:\mitm.exe moved successfully. File/Folder C:\dglbdpfzh.exe not found. File/Folder C:\WINDOWS\ieredir.exe not found. File/Folder C:\WINDOWS\System32\gcdef.exe not found. File/Folder C:\WINDOWS\sys024372518015.exe not found. C:\WINDOWS\system32\tj moved successfully. C:\WINDOWS\system32\6mo4svc.dll unregistered successfully. C:\WINDOWS\system32\6mo4svc.dll moved successfully. C:\WINDOWS\system32\6vo4svc.dll unregistered successfully. C:\WINDOWS\system32\6vo4svc.dll moved successfully. C:\WINDOWS\system32\ablui.dll unregistered successfully. C:\WINDOWS\system32\ablui.dll moved successfully. C:\WINDOWS\system32\ajledit.dll unregistered successfully. C:\WINDOWS\system32\ajledit.dll moved successfully. C:\WINDOWS\system32\avledit.dll unregistered successfully. C:\WINDOWS\system32\avledit.dll moved successfully. File move failed. C:\WINDOWS\system32\kfoymtelj.exe scheduled to be moved on reboot. File/Folder C:\WINDOWS\winlogon.exe not found. File/Folder C:\Programme\LinkOptimizer not found. File/Folder C:\Program Files\SpySheriff not found. OTMoveIt2 by OldTimer - Version 1.0.21 log created on 03282008_151340 5.HjT: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:26, on 2008-03-28 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Citrix\ICA Client\ssonsvr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Häßelbarth\Eigene Dateien\Download\cleaner_neu\HJT.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O4 - HKLM\..\Run: [dpdx32o] C:\WINDOWS\System32\dpdx32o.exe O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [MDM Rock 4] C:\WINDOWS\System32\kfoymtelj.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/ O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - http://www.e-games.com.my/com/EGamesPlugin.cab O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) - O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader.cab O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = mydomain.com O17 - HKLM\System\CCS\Services\Tcpip\..\{37C37B22-08A9-41D9-9EAD-8087D14EBD50}: NameServer = 213.191.74.11 213.191.92.82 O17 - HKLM\System\CS1\Services\VxD\MSTCP: Domain = mydomain.com O17 - HKLM\System\CS2\Services\VxD\MSTCP: Domain = mydomain.com O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe -- End of file - 3675 bytes Combofix: ComboFix 08-03-26.1 - Häßelbarth 2008-03-28 15:27:56.7 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.0.1252.1.1031.18.87 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\Häßelbarth\Desktop\ComboFix.exe [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Autorun.inf . ((((((((((((((((((((((( Dateien erstellt von 2008-02-28 bis 2008-03-28 )))))))))))))))))))))))))))))) . 2008-03-28 15:13 . 2008-03-28 15:13 <DIR> d-------- C:\_OTMoveIt 2008-03-28 15:08 . 2001-08-23 13:00 87,552 ---h----- C:\bhywwhvcq.exe 2008-03-28 14:55 . 2008-03-28 15:08 <DIR> d-------- C:\fixwareout 2008-03-26 17:27 . 2008-03-26 17:27 <DIR> d-------- C:\Programme\CCleaner 2008-03-26 17:23 . 2008-03-26 17:23 9,216 --ahs---- C:\WINDOWS\Thumbs.db 2008-03-26 17:18 . 2008-03-26 17:19 4,096 --ahs---- C:\WINDOWS\system32\Thumbs.db 2008-03-26 12:55 . 2008-03-26 12:55 <DIR> d-------- C:\WINDOWS\BDOSCAN8 2008-03-25 17:45 . 2008-03-25 17:45 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-03-25 17:45 . 2008-03-25 17:45 <DIR> d-------- C:\Dokumente und Einstellungen\Häßelbarth\Anwendungsdaten\Malwarebytes 2008-03-25 17:45 . 2008-03-25 17:45 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-03-22 13:34 . 2008-03-05 15:56 3,786,760 --a------ C:\WINDOWS\system32\D3DX9_37.dll 2008-03-22 13:34 . 2008-03-05 15:56 1,420,824 --a------ C:\WINDOWS\system32\D3DCompiler_37.dll 2008-03-22 13:34 . 2008-02-05 23:07 462,864 --a------ C:\WINDOWS\system32\d3dx10_37.dll 2008-03-22 13:34 . 2008-03-05 16:03 238,088 --a------ C:\WINDOWS\system32\xactengine3_0.dll 2008-03-22 13:34 . 2008-03-05 16:00 25,608 --a------ C:\WINDOWS\system32\X3DAudio1_3.dll 2008-03-22 10:58 . 2008-03-22 10:59 <DIR> d-------- C:\Dokumente und Einstellungen\Häßelbarth\Anwendungsdaten\YuLeech . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-03-24 16:18 --------- d-----w C:\Programme\Game_Maker7 2008-03-24 09:47 --------- d-----w C:\Programme\Gemeinsame Dateien\Buhl Data Service 2008-03-22 09:57 --------- d-----w C:\Programme\WildGames 2008-03-22 09:57 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WildTangent 2008-03-22 09:55 --------- d-----w C:\Programme\eMule 2008-03-05 14:50 87,552 -c--a-w C:\WINDOWS\system32\dxdllreg.exe 2008-02-11 08:51 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HSETU 2008-02-10 13:50 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-02-10 13:41 --------- d-----w C:\Programme\HSETU 2008-02-10 13:29 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Downloaded Installations 2008-02-09 21:57 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-02-09 21:05 --------- d-----w C:\Programme\kav7.0 2008-01-31 18:51 --------- d-----w C:\Programme\IsoBuster 2008-01-01 14:25 47,104 ----a-w C:\WINDOWS\system32\KMVIDC32.DLL 2007-10-05 18:54 132,242 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat 2007-01-25 19:31 13,824 --sha-w C:\Programme\Gemeinsame Dateien\Thumbs.db 2006-04-19 06:34 60,888 ----a-w C:\Dokumente und Einstellungen\Häßelbarth\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2005-08-14 20:29 87,040 -csha-w C:\Programme\Thumbs.db 2001-08-23 12:00 322,560 -csha-w C:\WINDOWS\LastGood\System32\msvcrt.dll 2007-06-04 21:22 56 --sh--r C:\WINDOWS\system32\E7F4B94E98.sys 2007-06-04 21:22 848 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys 2001-08-23 12:00 50,688 --sh--w C:\WINDOWS\system32\msvcirt.dll 2001-08-23 12:00 401,462 --sh--w C:\WINDOWS\system32\msvcp60.dll 2001-08-23 12:00 322,560 --sh--w C:\WINDOWS\system32\msvcrt.dll 2001-08-23 12:00 569,344 --sh--w C:\WINDOWS\system32\oleaut32.dll 2001-08-23 12:00 106,496 --sh--w C:\WINDOWS\system32\olepro32.dll 2001-08-23 12:00 10,752 --sh--w C:\WINDOWS\system32\regsvr32.exe . ------- Sigcheck ------- 2001-08-23 13:00 1010688 99bdef4a963c5075d708d287e2ca4c50 C:\WINDOWS\explorer.exe 2004-08-04 08:57 1041920 4c132f57e27c105f0259b569813e1d76 C:\WINDOWS\SoftwareDistribution\Download\fa6fb01ac82a6e60ca928c584157ebda\explorer.exe 2001-08-23 13:00 1010688 eb9d03cc2010a38780f9cbbedadc2fc1 C:\WINDOWS\system32\dllcache\explorer.exe . ((((((((((((((((((((((((((((( snapshot_2008-03-26_12.20.34.49 ))))))))))))))))))))))))))))))))))))))))) . + 2008-01-09 14:01:48 118,784 ----a-w C:\WINDOWS\BDOSCAN8\bdupd.dll + 2008-01-09 14:01:48 53,248 ----a-w C:\WINDOWS\BDOSCAN8\ipsupd.dll - 2000-08-31 07:00:00 173,568 ----a-w C:\WINDOWS\erdnt\Hiv-backup\ERDNT.EXE + 2000-08-31 07:00:00 163,328 ----a-w C:\WINDOWS\erdnt\Hiv-backup\ERDNT.EXE - 2008-03-26 11:02:35 16,384 -c--a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat + 2008-03-28 14:15:23 16,384 -c--a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat - 2008-03-26 11:02:35 81,920 -c--a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat + 2008-03-28 14:15:23 81,920 -c--a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat - 2008-03-26 11:02:35 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat + 2008-03-28 14:15:23 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat - 2004-01-11 15:03:32 36,864 ----a-w C:\WINDOWS\system32\LckFldService.exe + 2004-01-11 15:03:32 45,056 ----a-w C:\WINDOWS\system32\LckFldService.exe - 2001-08-23 12:00:00 23,552 -c--a-w C:\WINDOWS\system32\wbem\winmgmt.exe + 2001-08-23 12:00:00 16,896 -c--a-w C:\WINDOWS\system32\wbem\winmgmt.exe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-23 13:00 19968] "swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-09 22:14 68856] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "dpdx32o"="C:\WINDOWS\System32\dpdx32o.exe" [ ] "Share-to-Web Namespace Daemon"="C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2001-07-03 08:11 65536] "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2004-07-15 10:42 4112384] "NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2004-07-15 10:42 81920] "MDM Rock 4"="C:\WINDOWS\System32\kfoymtelj.exe" [ ] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-23 13:00 19968] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=NVDESK32.DLL [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, zwebauth.dll [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Alice (2).lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Alice (2).lnk backup=C:\WINDOWS\pss\Alice (2).lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Erinnerungen für Microsoft Works-Kalender.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Erinnerungen für Microsoft Works-Kalender.lnk backup=C:\WINDOWS\pss\Erinnerungen für Microsoft Works-Kalender.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^GStartup.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\GStartup.lnk backup=C:\WINDOWS\pss\GStartup.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HPAiODevice(hp officejet g series) - 1.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HPAiODevice(hp officejet g series) - 1.lnk backup=C:\WINDOWS\pss\HPAiODevice(hp officejet g series) - 1.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Program Neighborhood Agent.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Program Neighborhood Agent.lnk backup=C:\WINDOWS\pss\Program Neighborhood Agent.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Häßelbarth^Startmenü^Programme^Autostart^PowerReg Scheduler V3.exe] path=C:\Dokumente und Einstellungen\Häßelbarth\Startmenü\Programme\Autostart\PowerReg Scheduler V3.exe backup=C:\WINDOWS\pss\PowerReg Scheduler V3.exeStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOLDialer] --a------ 2004-11-09 21:36 497240 C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt] C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent] C:\Programme\BitTorrent\bittorrent.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EbatesMoeMoneyMaker] wjview /cp:p C:\Programme\EbatesMoeMoneyMaker\System\Code Main lp: C:\Programme\EbatesMoeMoneyMaker [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\F-StopW] C:\Programme\FSI\F-Prot\F-StopW.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite] --a------ 2006-07-11 11:15 3144800 C:\Programme\ICQLite\ICQLite.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD] C:\Programme\ahead\InCD\InCD.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MGBSetup.exe] C:\DOKUME~1\HELBAR~1\EIGENE~1\Download\MGBSET~1.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck] C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2007-03-09 17:53 153136 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz] --a--c--- 2004-07-15 10:42 851968 C:\WINDOWS\system32\nwiz.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] C:\Programme\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpyKiller] C:\Programme\SpyKiller\spykiller.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2005-11-10 13:03 45167 C:\Programme\Java\jre1.5.0_06\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg] --a------ 2007-07-09 22:14 68856 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\tpcupdater] C:\WINDOWS\updatetc.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updater] C:\Programme\Common files\updater\wupdater.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] C:\Programme\Winamp\Winampa.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows installer] C:\winstall.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "iPodService"=3 (0x3) "WYxENx"=2 (0x2) "NMIndexingService"=3 (0x3) "MSWinLogonProcService"=2 (0x2) "MDM"=2 (0x2) "LckFldService"=2 (0x2) "IDriverT"=3 (0x3) "hpdj"=2 (0x2) "gusvc"=3 (0x3) "Boonty Games"=3 (0x3) "AOL ACS"=2 (0x2) "AntiVirService"=2 (0x2) "AntiVirScheduler"=2 (0x2) R0 FPA_RTP;FPA_RTP;C:\WINDOWS\System32\Drivers\FSTOPW.SYS [2003-09-29 14:16] R0 PDDSLHND;PDDSLHND;C:\WINDOWS\System32\drivers\PDDSLHND.sys [2005-05-05 21:38] R0 prohlp01;StarForce Protection Helper Driver v1;C:\WINDOWS\System32\drivers\prohlp01.sys [2002-12-10 17:42] R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-08-09 13:04] R1 prodrv05;StarForce Protection Environment Driver v5;C:\WINDOWS\System32\drivers\prodrv05.sys [2002-12-10 17:35] R1 SSHDRV65;SSHDRV65;C:\WINDOWS\System32\drivers\SSHDRV65.sys [2007-06-28 20:18] R3 PDDSLADP;ProDyne DSL Adapter;C:\WINDOWS\System32\DRIVERS\PDDSLADP.SYS [2005-05-05 21:35] S0 ElbyVCD;ElbyVCD;C:\WINDOWS\System32\DRIVERS\ElbyVCD.sys [] S2 MKEMUSB;Panasonic Digital Palmcorder;C:\WINDOWS\System32\Drivers\Mkemusb.sys [2001-08-08 18:52] S3 ATWPKT;ATWPKT;C:\WINDOWS\system32\Drivers\ATWPKT.SYS [2002-05-15 15:11] S3 DCamUSBMke;USB Video Camera for Panasonic Digital Palmcorder;C:\WINDOWS\System32\Drivers\Mkeusbi.sys [2002-09-02 11:10] S3 DCamUSBMke2;Panasonic USB Video Camera;C:\WINDOWS\System32\Drivers\Mkeusbi2.sys [2002-11-06 09:48] S3 idrmkl;idrmkl;C:\DOKUME~1\HELBAR~1\LOKALE~1\Temp\idrmkl.sys [] S3 ids0004C;ids0004C;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0004C.sys [] S3 ids0005c;ids0005c;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0005c.sys [] S3 ids00118;ids00118;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids00118.sys [] S3 ids0014f;ids0014f;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0014f.sys [] S3 ids0015d;ids0015d;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0015d.sys [] S3 ids00180;ids00180;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids00180.sys [] S3 ids0018a;ids0018a;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0018a.sys [] S3 PDNETCTL;ProDyne MicroPPPoE;C:\WINDOWS\System32\DRIVERS\pdnetctl.sys [2005-09-07 23:09] S3 TIGLUSB;TiglUsb.Sys TI-GRAPH/DIRECT LINK USB driver;C:\WINDOWS\System32\Drivers\TIGLUSB.sys [2005-07-24 13:09] S3 XDva002;XDva002;C:\WINDOWS\System32\XDva002.sys [] S4 Boonty Games;Boonty Games;"C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe" [2005-05-26 22:56] . Inhalt des "geplante Tasks" Ordners "2002-09-22 15:19:23 C:\WINDOWS\Tasks\Symantec NetDetect.job" - C:\Programme\Symantec\LiveUpdate\NDETECT.EXE . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-28 15:32:49 Windows 5.1.2600 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... ************************************************************************** . Zeit der Fertigstellung: 2008-03-28 15:35:24 ComboFix-quarantined-files.txt 2008-03-28 14:34:28 ComboFix2.txt 2008-03-27 16:07:12 ComboFix3.txt 2008-03-26 11:22:14 ComboFix4.txt 2008-03-24 17:44:23 ComboFix5.txt 2008-01-25 21:28:31 11 Verzeichnis(se), 5,663,354,880 Bytes frei 15 Verzeichnis(se), 5,602,058,240 Bytes frei |
|
|
||
28.03.2008, 20:29
Ehrenmitglied
Beiträge: 29434 |
#8
hallo,
1. http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) MSWinLogonProcService in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) Windows Logon Process Service in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. ----------------------------------------------------- «« Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern Zitat KILLALL::Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden. cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen danach: Combofix noch einmal anwenden PC neustarten »» poste das neue Log von Combofix ------------ «« Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit "Speichern unter" auf dem Desktop. Gebe bei Dateityp "Alle Dateien" an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.03.2008, 22:28
Member
Themenstarter Beiträge: 14 |
#9
1.
REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "MSWinLogonProcService" 2008-03-28 21:43:12 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services] "MSWinLogonProcService"=dword:00000002 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\MSWinLogonProcService] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Eventlog\Application\MSWinLogonProcService] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\MSWinLogonProcService] Bei der zweiten Eingabe kam "no instances found". 2 ComboFix 08-03-26.1 - Häßelbarth 2008-03-28 21:58:39.8 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.0.1252.1.1031.18.130 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\Häßelbarth\Desktop\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\Häßelbarth\Desktop\CFScript.txt * Neuer Wiederherstellungspunkt wurde erstellt [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] FILE :: C:\bhywwhvcq.exe C:\Dokumente und Einstellungen\Häßelbarth\Lokale Einstellungen\Temp\idrmkl.sys C:\WINDOWS\System32\dpdx32o.exe C:\WINDOWS\System32\kfoymtelj.exe C:\WINDOWS\updatetc.exe C:\winstall.exe . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\bhywwhvcq.exe . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_IDRMKL -------\Service_idrmkl ((((((((((((((((((((((( Dateien erstellt von 2008-02-28 bis 2008-03-28 )))))))))))))))))))))))))))))) . 2008-03-28 15:13 . 2008-03-28 15:13 <DIR> d-------- C:\_OTMoveIt 2008-03-28 14:55 . 2008-03-28 15:08 <DIR> d-------- C:\fixwareout 2008-03-26 17:27 . 2008-03-26 17:27 <DIR> d-------- C:\Programme\CCleaner 2008-03-26 17:23 . 2008-03-26 17:23 9,216 --ahs---- C:\WINDOWS\Thumbs.db 2008-03-26 17:18 . 2008-03-26 17:19 4,096 --ahs---- C:\WINDOWS\system32\Thumbs.db 2008-03-26 12:55 . 2008-03-26 12:55 <DIR> d-------- C:\WINDOWS\BDOSCAN8 2008-03-25 17:45 . 2008-03-25 17:45 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-03-25 17:45 . 2008-03-25 17:45 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-03-22 13:34 . 2008-03-05 15:56 3,786,760 --a------ C:\WINDOWS\system32\D3DX9_37.dll 2008-03-22 13:34 . 2008-03-05 15:56 1,420,824 --a------ C:\WINDOWS\system32\D3DCompiler_37.dll 2008-03-22 13:34 . 2008-02-05 23:07 462,864 --a------ C:\WINDOWS\system32\d3dx10_37.dll 2008-03-22 13:34 . 2008-03-05 16:03 238,088 --a------ C:\WINDOWS\system32\xactengine3_0.dll 2008-03-22 13:34 . 2008-03-05 16:00 25,608 --a------ C:\WINDOWS\system32\X3DAudio1_3.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-03-24 16:18 --------- d-----w C:\Programme\Game_Maker7 2008-03-24 09:47 --------- d-----w C:\Programme\Gemeinsame Dateien\Buhl Data Service 2008-03-22 09:57 --------- d-----w C:\Programme\WildGames 2008-03-22 09:57 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WildTangent 2008-03-22 09:55 --------- d-----w C:\Programme\eMule 2008-03-05 14:50 87,552 -c--a-w C:\WINDOWS\system32\dxdllreg.exe 2008-02-11 08:51 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HSETU 2008-02-10 13:50 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-02-10 13:41 --------- d-----w C:\Programme\HSETU 2008-02-10 13:29 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Downloaded Installations 2008-02-09 21:57 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-02-09 21:05 --------- d-----w C:\Programme\kav7.0 2008-01-31 18:51 --------- d-----w C:\Programme\IsoBuster 2008-01-01 14:25 47,104 ----a-w C:\WINDOWS\system32\KMVIDC32.DLL 2007-10-05 18:54 132,242 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat 2007-01-25 19:31 13,824 --sha-w C:\Programme\Gemeinsame Dateien\Thumbs.db 2005-08-14 20:29 87,040 -csha-w C:\Programme\Thumbs.db 2001-08-23 12:00 322,560 -csha-w C:\WINDOWS\LastGood\System32\msvcrt.dll 2007-06-04 21:22 56 --sh--r C:\WINDOWS\system32\E7F4B94E98.sys 2007-06-04 21:22 848 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys 2001-08-23 12:00 50,688 --sh--w C:\WINDOWS\system32\msvcirt.dll 2001-08-23 12:00 401,462 --sh--w C:\WINDOWS\system32\msvcp60.dll 2001-08-23 12:00 322,560 --sh--w C:\WINDOWS\system32\msvcrt.dll 2001-08-23 12:00 569,344 --sh--w C:\WINDOWS\system32\oleaut32.dll 2001-08-23 12:00 106,496 --sh--w C:\WINDOWS\system32\olepro32.dll 2001-08-23 12:00 10,752 --sh--w C:\WINDOWS\system32\regsvr32.exe . ------- Sigcheck ------- 2001-08-23 13:00 1010688 99bdef4a963c5075d708d287e2ca4c50 C:\WINDOWS\explorer.exe 2004-08-04 08:57 1041920 4c132f57e27c105f0259b569813e1d76 C:\WINDOWS\SoftwareDistribution\Download\fa6fb01ac82a6e60ca928c584157ebda\explorer.exe 2001-08-23 13:00 1010688 eb9d03cc2010a38780f9cbbedadc2fc1 C:\WINDOWS\system32\dllcache\explorer.exe . ((((((((((((((((((((((((((((( snapshot_2008-03-26_12.20.34.49 ))))))))))))))))))))))))))))))))))))))))) . + 2008-01-09 14:01:48 118,784 ----a-w C:\WINDOWS\BDOSCAN8\bdupd.dll + 2008-01-09 14:01:48 53,248 ----a-w C:\WINDOWS\BDOSCAN8\ipsupd.dll - 2000-08-31 07:00:00 173,568 ----a-w C:\WINDOWS\erdnt\Hiv-backup\ERDNT.EXE + 2000-08-31 07:00:00 163,328 ----a-w C:\WINDOWS\erdnt\Hiv-backup\ERDNT.EXE + 2000-08-31 07:00:00 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE - 2008-03-26 11:02:35 16,384 -c--a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat + 2008-03-28 21:06:15 16,384 -c--a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat - 2008-03-26 11:02:35 81,920 -c--a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat + 2008-03-28 21:06:15 81,920 -c--a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat - 2008-03-26 11:02:35 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat + 2008-03-28 21:06:15 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat - 2004-01-11 15:03:32 36,864 ----a-w C:\WINDOWS\system32\LckFldService.exe + 2004-01-11 15:03:32 45,056 ----a-w C:\WINDOWS\system32\LckFldService.exe - 2001-08-23 12:00:00 23,552 -c--a-w C:\WINDOWS\system32\wbem\winmgmt.exe + 2001-08-23 12:00:00 16,896 -c--a-w C:\WINDOWS\system32\wbem\winmgmt.exe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-23 13:00 19968] "swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-09 22:14 68856] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Share-to-Web Namespace Daemon"="C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2001-07-03 08:11 65536] "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2004-07-15 10:42 4112384] "NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2004-07-15 10:42 81920] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-23 13:00 19968] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=NVDESK32.DLL [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, zwebauth.dll [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Alice (2).lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Alice (2).lnk backup=C:\WINDOWS\pss\Alice (2).lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Erinnerungen für Microsoft Works-Kalender.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Erinnerungen für Microsoft Works-Kalender.lnk backup=C:\WINDOWS\pss\Erinnerungen für Microsoft Works-Kalender.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^GStartup.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\GStartup.lnk backup=C:\WINDOWS\pss\GStartup.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HPAiODevice(hp officejet g series) - 1.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HPAiODevice(hp officejet g series) - 1.lnk backup=C:\WINDOWS\pss\HPAiODevice(hp officejet g series) - 1.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Program Neighborhood Agent.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Program Neighborhood Agent.lnk backup=C:\WINDOWS\pss\Program Neighborhood Agent.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Häßelbarth^Startmenü^Programme^Autostart^PowerReg Scheduler V3.exe] path=C:\Dokumente und Einstellungen\Häßelbarth\Startmenü\Programme\Autostart\PowerReg Scheduler V3.exe backup=C:\WINDOWS\pss\PowerReg Scheduler V3.exeStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOLDialer] --a------ 2004-11-09 21:36 497240 C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt] C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent] C:\Programme\BitTorrent\bittorrent.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EbatesMoeMoneyMaker] wjview /cp:p C:\Programme\EbatesMoeMoneyMaker\System\Code Main lp: C:\Programme\EbatesMoeMoneyMaker [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\F-StopW] C:\Programme\FSI\F-Prot\F-StopW.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite] --a------ 2006-07-11 11:15 3144800 C:\Programme\ICQLite\ICQLite.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD] C:\Programme\ahead\InCD\InCD.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MGBSetup.exe] C:\DOKUME~1\HELBAR~1\EIGENE~1\Download\MGBSET~1.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck] C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2007-03-09 17:53 153136 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz] --a--c--- 2004-07-15 10:42 851968 C:\WINDOWS\system32\nwiz.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] C:\Programme\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2005-11-10 13:03 45167 C:\Programme\Java\jre1.5.0_06\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg] --a------ 2007-07-09 22:14 68856 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] C:\Programme\Winamp\Winampa.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "iPodService"=3 (0x3) "WYxENx"=2 (0x2) "NMIndexingService"=3 (0x3) "MSWinLogonProcService"=2 (0x2) "MDM"=2 (0x2) "LckFldService"=2 (0x2) "IDriverT"=3 (0x3) "hpdj"=2 (0x2) "gusvc"=3 (0x3) "Boonty Games"=3 (0x3) "AOL ACS"=2 (0x2) "AntiVirService"=2 (0x2) "AntiVirScheduler"=2 (0x2) R0 FPA_RTP;FPA_RTP;C:\WINDOWS\System32\Drivers\FSTOPW.SYS [2003-09-29 14:16] R0 PDDSLHND;PDDSLHND;C:\WINDOWS\System32\drivers\PDDSLHND.sys [2005-05-05 21:38] R0 prohlp01;StarForce Protection Helper Driver v1;C:\WINDOWS\System32\drivers\prohlp01.sys [2002-12-10 17:42] R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-08-09 13:04] R1 prodrv05;StarForce Protection Environment Driver v5;C:\WINDOWS\System32\drivers\prodrv05.sys [2002-12-10 17:35] R1 SSHDRV65;SSHDRV65;C:\WINDOWS\System32\drivers\SSHDRV65.sys [2007-06-28 20:18] R3 PDDSLADP;ProDyne DSL Adapter;C:\WINDOWS\System32\DRIVERS\PDDSLADP.SYS [2005-05-05 21:35] S0 ElbyVCD;ElbyVCD;C:\WINDOWS\System32\DRIVERS\ElbyVCD.sys [] S2 MKEMUSB;Panasonic Digital Palmcorder;C:\WINDOWS\System32\Drivers\Mkemusb.sys [2001-08-08 18:52] S3 ATWPKT;ATWPKT;C:\WINDOWS\system32\Drivers\ATWPKT.SYS [2002-05-15 15:11] S3 DCamUSBMke;USB Video Camera for Panasonic Digital Palmcorder;C:\WINDOWS\System32\Drivers\Mkeusbi.sys [2002-09-02 11:10] S3 DCamUSBMke2;Panasonic USB Video Camera;C:\WINDOWS\System32\Drivers\Mkeusbi2.sys [2002-11-06 09:48] S3 ids0004C;ids0004C;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0004C.sys [] S3 ids0005c;ids0005c;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0005c.sys [] S3 ids00118;ids00118;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids00118.sys [] S3 ids0014f;ids0014f;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0014f.sys [] S3 ids0015d;ids0015d;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0015d.sys [] S3 ids00180;ids00180;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids00180.sys [] S3 ids0018a;ids0018a;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0018a.sys [] S3 PDNETCTL;ProDyne MicroPPPoE;C:\WINDOWS\System32\DRIVERS\pdnetctl.sys [2005-09-07 23:09] S3 TIGLUSB;TiglUsb.Sys TI-GRAPH/DIRECT LINK USB driver;C:\WINDOWS\System32\Drivers\TIGLUSB.sys [2005-07-24 13:09] S3 XDva002;XDva002;C:\WINDOWS\System32\XDva002.sys [] S4 Boonty Games;Boonty Games;"C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe" [2005-05-26 22:56] . Inhalt des "geplante Tasks" Ordners "2002-09-22 15:19:23 C:\WINDOWS\Tasks\Symantec NetDetect.job" - C:\Programme\Symantec\LiveUpdate\NDETECT.EXE . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-28 22:06:48 Windows 5.1.2600 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Programme\Citrix\ICA Client\ssonsvr.exe C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\wdfmgr.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-03-28 22:14:16 - machine was rebooted ComboFix-quarantined-files.txt 2008-03-28 21:14:10 ComboFix2.txt 2008-03-28 14:35:25 ComboFix3.txt 2008-03-27 16:07:12 ComboFix4.txt 2008-03-26 11:22:14 ComboFix5.txt 2008-03-24 17:44:23 11 Verzeichnis(se), 5,986,775,040 Bytes frei 15 Verzeichnis(se), 5,885,399,040 Bytes frei 3 Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5C03-607C Verzeichnis von C:\WINDOWS\Downloaded Program Files 2007-07-02 15:44 941,688 asquared.ocx 2004-10-04 14:47 <DIR> CONFLICT.1 2002-11-02 10:31 <DIR> CONFLICT.2 2007-07-26 15:03 214 DivXPlugin.inf 2003-09-15 15:24 61,440 EGamesPlugin.dll 2003-09-15 10:05 308 EGamesPlugin.inf 2006-06-25 11:50 1,793 erma.inf 2006-06-20 19:46 322 IPSUploader.inf 2006-06-20 19:46 1,939,064 IPSUploader.ocx 2002-02-07 12:37 891 jinstall-1_4_0.inf 2004-12-07 00:21 752 jinstall-1_5_0_01.inf 2005-06-03 03:49 752 jinstall-1_5_0_04.inf 2002-10-14 10:47 75,088 MP3_Plugin.exe 2002-10-24 18:08 5,236,592 QuickTimeInstallCache.qdat 2004-12-01 11:27 1,329 setup.inf 2002-05-29 22:12 9,488 sporder_.dll 2006-11-09 14:36 5,019 swflash.inf 2002-11-01 23:09 76,384 The_Ultimate_Browser_Enhancer.exe 2002-05-29 22:12 53,248 xmlparse_.dll 2002-05-29 22:13 81,920 xmltok_.dll 18 Datei(en) 8,486,292 Bytes 2 Verzeichnis(se), 5,888,847,872 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5C03-607C Verzeichnis von C:\Programme Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5C03-607C Verzeichnis von C:\Dokumente und Einstellungen\Häßelbarth 2008-03-26 17:28 <DIR> . 2008-03-26 17:28 <DIR> .. 2005-02-21 17:04 250,363 .fonts.cache-1 2005-02-21 20:15 0 .gtk-bookmarks 2005-11-24 20:20 33 .gtkrc-2.0 2002-09-07 22:01 <DIR> .java 2005-05-14 23:55 <DIR> .javasvn 2006-09-03 13:04 <DIR> .javaws 2006-10-02 15:31 <DIR> .jpi_cache 2003-11-01 18:05 1,199 .plugin140.trace 2003-11-01 18:04 801 .plugin141_02.trace 2006-10-02 15:28 <DIR> .thumbnails 2002-09-13 07:28 <DIR> Application Data 2006-10-03 09:43 <DIR> Citrix 2008-03-28 22:17 <DIR> Desktop 2007-07-24 09:20 <DIR> DoctorWeb 2008-03-24 11:24 <DIR> Eigene Dateien 2008-03-24 10:59 <DIR> Favoriten 2008-02-13 18:41 <DIR> Startmenü 2002-09-21 17:06 <DIR> WINDOWS 5 Datei(en) 252,396 Bytes 15 Verzeichnis(se), 5,888,847,872 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5C03-607C Verzeichnis von C:\Program Files 2007-12-31 22:03 <DIR> . 2007-12-31 22:03 <DIR> .. 2003-08-28 16:55 <DIR> Hewlett-Packard 2006-05-27 14:34 <DIR> ICQLite 2008-01-19 20:36 <DIR> mIRC 2007-12-12 21:06 <DIR> WMV9_VCM 0 Datei(en) 0 Bytes 6 Verzeichnis(se), 5,888,847,872 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5C03-607C Verzeichnis von C:\Dokumente und Einstellungen\Häßelbarth\Lokale Einstellungen\Temporary Internet Files\Content.IE5 2008-03-28 22:17 65,536 index.dat 1 Datei(en) 65,536 Bytes 0 Verzeichnis(se), 5,888,847,872 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5C03-607C Verzeichnis von C:\Dokumente und Einstellungen\Häßelbarth\Lokale Einstellungen\Temp 2008-03-28 22:17 <DIR> . 2008-03-28 22:17 <DIR> .. 2008-03-28 22:16 <DIR> Google Toolbar 0 Datei(en) 0 Bytes 3 Verzeichnis(se), 5,888,847,872 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5C03-607C Verzeichnis von C:\WINDOWS\Temp 2008-03-28 22:14 <DIR> . 2008-03-28 22:14 <DIR> .. 0 Datei(en) 0 Bytes 2 Verzeichnis(se), 5,888,843,776 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5C03-607C Verzeichnis von C:\Temp 2008-01-10 22:29 <DIR> . 2008-01-10 22:29 <DIR> .. 2008-03-26 18:54 10,779 debug.txt 1 Datei(en) 10,779 Bytes 2 Verzeichnis(se), 5,888,843,776 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5C03-607C Verzeichnis von C:\Programme 2008-03-28 21:59 <DIR> . 2008-03-28 21:59 <DIR> .. 2007-10-19 16:47 <DIR> 3DO 2002-09-04 15:14 <DIR> Adobe 2007-03-11 11:40 <DIR> Alice 2007-10-28 07:29 <DIR> AOL 9.0 2007-12-29 12:40 <DIR> Borland 2008-03-26 17:27 <DIR> CCleaner 2006-02-08 13:54 <DIR> Citrix 2002-10-24 10:45 <DIR> Cutter 2004-04-23 19:20 <DIR> CyberLink 2005-11-06 20:59 <DIR> directx 2007-09-11 23:09 <DIR> DivX 2007-12-25 21:31 <DIR> DOSBox-0.65 2008-03-22 10:55 <DIR> eMule 2007-06-04 16:27 <DIR> Enterbrain 2007-12-17 20:47 <DIR> FolderAccess 2003-12-23 19:25 <DIR> FSI 2007-07-09 19:53 <DIR> Game_Maker6 2008-03-24 17:18 <DIR> Game_Maker7 2008-03-26 13:02 <DIR> Gemeinsame Dateien 2007-01-26 23:23 <DIR> Google 2006-08-25 16:27 <DIR> Hewlett-Packard 2008-02-10 14:41 <DIR> HSETU 2007-03-08 22:27 <DIR> ICQLite 2004-11-14 12:02 <DIR> Internet Explorer 2008-01-31 19:51 <DIR> IsoBuster 2007-10-09 21:48 <DIR> Java 2003-11-01 17:55 <DIR> Java Web Start 2007-10-05 19:45 <DIR> Kaspersky Lab 2008-02-09 22:05 <DIR> kav7.0 2007-12-09 18:33 <DIR> Macromedia 2008-03-25 17:45 <DIR> Malwarebytes' Anti-Malware 2004-02-17 10:14 <DIR> MatheAss 2007-03-22 21:11 <DIR> MathType 2002-09-21 21:06 <DIR> Micrografx 2007-02-24 16:34 <DIR> microsoft frontpage 2007-03-22 21:19 <DIR> Microsoft Office 2007-03-09 15:32 <DIR> Microsoft Works 2003-11-08 20:15 <DIR> MKE 2001-09-03 16:03 <DIR> Movie Maker 2008-03-24 13:53 <DIR> Mozilla Firefox 2004-10-23 09:46 <DIR> MSN Gaming Zone 2004-10-09 21:42 <DIR> MSXML 4.0 2007-12-28 23:24 <DIR> NCH Swift Sound 2007-04-01 18:19 <DIR> Nero 2004-10-09 22:01 <DIR> NetMeeting 2003-10-30 19:34 <DIR> Nullsoft 2006-09-02 21:21 <DIR> NVIDIA 2005-08-04 19:59 <DIR> NVidia Refresh Rate Fix 2007-02-18 23:18 <DIR> OmniSecure 2007-10-29 17:26 <DIR> Online-Dienste 2007-02-19 22:28 <DIR> OpenOffice 2007-03-22 22:36 <DIR> OpenOffice.org 2.1 2008-01-10 23:25 <DIR> OpenOffice.org 2.3 2007-03-22 22:15 <DIR> OpenOffice.org1.0.1 2008-01-10 23:20 <DIR> OpenOfficeInstallationFiles 2007-11-17 18:18 <DIR> Opera7 2004-04-22 14:35 <DIR> Outlook Express 2006-10-02 13:45 <DIR> QuickTime 2002-12-09 10:24 <DIR> Real 2007-12-22 12:07 <DIR> SPSS 2007-03-18 09:29 <DIR> Steuerprogramm 2002-10-25 13:00 <DIR> Symantec 2007-09-07 22:15 <DIR> Terragen 2007-03-29 18:31 <DIR> Unlocker 2007-10-03 12:48 <DIR> ventasoft 2007-09-02 21:42 <DIR> VideoLAN 2001-09-03 16:27 <DIR> Viewpoint 2005-03-17 19:44 <DIR> w-sicherung 2007-01-15 17:51 <DIR> wartman 2008-03-22 10:57 <DIR> WildGames 2005-05-15 10:26 <DIR> Winamp 2005-12-17 22:12 <DIR> Windows Media Player 2006-10-02 00:46 <DIR> Windows NT 2007-03-21 08:26 <DIR> WinRAR 2007-03-20 17:09 <DIR> WinRAR2 2007-04-01 00:53 <DIR> WinZip 2007-03-18 16:33 <DIR> WISO 2001-09-03 16:06 <DIR> xerox 2007-12-28 23:23 <DIR> XviD 0 Datei(en) 0 Bytes 81 Verzeichnis(se), 5,888,839,680 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5C03-607C Verzeichnis von C:\Dokumente und Einstellungen\Häßelbarth\Lokale Einstellungen\Anwendungsdaten 2007-04-04 16:40 <DIR> Ahead 2008-03-24 12:38 <DIR> Buhl Data Service 2008-03-24 17:52 149,504 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini 2008-01-16 17:46 65,960 GDIPFONTCACHEV1.DAT 2006-11-06 21:59 <DIR> Google 2007-12-25 15:59 <DIR> Help 2002-09-05 15:29 <DIR> Identities 2007-11-17 20:30 <DIR> Macromedia 2008-02-19 08:16 <DIR> Microsoft 2006-10-02 23:22 <DIR> Mozilla 2007-02-19 22:29 <DIR> {3248F0A6-6813-11D6-A77B-00B0D0150070} 2 Datei(en) 215,464 Bytes 9 Verzeichnis(se), 5,888,839,680 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5C03-607C Verzeichnis von C:\Dokumente und Einstellungen\Häßelbarth\Anwendungsdaten 2007-03-17 13:29 <DIR> AAV 2001-09-03 16:19 <DIR> Adobe 2007-03-28 15:52 <DIR> Ahead 2004-04-22 14:36 <DIR> AOL 2007-10-23 19:33 <DIR> Camfrog 2003-06-27 13:12 <DIR> CyberLink 2006-04-19 07:34 60,888 GDIPFONTCACHEV1.DAT 2006-09-20 19:48 <DIR> Google 2002-09-03 18:46 <DIR> Help 2003-08-28 17:17 <DIR> Hewlett-Packard 2006-02-08 14:18 <DIR> ICAClient 2004-04-29 16:31 <DIR> ICQ 2004-04-29 16:31 <DIR> ICQLite 2007-08-19 14:48 <DIR> Identities 2007-11-17 20:31 <DIR> Macromedia 2008-03-25 17:45 <DIR> Malwarebytes 2008-03-02 16:51 12,951 Microsoft Excel.CAL 2007-02-24 16:35 <DIR> Microsoft Web Folders 2005-10-23 18:56 <DIR> Mozilla 2002-11-29 17:13 <DIR> My Documents 2008-01-14 17:47 <DIR> OpenOffice.org2 2003-10-31 11:39 <DIR> Opera 2003-01-16 19:16 <DIR> Ordner HP Share-to-Web 2007-08-04 12:29 <DIR> STOIK 2003-11-01 18:10 <DIR> Sun 2007-03-22 22:15 0 sversion.ini 2002-09-22 16:13 <DIR> Symantec 2008-01-13 01:00 <DIR> The Hobbit 2007-03-20 21:29 <DIR> uk.co.planetside 2007-07-10 19:05 <DIR> Viewpoint 2007-09-02 21:54 <DIR> vlc 2007-07-29 21:19 1,024 WavCodec.wff 2008-03-22 10:59 <DIR> YuLeech 2007-08-19 14:48 <DIR> Zylom 4 Datei(en) 74,863 Bytes 30 Verzeichnis(se), 5,888,839,680 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5C03-607C Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten 2007-10-05 19:58 305 addr_file.html 2007-04-04 17:10 <DIR> Ahead 2004-04-22 14:36 <DIR> AOL 2008-02-09 22:57 <DIR> Avira 2005-05-26 22:56 <DIR> BOONTY 2003-06-28 22:40 <DIR> CyberLink 2008-02-10 14:29 <DIR> Downloaded Installations 2007-10-05 19:54 132,242 firstlsp.reg.dat 2006-10-02 23:28 <DIR> Google 2008-02-11 09:51 <DIR> HSETU 2008-01-11 21:37 <DIR> Macromedia 2005-05-22 12:51 <DIR> Macrovision 2008-03-25 17:45 <DIR> Malwarebytes 2002-10-16 22:44 <DIR> MSN6 2007-04-05 20:28 <DIR> Nero 2006-09-03 17:01 <DIR> nView_Profiles 2002-10-24 18:06 <DIR> QuickTime 2002-09-22 16:14 <DIR> Symantec 2007-06-07 00:00 <DIR> TEMP 2005-05-15 10:57 <DIR> Trymedia 2005-01-02 15:02 <DIR> Ulead Systems 2007-07-09 19:10 <DIR> Viewpoint 2008-03-22 10:57 <DIR> WildTangent 2006-08-20 12:09 <DIR> Windows Genuine Advantage 2 Datei(en) 132,547 Bytes 22 Verzeichnis(se), 5,888,835,584 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5C03-607C Verzeichnis von C:\Programme\Gemeinsame Dateien 2008-03-26 13:02 <DIR> . 2008-03-26 13:02 <DIR> .. 2007-03-17 13:22 <DIR> AAV 2002-09-04 13:26 <DIR> Adobe 2007-04-05 20:32 <DIR> Ahead 2007-03-11 11:40 <DIR> Alice 2005-05-06 07:50 <DIR> aol 2004-04-22 14:32 <DIR> aolback 2004-04-23 19:20 <DIR> aolshare 2005-05-26 22:56 <DIR> BOONTY Shared 2008-03-24 10:47 <DIR> Buhl Data Service 2007-03-22 21:22 <DIR> DESIGNER 2007-01-25 20:31 <DIR> Dienste 2003-12-23 14:49 <DIR> DirectX 2004-12-30 00:53 <DIR> InstallShield 2007-02-19 22:30 <DIR> Java 2008-02-19 08:14 <DIR> Microsoft Shared 2001-09-03 16:02 <DIR> MSSoap 2006-01-01 11:43 <DIR> NSV 2004-04-22 14:27 <DIR> Nullsoft 2007-03-09 16:04 <DIR> ODBC 2002-12-09 10:24 <DIR> Real 2001-09-03 16:52 <DIR> SpeechEngines 2006-11-25 23:36 <DIR> SWF Studio 2002-10-25 13:00 <DIR> Symantec Shared 2008-02-19 08:13 <DIR> System 2004-04-23 19:21 <DIR> Vbox 2007-12-09 18:25 <DIR> Wise Installation Wizard 0 Datei(en) 0 Bytes 28 Verzeichnis(se), 5,888,835,584 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5C03-607C Verzeichnis von C:\Windows\tasks 2002-09-22 16:19 406 Symantec NetDetect.job 1 Datei(en) 406 Bytes 0 Verzeichnis(se), 5,888,835,584 Bytes frei |
|
|
||
28.03.2008, 23:11
Ehrenmitglied
Beiträge: 29434 |
#10
1,
was ist das unter "Programme" ? ...wozu dient das Proggie ? - 2008-02-10 14:41 <DIR> HSETU C:\Dokumente und Einstellungen\Häßelbarth\Anwendungsdaten 2008-03-22 10:59 <DIR> YuLeech - was ist das ? 2. erstelle eine neue cfscript.txt Zitat Registry::Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden. cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen danach: Combofix noch einmal anwenden PC neustarten ------------------ « wende sdfix an - funktioniert nur im abgesicherten Modus - poste dann den report nach Neustart http://www.virus-protect.org/artikel/tools/sdfix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
29.03.2008, 13:02
Member
Themenstarter Beiträge: 14 |
#11
1.
HSetu ist eine Software namens "Energieberater 6.0", Fachsoftware für Gebäudetechnik. YuLeech (klingt ganz kriminell, ich weiß), ist eine Software, die zum Download des MMORPG BountyBayOnline diente. Die beiden Programme müssten eigentlich sauber sein, weil andere Nutzer keine Probleme damit hatten. ComboFix 08-03-27.3 - Häßelbarth 2008-03-29 12:10:15.9 - NTFSx86 ausgeführt von:: C:\Dokumente und Einstellungen\Häßelbarth\Desktop\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\Häßelbarth\Desktop\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . -- Script messages for sUBs -- Findstr -MIF:/ "\\TTC\.pdb InsertAdvertisement" GREP -Eisf temp00 VFind -tf -s282624 "C:\Programme\????????*[0-9].dll" ((((((((((((((((((((((( Dateien erstellt von 2008-02-28 bis 2008-03-29 )))))))))))))))))))))))))))))) . 2008-03-28 15:13 . 2008-03-28 15:13 <DIR> d-------- C:\_OTMoveIt 2008-03-28 14:55 . 2008-03-28 15:08 <DIR> d-------- C:\fixwareout 2008-03-26 17:27 . 2008-03-26 17:27 <DIR> d-------- C:\Programme\CCleaner 2008-03-26 17:23 . 2008-03-26 17:23 9,216 --ahs---- C:\WINDOWS\Thumbs.db 2008-03-26 17:18 . 2008-03-26 17:19 4,096 --ahs---- C:\WINDOWS\system32\Thumbs.db 2008-03-26 12:55 . 2008-03-26 12:55 <DIR> d-------- C:\WINDOWS\BDOSCAN8 2008-03-25 17:45 . 2008-03-25 17:45 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-03-25 17:45 . 2008-03-25 17:45 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-03-22 13:34 . 2008-03-05 15:56 3,786,760 --a------ C:\WINDOWS\system32\D3DX9_37.dll 2008-03-22 13:34 . 2008-03-05 15:56 1,420,824 --a------ C:\WINDOWS\system32\D3DCompiler_37.dll 2008-03-22 13:34 . 2008-02-05 23:07 462,864 --a------ C:\WINDOWS\system32\d3dx10_37.dll 2008-03-22 13:34 . 2008-03-05 16:03 238,088 --a------ C:\WINDOWS\system32\xactengine3_0.dll 2008-03-22 13:34 . 2008-03-05 16:00 25,608 --a------ C:\WINDOWS\system32\X3DAudio1_3.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-03-24 16:18 --------- d-----w C:\Programme\Game_Maker7 2008-03-24 09:47 --------- d-----w C:\Programme\Gemeinsame Dateien\Buhl Data Service 2008-03-22 09:57 --------- d-----w C:\Programme\WildGames 2008-03-22 09:57 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WildTangent 2008-03-22 09:55 --------- d-----w C:\Programme\eMule 2008-02-11 08:51 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HSETU 2008-02-10 13:50 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-02-10 13:41 --------- d-----w C:\Programme\HSETU 2008-02-10 13:29 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Downloaded Installations 2008-02-09 21:57 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-02-09 21:05 --------- d-----w C:\Programme\kav7.0 2008-01-31 18:51 --------- d-----w C:\Programme\IsoBuster 2007-10-05 18:54 132,242 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat 2007-01-25 19:31 13,824 --sha-w C:\Programme\Gemeinsame Dateien\Thumbs.db 2005-08-14 20:29 87,040 -csha-w C:\Programme\Thumbs.db 2001-08-23 12:00 322,560 -csha-w C:\WINDOWS\LastGood\System32\msvcrt.dll 2007-06-04 21:22 56 --sh--r C:\WINDOWS\system32\E7F4B94E98.sys 2007-06-04 21:22 848 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys 2001-08-23 12:00 50,688 --sh--w C:\WINDOWS\system32\msvcirt.dll 2001-08-23 12:00 401,462 --sh--w C:\WINDOWS\system32\msvcp60.dll 2001-08-23 12:00 322,560 --sh--w C:\WINDOWS\system32\msvcrt.dll 2001-08-23 12:00 569,344 --sh--w C:\WINDOWS\system32\oleaut32.dll 2001-08-23 12:00 106,496 --sh--w C:\WINDOWS\system32\olepro32.dll 2001-08-23 12:00 10,752 --sh--w C:\WINDOWS\system32\regsvr32.exe . ------- Sigcheck ------- 2001-08-23 13:00 1010688 99bdef4a963c5075d708d287e2ca4c50 C:\WINDOWS\explorer.exe 2004-08-04 08:57 1041920 4c132f57e27c105f0259b569813e1d76 C:\WINDOWS\SoftwareDistribution\Download\fa6fb01ac82a6e60ca928c584157ebda\explorer.exe 2001-08-23 13:00 1010688 eb9d03cc2010a38780f9cbbedadc2fc1 C:\WINDOWS\system32\dllcache\explorer.exe . ((((((((((((((((((((((((((((( snapshot_2008-03-26_12.20.34.49 ))))))))))))))))))))))))))))))))))))))))) . + 2008-01-09 14:01:48 118,784 ----a-w C:\WINDOWS\BDOSCAN8\bdupd.dll + 2008-01-09 14:01:48 53,248 ----a-w C:\WINDOWS\BDOSCAN8\ipsupd.dll - 2000-08-31 07:00:00 173,568 ----a-w C:\WINDOWS\erdnt\Hiv-backup\ERDNT.EXE + 2000-08-31 07:00:00 163,328 ----a-w C:\WINDOWS\erdnt\Hiv-backup\ERDNT.EXE + 2000-08-31 07:00:00 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE - 2008-03-26 11:02:35 16,384 -c--a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat + 2008-03-29 11:17:46 16,384 -c--a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat - 2008-03-26 11:02:35 81,920 -c--a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat + 2008-03-29 11:17:46 81,920 -c--a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat - 2008-03-26 11:02:35 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat + 2008-03-29 11:17:46 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat - 2000-08-31 07:00:00 81,920 ----a-w C:\WINDOWS\system32\fdsv.exe + 2000-08-31 07:00:00 73,728 ----a-w C:\WINDOWS\system32\fdsv.exe - 2000-08-31 07:00:00 87,068 ----a-w C:\WINDOWS\system32\grep.exe + 2000-08-31 07:00:00 80,412 ----a-w C:\WINDOWS\system32\grep.exe - 2004-01-11 15:03:32 36,864 ----a-w C:\WINDOWS\system32\LckFldService.exe + 2004-01-11 15:03:32 45,056 ----a-w C:\WINDOWS\system32\LckFldService.exe - 2000-08-31 07:00:00 105,472 ----a-w C:\WINDOWS\system32\sed.exe + 2000-08-31 07:00:00 98,816 ----a-w C:\WINDOWS\system32\sed.exe - 2000-08-31 07:00:00 144,384 ----a-w C:\WINDOWS\system32\swsc.exe + 2000-08-31 07:00:00 136,704 ----a-w C:\WINDOWS\system32\swsc.exe - 2000-08-31 07:00:00 219,136 ----a-w C:\WINDOWS\system32\swxcacls.exe + 2000-08-31 07:00:00 212,480 ----a-w C:\WINDOWS\system32\swxcacls.exe - 2000-08-31 07:00:00 60,996 ----a-w C:\WINDOWS\system32\VFind.exe + 2000-08-31 07:00:00 49,152 ----a-w C:\WINDOWS\system32\VFind.exe - 2001-08-23 12:00:00 23,552 -c--a-w C:\WINDOWS\system32\wbem\winmgmt.exe + 2001-08-23 12:00:00 16,896 -c--a-w C:\WINDOWS\system32\wbem\winmgmt.exe - 2000-08-31 07:00:00 74,752 ----a-w C:\WINDOWS\system32\zip.exe + 2000-08-31 07:00:00 68,096 ----a-w C:\WINDOWS\system32\zip.exe . -- Snapshot reset to current date -- . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-23 13:00 19968] "swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-09 22:14 68856] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Share-to-Web Namespace Daemon"="C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2001-07-03 08:11 65536] "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2004-07-15 10:42 4112384] "NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2004-07-15 10:42 81920] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-23 13:00 19968] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=NVDESK32.DLL [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, zwebauth.dll [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Alice (2).lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Alice (2).lnk backup=C:\WINDOWS\pss\Alice (2).lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Erinnerungen für Microsoft Works-Kalender.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Erinnerungen für Microsoft Works-Kalender.lnk backup=C:\WINDOWS\pss\Erinnerungen für Microsoft Works-Kalender.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^GStartup.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\GStartup.lnk backup=C:\WINDOWS\pss\GStartup.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HPAiODevice(hp officejet g series) - 1.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HPAiODevice(hp officejet g series) - 1.lnk backup=C:\WINDOWS\pss\HPAiODevice(hp officejet g series) - 1.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Program Neighborhood Agent.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Program Neighborhood Agent.lnk backup=C:\WINDOWS\pss\Program Neighborhood Agent.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Häßelbarth^Startmenü^Programme^Autostart^PowerReg Scheduler V3.exe] path=C:\Dokumente und Einstellungen\Häßelbarth\Startmenü\Programme\Autostart\PowerReg Scheduler V3.exe backup=C:\WINDOWS\pss\PowerReg Scheduler V3.exeStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOLDialer] --a------ 2004-11-09 21:36 497240 C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt] C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent] C:\Programme\BitTorrent\bittorrent.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\F-StopW] C:\Programme\FSI\F-Prot\F-StopW.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite] --a------ 2006-07-11 11:15 3144800 C:\Programme\ICQLite\ICQLite.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD] C:\Programme\ahead\InCD\InCD.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MGBSetup.exe] C:\DOKUME~1\HELBAR~1\EIGENE~1\Download\MGBSET~1.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck] C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2007-03-09 17:53 153136 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz] --a--c--- 2004-07-15 10:42 851968 C:\WINDOWS\system32\nwiz.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] C:\Programme\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2005-11-10 13:03 45167 C:\Programme\Java\jre1.5.0_06\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg] --a------ 2007-07-09 22:14 68856 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] C:\Programme\Winamp\Winampa.exe R0 FPA_RTP;FPA_RTP;C:\WINDOWS\System32\Drivers\FSTOPW.SYS [2003-09-29 14:16] R0 PDDSLHND;PDDSLHND;C:\WINDOWS\System32\drivers\PDDSLHND.sys [2005-05-05 21:38] R0 prohlp01;StarForce Protection Helper Driver v1;C:\WINDOWS\System32\drivers\prohlp01.sys [2002-12-10 17:42] R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-08-09 13:04] R1 prodrv05;StarForce Protection Environment Driver v5;C:\WINDOWS\System32\drivers\prodrv05.sys [2002-12-10 17:35] R1 SSHDRV65;SSHDRV65;C:\WINDOWS\System32\drivers\SSHDRV65.sys [2007-06-28 20:18] R3 PDDSLADP;ProDyne DSL Adapter;C:\WINDOWS\System32\DRIVERS\PDDSLADP.SYS [2005-05-05 21:35] S0 ElbyVCD;ElbyVCD;C:\WINDOWS\System32\DRIVERS\ElbyVCD.sys [] S2 MKEMUSB;Panasonic Digital Palmcorder;C:\WINDOWS\System32\Drivers\Mkemusb.sys [2001-08-08 18:52] S3 ATWPKT;ATWPKT;C:\WINDOWS\system32\Drivers\ATWPKT.SYS [2002-05-15 15:11] S3 DCamUSBMke;USB Video Camera for Panasonic Digital Palmcorder;C:\WINDOWS\System32\Drivers\Mkeusbi.sys [2002-09-02 11:10] S3 DCamUSBMke2;Panasonic USB Video Camera;C:\WINDOWS\System32\Drivers\Mkeusbi2.sys [2002-11-06 09:48] S3 ids0004C;ids0004C;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0004C.sys [] S3 ids0005c;ids0005c;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0005c.sys [] S3 ids00118;ids00118;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids00118.sys [] S3 ids0014f;ids0014f;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0014f.sys [] S3 ids0015d;ids0015d;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0015d.sys [] S3 ids00180;ids00180;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids00180.sys [] S3 ids0018a;ids0018a;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0018a.sys [] S3 PDNETCTL;ProDyne MicroPPPoE;C:\WINDOWS\System32\DRIVERS\pdnetctl.sys [2005-09-07 23:09] S3 TIGLUSB;TiglUsb.Sys TI-GRAPH/DIRECT LINK USB driver;C:\WINDOWS\System32\Drivers\TIGLUSB.sys [2005-07-24 13:09] S3 XDva002;XDva002;C:\WINDOWS\System32\XDva002.sys [] S4 Boonty Games;Boonty Games;"C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe" [2005-05-26 22:56] . Inhalt des "geplante Tasks" Ordners "2002-09-22 15:19:23 C:\WINDOWS\Tasks\Symantec NetDetect.job" - C:\Programme\Symantec\LiveUpdate\NDETECT.EXE . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-29 12:18:14 Windows 5.1.2600 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Programme\Citrix\ICA Client\ssonsvr.exe C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\wdfmgr.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-03-29 12:26:35 - machine was rebooted [H„áelbarth] ComboFix-quarantined-files.txt 2008-03-29 11:25:41 ComboFix2.txt 2008-03-28 21:14:17 ComboFix3.txt 2008-03-28 14:35:25 ComboFix4.txt 2008-03-27 16:07:12 ComboFix5.txt 2008-03-26 11:22:14 11 Verzeichnis(se), 7,513,780,224 Bytes frei 15 Verzeichnis(se), 7,438,553,088 Bytes frei |
|
|
||
29.03.2008, 19:46
Ehrenmitglied
Beiträge: 29434 |
#12
wende sdfix an - funktioniert nur im abgesicherten Modus - poste dann den report nach Neustart- von sdfix
http://www.virus-protect.org/artikel/tools/sdfix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.03.2008, 00:46
Member
Themenstarter Beiträge: 14 |
#13
SDFix: Version 1.164
Run by Häßelbarth on 2008-03-29 at 23:44 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Checking Services : Restoring Windows Registry Values Restoring Windows Default Hosts File Rebooting Checking Files : Trojan Files Found: C:\dbg.txt - Deleted C:\WINDOWS\system32\drivers\etc\hosts.bho - Deleted C:\WINDOWS\system32\pac.txt - Deleted Removing Temp Files ADS Check : Final Check : catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-30 00:13:23 Windows 5.1.2600 NTFS scanning hidden processes ... scanning hidden services & system hive ... scanning hidden registry entries ... [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Fonts] "\xf8\xbb\xdc\xb4\x2026\xbap\xc8 ?(?T?r?u?e?T?y?p?e?)?"="Mmj.ttf" scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 4 Remaining Services : Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "\\??\\C:\\WINDOWS\\system32\\winlogon.exe"="\\??\\C:\\WINDOWS\\system32\\winlogon.exe:*:enabled:@shell32.dll,-1" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] Remaining Files : File Backups: - C:\SDFix\backups\backups.zip Files with Hidden Attributes : Mon 16 Oct 2000 87,392 A.SH. --- "C:\WINDOWS\TWAIN.DLL" Mon 16 Oct 2000 77,312 A.SH. --- "C:\WINDOWS\TWAIN_32.DLL" Wed 25 Feb 2004 54,384 A..H. --- "C:\Programme\AOL 9.0\aolphx.exe" Mon 10 May 2004 156,784 A..H. --- "C:\Programme\AOL 9.0\aoltray.exe" Wed 25 Feb 2004 31,344 A..H. --- "C:\Programme\AOL 9.0\RBM.exe" Mon 19 Jan 2004 435,200 A..H. --- "C:\Programme\AOL 9.0\StartSM.exe" Mon 4 Jun 2007 56 ..SHR --- "C:\WINDOWS\system32\E7F4B94E98.sys" Mon 4 Jun 2007 848 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys" Sat 10 May 2003 995,383 A.SH. --- "C:\WINDOWS\system32\MFC42.DLL" Thu 23 Aug 2001 50,688 ..SH. --- "C:\WINDOWS\system32\msvcirt.dll" Thu 23 Aug 2001 401,462 ..SH. --- "C:\WINDOWS\system32\msvcp60.dll" Thu 23 Aug 2001 322,560 ..SH. --- "C:\WINDOWS\system32\msvcrt.dll" Thu 23 Aug 2001 569,344 ..SH. --- "C:\WINDOWS\system32\oleaut32.dll" Thu 23 Aug 2001 106,496 ..SH. --- "C:\WINDOWS\system32\olepro32.dll" Thu 23 Aug 2001 10,752 ..SH. --- "C:\WINDOWS\system32\regsvr32.exe" Tue 3 Sep 2002 4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak" Tue 4 Jan 2005 400 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\v2ks.bla.bak" Tue 4 Jan 2005 48 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\v2ks.sec.bak" Sat 21 Jun 2003 377,344 A..H. --- "C:\Programme\IsoBuster\Help\AHlp.exe" Thu 23 Aug 2001 322,560 A.SH. --- "C:\WINDOWS\LastGood\System32\msvcrt.dll" Thu 23 Aug 2001 569,344 A.SH. --- "C:\WINDOWS\LastGood\System32\OLEAUT32.DLL" Fri 22 Oct 2004 320,872 A.SHR --- "C:\_OTMoveIt\MovedFiles\03282008_151340\WINDOWS\system32\6mo4svc.dll" Fri 22 Oct 2004 320,872 A.SHR --- "C:\_OTMoveIt\MovedFiles\03282008_151340\WINDOWS\system32\6vo4svc.dll" Fri 22 Oct 2004 320,872 A.SHR --- "C:\_OTMoveIt\MovedFiles\03282008_151340\WINDOWS\system32\ablui.dll" Fri 22 Oct 2004 320,872 A.SHR --- "C:\_OTMoveIt\MovedFiles\03282008_151340\WINDOWS\system32\ajledit.dll" Fri 22 Oct 2004 320,872 A.SHR --- "C:\_OTMoveIt\MovedFiles\03282008_151340\WINDOWS\system32\avledit.dll" Thu 23 Aug 2001 87,552 A.SHR --- "C:\_OTMoveIt\MovedFiles\03282008_151340\WINDOWS\system32\kfoymtelj.exe" Finished! |
|
|
||
30.03.2008, 03:31
Ehrenmitglied
Beiträge: 29434 |
#14
«
otmoveIt klicken: CleanUp! button Begin cleanup process? klicke: Yes. - "Do you want to reboot?" klicke Yes so wird von OTMoveIt2 automatisch alles an Tools entfernt, die zur Virenreinigung geladen wurden. « scanne mit dem Kaspersky ..im abgesicherten Modus ! und berichte, ob noch was gefunden wurde. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.03.2008, 15:09
Member
Themenstarter Beiträge: 14 |
#15
was muss ich denn bei OTMoveIt2 noch einfügen? wenn ich einfach so "CleanUP!" drücke, passiert nichts (hab ne stunde gewartet, weil er noch am arbeiten war, aber das programm schien abgestürzt zu sein.)
Und er fragt auch nicht "Begin Cleanup process?" edit: habs nochmal probiert: nach einer stunde kommt I/O error 112. und die festplatte ist restlos gefüllt. vor dem cleanup waren 10GB frei (von 30GB insgesamt). nach neustart sind wieder 10GB frei. Dieser Beitrag wurde am 30.03.2008 um 16:34 Uhr von Schlango2 editiert.
|
|
|
||
ausgeführt von:: C:\Dokumente und Einstellungen\Häßelbarth\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.
((((((((((((((((((((((( Dateien erstellt von 2008-02-27 bis 2008-03-27 ))))))))))))))))))))))))))))))
.
2008-03-27 16:53 . 2001-08-23 13:00 87,552 ---h----- C:\dglbdpfzh.exe
2008-03-26 17:27 . 2008-03-26 17:27 <DIR> d-------- C:\Programme\CCleaner
2008-03-26 17:23 . 2008-03-26 17:23 9,216 --ahs---- C:\WINDOWS\Thumbs.db
2008-03-26 17:18 . 2008-03-26 17:19 4,096 --ahs---- C:\WINDOWS\system32\Thumbs.db
2008-03-26 12:55 . 2008-03-26 12:55 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2008-03-25 17:45 . 2008-03-25 17:45 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-03-25 17:45 . 2008-03-25 17:45 <DIR> d-------- C:\Dokumente und Einstellungen\Häßelbarth\Anwendungsdaten\Malwarebytes
2008-03-25 17:45 . 2008-03-25 17:45 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-03-24 16:53 . 2008-03-27 16:42 7,900 --a------ C:\mitm.exe
2008-03-24 11:21 . 2008-03-27 16:59 135 --ah----- C:\AUTORUN.INF
2008-03-22 13:34 . 2008-03-05 15:56 3,786,760 --a------ C:\WINDOWS\system32\D3DX9_37.dll
2008-03-22 13:34 . 2008-03-05 15:56 1,420,824 --a------ C:\WINDOWS\system32\D3DCompiler_37.dll
2008-03-22 13:34 . 2008-02-05 23:07 462,864 --a------ C:\WINDOWS\system32\d3dx10_37.dll
2008-03-22 13:34 . 2008-03-05 16:03 238,088 --a------ C:\WINDOWS\system32\xactengine3_0.dll
2008-03-22 13:34 . 2008-03-05 16:00 25,608 --a------ C:\WINDOWS\system32\X3DAudio1_3.dll
2008-03-22 10:58 . 2008-03-22 10:59 <DIR> d-------- C:\Dokumente und Einstellungen\Häßelbarth\Anwendungsdaten\YuLeech
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-24 16:18 --------- d-----w C:\Programme\Game_Maker7
2008-03-24 09:47 --------- d-----w C:\Programme\Gemeinsame Dateien\Buhl Data Service
2008-03-22 09:57 --------- d-----w C:\Programme\WildGames
2008-03-22 09:57 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WildTangent
2008-03-22 09:55 --------- d-----w C:\Programme\eMule
2008-03-05 14:50 87,552 -c--a-w C:\WINDOWS\system32\dxdllreg.exe
2008-02-11 08:51 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HSETU
2008-02-10 13:50 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-10 13:41 --------- d-----w C:\Programme\HSETU
2008-02-10 13:29 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Downloaded Installations
2008-02-09 21:57 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-02-09 21:05 --------- d-----w C:\Programme\kav7.0
2008-01-31 18:51 --------- d-----w C:\Programme\IsoBuster
2008-01-01 14:25 47,104 ----a-w C:\WINDOWS\system32\KMVIDC32.DLL
2007-12-27 11:58 81,920 ----a-w C:\WINDOWS\system32\OpenAL32.dll
2007-12-27 11:58 233,472 ----a-w C:\WINDOWS\system32\wrap_oal.dll
2007-10-05 18:54 132,242 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat
2007-01-25 19:31 13,824 --sha-w C:\Programme\Gemeinsame Dateien\Thumbs.db
2006-04-19 06:34 60,888 ----a-w C:\Dokumente und Einstellungen\Häßelbarth\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2005-08-14 20:29 87,040 -csha-w C:\Programme\Thumbs.db
2001-08-23 12:00 322,560 -csha-w C:\WINDOWS\LastGood\System32\msvcrt.dll
2004-10-22 07:00 320,872 --sha-r C:\WINDOWS\system32\6mo4svc.dll
2004-10-22 07:00 320,872 --sha-r C:\WINDOWS\system32\6vo4svc.dll
2004-10-22 07:00 320,872 --sha-r C:\WINDOWS\system32\ablui.dll
2004-10-22 07:00 320,872 -csha-r C:\WINDOWS\system32\ajledit.dll
2004-10-22 07:00 320,872 -csha-r C:\WINDOWS\system32\avledit.dll
2007-06-04 21:22 56 --sh--r C:\WINDOWS\system32\E7F4B94E98.sys
2001-08-23 12:00 87,552 --sh--r C:\WINDOWS\system32\kfoymtelj.exe
2007-06-04 21:22 848 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
2001-08-23 12:00 50,688 --sh--w C:\WINDOWS\system32\msvcirt.dll
2001-08-23 12:00 401,462 --sh--w C:\WINDOWS\system32\msvcp60.dll
2001-08-23 12:00 322,560 --sh--w C:\WINDOWS\system32\msvcrt.dll
2001-08-23 12:00 569,344 --sh--w C:\WINDOWS\system32\oleaut32.dll
2001-08-23 12:00 106,496 --sh--w C:\WINDOWS\system32\olepro32.dll
2001-08-23 12:00 10,752 --sh--w C:\WINDOWS\system32\regsvr32.exe
.
------- Sigcheck -------
2001-08-23 13:00 1010688 99bdef4a963c5075d708d287e2ca4c50 C:\WINDOWS\explorer.exe
2004-08-04 08:57 1041920 4c132f57e27c105f0259b569813e1d76 C:\WINDOWS\SoftwareDistribution\Download\fa6fb01ac82a6e60ca928c584157ebda\explorer.exe
2001-08-23 13:00 1010688 eb9d03cc2010a38780f9cbbedadc2fc1 C:\WINDOWS\system32\dllcache\explorer.exe
.
((((((((((((((((((((((((((((( snapshot_2008-03-26_12.20.34.49 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-01-09 14:01:48 118,784 ----a-w C:\WINDOWS\BDOSCAN8\bdupd.dll
+ 2008-01-09 14:01:48 53,248 ----a-w C:\WINDOWS\BDOSCAN8\ipsupd.dll
- 2000-08-31 07:00:00 173,568 ----a-w C:\WINDOWS\erdnt\Hiv-backup\ERDNT.EXE
+ 2000-08-31 07:00:00 163,328 ----a-w C:\WINDOWS\erdnt\Hiv-backup\ERDNT.EXE
- 2008-03-26 11:02:35 16,384 -c--a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-03-27 15:38:54 16,384 -c--a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-03-26 11:02:35 81,920 -c--a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
+ 2008-03-27 15:38:54 81,920 -c--a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
- 2008-03-26 11:02:35 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2008-03-27 15:38:54 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
- 2004-01-11 15:03:32 36,864 ----a-w C:\WINDOWS\system32\LckFldService.exe
+ 2004-01-11 15:03:32 45,056 ----a-w C:\WINDOWS\system32\LckFldService.exe
- 2001-08-23 12:00:00 23,552 -c--a-w C:\WINDOWS\system32\wbem\winmgmt.exe
+ 2001-08-23 12:00:00 16,896 -c--a-w C:\WINDOWS\system32\wbem\winmgmt.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DA39029C-D291-A968-3FF4-D0990D5CB5FC}]
C:\Programme\LinkOptimizer\LinkOptimizer.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"gcdef"="C:\WINDOWS\System32\gcdef.exe" [ ]
"ctfmon.exe"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-23 13:00 19968]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-09 22:14 68856]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nzgmhkbk"="C:\WINDOWS\System32\ureepd.exe" [ ]
"ypeperft"="C:\WINDOWS\System32\ypeperft.exe" [ ]
"dpdx32o"="C:\WINDOWS\System32\dpdx32o.exe" [ ]
"Share-to-Web Namespace Daemon"="C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2001-07-03 08:11 65536]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2004-07-15 10:42 4112384]
"sys024372518015"="C:\WINDOWS\sys024372518015.exe" [ ]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2004-07-15 10:42 81920]
"IE Redir"="C:\WINDOWS\ieredir.exe" [ ]
"MDM Rock 4"="C:\WINDOWS\System32\kfoymtelj.exe" [2001-08-23 13:00 87552]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-23 13:00 19968]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=NVDESK32.DLL
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, zwebauth.dll
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Alice (2).lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Alice (2).lnk
backup=C:\WINDOWS\pss\Alice (2).lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Erinnerungen für Microsoft Works-Kalender.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Erinnerungen für Microsoft Works-Kalender.lnk
backup=C:\WINDOWS\pss\Erinnerungen für Microsoft Works-Kalender.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^GStartup.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\GStartup.lnk
backup=C:\WINDOWS\pss\GStartup.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HPAiODevice(hp officejet g series) - 1.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HPAiODevice(hp officejet g series) - 1.lnk
backup=C:\WINDOWS\pss\HPAiODevice(hp officejet g series) - 1.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Program Neighborhood Agent.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Program Neighborhood Agent.lnk
backup=C:\WINDOWS\pss\Program Neighborhood Agent.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Häßelbarth^Startmenü^Programme^Autostart^PowerReg Scheduler V3.exe]
path=C:\Dokumente und Einstellungen\Häßelbarth\Startmenü\Programme\Autostart\PowerReg Scheduler V3.exe
backup=C:\WINDOWS\pss\PowerReg Scheduler V3.exeStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOLDialer]
--a------ 2004-11-09 21:36 497240 C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent]
C:\Programme\BitTorrent\bittorrent.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EbatesMoeMoneyMaker]
wjview /cp:p C:\Programme\EbatesMoeMoneyMaker\System\Code Main lp: C:\Programme\EbatesMoeMoneyMaker
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\F-StopW]
C:\Programme\FSI\F-Prot\F-StopW.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
--a------ 2006-07-11 11:15 3144800 C:\Programme\ICQLite\ICQLite.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
C:\Programme\ahead\InCD\InCD.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
C:\Programme\iTunes\iTunesHelper.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MGBSetup.exe]
C:\DOKUME~1\HELBAR~1\EIGENE~1\Download\MGBSET~1.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
C:\WINDOWS\system32\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-09 17:53 153136 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a--c--- 2004-07-15 10:42 851968 C:\WINDOWS\system32\nwiz.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Programme\QuickTime\qttask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpyKiller]
C:\Programme\SpyKiller\spykiller.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpySheriff]
C:\Program Files\SpySheriff\SpySheriff.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2005-11-10 13:03 45167 C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2007-07-09 22:14 68856 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\tpcupdater]
C:\WINDOWS\updatetc.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updater]
C:\Programme\Common files\updater\wupdater.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
C:\Programme\Winamp\Winampa.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows installer]
C:\winstall.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"iPodService"=3 (0x3)
"WYxENx"=2 (0x2)
"NMIndexingService"=3 (0x3)
"MSWinLogonProcService"=2 (0x2)
"MDM"=2 (0x2)
"LckFldService"=2 (0x2)
"IDriverT"=3 (0x3)
"hpdj"=2 (0x2)
"gusvc"=3 (0x3)
"Boonty Games"=3 (0x3)
"AOL ACS"=2 (0x2)
"AntiVirService"=2 (0x2)
"AntiVirScheduler"=2 (0x2)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\System32\\kfoymtelj.exe"=
R0 FPA_RTP;FPA_RTP;C:\WINDOWS\System32\Drivers\FSTOPW.SYS [2003-09-29 14:16]
R0 PDDSLHND;PDDSLHND;C:\WINDOWS\System32\drivers\PDDSLHND.sys [2005-05-05 21:38]
R0 prohlp01;StarForce Protection Helper Driver v1;C:\WINDOWS\System32\drivers\prohlp01.sys [2002-12-10 17:42]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-08-09 13:04]
R1 prodrv05;StarForce Protection Environment Driver v5;C:\WINDOWS\System32\drivers\prodrv05.sys [2002-12-10 17:35]
R1 SSHDRV65;SSHDRV65;C:\WINDOWS\System32\drivers\SSHDRV65.sys [2007-06-28 20:18]
R3 PDDSLADP;ProDyne DSL Adapter;C:\WINDOWS\System32\DRIVERS\PDDSLADP.SYS [2005-05-05 21:35]
S0 ElbyVCD;ElbyVCD;C:\WINDOWS\System32\DRIVERS\ElbyVCD.sys []
S2 MKEMUSB;Panasonic Digital Palmcorder;C:\WINDOWS\System32\Drivers\Mkemusb.sys [2001-08-08 18:52]
S3 ATWPKT;ATWPKT;C:\WINDOWS\system32\Drivers\ATWPKT.SYS [2002-05-15 15:11]
S3 DCamUSBMke;USB Video Camera for Panasonic Digital Palmcorder;C:\WINDOWS\System32\Drivers\Mkeusbi.sys [2002-09-02 11:10]
S3 DCamUSBMke2;Panasonic USB Video Camera;C:\WINDOWS\System32\Drivers\Mkeusbi2.sys [2002-11-06 09:48]
S3 idrmkl;idrmkl;C:\DOKUME~1\HELBAR~1\LOKALE~1\Temp\idrmkl.sys []
S3 ids0004C;ids0004C;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0004C.sys []
S3 ids0005c;ids0005c;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0005c.sys []
S3 ids00118;ids00118;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids00118.sys []
S3 ids0014f;ids0014f;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0014f.sys []
S3 ids0015d;ids0015d;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0015d.sys []
S3 ids00180;ids00180;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids00180.sys []
S3 ids0018a;ids0018a;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0018a.sys []
S3 PDNETCTL;ProDyne MicroPPPoE;C:\WINDOWS\System32\DRIVERS\pdnetctl.sys [2005-09-07 23:09]
S3 TIGLUSB;TiglUsb.Sys TI-GRAPH/DIRECT LINK USB driver;C:\WINDOWS\System32\Drivers\TIGLUSB.sys [2005-07-24 13:09]
S3 XDva002;XDva002;C:\WINDOWS\System32\XDva002.sys []
S4 Boonty Games;Boonty Games;"C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe" [2005-05-26 22:56]
S4 MSWinLogonProcService;Windows Logon Process Service;"C:\WINDOWS\winlogon.exe" -service []
.
Inhalt des "geplante Tasks" Ordners
"2002-09-22 15:19:23 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Programme\Symantec\LiveUpdate\NDETECT.EXE
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-27 16:59:56
Windows 5.1.2600 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Einträge...
Scanne versteckte Dateien...
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-27 17:07:09
ComboFix-quarantined-files.txt 2008-03-27 16:06:04
ComboFix2.txt 2008-03-26 11:22:14
ComboFix3.txt 2008-03-24 17:44:23
ComboFix4.txt 2008-01-25 21:28:31
9 Verzeichnis(se), 5,778,649,088 Bytes frei
13 Verzeichnis(se), 5,710,520,320 Bytes frei
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:44, on 2008-03-27
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Citrix\ICA Client\ssonsvr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\WINDOWS\System32\kfoymtelj.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Häßelbarth\Eigene Dateien\Download\cleaner_neu\HJT.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Class - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - C:\Programme\LinkOptimizer\LinkOptimizer.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [nzgmhkbk] C:\WINDOWS\System32\ureepd.exe
O4 - HKLM\..\Run: [ypeperft] C:\WINDOWS\System32\ypeperft.exe
O4 - HKLM\..\Run: [dpdx32o] C:\WINDOWS\System32\dpdx32o.exeO4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [sys024372518015] C:\WINDOWS\sys024372518015.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [IE Redir] C:\WINDOWS\ieredir.exe
O4 - HKLM\..\Run: [MDM Rock 4] C:\WINDOWS\System32\kfoymtelj.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [gcdef] C:\WINDOWS\System32\gcdef.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - http://www.e-games.com.my/com/EGamesPlugin.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = mydomain.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{37C37B22-08A9-41D9-9EAD-8087D14EBD50}: NameServer = 213.191.74.11 213.191.92.82
O17 - HKLM\System\CS1\Services\VxD\MSTCP: Domain = mydomain.com
O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175
O17 - HKLM\System\CS2\Services\VxD\MSTCP: Domain = mydomain.com
O17 - HKLM\System\CS2\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
--
End of file - 4487 bytes
.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C03-607C
Verzeichnis von C:\WINDOWS\system32
2008-03-27 16:39 4,452 nvapps.xml
2008-03-26 17:19 4,096 Thumbs.db
2008-03-26 15:07 1,170 lckfldservicelog.txt
2008-03-24 07:54 1,744 d3d9caps.dat
2008-03-22 14:35 1,632 d3d8caps.dat
2008-03-20 19:43 2,184 wpa.dbl
2008-03-05 16:03 238,088 xactengine3_0.dll
2008-03-05 16:00 25,608 X3DAudio1_3.dll
2008-03-05 15:56 1,420,824 D3DCompiler_37.dll
2008-03-05 15:56 3,786,760 D3DX9_37.dll
2008-03-05 15:50 87,552 dxdllreg.exe
2008-02-13 18:11 308 tj
2008-02-05 23:07 462,864 d3dx10_37.dll
2008-02-01 18:17 3,120 DAACMRXU.ocx
2008-01-11 09:12 234,368 FNTCACHE.DAT
2008-01-01 15:25 47,104 KMVIDC32.DLL
2007-12-27 12:58 233,472 wrap_oal.dll
2007-12-27 12:58 81,920 OpenAL32.dll
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C03-607C
Verzeichnis von C:\DOKUME~1\HELBAR~1\LOKALE~1\Temp
2008-03-27 16:48 108,711 datfind.txt
2008-03-26 13:04 311,296 ~DF68EC.tmp
2008-03-26 13:02 426 MSIf3ad0.LOG
2008-03-26 12:58 49,152,525 a2cache_04468E6B.dat
4 Datei(en) 49,572,958 Bytes
0 Verzeichnis(se), 5,839,716,352 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C03-607C
Verzeichnis von C:\WINDOWS
2008-03-27 16:45 514,202 WindowsUpdate.log
2008-03-27 16:41 0 0.log
2008-03-27 16:40 159 wiadebug.log
2008-03-27 16:40 50 wiaservc.log
2008-03-27 16:38 2,048 bootstat.dat
2008-03-26 20:17 32,536 SchedLgU.Txt
2008-03-26 17:23 9,216 Thumbs.db
2008-03-26 17:21 2,217 win.ini
2008-03-26 17:21 243 system.ini
2008-03-24 10:59 104 wiso.ini
2008-03-24 10:48 242 BUHL.INI
2008-03-23 08:45 1,065 winamp.ini
2008-03-22 11:32 69 NeroDigital.ini
2008-03-02 16:51 748 ODBC.INI
2008-02-02 19:22 54,156 QTFont.qfn
2007-12-30 00:27 1,409 QTFont.for
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C03-607C
5.symptome
avira antivir lies sich nicht mehr starten und hat ne fehlermeldung ausgegeben, dass möglicherweise die startdatei von einem virus/trojaner infiziert sei.
avira lässt sich auch nicht deinstallieren. andere antivieren-software ließ sich nicht installieren, da sie anscheinend sofort "befallen" wurde.
mozilla firefox lässt sich nicht mehr starten. viele menüs verstellt (startseite, autostart).
Dr.Web cure-it hat einige trojaner gefunden (backdoor, etc.) aber die probleme bestehen weiterhin.
vielen dank für eure hilfe!