ibm00001.exe Vernichtung

#0
30.03.2008, 18:54
...neu hier

Beiträge: 1
#1 Habe ein Problem mit einem Trojaner und weiß nicht, wie ich diesen vernichten und mein System wieder sauber bekommen kann.

Wer kann mir helfen?

Nachsthend mein Log.

lg


ComboFix 08-03-30.2 - Admin_1 2008-03-30 18:45:46.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.255 [GMT 2:00]
ausgeführt von:: M:\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-02-28 bis 2008-03-30 ))))))))))))))))))))))))))))))
.

2008-03-30 18:43 . 2008-03-30 18:43 <DIR> d-------- C:\WINDOWS\LastGood
2008-03-30 15:37 . 2008-03-30 15:38 1,374 --a------ C:\WINDOWS\imsins.BAK
2008-03-30 14:52 . 2008-03-30 14:52 <DIR> d-------- C:\Programme\CCleaner
2008-03-29 09:25 . 2008-03-29 09:25 <DIR> d-------- C:\Dokumente und Einstellungen\NetworkService\Startmenü
2008-03-29 08:57 . 2004-08-04 01:57 338,432 --------- C:\WINDOWS\system32\ir41_qcx.dll
2008-03-29 08:57 . 2004-08-04 01:57 120,320 --------- C:\WINDOWS\system32\ir41_qc.dll
2008-03-29 08:56 . 2004-07-17 12:40 19,528 --a------ C:\WINDOWS\000001_.tmp
2008-03-29 00:13 . 2008-03-29 00:13 <DIR> d---s---- C:\Dokumente und Einstellungen\Bärbel\Verlauf
2008-03-29 00:13 . 2008-03-29 00:13 <DIR> d---s---- C:\Dokumente und Einstellungen\Bärbel\Verlauf
2008-03-29 00:13 . 2008-03-30 15:17 <DIR> d---s---- C:\Dokumente und Einstellungen\Bärbel\Temporary Internet Files
2008-03-29 00:13 . 2008-03-30 15:17 <DIR> d---s---- C:\Dokumente und Einstellungen\Bärbel\Temporary Internet Files
2008-03-28 21:41 . 2008-03-28 21:41 303,872 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-03-28 21:40 . 2008-03-28 21:41 <DIR> d-------- C:\Programme\TuneUp Utilities 2008
2008-03-28 21:31 . 2008-03-28 21:31 <DIR> d----c--- C:\Dokumente und Einstellungen\TEMP\Anwendungsdaten\T-Online
2008-03-28 21:25 . 2008-03-28 21:25 2,560 --a------ C:\WINDOWS\_MSRSTRT.EXE
2008-03-28 21:20 . 2008-03-28 21:20 10 --a------ C:\WINDOWS\WININIT.INI
2008-03-28 21:17 . 2008-03-28 21:17 <DIR> d----c--- C:\Dokumente und Einstellungen\TEMP\Anwendungsdaten\TuneUp Software
2008-03-27 20:01 . 2008-03-27 20:01 <DIR> d----c--- C:\Dokumente und Einstellungen\TEMP\Anwendungsdaten\T-DSL SpeedManager
2008-03-27 20:01 . 2008-03-29 08:30 <DIR> d----c--- C:\Dokumente und Einstellungen\TEMP\Anwendungsdaten\AVG7
2008-03-27 19:54 . 2008-03-28 18:13 <DIR> dr---c--- C:\Dokumente und Einstellungen\TEMP\Eigene Dateien
2008-03-27 19:47 . 2004-09-29 14:04 <DIR> d--h-c--- C:\Dokumente und Einstellungen\TEMP\Vorlagen
2008-03-27 19:47 . 2004-09-29 15:49 <DIR> dr---c--- C:\Dokumente und Einstellungen\TEMP\Startmenü
2008-03-27 19:47 . 2004-09-29 15:49 <DIR> d--h-c--- C:\Dokumente und Einstellungen\TEMP\Netzwerkumgebung
2008-03-27 19:47 . 2008-03-30 15:17 <DIR> d--h-c--- C:\Dokumente und Einstellungen\TEMP\Lokale Einstellungen
2008-03-27 19:47 . 2008-03-28 18:13 <DIR> dr---c--- C:\Dokumente und Einstellungen\TEMP\Favoriten
2008-03-27 19:47 . 2004-09-29 15:49 <DIR> d--h-c--- C:\Dokumente und Einstellungen\TEMP\Druckumgebung
2008-03-27 19:47 . 2008-03-30 14:48 <DIR> dr-h-c--- C:\Dokumente und Einstellungen\TEMP\Anwendungsdaten
2008-03-27 19:42 . 2008-03-27 19:42 <DIR> d-------- C:\WINDOWS\Live Picture
2008-03-27 19:42 . 2008-03-27 19:42 <DIR> d-------- C:\Programme\OLYMPUS
2008-03-27 19:42 . 2008-03-27 19:42 <DIR> d-------- C:\Programme\Gemeinsame Dateien\MGI Shared
2008-03-27 19:42 . 2008-03-27 19:42 <DIR> d----c--- C:\Phenomedia AG
2008-03-03 20:57 . 2007-11-30 13:48 29,704 --a------ C:\WINDOWS\system32\uxtuneup.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-29 07:00 --------- dc----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avg7
2008-03-28 21:51 --------- d-----w C:\Programme\Yazzle Snowball Wars
2008-03-28 21:51 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-03-28 19:25 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-28 19:25 --------- d-----w C:\Programme\T-Online
2008-03-28 19:25 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online
2008-03-28 19:22 --------- dc----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-DSL SpeedManager
2008-03-28 19:20 --------- d-----w C:\Programme\ATI Technologies
2008-03-27 17:42 --------- d-----w C:\Dokumente und Einstellungen\Bärbel\Anwendungsdaten\MGI
2008-03-27 16:42 --------- d-----w C:\Dokumente und Einstellungen\Bärbel\Anwendungsdaten\AVG7
2008-03-14 15:43 --------- dc----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-DSL Manager
2008-03-14 12:16 --------- d-----w C:\Dokumente und Einstellungen\Franz\Anwendungsdaten\AVG7
2008-03-03 19:10 --------- d-----w C:\Programme\Hewlett-Packard
2003-04-02 12:00 94,800 -csh--w C:\WINDOWS\twain.dll
2004-08-03 22:57 50,688 --sh--w C:\WINDOWS\twain_32.dll
2004-08-03 22:57 1,028,096 --sha-w C:\WINDOWS\system32\mfc42.dll
2004-08-03 22:57 54,784 --sh--w C:\WINDOWS\system32\msvcirt.dll
2004-08-03 22:57 413,696 --sha-w C:\WINDOWS\system32\msvcp60.dll
2004-08-03 22:57 343,040 --sha-w C:\WINDOWS\system32\msvcrt.dll
2004-08-03 22:57 553,472 --sh--w C:\WINDOWS\system32\oleaut32.dll
2004-08-03 22:57 83,456 --sh--w C:\WINDOWS\system32\olepro32.dll
2004-08-03 22:58 12,288 --sh--w C:\WINDOWS\system32\regsvr32.exe
.

((((((((((((((((((((((((((((( snapshot@2008-03-30_15.05.20.40 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-03-30 13:38:13 12,276 ----a-w C:\WINDOWS\SoftwareDistribution\EventCache\{1705F1A5-0D91-49B5-B86F-9E1F0E5B082A}.bin
+ 2007-03-08 15:36:30 281,600 -c----w C:\WINDOWS\system32\dllcache\gdi32.dll
+ 2007-08-21 06:16:14 683,520 -c----w C:\WINDOWS\system32\dllcache\inetcomm.dll
+ 2007-11-14 07:26:55 450,560 -c----w C:\WINDOWS\system32\dllcache\jscript.dll
+ 2007-11-07 09:27:10 729,600 -c----w C:\WINDOWS\system32\dllcache\lsasrv.dll
+ 2007-03-08 15:36:30 40,960 -c----w C:\WINDOWS\system32\dllcache\mf3216.dll
- 2003-04-02 12:00:00 924,432 -c--a-w C:\WINDOWS\system32\dllcache\mfc40u.dll
+ 2006-11-01 19:17:41 927,504 -c--a-w C:\WINDOWS\system32\dllcache\mfc40u.dll
+ 2006-10-14 08:13:25 981,760 -c----w C:\WINDOWS\system32\dllcache\mfc42u.dll
+ 2007-03-08 15:36:30 579,072 -c----w C:\WINDOWS\system32\dllcache\user32.dll
+ 2007-03-08 15:32:24 1,843,712 -c----w C:\WINDOWS\system32\dllcache\win32k.sys
- 2004-08-10 22:41:00 229,376 -c--a-w C:\WINDOWS\system32\dllcache\wmasf.dll
+ 2007-10-20 04:01:32 227,328 -c--a-w C:\WINDOWS\system32\dllcache\wmasf.dll
- 2006-05-15 09:46:39 235,960 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
+ 2008-03-30 16:40:59 235,960 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
- 2005-12-29 02:54:37 280,064 ----a-w C:\WINDOWS\system32\gdi32.dll
+ 2007-03-08 15:36:30 281,600 ----a-w C:\WINDOWS\system32\gdi32.dll
- 2004-08-03 22:57:22 678,400 ----a-w C:\WINDOWS\system32\inetcomm.dll
+ 2007-08-21 06:16:14 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
- 2004-08-03 22:57:24 450,560 ----a-w C:\WINDOWS\system32\jscript.dll
+ 2007-11-14 07:26:55 450,560 ----a-w C:\WINDOWS\system32\jscript.dll
- 2004-10-28 01:23:40 729,600 ----a-w C:\WINDOWS\system32\lsasrv.dll
+ 2007-11-07 09:27:10 729,600 ----a-w C:\WINDOWS\system32\lsasrv.dll
- 2004-08-03 22:57:24 39,936 ----a-w C:\WINDOWS\system32\mf3216.dll
+ 2007-03-08 15:36:30 40,960 ----a-w C:\WINDOWS\system32\mf3216.dll
- 2003-04-02 12:00:00 924,432 -c--a-w C:\WINDOWS\system32\mfc40u.dll
+ 2006-11-01 19:17:41 927,504 ----a-w C:\WINDOWS\system32\mfc40u.dll
- 2004-08-03 22:57:24 1,024,000 ----a-w C:\WINDOWS\system32\mfc42u.dll
+ 2006-10-14 08:13:25 981,760 ----a-w C:\WINDOWS\system32\mfc42u.dll
- 2004-08-03 22:57:28 2,804,224 ----a-w C:\WINDOWS\system32\msi.dll
+ 2005-05-04 12:45:32 2,890,240 ----a-w C:\WINDOWS\system32\msi.dll
- 2004-08-03 22:58:06 77,312 ----a-w C:\WINDOWS\system32\msiexec.exe
+ 2005-05-04 12:45:36 78,848 ----a-w C:\WINDOWS\system32\msiexec.exe
- 2004-08-03 22:57:28 331,264 ----a-w C:\WINDOWS\system32\msihnd.dll
+ 2005-05-04 12:45:36 271,360 ----a-w C:\WINDOWS\system32\msihnd.dll
- 2004-08-03 22:55:40 884,736 ----a-w C:\WINDOWS\system32\msimsg.dll
+ 2005-05-04 12:45:36 884,736 ----a-w C:\WINDOWS\system32\msimsg.dll
- 2004-08-03 22:57:28 44,032 ----a-w C:\WINDOWS\system32\msisip.dll
+ 2005-05-04 12:45:36 15,360 ----a-w C:\WINDOWS\system32\msisip.dll
- 2005-10-12 23:11:08 15,584 ------w C:\WINDOWS\system32\spmsg.dll
+ 2007-03-06 01:14:12 15,584 ------w C:\WINDOWS\system32\spmsg.dll
- 2005-03-02 18:09:46 578,560 ----a-w C:\WINDOWS\system32\user32.dll
+ 2007-03-08 15:36:30 579,072 ----a-w C:\WINDOWS\system32\user32.dll
- 2005-10-06 03:08:49 1,839,616 ----a-w C:\WINDOWS\system32\win32k.sys
+ 2007-03-08 15:32:24 1,843,712 ----a-w C:\WINDOWS\system32\win32k.sys
- 2004-08-10 22:41:00 229,376 ----a-w C:\WINDOWS\system32\wmasf.dll
+ 2007-10-20 04:01:32 227,328 ----a-w C:\WINDOWS\system32\wmasf.dll
+ 2007-01-19 12:50:53 74,802 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.Tools.VisualCPlusPlus.Runtime-Libraries_6595b64144ccf1df_6.0.9792.0_x-ww_08a6620a\atl.dll
+ 2007-01-19 12:50:53 995,383 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.Tools.VisualCPlusPlus.Runtime-Libraries_6595b64144ccf1df_6.0.9792.0_x-ww_08a6620a\mfc42.dll
+ 2007-01-19 12:50:53 1,011,774 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.Tools.VisualCPlusPlus.Runtime-Libraries_6595b64144ccf1df_6.0.9792.0_x-ww_08a6620a\mfc42u.dll
+ 2007-01-19 12:50:53 401,462 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.Tools.VisualCPlusPlus.Runtime-Libraries_6595b64144ccf1df_6.0.9792.0_x-ww_08a6620a\msvcp60.dll
.
-- Snapshot reset to current date --
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Works Update Detection"="C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2003-06-17 17:14 50688]
"T-DSL SpeedMgr"="C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" [2006-02-09 17:15 765952]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]
"Run Service Vxdrun"="vxddirectx32.exe" []
"fwmu"="c:\stub_113_4_0_4_0.exe" [ ]
"Rlos"="C:\DOKUME~1\LOCALS~1\ANWEND~1\RACLE~1\notepad.exe" [ ]
"Windows installer"="C:\winstall.exe" [ ]

"InfoCockpit"="C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.exe" [ ]
"SpySheriff"="C:\Program Files\SpySheriff\SpySheriff.exe" [ ]
"shell"="\ibm00001.exe" [ ]
"MS Domain Name Server Deamon"="MSDNSD32.exe" []

"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-12-06 19:35 219136]
"T-Online_Software_6\WLAN-Access Finder"="C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe" [2007-07-25 18:50 671796]

C:\Dokumente und Einstellungen\Default User\Startmen\Programme\Autostart\
T-DSL Manager.lnk - C:\Programme\T-DSL Manager\DslMgr.exe [2006-12-18 17:48:00 823296]

C:\Dokumente und Einstellungen\Franz\Startmen\Programme\Autostart\
T-DSL Manager.lnk - C:\Programme\T-DSL Manager\DslMgr.exe [2006-12-18 17:48:00 823296]

C:\Dokumente und Einstellungen\Default User\Startmen\Programme\Autostart\
T-DSL Manager.lnk - C:\Programme\T-DSL Manager\DslMgr.exe [2006-12-18 17:48:00 823296]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\xptptt]
xptptt.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\xptpmm.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\xptptt.sys]
@="Driver"


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"AVG7_CC"=C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\Explorer.EXE"= C:\\WINDOWS\\explorer.exe
"%windir%\\system32\\sessmgr.exe"=

R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys [2005-09-26 11:05]
R1 kbfilter;Keyboard Filter Driver;C:\WINDOWS\system32\drivers\kbfilter.sys [2002-07-11 12:00]
R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys [2005-09-26 11:05]
R1 UsbFltr;WayTechUSBFilterDriver;C:\WINDOWS\system32\drivers\UsbFltr.sys [2003-12-29 18:27]
R1 xptpmm;XPPTP 0x24 winsock;C:\WINDOWS\System32\xptpmm.sys [2003-04-02 14:00]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2007-01-09 18:16]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 00:58]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-08-17 13:13]
R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI;C:\WINDOWS\system32\DRIVERS\fpcibase.sys [2001-08-17 13:14]
R3 HidMouse;HidMouse;C:\WINDOWS\system32\Drivers\HidMouse.sys [2004-06-09 20:57]
R3 TSMPacket;T-DSL Manager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys [2006-12-01 17:04]
S0 ElbyVCD;ElbyVCD;C:\WINDOWS\system32\DRIVERS\ElbyVCD.sys []
S1 nukfs;NK45 file system driver;C:\WINDOWS\System32\nukfs.sys []
S2 NTSec;NTSec(ntsec);"C:\WINDOWS\system32\ntsec.exe" []
S2 SMSS;Windows NT Session Manager;"C:\WINDOWS\smss.exe" []
S2 Windows Validation Service;Microsoft Windows Validation Service;"C:\WINDOWS\devldr32.exe" []
S2 winmattm;winmattm;C:\WINDOWS\system32\mattm.exe []
S2 xptptt;XPPTP 0x25 winsock;C:\WINDOWS\System32\xptpmm.sys
[2003-04-02 14:00]
S3 brfilt;Brother MFC-Filtertreiber;C:\WINDOWS\system32\Drivers\Brfilt.sys [2001-08-17 14:12]
S3 BrSerWDM;Brother-Treiber (seriell);C:\WINDOWS\system32\Drivers\BrSerWdm.sys [2001-08-17 14:12]
S3 BrUsbMdm;Brother MFC-nur-Fax-Modem (USB);C:\WINDOWS\system32\Drivers\BrUsbMdm.sys [2001-08-17 14:12]
S3 BrUsbScn;Brother MFC-Scannertreiber (USB);C:\WINDOWS\system32\Drivers\BrUsbScn.sys [2001-08-17 14:12]
S3 HotSpotFSvc;Hotspot Manager;"C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe" [2006-12-12 18:53]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [2006-10-04 10:14]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-05-22 06:40]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2006-10-09 14:46]
S3 TDslMgrService;T-DSL Manager;"C:\Programme\T-DSL Manager\DslMgrSvc.exe" [2006-12-18 17:45]
S3 TOMCATWAN;T-Online DynamicISDN (WDM);C:\WINDOWS\system32\DRIVERS\WTOMCAT.SYS []
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-03-28 21:41]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-03-28 21:04:43 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClick.exe
"2008-03-30 16:44:00 C:\WINDOWS\Tasks\PC Health-Taskplaner für Upload-Bibliothek.job"
- C:\WINDOWS\PCHealth\UploadLB\Binaries\UploadM.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-30 18:49:37
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

C:\WINDOWS\system32\tbse.dat 1024 bytes
C:\WINDOWS\system32\klgcptini.dat 0 bytes
C:\WINDOWS\system32\fux87.ini 320 bytes
C:\WINDOWS\system32\xptpmm.sys 21904 bytes executable


Scan erfolgreich abgeschlossen
versteckte Dateien: 4

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet003\Services\cmdService]
"ImagePath"="C:\WINDOWS\Lg\command.exe"
--

[HKEY_LOCAL_MACHINE\system\ControlSet003\Services\Network Monitor]
"ImagePath"="C:\Programme\Network Monitor\netmon.exe service"
.
Zeit der Fertigstellung: 2008-03-30 18:51:11
ComboFix-quarantined-files.txt 2008-03-30 16:51:06
ComboFix2.txt 2008-03-30 13:17:14
18 Verzeichnis(se), 71,637,549,056 Bytes frei
21 Verzeichnis(se), 71,617,093,632 Bytes frei
.
2008-03-30 13:38:06 --- E O F ---
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:08:07, on 30.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\TEMP\LOKALE~1\Temp\Temporäres Verzeichnis 1 für HJT.zip\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html


R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.tune-up.com/link/?target=saprodinfo&appcat=1&product=none&stat=catnotinstalled&app=tu2008&
version=7.0.5896&tulang=de&lang=de&c
ountry=DE&os_ver=5.1&os_x64=0&os_sp=2.0&os_id=1"

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [MS Domain Name Server Deamon] MSDNSD32.exe
(User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: T-DSL Manager.lnk = ? (User 'SYSTEM')
O4 - .DEFAULT Startup: T-DSL Manager.lnk = ? (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: xptptt - xptptt.dll (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Hotspot Manager (HotSpotFSvc) - T-Systems Enterprise Services GmbH - C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NTSec(ntsec) (NTSec) - Unknown owner - C:\WINDOWS\system32\ntsec.exe (file missing)
O23 - Service: Windows NT Session Manager (SMSS) - Unknown owner - C:\WINDOWS\smss.exe (file missing)

O23 - Service: T-DSL Manager (TDslMgrService) - T-Systems - C:\Programme\T-DSL Manager\DslMgrSvc.exe
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: Microsoft Windows Validation Service (Windows Validation Service) - Unknown owner - C:\WINDOWS\devldr32.exe (file missing)
O23 - Service: winmattm - Unknown owner - C:\WINDOWS\system32\mattm.exe (file missing)


--
End of file - 6111 bytes
.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8408-C2F6

Verzeichnis von C:\WINDOWS\system32

30.03.2008 18:40 235.960 FNTCACHE.DAT
30.03.2008 14:51 311.604 perfh009.dat
30.03.2008 14:51 316.594 perfh007.dat
30.03.2008 14:51 48.156 perfc007.dat
30.03.2008 14:51 39.992 perfc009.dat
30.03.2008 14:51 723.744 PerfStringBackup.INI
29.03.2008 09:25 269 spupdwxp.log
29.03.2008 09:25 2.206 wpa.dbl
28.03.2008 21:41 303.872 TuneUpDefragService.exe
06.12.2007 19:41 5.686 jupdate-1.6.0_03-b05.log
30.11.2007 13:48 29.704 uxtuneup.dll
14.11.2007 09:26 450.560 jscript.dll
07.11.2007 11:27 729.600 lsasrv.dll
20.10.2007 06:01 227.328 wmasf.dll
25.09.2007 00:31 69.632 javacpl.cpl
25.09.2007 00:31 139.264 javaws.exe
24.09.2007 23:30 135.168 javaw.exe
24.09.2007 23:30 135.168 java.exe
21.08.2007 08:16 683.520 inetcomm.dll
30.07.2007 19:20 30.040 wuaucpl.cpl.mui
30.07.2007 19:20 30.040 wuapi.dll.mui
17.10.2006 14:21 348.160 msvcr71.dll
14.10.2006 10:13 981.760 mfc42u.dll
14.05.2006 13:58 73 i
13.05.2006 09:31 875 ps.a3d
29.04.2006 11:56 27.048 bling.exe
26.04.2006 20:18 83 c.bat
26.04.2006 20:18 72 .pif

26.04.2006 18:15 72.052 NULL
26.04.2006 18:14 16.832 amcompat.tlb
26.04.2006 18:14 23.392 nscompat.tlb
24.04.2006 20:28 85 vbnet.ini
20.04.2006 20:31 66 cmd.ftp
18.04.2006 17:54 70 x
14.04.2006 20:53 122 xechcw.bat

17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
28.01.2006 03:15 348.160 lexlog.dll
28.01.2006 01:30 47.616 X342n.cpl
28.01.2006 01:30 47.616 Vegas.cpl
04.01.2006 05:35 68.096 webclnt.dll
06.12.2005 06:02 5.533.696 wmp.dll
21.10.2005 00:25 1.094.144 esent.dll
17.10.2005 23:20 118.272 t2embed.dll
17.10.2005 23:20 80.896 fontsub.dll
13.10.2005 09:29 225.280 KPDPMUI.dll
13.10.2005 09:28 294.912 KPDPM.dll
11.10.2005 01:04 32.977 KPD.xml
19.09.2005 10:19 14.739 pds3_enh.tli
19.09.2005 10:19 14.739 pds3_nat.tli
16.09.2005 11:01 14.739 pdocks3_sw_nat.tli
16.09.2005 11:01 14.739 pdocks3_sw_enh.tli

.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8408-C2F6

Verzeichnis von C:\DOKUME~1\TEMP\LOKALE~1\Temp

30.03.2008 19:17 100.832 datfind.txt
30.03.2008 19:14 114.688 ~DF429F.tmp
2 Datei(en) 215.520 Bytes
0 Verzeichnis(se), 71.545.507.840 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8408-C2F6

Verzeichnis von C:\WINDOWS

30.03.2008 19:14 539.004 WindowsUpdate.log

30.03.2008 18:41 0 0.log
30.03.2008 18:41 159 wiadebug.log
30.03.2008 18:41 50 wiaservc.log
30.03.2008 18:41 2.048 bootstat.dat
30.03.2008 15:38 32.620 SchedLgU.Txt
30.03.2008 15:38 14.278 comsetup.log
30.03.2008 15:38 6.972 iis6.log
30.03.2008 15:38 1.374 imsins.log
30.03.2008 15:38 8.675 ntdtcsetup.log
30.03.2008 15:38 16.513 tsoc.log
30.03.2008 15:38 2.394 ocmsn.log
30.03.2008 15:38 10.906 KB942840.log
30.03.2008 15:38 20.412 ocgen.log
30.03.2008 15:38 2.163 msgsocm.log
30.03.2008 15:38 43.280 FaxSetup.log
30.03.2008 15:38 23.248 setupapi.log
30.03.2008 15:38 1.374 imsins.BAK
30.03.2008 15:38 8.589 KB924667.log
30.03.2008 15:37 9.171 KB893803v2.log
30.03.2008 15:37 11.009 KB925902.log
30.03.2008 15:37 820 updspapi.log
30.03.2008 15:37 9.084 KB941569.log
30.03.2008 15:37 9.000 KB941202.log
30.03.2008 15:37 9.629 KB943485.log
30.03.2008 15:37 0 setupact.log
30.03.2008 15:37 0 setuperr.log
30.03.2008 14:48 1.121 win.ini
29.03.2008 22:07 964 UPGRADE.TXT
29.03.2008 09:26 316.640 WMSysPr9.prx
28.03.2008 21:25 2.560 _MSRSTRT.EXE
28.03.2008 21:20 10 WININIT.INI
03.03.2008 21:08 20 Hposcv07.INI
26.09.2007 18:11 69 NeroDigital.ini
28.02.2007 17:41 63 WINHELP.BMK
28.02.2007 17:30 51 brmx2001.ini
25.02.2007 14:30 116 homeDVD-Fotos3_5.INI
23.11.2006 21:00 316 setup.iss
23.11.2006 18:23 390 BRMFBIDI.INI
15.11.2006 21:17 27.208 maxlink.ini
15.11.2006 21:17 267 Brpcfx.ini
15.11.2006 21:17 52 BRPP2KA.INI
15.05.2006 12:32 400 ODBC.INI
15.05.2006 09:16 3.515.920 setupapi.log.0.old

.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8408-C2F6

Verzeichnis von C:\WINDOWS\temp

.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8408-C2F6

Verzeichnis von C:\WINDOWS\Downloaded Program Files

27.03.2007 16:00 5.021 swflash.inf
29.09.2004 14:06 65 desktop.ini
2 Datei(en) 5.086 Bytes
0 Verzeichnis(se), 71.545.507.840 Bytes frei
.
.
.
Dieser Beitrag wurde am 30.03.2008 um 19:19 Uhr von schalker1969 editiert.
Seitenanfang Seitenende
30.03.2008, 19:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo.

seit 2006 gondelst du mit einem Rootkit durchs Net ;)

««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit "Speichern unter" auf dem Desktop. Gebe bei Dateityp "Alle Dateien" an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
notepad files.txt
--------
«
http://www.virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

xptptt

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

gleiches mit:

xptpmm

winmattm

nukfs

NTSec

SMSS

Windows NT Session Manager

Windows Validation Service

Microsoft Windows Validation Service




«
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: