vbs-virus, hacked by..., verhinderung des Doppelklicks

#0
31.03.2008, 18:43
...neu hier

Beiträge: 6
#1 Hallo Forum User.

Ich habe erstmal alles durchgeführt was hier verlangt wird und dennoch kommt der Virus immer wieder, was sehr ärgerlich ist, da ich eine wichtige Uni-Arbeit schreibe!
Ich konnte kein Doppelklick mehr ausführen auf Partition C und D
Dann steht oben in der Explorer (wenn ich z.B. auf google bin) google-hacked by "und dann mein Benutzername"

Hier erstmal Highjack:

Logfile of HijackThis v1.99.1
Scan saved at 18:37:06, on 31.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Hewlett-Packard\OrderReminder\OrderReminder.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\internet explorer\iexplore.exe
C:\Dokumente und Einstellungen\schoeni\Desktop\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O4 - HKLM\..\Run: [NvMixerTray] C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [OrderReminder] C:\Programme\Hewlett-Packard\OrderReminder\OrderReminder.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SCHOENI-EA20CA7] C:\WINDOWS\SYSTEM32\SCHOENI-EA20CA7.vbs
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DW4] "C:\Programme\The Weather Channel FW\Desktop Weather\DesktopWeather.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - D:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - D:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab?nocache=20071219-1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


-------------------------------------------------
Combofix

ComboFix 08-03-30.2 - schoeni 2008-03-31 18:31:53.3 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\schoeni\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
D:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2008-02-28 bis 2008-03-31 ))))))))))))))))))))))))))))))
.

2008-03-26 18:43 . 2008-03-26 18:43 <DIR> d-------- C:\WINDOWS\system32\QuickTime
2008-03-26 18:43 . 2008-03-26 18:43 <DIR> d-------- C:\WINDOWS\system32\custom matrices
2008-03-26 18:43 . 2008-03-26 18:43 <DIR> d-------- C:\WINDOWS\system32\C2MP
2008-03-24 18:54 . 2008-03-24 18:54 <DIR> d-------- C:\Dokumente und Einstellungen\schoeni\Anwendungsdaten\DivX
2008-03-23 08:13 . 2008-03-31 18:10 4,308 --a------ C:\SCHOENI-EA20CA7.vbs
2008-03-22 23:56 . 2008-03-31 18:10 4,308 -rahs---- C:\WINDOWS\system32\SCHOENI-EA20CA7.vbs

2008-03-17 00:24 . 2008-03-17 00:24 <DIR> d-------- C:\Programme\Google
2008-03-15 23:54 . 2008-03-15 23:54 <DIR> d-------- C:\Dokumente und Einstellungen\schoeni\Anwendungsdaten\teamspeak2
2008-03-15 23:54 . 2008-03-15 23:54 34,064 --a------ C:\WINDOWS\system32\lhacm.acm
2008-02-27 20:50 . 2008-02-27 20:50 <DIR> d-------- C:\Dokumente und Einstellungen\schoeni\Anwendungsdaten\skypePM
2008-02-27 20:50 . 2008-02-27 20:50 32 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-02-26 18:05 . 2008-02-26 18:08 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-02-26 18:05 . 2008-02-26 18:08 1,409 --a------ C:\WINDOWS\QTFont.for
2008-02-21 04:11 . 2008-02-21 04:11 3,136 --a------ C:\WINDOWS\system32\dtu_de.qm
2008-02-21 04:03 . 2008-02-21 04:03 156,992 --a------ C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-02-16 16:00 . 2008-02-28 23:29 <DIR> d-------- C:\Dokumente und Einstellungen\schoeni\Anwendungsdaten\Skype
2008-02-16 15:59 . 2008-02-16 16:00 <DIR> d-------- C:\Programme\Skype
2008-02-16 15:59 . 2008-02-16 15:59 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2008-02-16 15:59 . 2008-02-16 16:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-02-16 15:35 . 2008-02-16 15:35 <DIR> d-------- C:\Dokumente und Einstellungen\schoeni\Anwendungsdaten\Apple Computer
2008-02-16 15:32 . 2008-02-16 15:32 <DIR> d-------- C:\Programme\Apple Software Update
2008-02-16 15:32 . 2008-02-16 15:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-02-16 15:31 . 2008-03-26 17:43 69 --a------ C:\WINDOWS\NeroDigital.ini
2008-02-13 19:35 . 2008-02-13 19:35 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ahead
2008-02-13 19:35 . 2004-07-26 18:16 1,568,768 --------- C:\WINDOWS\system32\ImagX7.dll
2008-02-13 19:35 . 2004-07-26 18:16 476,320 --------- C:\WINDOWS\system32\ImagXpr7.dll
2008-02-13 19:35 . 2004-07-26 18:16 471,040 --------- C:\WINDOWS\system32\ImagXRA7.dll
2008-02-13 19:35 . 2004-07-26 18:16 262,144 --------- C:\WINDOWS\system32\ImagXR7.dll
2008-02-13 19:35 . 2001-07-09 12:50 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe
2008-02-13 19:35 . 2004-03-02 18:37 125,184 --------- C:\WINDOWS\system32\drivers\imagesrv.sys
2008-02-13 19:35 . 2000-06-26 12:45 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll
2008-02-13 19:35 . 2004-03-02 18:37 5,504 --------- C:\WINDOWS\system32\drivers\imagedrv.sys
2008-02-13 17:52 . 2008-03-24 19:00 736 --a------ C:\WINDOWS\Irodio.INI
2008-02-13 17:51 . 2008-02-14 09:41 <DIR> d-------- C:\WINDOWS\SxsCaPendDel
2008-02-13 17:47 . 1998-07-09 20:41 217,088 --a------ C:\WINDOWS\system32\skjpeg40.dll
2008-02-13 17:47 . 1998-03-04 11:40 83,968 --a------ C:\WINDOWS\system32\Skbase40.dll
2008-02-09 22:16 . 2008-02-09 22:16 <DIR> d-------- C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-02-09 10:50 . 2008-03-21 21:16 <DIR> d-------- C:\Dokumente und Einstellungen\schoeni\Anwendungsdaten\Canon
2008-02-09 10:48 . 2008-02-09 10:48 10 -r------- C:\WINDOWS\PSTUDIO.SN
2008-02-09 10:47 . 2001-05-17 15:25 339,968 -ra------ C:\WINDOWS\system32\N067UFW.dll
2008-02-09 10:47 . 2001-08-22 21:36 323,644 -ra------ C:\WINDOWS\system32\UCS32P.DLL
2008-02-09 10:47 . 2001-08-22 21:37 114,688 -ra------ C:\WINDOWS\system32\SG62UUD.DLL
2008-02-09 10:47 . 2001-08-22 21:37 28,720 -ra------ C:\WINDOWS\system32\SG62CPL.DLL
2008-02-09 10:45 . 1995-07-31 14:44 212,480 --a------ C:\WINDOWS\PCDLIB32.DLL
2008-02-09 10:45 . 2008-03-21 21:22 1,339 --a------ C:\WINDOWS\pstudio.ini
2008-02-09 10:45 . 2008-03-21 21:22 28 --a------ C:\WINDOWS\album.ini
2008-02-09 10:45 . 1998-07-21 21:29 21 --a------ C:\WINDOWS\Ps_setup.ini
2008-02-09 10:44 . 2008-02-09 10:44 <DIR> d-------- C:\Dokumente und Einstellungen\schoeni\WINDOWS
2008-02-09 10:44 . 1998-11-17 14:44 328,704 --a------ C:\WINDOWS\IsUn0407.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-24 16:53 --------- d-----w C:\Programme\DivX
2008-02-13 15:58 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-13 15:52 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2007-12-30 16:46 24,064 ----a-w C:\WINDOWS\autoload.exe
2007-12-20 07:10 499,712 ------w C:\WINDOWS\system32\msvcp71.dll
2007-12-07 02:04 824,832 ----a-w C:\WINDOWS\system32\wininet.dll
2007-12-05 01:53 356,352 ----a-w C:\WINDOWS\system32\NVUNINST.EXE
2007-12-05 00:41 356,352 ----a-w C:\WINDOWS\system32\nvudisp.exe
2007-12-05 00:41 1,089,536 ----a-w C:\WINDOWS\system32\nvcuda.dll
2007-12-04 18:40 550,912 ----a-w C:\WINDOWS\system32\oleaut32.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"DW4"="C:\Programme\The Weather Channel FW\Desktop Weather\DesktopWeather.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvMixerTray"="C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe" [2004-03-03 15:30 131072]
"avgnt"="D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-12-30 19:46 249896]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-07-12 14:19 7626752]
"nwiz"="nwiz.exe" [2006-07-12 14:19 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-07-12 14:19 86016]
"OrderReminder"="C:\Programme\Hewlett-Packard\OrderReminder\OrderReminder.exe" [2006-01-30 11:00 98304]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"SCHOENI-EA20CA7"="C:\WINDOWS\SYSTEM32\SCHOENI-EA20CA7.vbs" [2008-03-31 18:10 4308]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Camfrog]
--a------ 2003-09-29 08:22 36352 D:\Programme\Camfrog\Camfrog Video Chat\CamfrogNet.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Programme\\ICQLite\\ICQLite.exe"=
"D:\\steam-cs\\SteamApps\\eike-wolff@gmx.de\\counter-strike\\hl.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"D:\\Programme\\Camfrog\\Camfrog Video Chat\\Camfrog Video Chat.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

S3 STV679;NMS Video Camera (Webcam);C:\WINDOWS\system32\drivers\STV679.sys [2003-12-16 16:35]
S3 STV679m;NMS Video Camera (Webcam)m;C:\WINDOWS\system32\drivers\STV679m.sys [2003-12-16 16:35]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-31 18:32:55
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-03-31 18:33:18
ComboFix-quarantined-files.txt 2008-03-31 16:33:10
ComboFix2.txt 2008-03-30 20:57:31
ComboFix3.txt 2008-03-30 19:32:20
7 Verzeichnis(se), 9,245,753,344 Bytes frei
9 Verzeichnis(se), 9,234,735,104 Bytes frei
.
2008-03-13 12:14:31 --- E O F ---

----------------------------------
datfind:


.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E4FA-F827

Verzeichnis von C:\WINDOWS\system32

31.03.2008 18:10 4.308 SCHOENI-EA20CA7.vbs
31.03.2008 13:22 2.206 wpa.dbl
31.03.2008 13:22 73.451 nvapps.xml
30.03.2008 08:03 314.508 perfh009.dat
30.03.2008 08:03 40.836 perfc009.dat
30.03.2008 08:03 49.174 perfc007.dat
30.03.2008 08:03 320.094 perfh007.dat
30.03.2008 08:03 732.342 PerfStringBackup.INI
15.03.2008 23:54 34.064 lhacm.acm
05.03.2008 18:30 19.148.408 MRT.exe
21.02.2008 04:11 3.136 dtu_de.qm
21.02.2008 04:03 156.992 DivXCodecVersionChecker.exe
11.01.2008 07:32 44.544 pngfilt.dll
06.01.2008 13:03 603 zhp1020.log
04.01.2008 12:22 188.200 FNTCACHE.DAT
03.01.2008 23:48 138.558 TZLog.log
30.12.2007 18:35 261 $winnt$.inf
30.12.2007 18:32 2.951 CONFIG.NT
30.12.2007 18:32 16.832 amcompat.tlb
30.12.2007 18:32 23.392 nscompat.tlb
30.12.2007 18:31 488 WindowsLogon.manifest
30.12.2007 18:31 488 logonui.exe.manifest
30.12.2007 18:30 749 sapi.cpl.manifest
30.12.2007 18:30 749 cdplayer.exe.manifest
30.12.2007 18:30 749 wuaucpl.cpl.manifest
30.12.2007 18:30 749 ncpa.cpl.manifest
30.12.2007 18:30 749 nwc.cpl.manifest
30.12.2007 18:28 21.740 emptyregdb.dat
30.12.2007 18:26 0 h323log.txt
20.12.2007 09:10 499.712 msvcp71.dll
20.12.2007 00:48 347.136 dxtmsft.dll
08.12.2007 07:04 3.592.192 mshtml.dll
07.12.2007 04:04 105.984 url.dll
07.12.2007 04:04 1.159.680 urlmon.dll
07.12.2007 04:04 102.912 occache.dll
07.12.2007 04:04 824.832 wininet.dll
07.12.2007 04:04 671.232 mstime.dll
07.12.2007 04:04 233.472 webcheck.dll
07.12.2007 04:04 193.024 msrating.dll
07.12.2007 04:04 478.208 mshtmled.dll
07.12.2007 04:04 27.648 jsproxy.dll
07.12.2007 04:04 1.831.424 inetcpl.cpl
07.12.2007 04:04 52.224 msfeedsbs.dll
07.12.2007 04:04 459.264 msfeeds.dll
07.12.2007 04:04 6.066.176 ieframe.dll
07.12.2007 04:04 267.776 iertutil.dll
07.12.2007 04:04 44.544 iernonce.dll
07.12.2007 04:04 384.512 iedkcs32.dll
07.12.2007 04:04 214.528 dxtrans.dll
07.12.2007 04:04 63.488 icardie.dll
07.12.2007 04:04 230.400 ieaksie.dll
07.12.2007 04:04 133.120 extmgr.dll
07.12.2007 04:04 383.488 ieapfltr.dll
07.12.2007 04:04 153.088 ieakeng.dll
07.12.2007 04:04 124.928 advpack.dll
06.12.2007 13:00 13.824 ieudinit.exe
06.12.2007 13:00 70.656 ie4uinit.exe
06.12.2007 06:59 161.792 ieakui.dll
05.12.2007 03:53 356.352 NVUNINST.EXE
05.12.2007 02:41 1.089.536 nvcuda.dll
05.12.2007 02:41 356.352 nvudisp.exe
04.12.2007 20:40 550.912 oleaut32.dll

2198 Datei(en) 482.540.445 Bytes
0 Verzeichnis(se), 9.283.977.216 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E4FA-F827

Verzeichnis von C:\DOKUME~1\schoeni\LOKALE~1\Temp

31.03.2008 18:38 107.630 datfind.txt
31.03.2008 18:37 16.384 ~DFCB26.tmp
2 Datei(en) 124.014 Bytes
0 Verzeichnis(se), 9.283.997.696 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E4FA-F827

Verzeichnis von C:\WINDOWS

31.03.2008 18:32 227 system.ini
31.03.2008 18:15 254 wiadebug.log
31.03.2008 13:22 0 0.log
31.03.2008 13:22 1.466.264 WindowsUpdate.log
31.03.2008 13:22 50 wiaservc.log
31.03.2008 13:22 2.048 bootstat.dat
31.03.2008 13:16 32.622 SchedLgU.Txt
26.03.2008 17:43 69 NeroDigital.ini
24.03.2008 19:00 736 Irodio.INI
21.03.2008 21:22 1.339 pstudio.ini
21.03.2008 21:22 28 album.ini
26.02.2008 18:08 1.409 QTFont.for
26.02.2008 18:08 54.156 QTFont.qfn
09.02.2008 10:48 10 PSTUDIO.SN
11.01.2008 10:57 573 win.ini
07.01.2008 11:02 316.640 WMSysPr9.prx
04.01.2008 23:43 0 Sti_Trace.log
03.01.2008 16:50 0 iPlayer.INI
02.01.2008 11:31 400 ODBC.INI
30.12.2007 19:10 512 randseed.rnd
30.12.2007 18:46 24.064 autoload.exe
30.12.2007 18:36 8.192 REGLOCS.OLD
30.12.2007 18:32 0 control.ini
30.12.2007 18:32 4.161 ODBCINST.INI
30.12.2007 18:30 749 WindowsShell.Manifest
30.12.2007 18:28 36 vb.ini
30.12.2007 18:28 37 vbaddin.ini
13.06.2007 15:21 1.036.288 explorer.exe
30.01.2006 11:00 143.360 apptune1020.exe
27.05.2005 01:22 10.752 hh.exe
04.08.2004 14:00 48.680 winnt256.bmp
04.08.2004 14:00 26.680 F„cher.bmp
04.08.2004 14:00 16.730 Feder.bmp
04.08.2004 14:00 80 explorer.scf
04.08.2004 14:00 153.600 regedit.exe
04.08.2004 14:00 65.954 Pr„riewind.bmp
04.08.2004 14:00 17.362 Rhododendron.bmp
04.08.2004 14:00 65.832 Santa Fe-Stuck.bmp
04.08.2004 14:00 34.818 wmprfDEU.prx
04.08.2004 14:00 65.978 Seifenblase.bmp
04.08.2004 14:00 1.014.663 SET3.tmp
04.08.2004 14:00 1.086.058 SET4.tmp
04.08.2004 14:00 26.582 Granit.bmp
04.08.2004 14:00 2 desktop.ini
04.08.2004 14:00 17.336 Angler.bmp
04.08.2004 14:00 15.872 TASKMAN.EXE
04.08.2004 14:00 94.800 twain.dll
04.08.2004 14:00 50.688 twain_32.dll
04.08.2004 14:00 49.680 twunk_16.exe
04.08.2004 14:00 25.600 twunk_32.exe
04.08.2004 14:00 70.144 NOTEPAD.EXE
04.08.2004 14:00 9.522 Zapotek.bmp
04.08.2004 14:00 18.944 vmmreg32.dll
04.08.2004 14:00 82.944 clock.avi
04.08.2004 14:00 1.272 Blaue Spitzen 16.bmp
04.08.2004 14:00 17.062 Kaffeetasse.bmp
04.08.2004 14:00 14.043 SET8.tmp
04.08.2004 14:00 1.405 msdfmap.ini
04.08.2004 14:00 257.568 winhelp.exe
04.08.2004 14:00 288.768 winhlp32.exe
04.08.2004 14:00 48.680 winnt.bmp
04.08.2004 14:00 707 _default.pif
31.08.2000 08:00 28.160 Nircmd.exe
17.11.1998 14:44 328.704 IsUn0407.exe
21.07.1998 21:29 21 Ps_setup.ini
31.07.1995 14:44 212.480 PCDLIB32.DLL
66 Datei(en) 7.362.395 Bytes
0 Verzeichnis(se), 9.283.993.600 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E4FA-F827

Verzeichnis von C:\WINDOWS\temp

.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E4FA-F827

Verzeichnis von C:\WINDOWS\Downloaded Program Files

30.12.2007 18:31 65 desktop.ini
24.11.2007 22:24 2.684.432 ImageUploader4.ocx
24.11.2007 22:24 378 ImageUploader4.inf
16.05.2007 09:22 399 gp.inf
11.04.2007 15:55 1.292 erma.inf
29.03.2007 12:06 669 SysReqLab2.osd
6 Datei(en) 2.687.235 Bytes
0 Verzeichnis(se), 9.283.993.600 Bytes frei
.
ich finde da immer wieder eine vbs datei und ich habe diese auch schon gefixt und dann den Mousepoint2 Schlüssel gelöscht. Es ist dann auch für eine Zeit wieder gut doch irgendwann steht oben im Explorertitel wieder Hacked by...
Doppelclick geht allerdings wieder, seitdem ich Combofix laufen lassen habe.. Auch "Hacked by.." ist nach Combofixlauf weg. kommt aber wieder!

Vielleicht könnt ihr mir helfen..

Bin nicht besonders gut darin!

Grüße und Danke
Seitenanfang Seitenende
31.03.2008, 19:01
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo,

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern



Zitat

KILLALL::

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DW4"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SCHOENI-EA20CA7"=-

File::
C:\SCHOENI-EA20CA7.vbs
C:\WINDOWS\SYSTEM32\SCHOENI-EA20CA7.vbs

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden

PC neustarten
«««««««««««««««««

poste das neue Log von Combofix hier
+
berichte, ob die Fehlermeldung weg ist ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.03.2008, 19:14
...neu hier

Themenstarter

Beiträge: 6
#3 ComboFix 08-03-30.2 - schoeni 2008-03-31 19:12:48.5 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.735 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\schoeni\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-02-28 bis 2008-03-31 ))))))))))))))))))))))))))))))
.

2008-03-26 18:43 . 2008-03-26 18:43 <DIR> d-------- C:\WINDOWS\system32\QuickTime
2008-03-26 18:43 . 2008-03-26 18:43 <DIR> d-------- C:\WINDOWS\system32\custom matrices
2008-03-26 18:43 . 2008-03-26 18:43 <DIR> d-------- C:\WINDOWS\system32\C2MP
2008-03-24 18:54 . 2008-03-24 18:54 <DIR> d-------- C:\Dokumente und Einstellungen\schoeni\Anwendungsdaten\DivX
2008-03-17 00:24 . 2008-03-17 00:24 <DIR> d-------- C:\Programme\Google
2008-03-15 23:54 . 2008-03-15 23:54 <DIR> d-------- C:\Dokumente und Einstellungen\schoeni\Anwendungsdaten\teamspeak2
2008-03-15 23:54 . 2008-03-15 23:54 34,064 --a------ C:\WINDOWS\system32\lhacm.acm
2008-02-27 20:50 . 2008-02-27 20:50 <DIR> d-------- C:\Dokumente und Einstellungen\schoeni\Anwendungsdaten\skypePM
2008-02-27 20:50 . 2008-02-27 20:50 32 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-02-26 18:05 . 2008-02-26 18:08 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-02-26 18:05 . 2008-02-26 18:08 1,409 --a------ C:\WINDOWS\QTFont.for
2008-02-21 04:11 . 2008-02-21 04:11 3,136 --a------ C:\WINDOWS\system32\dtu_de.qm
2008-02-21 04:03 . 2008-02-21 04:03 156,992 --a------ C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-02-16 16:00 . 2008-02-28 23:29 <DIR> d-------- C:\Dokumente und Einstellungen\schoeni\Anwendungsdaten\Skype
2008-02-16 15:59 . 2008-02-16 16:00 <DIR> d-------- C:\Programme\Skype
2008-02-16 15:59 . 2008-02-16 15:59 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2008-02-16 15:59 . 2008-02-16 16:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-02-16 15:35 . 2008-02-16 15:35 <DIR> d-------- C:\Dokumente und Einstellungen\schoeni\Anwendungsdaten\Apple Computer
2008-02-16 15:32 . 2008-02-16 15:32 <DIR> d-------- C:\Programme\Apple Software Update
2008-02-16 15:32 . 2008-02-16 15:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-02-16 15:31 . 2008-03-26 17:43 69 --a------ C:\WINDOWS\NeroDigital.ini
2008-02-13 19:35 . 2008-02-13 19:35 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ahead
2008-02-13 19:35 . 2004-07-26 18:16 1,568,768 --------- C:\WINDOWS\system32\ImagX7.dll
2008-02-13 19:35 . 2004-07-26 18:16 476,320 --------- C:\WINDOWS\system32\ImagXpr7.dll
2008-02-13 19:35 . 2004-07-26 18:16 471,040 --------- C:\WINDOWS\system32\ImagXRA7.dll
2008-02-13 19:35 . 2004-07-26 18:16 262,144 --------- C:\WINDOWS\system32\ImagXR7.dll
2008-02-13 19:35 . 2001-07-09 12:50 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe
2008-02-13 19:35 . 2004-03-02 18:37 125,184 --------- C:\WINDOWS\system32\drivers\imagesrv.sys
2008-02-13 19:35 . 2000-06-26 12:45 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll
2008-02-13 19:35 . 2004-03-02 18:37 5,504 --------- C:\WINDOWS\system32\drivers\imagedrv.sys
2008-02-13 17:52 . 2008-03-24 19:00 736 --a------ C:\WINDOWS\Irodio.INI
2008-02-13 17:51 . 2008-02-14 09:41 <DIR> d-------- C:\WINDOWS\SxsCaPendDel
2008-02-13 17:47 . 1998-07-09 20:41 217,088 --a------ C:\WINDOWS\system32\skjpeg40.dll
2008-02-13 17:47 . 1998-03-04 11:40 83,968 --a------ C:\WINDOWS\system32\Skbase40.dll
2008-02-09 22:16 . 2008-02-09 22:16 <DIR> d-------- C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-02-09 10:50 . 2008-03-21 21:16 <DIR> d-------- C:\Dokumente und Einstellungen\schoeni\Anwendungsdaten\Canon
2008-02-09 10:48 . 2008-02-09 10:48 10 -r------- C:\WINDOWS\PSTUDIO.SN
2008-02-09 10:47 . 2001-05-17 15:25 339,968 -ra------ C:\WINDOWS\system32\N067UFW.dll
2008-02-09 10:47 . 2001-08-22 21:36 323,644 -ra------ C:\WINDOWS\system32\UCS32P.DLL
2008-02-09 10:47 . 2001-08-22 21:37 114,688 -ra------ C:\WINDOWS\system32\SG62UUD.DLL
2008-02-09 10:47 . 2001-08-22 21:37 28,720 -ra------ C:\WINDOWS\system32\SG62CPL.DLL
2008-02-09 10:45 . 1995-07-31 14:44 212,480 --a------ C:\WINDOWS\PCDLIB32.DLL
2008-02-09 10:45 . 2008-03-21 21:22 1,339 --a------ C:\WINDOWS\pstudio.ini
2008-02-09 10:45 . 2008-03-21 21:22 28 --a------ C:\WINDOWS\album.ini
2008-02-09 10:45 . 1998-07-21 21:29 21 --a------ C:\WINDOWS\Ps_setup.ini
2008-02-09 10:44 . 2008-02-09 10:44 <DIR> d-------- C:\Dokumente und Einstellungen\schoeni\WINDOWS
2008-02-09 10:44 . 1998-11-17 14:44 328,704 --a------ C:\WINDOWS\IsUn0407.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-24 16:53 --------- d-----w C:\Programme\DivX
2008-02-13 15:58 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-13 15:52 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2007-12-30 16:46 24,064 ----a-w C:\WINDOWS\autoload.exe
2007-12-20 07:10 499,712 ------w C:\WINDOWS\system32\msvcp71.dll
2007-12-07 02:04 824,832 ----a-w C:\WINDOWS\system32\wininet.dll
2007-12-05 01:53 356,352 ----a-w C:\WINDOWS\system32\NVUNINST.EXE
2007-12-05 00:41 356,352 ----a-w C:\WINDOWS\system32\nvudisp.exe
2007-12-05 00:41 1,089,536 ----a-w C:\WINDOWS\system32\nvcuda.dll
2007-12-04 18:40 550,912 ----a-w C:\WINDOWS\system32\oleaut32.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvMixerTray"="C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe" [2004-03-03 15:30 131072]
"avgnt"="D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-12-30 19:46 249896]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-07-12 14:19 7626752]
"nwiz"="nwiz.exe" [2006-07-12 14:19 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-07-12 14:19 86016]
"OrderReminder"="C:\Programme\Hewlett-Packard\OrderReminder\OrderReminder.exe" [2006-01-30 11:00 98304]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Camfrog]
--a------ 2003-09-29 08:22 36352 D:\Programme\Camfrog\Camfrog Video Chat\CamfrogNet.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Programme\\ICQLite\\ICQLite.exe"=
"D:\\steam-cs\\SteamApps\\eike-wolff@gmx.de\\counter-strike\\hl.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"D:\\Programme\\Camfrog\\Camfrog Video Chat\\Camfrog Video Chat.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

S3 STV679;NMS Video Camera (Webcam);C:\WINDOWS\system32\drivers\STV679.sys [2003-12-16 16:35]
S3 STV679m;NMS Video Camera (Webcam)m;C:\WINDOWS\system32\drivers\STV679m.sys [2003-12-16 16:35]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-31 19:13:27
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-03-31 19:13:48
ComboFix-quarantined-files.txt 2008-03-31 17:13:40
ComboFix2.txt 2008-03-31 17:11:02
ComboFix3.txt 2008-03-30 20:57:31
ComboFix4.txt 2008-03-30 19:32:20
7 Verzeichnis(se), 9,259,188,224 Bytes frei
9 Verzeichnis(se), 9,250,054,144 Bytes frei
.
2008-03-13 12:14:31 --- E O F ---




Mal seh wie lange das hält!

Vielen Dank schonmal!
Seitenanfang Seitenende
31.03.2008, 23:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo,

http://www.virustotal.com/de/
Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren

C:\WINDOWS\autoload.exe

--------------------------------------------------------

«
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"

«
scanne mit Bitdefender + poste den Report
http://board.protecus.de/t8642.htm

«
berichte, ob die Fehlermeldung weg ist oder nicht
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.04.2008, 17:01
...neu hier

Themenstarter

Beiträge: 6
#5 ABer im Moment ist doch wieder alles gut.. oder ist noch was zu sehen?

Zitat

edit:

habe jetzt mit Virus Total die VBS Datei hoch geladen:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.4.1.2 2008.04.02 VBS/Solow
AntiVir 7.6.0.80 2008.04.02 HEUR/Exploit.HTML
Authentium 4.93.8 2008.04.02 VBS/Solow.A
Avast 4.7.1098.0 2008.04.01 VBS:Solow-C
AVG 7.5.0.516 2008.04.01 VBS/Small
BitDefender 7.2 2008.04.02 Generic.ScriptWorm.6417E8EA
CAT-QuickHeal 9.50 2008.04.02 VBS/IETitle
ClamAV 0.92.1 2008.04.02 -
DrWeb 4.44.0.09170 2008.04.02 VBS.Generic.552
eSafe 7.0.15.0 2008.04.01 -
eTrust-Vet 31.3.5664 2008.04.02 VBS/Slogod
Ewido 4.0 2008.04.02 -
F-Prot 4.4.2.54 2008.04.02 VBS/Solow.A
F-Secure 6.70.13260.0 2008.04.02 VBS/Solow.I
FileAdvisor 1 2008.04.02 -
Fortinet 3.14.0.0 2008.04.02 -
Ikarus T3.1.1.20 2008.04.02 Virus.VBS.AutoRun.c
Kaspersky 7.0.0.125 2008.04.02 Virus.VBS.AutoRun.c
McAfee 5265 2008.04.02 VBS/IE-Title
Microsoft 1.3301 2008.04.01 Worm:VBS/Slogod.F
NOD32v2 2995 2008.04.02 VBS/Butsur.E
Norman 5.80.02 2008.04.02 VBS/Solow.I
Panda 9.0.0.4 2008.04.01 VBS/FlashJumper.E.worm
Prevx1 V2 2008.04.02 -
Rising 20.38.22.00 2008.04.02 Worm.VBS.Sowel.a
Sophos 4.28.0 2008.04.02 VBS/Solow-Gen
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.04.02 VBS.Solow
TheHacker 6.2.92.262 2008.04.02 -
VBA32 3.12.6.3 2008.03.25 -
VirusBuster 4.3.26:9 2008.04.02 VBS.Niric.B
Webwasher-Gateway 6.6.2 2008.04.02 Heuristic.Exploit.HTML
weitere Informationen
File size: 4308 bytes
MD5: 3f408dacc94cfe8078d60f25cc5b757f
SHA1: 320bcb9f1e02d27c4380f4c0bfe91c775f6ad89c
PEiD: -
packers: Unicode
packers: Unicode
Seitenanfang Seitenende
03.04.2008, 01:53
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 wieso hast du die vbs hochgeladen...wir hatten sie doch gelöscht ???
poste bitte ein neues log von Combofix
http://www.virus-protect.org/artikel/tools/combofix.html

«
dann lade dr.web, scanne im abgesicherten Modus + poste hier den report
http://www.virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.04.2008, 15:39
...neu hier

Themenstarter

Beiträge: 6
#7 ComboFix 08-03-30.2 - schoeni 2008-04-03 14:00:49.8 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.729 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\schoeni\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-03-03 bis 2008-04-03 ))))))))))))))))))))))))))))))
.

2008-04-02 20:06 . 2008-04-02 20:10 <DIR> d-------- C:\VIRUSfighter
2008-03-26 18:43 . 2008-03-26 18:43 <DIR> d-------- C:\WINDOWS\system32\QuickTime
2008-03-26 18:43 . 2008-03-26 18:43 <DIR> d-------- C:\WINDOWS\system32\custom matrices
2008-03-26 18:43 . 2008-03-26 18:43 <DIR> d-------- C:\WINDOWS\system32\C2MP
2008-03-24 18:54 . 2008-03-24 18:54 <DIR> d-------- C:\Dokumente und Einstellungen\schoeni\Anwendungsdaten\DivX
2008-03-17 00:24 . 2008-03-17 00:24 <DIR> d-------- C:\Programme\Google
2008-03-15 23:54 . 2008-03-15 23:54 <DIR> d-------- C:\Dokumente und Einstellungen\schoeni\Anwendungsdaten\teamspeak2
2008-03-15 23:54 . 2008-03-15 23:54 34,064 --a------ C:\WINDOWS\system32\lhacm.acm

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-02 18:06 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-24 16:53 --------- d-----w C:\Programme\DivX
2008-03-21 19:16 --------- d-----w C:\Dokumente und Einstellungen\schoeni\Anwendungsdaten\Canon
2008-02-28 21:29 --------- d-----w C:\Dokumente und Einstellungen\schoeni\Anwendungsdaten\Skype
2008-02-27 18:50 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-02-27 18:50 --------- d-----w C:\Dokumente und Einstellungen\schoeni\Anwendungsdaten\skypePM
2008-02-21 02:03 156,992 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-02-16 14:00 --------- d-----w C:\Programme\Skype
2008-02-16 14:00 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-02-16 13:59 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype
2008-02-16 13:35 --------- d-----w C:\Dokumente und Einstellungen\schoeni\Anwendungsdaten\Apple Computer
2008-02-16 13:32 --------- d-----w C:\Programme\Apple Software Update
2008-02-16 13:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-02-13 17:35 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2008-02-13 15:52 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-02-09 20:16 --------- d-----w C:\Programme\Gemeinsame Dateien\DVDVideoSoft
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvMixerTray"="C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe" [2004-03-03 15:30 131072]
"avgnt"="D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-12-30 19:46 249896]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-07-12 14:19 7626752]
"nwiz"="nwiz.exe" [2006-07-12 14:19 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-07-12 14:19 86016]
"OrderReminder"="C:\Programme\Hewlett-Packard\OrderReminder\OrderReminder.exe" [2006-01-30 11:00 98304]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Camfrog]
--a------ 2003-09-29 08:22 36352 D:\Programme\Camfrog\Camfrog Video Chat\CamfrogNet.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Programme\\ICQLite\\ICQLite.exe"=
"D:\\steam-cs\\SteamApps\\eike-wolff@gmx.de\\counter-strike\\hl.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"D:\\Programme\\Camfrog\\Camfrog Video Chat\\Camfrog Video Chat.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

S3 STV679;NMS Video Camera (Webcam);C:\WINDOWS\system32\drivers\STV679.sys [2003-12-16 16:35]
S3 STV679m;NMS Video Camera (Webcam)m;C:\WINDOWS\system32\drivers\STV679m.sys [2003-12-16 16:35]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-03 14:01:36
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-04-03 14:02:00
ComboFix-quarantined-files.txt 2008-04-03 12:01:52
ComboFix2.txt 2008-04-02 18:15:43
ComboFix3.txt 2008-04-02 17:41:29
ComboFix4.txt 2008-03-31 17:13:48
ComboFix5.txt 2008-03-31 17:11:02
8 Verzeichnis(se), 9,146,613,760 Bytes frei
10 Verzeichnis(se), 9,135,329,280 Bytes frei
.
2008-03-13 12:14:31 --- E O F ---
---------------------------------------------------------------------------

dr.web bekomme ich hier nicht mit rein.. die Datei hat fast 14mb!
hier mal die Statistik:

Prüfstatistiken
-----------------------------------------------------------------------------
Geprüfte Objekte: 138523
Infizierte Objekte gefunden: 85
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 18
Adware-Programm gefunden: 0
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 1
Hacktool-Programm gefunden: 0
Desinfizierte Objekte: 0
Gelöschte Objekte: 85
Umbenannte Objekte: 0
Verschobene Objekte: 0
Ignorierte Objekte: 0
Leistung:: 217 Kb/s
Dauer:: 01:08:12
-----------------------------------------------------------------------------

=============================================================================
Gesamte Sitzungsstatistik
=============================================================================
Geprüfte Objekte: 139000
Infizierte Objekte gefunden: 85
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 18
Adware-Programm gefunden: 0
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 1
Hacktool-Programm gefunden: 0
Desinfizierte Objekte: 0
Gelöschte Objekte: 85
Umbenannte Objekte: 0
Verschobene Objekte: 0
Ignorierte Objekte: 0
Leistung:: 252 Kb/s
Dauer:: 01:08:43
=============================================================================
Was nun? Ist ja wahnsinn was der alles so gelöscht hat! Bringt mein antivir gar nichts? Wie schütz ich mich denn jetzt am besten!
Seitenanfang Seitenende
03.04.2008, 15:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Hallo,

lade mal den report als Anhang hoch (siehe unten) ..txt-Datei suchen auf dem Rechner + hochladen (interessiert mich...) - oder du kopierst nur den Teil raus, wo viren abgezeigt werden)

(vbs-Meldung kommt nicht mehr..oder ?)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.04.2008, 16:00
...neu hier

Themenstarter

Beiträge: 6
#9 Bis jetzt keine vbs Meldung mehr.. aber wer weiß wie lange!
Habe die Textdatei gepackt angehängt!

Wie schütz ich mich denn jetzt am besten?

--------

D:\System Volume Information\_restore{EABC26AD-74E6-44FA-B999-ADE20DD0C3C6}\RP97\A0017379.vbs infiziert mit VBS.Generic.552 - gelöscht

Anhang: CureIt.rar
Seitenanfang Seitenende
03.04.2008, 16:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 ««
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
dann das Häkchen wieder rausnehmen.(also wieder aktivieren)



«««««

scanne mit Bitdefender + poste den report
http://board.protecus.de/t8642.htm
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.04.2008, 16:44
...neu hier

Themenstarter

Beiträge: 6
#11 Also erst deaktivieren und dann Bitdefender und dann wieder aktivieren? Oder einfach nur deaktivieren und dann wieder aktivieren und dann bitdefender?

BitDefender Online Scanner - Real Time Virus Report



Generated at: Thu, Apr 03, 2008 - 17:19:54


--------------------------------------------------------------------------------

Scan Info

Scanned Files
100792

Infected Files
3

Application.Irc.Flood.Tool.E
1

Trojan.Dropper.Agent.FX
1
Application.Motherboardmonitor.B
1


--------------------------------------------------------------------------------

This summary of the scan process will be used by the BitDefender Antivirus Lab to create agregate statistics about virus activity around the world.
Dieser Beitrag wurde am 03.04.2008 um 17:20 Uhr von arive editiert.
Seitenanfang Seitenende
03.04.2008, 23:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 so, wie ich es geschrieben hatte, erst die Systemwiederh. (aus/an), dann der Bitdefender

««
Start - Ausführen - Kopiere rein: Combofix /U

- klicke "OK"

««
Nun, bis jetzt sollte wieder alles o.k. sein, wenn die Meldung wiederkommen sollte, schreibe es.
Wege dem Schutz: ich weiss nicht, wo du gesurft bist und worauf du alles so klickst, z.b emails usw
Der Antivirus ist o.k. - man sollte allerdings im abgesicherten Modus scannen und die Heuristik hoch stellen.

AntiVir 7.6.0.80 2008.04.02 HEUR/Exploit.HTML
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.05.2008, 22:37
...neu hier

Beiträge: 2
#13 Hi Leute!
Ich hab das selbe Problem wie "arive". Ich habe auch erst mal alle entsprechenden .vbs Dateien gesucht und gelöscht, aber Spy Doctor sagt mir immer mal wieder (nach einem Doppelklick auf drives), dass sich das Script wieder registrieren will. Ich hab jetzt auch schon recherchiert und Combofix installiert un ddurchlaufen lassen. Was aber jetzt? Ich kann nicht sagen ob mein Bericht von dem obigen abweicht, da ich nicht weiß nach was ich schauen muss. Hier also der Report:

ComboFix 08-05-15.3 - Gert 2008-05-18 22:24:59.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.636 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Gert\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-18 bis 2008-05-18 ))))))))))))))))))))))))))))))
.

2008-05-18 21:55 . 2008-05-18 21:56 <DIR> d-------- C:\Programme\CleanUp!
2008-05-18 21:19 . 2008-05-18 21:30 494 --a------ C:\WINDOWS\cncscore.ini
2008-05-09 12:18 . 2008-05-18 22:25 4,188 -rahs---- C:\GUT.vbs
2008-05-08 19:41 . 2008-05-08 19:41 4,188 -rahs---- C:\PC001.vbs
2008-04-25 15:02 . 2008-04-26 19:04 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-04-21 15:09 . 2008-04-21 15:09 <DIR> d-------- C:\Programme\Numark Cue

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-18 20:25 4,188 --sha-r C:\WINDOWS\system32\GUT.vbs
2008-05-18 20:11 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-05-18 20:11 --------- d-----w C:\Dokumente und Einstellungen\Gert\Anwendungsdaten\OpenOffice.org2
2008-05-16 09:58 --------- d-----w C:\Programme\Spyware Doctor
2008-05-03 18:15 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-04-25 13:00 --------- d-----w C:\Programme\Norton Security Scan
2008-04-24 17:31 --------- d-----w C:\Programme\No23 Recorder
2008-04-19 10:19 --------- d-----w C:\Programme\Picasa2
2008-04-18 06:45 --------- d-----w C:\Programme\ICQ6
2008-04-15 17:01 --------- d-----w C:\Dokumente und Einstellungen\Gert\Anwendungsdaten\ICQ
2008-04-15 12:38 --------- d-----w C:\Programme\iTunes
2008-04-15 12:38 --------- d-----w C:\Programme\iPod
2008-04-15 12:36 --------- d-----w C:\Programme\QuickTime
2008-04-08 07:52 --------- d-----w C:\Programme\WinUAE
2008-04-06 15:12 --------- d-----w C:\Programme\Bubble Bobble Quest
2008-04-06 11:59 --------- d-----w C:\Programme\OpenOffice.org 2.4
2008-04-06 11:59 --------- d-----w C:\Programme\OpenOffice.org 2.3
2008-04-06 11:56 --------- d-----w C:\Programme\Java
2008-04-01 20:51 --------- d-----w C:\Dokumente und Einstellungen\Gert\Anwendungsdaten\Ashampoo
2008-04-01 20:50 --------- d-----w C:\Programme\Ashampoo
2008-04-01 20:50 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ashampoo
2008-03-27 11:29 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip
2008-03-26 12:41 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Office Genuine Advantage
2008-03-26 11:19 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-03-25 18:38 --------- d-----w C:\Programme\Zone Labs
2008-03-25 17:08 --------- d-----w C:\Programme\Avira
2008-03-25 17:08 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-03-25 16:59 --------- d-----w C:\Programme\Lavasoft
2008-03-25 16:59 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-03-25 16:58 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-03-25 16:57 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-03-25 16:18 --------- d-----w C:\Programme\VDMSound
2008-03-25 11:49 --------- d-----w C:\Programme\DOSBox-0.72
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-21 22:05 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-19 16:29 348,160 ----a-w C:\WINDOWS\system32\msvcr71.dll
2008-03-19 16:26 499,712 ----a-w C:\WINDOWS\system32\msvcp71.dll
2008-03-09 00:18 4,188 --sha-r C:\ACER-831E203FC0.vbs
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-21 21:51 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
2008-02-21 02:05 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-02-21 02:05 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-18 16:32 98,304 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-02-15 19:32 68856]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 12:43 2097488]
"ICQ"="C:\PROGRA~1\ICQ6\ICQ.exe" [2008-04-01 12:40 172280]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"P17Helper"="P17.dll" [2005-05-03 20:38 64512 C:\WINDOWS\system32\P17.dll]
"ISTray"="C:\Programme\Spyware Doctor\pctsTray.exe" [2008-02-01 12:55 1103240]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-02-15 19:58 185632]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-19 12:17 262401]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-03-28 23:37 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:57 15360]

C:\Dokumente und Einstellungen\Gert\Startmen\Programme\Autostart\
OpenOffice.org 2.4.lnk - C:\Programme\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 15:41:28 393216]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Google Updater.lnk - C:\Programme\Google\Google Updater\GoogleUpdater.exe [2008-02-15 19:32:18 125624]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\LucasArts\\Star Wars Empire at War\\GameData\\sweaw.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=

S3 ldiskl;ldiskl;C:\DOKUME~1\Gert\LOKALE~1\Temp\ldiskl.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\J]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe ACER-831E203FC0.vbs

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{48f5546c-d985-11dc-9abd-000b6a5fc083}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe GUT.vbs

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{98c46de0-c475-11dc-9ab7-000b6a5fc083}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe FLORIAN.vbs

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2008-03-20 19:45:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-04-25 13:05:46 C:\WINDOWS\Tasks\Norton Security Scan.job"
- C:\Programme\Norton Security Scan\Nss.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-18 22:26:50
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwClose

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-05-18 22:27:39
ComboFix-quarantined-files.txt 2008-05-18 20:27:35

9 Verzeichnis(se), 113,122,078,720 Bytes frei
12 Verzeichnis(se), 113,460,641,792 Bytes frei

133 --- E O F --- 2008-05-18 11:24:33[/color]




Wenn mir jemand nochmals bitte den nächsten Schritt eklären könnte, das wär klasse!! ?
Seitenanfang Seitenende
18.05.2008, 23:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 Hallo Stuttgert

lade das script von dieser seite - Anhang: ANTIVIR_CONSOLE.rar + anwenden
http://board.protecus.de/t33255.htm

---------

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern



Zitat

KILLALL::

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\J]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{48f5546c-d985-11dc-9abd-000b6a5fc083}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{98c46de0-c475-11dc-9ab7-000b6a5fc083}]

File::
C:\WINDOWS\system32\GUT.vbs
C:\ACER-831E203FC0.vbs
C:\GUT.vbs
C:\PC001.vbs

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden

PC neustarten

---------------------

««
scanne mit dr.web im abgesicherten Modus
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.05.2008, 01:33
...neu hier

Beiträge: 2
#15 ComboFix 08-05-15.3 - Gert 2008-05-19 1:25:58.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.642 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Gert\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-04-18 bis 2008-05-18 ))))))))))))))))))))))))))))))
.

2008-05-18 21:55 . 2008-05-18 21:56 <DIR> d-------- C:\Programme\CleanUp!
2008-05-18 21:19 . 2008-05-18 21:30 494 --a------ C:\WINDOWS\cncscore.ini
2008-04-25 15:02 . 2008-04-26 19:04 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-04-21 15:09 . 2008-04-21 15:09 <DIR> d-------- C:\Programme\Numark Cue

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-18 23:19 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-05-18 23:19 --------- d-----w C:\Dokumente und Einstellungen\Gert\Anwendungsdaten\OpenOffice.org2
2008-05-18 20:41 --------- d-----w C:\Programme\Spyware Doctor
2008-05-03 18:15 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-04-25 13:00 --------- d-----w C:\Programme\Norton Security Scan
2008-04-24 17:31 --------- d-----w C:\Programme\No23 Recorder
2008-04-19 10:19 --------- d-----w C:\Programme\Picasa2
2008-04-18 06:45 --------- d-----w C:\Programme\ICQ6
2008-04-15 17:01 --------- d-----w C:\Dokumente und Einstellungen\Gert\Anwendungsdaten\ICQ
2008-04-15 12:38 --------- d-----w C:\Programme\iTunes
2008-04-15 12:38 --------- d-----w C:\Programme\iPod
2008-04-15 12:36 --------- d-----w C:\Programme\QuickTime
2008-04-08 07:52 --------- d-----w C:\Programme\WinUAE
2008-04-06 15:12 --------- d-----w C:\Programme\Bubble Bobble Quest
2008-04-06 11:59 --------- d-----w C:\Programme\OpenOffice.org 2.4
2008-04-06 11:59 --------- d-----w C:\Programme\OpenOffice.org 2.3
2008-04-06 11:56 --------- d-----w C:\Programme\Java
2008-04-01 20:51 --------- d-----w C:\Dokumente und Einstellungen\Gert\Anwendungsdaten\Ashampoo
2008-04-01 20:50 --------- d-----w C:\Programme\Ashampoo
2008-04-01 20:50 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ashampoo
2008-03-27 11:29 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip
2008-03-26 12:41 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Office Genuine Advantage
2008-03-26 11:19 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-03-25 18:38 --------- d-----w C:\Programme\Zone Labs
2008-03-25 17:08 --------- d-----w C:\Programme\Avira
2008-03-25 17:08 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-03-25 16:59 --------- d-----w C:\Programme\Lavasoft
2008-03-25 16:59 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-03-25 16:58 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-03-25 16:57 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-03-25 16:18 --------- d-----w C:\Programme\VDMSound
2008-03-25 11:49 --------- d-----w C:\Programme\DOSBox-0.72
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-21 22:05 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-19 16:29 348,160 ----a-w C:\WINDOWS\system32\msvcr71.dll
2008-03-19 16:26 499,712 ----a-w C:\WINDOWS\system32\msvcp71.dll
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-21 21:51 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
2008-02-21 02:05 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-02-21 02:05 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-18 16:32 98,304 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
.

((((((((((((((((((((((((((((( snapshot@2008-05-18_22.27.15,96 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-18 20:10:47 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-18 23:17:55 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-02-15 19:32 68856]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 12:43 2097488]
"ICQ"="C:\PROGRA~1\ICQ6\ICQ.exe" [2008-04-01 12:40 172280]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"P17Helper"="P17.dll" [2005-05-03 20:38 64512 C:\WINDOWS\system32\P17.dll]
"ISTray"="C:\Programme\Spyware Doctor\pctsTray.exe" [2008-02-01 12:55 1103240]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-02-15 19:58 185632]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-19 12:17 262401]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-03-28 23:37 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:57 15360]

C:\Dokumente und Einstellungen\Gert\Startmen\Programme\Autostart\
OpenOffice.org 2.4.lnk - C:\Programme\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 15:41:28 393216]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Google Updater.lnk - C:\Programme\Google\Google Updater\GoogleUpdater.exe [2008-02-15 19:32:18 125624]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\LucasArts\\Star Wars Empire at War\\GameData\\sweaw.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=

S3 ldiskl;ldiskl;C:\DOKUME~1\Gert\LOKALE~1\Temp\ldiskl.sys []

.
Inhalt des "geplante Tasks" Ordners
"2008-03-20 19:45:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-04-25 13:05:46 C:\WINDOWS\Tasks\Norton Security Scan.job"
- C:\Programme\Norton Security Scan\Nss.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-19 01:27:34
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwClose

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-05-19 1:28:18
ComboFix-quarantined-files.txt 2008-05-18 23:28:15
ComboFix2.txt 2008-05-18 23:21:11
ComboFix3.txt 2008-05-18 20:43:22
ComboFix4.txt 2008-05-18 20:27:41

9 Verzeichnis(se), 113,540,354,048 Bytes frei
12 Verzeichnis(se), 113,532,469,248 Bytes frei

125 --- E O F --- 2008-05-18 11:24:33



Scheint als sei alles weg!
Soll ich Windows im abgesicherten Modus haben beim Scan,
oder gibts so ne Option bei Dr. Web?
Ich find´s echt hammer, dass einem hier so gut und schnell geholfen wird!
Ich lieb euch Leute! (Sabina) ;)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: