vbs-virus, hacked by..., verhinderung des Doppelklicks |
||
---|---|---|
#0
| ||
31.03.2008, 18:43
...neu hier
Beiträge: 6 |
||
|
||
31.03.2008, 19:01
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo,
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern Zitat KILLALL::cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen danach: Combofix noch einmal anwenden PC neustarten ««««««««««««««««« poste das neue Log von Combofix hier + berichte, ob die Fehlermeldung weg ist __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
31.03.2008, 19:14
...neu hier
Themenstarter Beiträge: 6 |
#3
ComboFix 08-03-30.2 - schoeni 2008-03-31 19:12:48.5 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.735 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\schoeni\Desktop\ComboFix.exe [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . ((((((((((((((((((((((( Dateien erstellt von 2008-02-28 bis 2008-03-31 )))))))))))))))))))))))))))))) . 2008-03-26 18:43 . 2008-03-26 18:43 <DIR> d-------- C:\WINDOWS\system32\QuickTime 2008-03-26 18:43 . 2008-03-26 18:43 <DIR> d-------- C:\WINDOWS\system32\custom matrices 2008-03-26 18:43 . 2008-03-26 18:43 <DIR> d-------- C:\WINDOWS\system32\C2MP 2008-03-24 18:54 . 2008-03-24 18:54 <DIR> d-------- C:\Dokumente und Einstellungen\schoeni\Anwendungsdaten\DivX 2008-03-17 00:24 . 2008-03-17 00:24 <DIR> d-------- C:\Programme\Google 2008-03-15 23:54 . 2008-03-15 23:54 <DIR> d-------- C:\Dokumente und Einstellungen\schoeni\Anwendungsdaten\teamspeak2 2008-03-15 23:54 . 2008-03-15 23:54 34,064 --a------ C:\WINDOWS\system32\lhacm.acm 2008-02-27 20:50 . 2008-02-27 20:50 <DIR> d-------- C:\Dokumente und Einstellungen\schoeni\Anwendungsdaten\skypePM 2008-02-27 20:50 . 2008-02-27 20:50 32 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat 2008-02-26 18:05 . 2008-02-26 18:08 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-02-26 18:05 . 2008-02-26 18:08 1,409 --a------ C:\WINDOWS\QTFont.for 2008-02-21 04:11 . 2008-02-21 04:11 3,136 --a------ C:\WINDOWS\system32\dtu_de.qm 2008-02-21 04:03 . 2008-02-21 04:03 156,992 --a------ C:\WINDOWS\system32\DivXCodecVersionChecker.exe 2008-02-16 16:00 . 2008-02-28 23:29 <DIR> d-------- C:\Dokumente und Einstellungen\schoeni\Anwendungsdaten\Skype 2008-02-16 15:59 . 2008-02-16 16:00 <DIR> d-------- C:\Programme\Skype 2008-02-16 15:59 . 2008-02-16 15:59 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype 2008-02-16 15:59 . 2008-02-16 16:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype 2008-02-16 15:35 . 2008-02-16 15:35 <DIR> d-------- C:\Dokumente und Einstellungen\schoeni\Anwendungsdaten\Apple Computer 2008-02-16 15:32 . 2008-02-16 15:32 <DIR> d-------- C:\Programme\Apple Software Update 2008-02-16 15:32 . 2008-02-16 15:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple 2008-02-16 15:31 . 2008-03-26 17:43 69 --a------ C:\WINDOWS\NeroDigital.ini 2008-02-13 19:35 . 2008-02-13 19:35 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ahead 2008-02-13 19:35 . 2004-07-26 18:16 1,568,768 --------- C:\WINDOWS\system32\ImagX7.dll 2008-02-13 19:35 . 2004-07-26 18:16 476,320 --------- C:\WINDOWS\system32\ImagXpr7.dll 2008-02-13 19:35 . 2004-07-26 18:16 471,040 --------- C:\WINDOWS\system32\ImagXRA7.dll 2008-02-13 19:35 . 2004-07-26 18:16 262,144 --------- C:\WINDOWS\system32\ImagXR7.dll 2008-02-13 19:35 . 2001-07-09 12:50 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe 2008-02-13 19:35 . 2004-03-02 18:37 125,184 --------- C:\WINDOWS\system32\drivers\imagesrv.sys 2008-02-13 19:35 . 2000-06-26 12:45 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll 2008-02-13 19:35 . 2004-03-02 18:37 5,504 --------- C:\WINDOWS\system32\drivers\imagedrv.sys 2008-02-13 17:52 . 2008-03-24 19:00 736 --a------ C:\WINDOWS\Irodio.INI 2008-02-13 17:51 . 2008-02-14 09:41 <DIR> d-------- C:\WINDOWS\SxsCaPendDel 2008-02-13 17:47 . 1998-07-09 20:41 217,088 --a------ C:\WINDOWS\system32\skjpeg40.dll 2008-02-13 17:47 . 1998-03-04 11:40 83,968 --a------ C:\WINDOWS\system32\Skbase40.dll 2008-02-09 22:16 . 2008-02-09 22:16 <DIR> d-------- C:\Programme\Gemeinsame Dateien\DVDVideoSoft 2008-02-09 10:50 . 2008-03-21 21:16 <DIR> d-------- C:\Dokumente und Einstellungen\schoeni\Anwendungsdaten\Canon 2008-02-09 10:48 . 2008-02-09 10:48 10 -r------- C:\WINDOWS\PSTUDIO.SN 2008-02-09 10:47 . 2001-05-17 15:25 339,968 -ra------ C:\WINDOWS\system32\N067UFW.dll 2008-02-09 10:47 . 2001-08-22 21:36 323,644 -ra------ C:\WINDOWS\system32\UCS32P.DLL 2008-02-09 10:47 . 2001-08-22 21:37 114,688 -ra------ C:\WINDOWS\system32\SG62UUD.DLL 2008-02-09 10:47 . 2001-08-22 21:37 28,720 -ra------ C:\WINDOWS\system32\SG62CPL.DLL 2008-02-09 10:45 . 1995-07-31 14:44 212,480 --a------ C:\WINDOWS\PCDLIB32.DLL 2008-02-09 10:45 . 2008-03-21 21:22 1,339 --a------ C:\WINDOWS\pstudio.ini 2008-02-09 10:45 . 2008-03-21 21:22 28 --a------ C:\WINDOWS\album.ini 2008-02-09 10:45 . 1998-07-21 21:29 21 --a------ C:\WINDOWS\Ps_setup.ini 2008-02-09 10:44 . 2008-02-09 10:44 <DIR> d-------- C:\Dokumente und Einstellungen\schoeni\WINDOWS 2008-02-09 10:44 . 1998-11-17 14:44 328,704 --a------ C:\WINDOWS\IsUn0407.exe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-03-24 16:53 --------- d-----w C:\Programme\DivX 2008-02-13 15:58 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-02-13 15:52 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe 2007-12-30 16:46 24,064 ----a-w C:\WINDOWS\autoload.exe 2007-12-20 07:10 499,712 ------w C:\WINDOWS\system32\msvcp71.dll 2007-12-07 02:04 824,832 ----a-w C:\WINDOWS\system32\wininet.dll 2007-12-05 01:53 356,352 ----a-w C:\WINDOWS\system32\NVUNINST.EXE 2007-12-05 00:41 356,352 ----a-w C:\WINDOWS\system32\nvudisp.exe 2007-12-05 00:41 1,089,536 ----a-w C:\WINDOWS\system32\nvcuda.dll 2007-12-04 18:40 550,912 ----a-w C:\WINDOWS\system32\oleaut32.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvMixerTray"="C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe" [2004-03-03 15:30 131072] "avgnt"="D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-12-30 19:46 249896] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-07-12 14:19 7626752] "nwiz"="nwiz.exe" [2006-07-12 14:19 1519616 C:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-07-12 14:19 86016] "OrderReminder"="C:\Programme\Hewlett-Packard\OrderReminder\OrderReminder.exe" [2006-01-30 11:00 98304] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Camfrog] --a------ 2003-09-29 08:22 36352 D:\Programme\Camfrog\Camfrog Video Chat\CamfrogNet.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "D:\\Programme\\ICQLite\\ICQLite.exe"= "D:\\steam-cs\\SteamApps\\eike-wolff@gmx.de\\counter-strike\\hl.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "D:\\Programme\\Camfrog\\Camfrog Video Chat\\Camfrog Video Chat.exe"= "C:\\WINDOWS\\system32\\dpvsetup.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= S3 STV679;NMS Video Camera (Webcam);C:\WINDOWS\system32\drivers\STV679.sys [2003-12-16 16:35] S3 STV679m;NMS Video Camera (Webcam)m;C:\WINDOWS\system32\drivers\STV679m.sys [2003-12-16 16:35] . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-31 19:13:27 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-03-31 19:13:48 ComboFix-quarantined-files.txt 2008-03-31 17:13:40 ComboFix2.txt 2008-03-31 17:11:02 ComboFix3.txt 2008-03-30 20:57:31 ComboFix4.txt 2008-03-30 19:32:20 7 Verzeichnis(se), 9,259,188,224 Bytes frei 9 Verzeichnis(se), 9,250,054,144 Bytes frei . 2008-03-13 12:14:31 --- E O F --- Mal seh wie lange das hält! Vielen Dank schonmal! |
|
|
||
31.03.2008, 23:51
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo,
http://www.virustotal.com/de/ Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren C:\WINDOWS\autoload.exe -------------------------------------------------------- « Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" « scanne mit Bitdefender + poste den Report http://board.protecus.de/t8642.htm « berichte, ob die Fehlermeldung weg ist oder nicht __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.04.2008, 17:01
...neu hier
Themenstarter Beiträge: 6 |
#5
ABer im Moment ist doch wieder alles gut.. oder ist noch was zu sehen?
Zitat edit: |
|
|
||
03.04.2008, 01:53
Ehrenmitglied
Beiträge: 29434 |
#6
wieso hast du die vbs hochgeladen...wir hatten sie doch gelöscht ???
poste bitte ein neues log von Combofix http://www.virus-protect.org/artikel/tools/combofix.html « dann lade dr.web, scanne im abgesicherten Modus + poste hier den report http://www.virus-protect.org/cureit.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.04.2008, 15:39
...neu hier
Themenstarter Beiträge: 6 |
#7
ComboFix 08-03-30.2 - schoeni 2008-04-03 14:00:49.8 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.729 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\schoeni\Desktop\ComboFix.exe [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . ((((((((((((((((((((((( Dateien erstellt von 2008-03-03 bis 2008-04-03 )))))))))))))))))))))))))))))) . 2008-04-02 20:06 . 2008-04-02 20:10 <DIR> d-------- C:\VIRUSfighter 2008-03-26 18:43 . 2008-03-26 18:43 <DIR> d-------- C:\WINDOWS\system32\QuickTime 2008-03-26 18:43 . 2008-03-26 18:43 <DIR> d-------- C:\WINDOWS\system32\custom matrices 2008-03-26 18:43 . 2008-03-26 18:43 <DIR> d-------- C:\WINDOWS\system32\C2MP 2008-03-24 18:54 . 2008-03-24 18:54 <DIR> d-------- C:\Dokumente und Einstellungen\schoeni\Anwendungsdaten\DivX 2008-03-17 00:24 . 2008-03-17 00:24 <DIR> d-------- C:\Programme\Google 2008-03-15 23:54 . 2008-03-15 23:54 <DIR> d-------- C:\Dokumente und Einstellungen\schoeni\Anwendungsdaten\teamspeak2 2008-03-15 23:54 . 2008-03-15 23:54 34,064 --a------ C:\WINDOWS\system32\lhacm.acm . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-04-02 18:06 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-03-24 16:53 --------- d-----w C:\Programme\DivX 2008-03-21 19:16 --------- d-----w C:\Dokumente und Einstellungen\schoeni\Anwendungsdaten\Canon 2008-02-28 21:29 --------- d-----w C:\Dokumente und Einstellungen\schoeni\Anwendungsdaten\Skype 2008-02-27 18:50 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat 2008-02-27 18:50 --------- d-----w C:\Dokumente und Einstellungen\schoeni\Anwendungsdaten\skypePM 2008-02-21 02:03 156,992 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe 2008-02-16 14:00 --------- d-----w C:\Programme\Skype 2008-02-16 14:00 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype 2008-02-16 13:59 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype 2008-02-16 13:35 --------- d-----w C:\Dokumente und Einstellungen\schoeni\Anwendungsdaten\Apple Computer 2008-02-16 13:32 --------- d-----w C:\Programme\Apple Software Update 2008-02-16 13:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple 2008-02-13 17:35 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead 2008-02-13 15:52 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe 2008-02-09 20:16 --------- d-----w C:\Programme\Gemeinsame Dateien\DVDVideoSoft . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvMixerTray"="C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe" [2004-03-03 15:30 131072] "avgnt"="D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-12-30 19:46 249896] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-07-12 14:19 7626752] "nwiz"="nwiz.exe" [2006-07-12 14:19 1519616 C:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-07-12 14:19 86016] "OrderReminder"="C:\Programme\Hewlett-Packard\OrderReminder\OrderReminder.exe" [2006-01-30 11:00 98304] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Camfrog] --a------ 2003-09-29 08:22 36352 D:\Programme\Camfrog\Camfrog Video Chat\CamfrogNet.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "D:\\Programme\\ICQLite\\ICQLite.exe"= "D:\\steam-cs\\SteamApps\\eike-wolff@gmx.de\\counter-strike\\hl.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "D:\\Programme\\Camfrog\\Camfrog Video Chat\\Camfrog Video Chat.exe"= "C:\\WINDOWS\\system32\\dpvsetup.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= S3 STV679;NMS Video Camera (Webcam);C:\WINDOWS\system32\drivers\STV679.sys [2003-12-16 16:35] S3 STV679m;NMS Video Camera (Webcam)m;C:\WINDOWS\system32\drivers\STV679m.sys [2003-12-16 16:35] . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-04-03 14:01:36 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-04-03 14:02:00 ComboFix-quarantined-files.txt 2008-04-03 12:01:52 ComboFix2.txt 2008-04-02 18:15:43 ComboFix3.txt 2008-04-02 17:41:29 ComboFix4.txt 2008-03-31 17:13:48 ComboFix5.txt 2008-03-31 17:11:02 8 Verzeichnis(se), 9,146,613,760 Bytes frei 10 Verzeichnis(se), 9,135,329,280 Bytes frei . 2008-03-13 12:14:31 --- E O F --- --------------------------------------------------------------------------- dr.web bekomme ich hier nicht mit rein.. die Datei hat fast 14mb! hier mal die Statistik: Prüfstatistiken ----------------------------------------------------------------------------- Geprüfte Objekte: 138523 Infizierte Objekte gefunden: 85 Objekte mit Modifikation gefunden: 0 Verdächtige Objekte gefunden: 18 Adware-Programm gefunden: 0 Dialer-Programm gefunden: 0 Scherz-Programm gefunden: 0 Riskware programm gefunden: 1 Hacktool-Programm gefunden: 0 Desinfizierte Objekte: 0 Gelöschte Objekte: 85 Umbenannte Objekte: 0 Verschobene Objekte: 0 Ignorierte Objekte: 0 Leistung:: 217 Kb/s Dauer:: 01:08:12 ----------------------------------------------------------------------------- ============================================================================= Gesamte Sitzungsstatistik ============================================================================= Geprüfte Objekte: 139000 Infizierte Objekte gefunden: 85 Objekte mit Modifikation gefunden: 0 Verdächtige Objekte gefunden: 18 Adware-Programm gefunden: 0 Dialer-Programm gefunden: 0 Scherz-Programm gefunden: 0 Riskware programm gefunden: 1 Hacktool-Programm gefunden: 0 Desinfizierte Objekte: 0 Gelöschte Objekte: 85 Umbenannte Objekte: 0 Verschobene Objekte: 0 Ignorierte Objekte: 0 Leistung:: 252 Kb/s Dauer:: 01:08:43 ============================================================================= Was nun? Ist ja wahnsinn was der alles so gelöscht hat! Bringt mein antivir gar nichts? Wie schütz ich mich denn jetzt am besten! |
|
|
||
03.04.2008, 15:51
Ehrenmitglied
Beiträge: 29434 |
#8
Hallo,
lade mal den report als Anhang hoch (siehe unten) ..txt-Datei suchen auf dem Rechner + hochladen (interessiert mich...) - oder du kopierst nur den Teil raus, wo viren abgezeigt werden) (vbs-Meldung kommt nicht mehr..oder ?) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.04.2008, 16:00
...neu hier
Themenstarter Beiträge: 6 |
#9
Bis jetzt keine vbs Meldung mehr.. aber wer weiß wie lange!
Habe die Textdatei gepackt angehängt! Wie schütz ich mich denn jetzt am besten? -------- D:\System Volume Information\_restore{EABC26AD-74E6-44FA-B999-ADE20DD0C3C6}\RP97\A0017379.vbs infiziert mit VBS.Generic.552 - gelöscht Anhang: CureIt.rar
|
|
|
||
03.04.2008, 16:08
Ehrenmitglied
Beiträge: 29434 |
#10
««
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. dann das Häkchen wieder rausnehmen.(also wieder aktivieren) ««««« scanne mit Bitdefender + poste den report http://board.protecus.de/t8642.htm __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.04.2008, 16:44
...neu hier
Themenstarter Beiträge: 6 |
#11
Also erst deaktivieren und dann Bitdefender und dann wieder aktivieren? Oder einfach nur deaktivieren und dann wieder aktivieren und dann bitdefender?
BitDefender Online Scanner - Real Time Virus Report Generated at: Thu, Apr 03, 2008 - 17:19:54 -------------------------------------------------------------------------------- Scan Info Scanned Files 100792 Infected Files 3 Application.Irc.Flood.Tool.E 1 Trojan.Dropper.Agent.FX 1 Application.Motherboardmonitor.B 1 -------------------------------------------------------------------------------- This summary of the scan process will be used by the BitDefender Antivirus Lab to create agregate statistics about virus activity around the world. Dieser Beitrag wurde am 03.04.2008 um 17:20 Uhr von arive editiert.
|
|
|
||
03.04.2008, 23:47
Ehrenmitglied
Beiträge: 29434 |
#12
so, wie ich es geschrieben hatte, erst die Systemwiederh. (aus/an), dann der Bitdefender
«« Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" «« Nun, bis jetzt sollte wieder alles o.k. sein, wenn die Meldung wiederkommen sollte, schreibe es. Wege dem Schutz: ich weiss nicht, wo du gesurft bist und worauf du alles so klickst, z.b emails usw Der Antivirus ist o.k. - man sollte allerdings im abgesicherten Modus scannen und die Heuristik hoch stellen. AntiVir 7.6.0.80 2008.04.02 HEUR/Exploit.HTML __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.05.2008, 22:37
...neu hier
Beiträge: 2 |
#13
Hi Leute!
Ich hab das selbe Problem wie "arive". Ich habe auch erst mal alle entsprechenden .vbs Dateien gesucht und gelöscht, aber Spy Doctor sagt mir immer mal wieder (nach einem Doppelklick auf drives), dass sich das Script wieder registrieren will. Ich hab jetzt auch schon recherchiert und Combofix installiert un ddurchlaufen lassen. Was aber jetzt? Ich kann nicht sagen ob mein Bericht von dem obigen abweicht, da ich nicht weiß nach was ich schauen muss. Hier also der Report: ComboFix 08-05-15.3 - Gert 2008-05-18 22:24:59.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.636 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Gert\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Autorun.inf . ((((((((((((((((((((((( Dateien erstellt von 2008-04-18 bis 2008-05-18 )))))))))))))))))))))))))))))) . 2008-05-18 21:55 . 2008-05-18 21:56 <DIR> d-------- C:\Programme\CleanUp! 2008-05-18 21:19 . 2008-05-18 21:30 494 --a------ C:\WINDOWS\cncscore.ini 2008-05-09 12:18 . 2008-05-18 22:25 4,188 -rahs---- C:\GUT.vbs 2008-05-08 19:41 . 2008-05-08 19:41 4,188 -rahs---- C:\PC001.vbs 2008-04-25 15:02 . 2008-04-26 19:04 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared 2008-04-21 15:09 . 2008-04-21 15:09 <DIR> d-------- C:\Programme\Numark Cue . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-05-18 20:25 4,188 --sha-r C:\WINDOWS\system32\GUT.vbs 2008-05-18 20:11 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-05-18 20:11 --------- d-----w C:\Dokumente und Einstellungen\Gert\Anwendungsdaten\OpenOffice.org2 2008-05-16 09:58 --------- d-----w C:\Programme\Spyware Doctor 2008-05-03 18:15 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater 2008-04-25 13:00 --------- d-----w C:\Programme\Norton Security Scan 2008-04-24 17:31 --------- d-----w C:\Programme\No23 Recorder 2008-04-19 10:19 --------- d-----w C:\Programme\Picasa2 2008-04-18 06:45 --------- d-----w C:\Programme\ICQ6 2008-04-15 17:01 --------- d-----w C:\Dokumente und Einstellungen\Gert\Anwendungsdaten\ICQ 2008-04-15 12:38 --------- d-----w C:\Programme\iTunes 2008-04-15 12:38 --------- d-----w C:\Programme\iPod 2008-04-15 12:36 --------- d-----w C:\Programme\QuickTime 2008-04-08 07:52 --------- d-----w C:\Programme\WinUAE 2008-04-06 15:12 --------- d-----w C:\Programme\Bubble Bobble Quest 2008-04-06 11:59 --------- d-----w C:\Programme\OpenOffice.org 2.4 2008-04-06 11:59 --------- d-----w C:\Programme\OpenOffice.org 2.3 2008-04-06 11:56 --------- d-----w C:\Programme\Java 2008-04-01 20:51 --------- d-----w C:\Dokumente und Einstellungen\Gert\Anwendungsdaten\Ashampoo 2008-04-01 20:50 --------- d-----w C:\Programme\Ashampoo 2008-04-01 20:50 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ashampoo 2008-03-27 11:29 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip 2008-03-26 12:41 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Office Genuine Advantage 2008-03-26 11:19 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-03-25 18:38 --------- d-----w C:\Programme\Zone Labs 2008-03-25 17:08 --------- d-----w C:\Programme\Avira 2008-03-25 17:08 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-03-25 16:59 --------- d-----w C:\Programme\Lavasoft 2008-03-25 16:59 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-03-25 16:58 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-03-25 16:57 --------- d-----w C:\Programme\Spybot - Search & Destroy 2008-03-25 16:18 --------- d-----w C:\Programme\VDMSound 2008-03-25 11:49 --------- d-----w C:\Programme\DOSBox-0.72 2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll 2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll 2008-03-21 22:05 --------- d-----w C:\Programme\Gemeinsame Dateien\Java 2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys 2008-03-19 16:29 348,160 ----a-w C:\WINDOWS\system32\msvcr71.dll 2008-03-19 16:26 499,712 ----a-w C:\WINDOWS\system32\msvcp71.dll 2008-03-09 00:18 4,188 --sha-r C:\ACER-831E203FC0.vbs 2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll 2008-02-21 21:51 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll 2008-02-21 02:05 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll 2008-02-21 02:05 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll 2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll 2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll 2008-02-18 16:32 98,304 ----a-w C:\WINDOWS\system32\CmdLineExt.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360] "swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-02-15 19:32 68856] "SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 12:43 2097488] "ICQ"="C:\PROGRA~1\ICQ6\ICQ.exe" [2008-04-01 12:40 172280] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "P17Helper"="P17.dll" [2005-05-03 20:38 64512 C:\WINDOWS\system32\P17.dll] "ISTray"="C:\Programme\Spyware Doctor\pctsTray.exe" [2008-02-01 12:55 1103240] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-02-15 19:58 185632] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-19 12:17 262401] "QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-03-28 23:37 413696] "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:57 15360] C:\Dokumente und Einstellungen\Gert\Startmen\Programme\Autostart\ OpenOffice.org 2.4.lnk - C:\Programme\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 15:41:28 393216] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Google Updater.lnk - C:\Programme\Google\Google Updater\GoogleUpdater.exe [2008-02-15 19:32:18 125624] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\LucasArts\\Star Wars Empire at War\\GameData\\sweaw.exe"= "C:\\Programme\\Bonjour\\mDNSResponder.exe"= "C:\\WINDOWS\\system32\\dpvsetup.exe"= "C:\\Programme\\ICQ6\\ICQ.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= S3 ldiskl;ldiskl;C:\DOKUME~1\Gert\LOKALE~1\Temp\ldiskl.sys [] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\J] \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe ACER-831E203FC0.vbs [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{48f5546c-d985-11dc-9abd-000b6a5fc083}] \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe GUT.vbs [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{98c46de0-c475-11dc-9ab7-000b6a5fc083}] \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe FLORIAN.vbs *Newly Created Service* - CATCHME . Inhalt des "geplante Tasks" Ordners "2008-03-20 19:45:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Programme\Apple Software Update\SoftwareUpdate.exe "2008-04-25 13:05:46 C:\WINDOWS\Tasks\Norton Security Scan.job" - C:\Programme\Norton Security Scan\Nss.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-18 22:26:50 Windows 5.1.2600 Service Pack 2 NTFS detected NTDLL code modification: ZwClose Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-05-18 22:27:39 ComboFix-quarantined-files.txt 2008-05-18 20:27:35 9 Verzeichnis(se), 113,122,078,720 Bytes frei 12 Verzeichnis(se), 113,460,641,792 Bytes frei 133 --- E O F --- 2008-05-18 11:24:33[/color] Wenn mir jemand nochmals bitte den nächsten Schritt eklären könnte, das wär klasse!! ? |
|
|
||
18.05.2008, 23:50
Ehrenmitglied
Beiträge: 29434 |
#14
Hallo Stuttgert
lade das script von dieser seite - Anhang: ANTIVIR_CONSOLE.rar + anwenden http://board.protecus.de/t33255.htm --------- Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern Zitat KILLALL::Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden. cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen danach: Combofix noch einmal anwenden PC neustarten --------------------- «« scanne mit dr.web im abgesicherten Modus http://virus-protect.org/cureit.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.05.2008, 01:33
...neu hier
Beiträge: 2 |
#15
ComboFix 08-05-15.3 - Gert 2008-05-19 1:25:58.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.642 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Gert\Desktop\ComboFix.exe [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . ((((((((((((((((((((((( Dateien erstellt von 2008-04-18 bis 2008-05-18 )))))))))))))))))))))))))))))) . 2008-05-18 21:55 . 2008-05-18 21:56 <DIR> d-------- C:\Programme\CleanUp! 2008-05-18 21:19 . 2008-05-18 21:30 494 --a------ C:\WINDOWS\cncscore.ini 2008-04-25 15:02 . 2008-04-26 19:04 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared 2008-04-21 15:09 . 2008-04-21 15:09 <DIR> d-------- C:\Programme\Numark Cue . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-05-18 23:19 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-05-18 23:19 --------- d-----w C:\Dokumente und Einstellungen\Gert\Anwendungsdaten\OpenOffice.org2 2008-05-18 20:41 --------- d-----w C:\Programme\Spyware Doctor 2008-05-03 18:15 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater 2008-04-25 13:00 --------- d-----w C:\Programme\Norton Security Scan 2008-04-24 17:31 --------- d-----w C:\Programme\No23 Recorder 2008-04-19 10:19 --------- d-----w C:\Programme\Picasa2 2008-04-18 06:45 --------- d-----w C:\Programme\ICQ6 2008-04-15 17:01 --------- d-----w C:\Dokumente und Einstellungen\Gert\Anwendungsdaten\ICQ 2008-04-15 12:38 --------- d-----w C:\Programme\iTunes 2008-04-15 12:38 --------- d-----w C:\Programme\iPod 2008-04-15 12:36 --------- d-----w C:\Programme\QuickTime 2008-04-08 07:52 --------- d-----w C:\Programme\WinUAE 2008-04-06 15:12 --------- d-----w C:\Programme\Bubble Bobble Quest 2008-04-06 11:59 --------- d-----w C:\Programme\OpenOffice.org 2.4 2008-04-06 11:59 --------- d-----w C:\Programme\OpenOffice.org 2.3 2008-04-06 11:56 --------- d-----w C:\Programme\Java 2008-04-01 20:51 --------- d-----w C:\Dokumente und Einstellungen\Gert\Anwendungsdaten\Ashampoo 2008-04-01 20:50 --------- d-----w C:\Programme\Ashampoo 2008-04-01 20:50 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ashampoo 2008-03-27 11:29 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip 2008-03-26 12:41 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Office Genuine Advantage 2008-03-26 11:19 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-03-25 18:38 --------- d-----w C:\Programme\Zone Labs 2008-03-25 17:08 --------- d-----w C:\Programme\Avira 2008-03-25 17:08 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-03-25 16:59 --------- d-----w C:\Programme\Lavasoft 2008-03-25 16:59 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-03-25 16:58 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-03-25 16:57 --------- d-----w C:\Programme\Spybot - Search & Destroy 2008-03-25 16:18 --------- d-----w C:\Programme\VDMSound 2008-03-25 11:49 --------- d-----w C:\Programme\DOSBox-0.72 2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll 2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll 2008-03-21 22:05 --------- d-----w C:\Programme\Gemeinsame Dateien\Java 2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys 2008-03-19 16:29 348,160 ----a-w C:\WINDOWS\system32\msvcr71.dll 2008-03-19 16:26 499,712 ----a-w C:\WINDOWS\system32\msvcp71.dll 2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll 2008-02-21 21:51 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll 2008-02-21 02:05 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll 2008-02-21 02:05 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll 2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll 2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll 2008-02-18 16:32 98,304 ----a-w C:\WINDOWS\system32\CmdLineExt.dll . ((((((((((((((((((((((((((((( snapshot@2008-05-18_22.27.15,96 ))))))))))))))))))))))))))))))))))))))))) . - 2008-05-18 20:10:47 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-05-18 23:17:55 2,048 --s-a-w C:\WINDOWS\bootstat.dat . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360] "swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-02-15 19:32 68856] "SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 12:43 2097488] "ICQ"="C:\PROGRA~1\ICQ6\ICQ.exe" [2008-04-01 12:40 172280] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "P17Helper"="P17.dll" [2005-05-03 20:38 64512 C:\WINDOWS\system32\P17.dll] "ISTray"="C:\Programme\Spyware Doctor\pctsTray.exe" [2008-02-01 12:55 1103240] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-02-15 19:58 185632] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-19 12:17 262401] "QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-03-28 23:37 413696] "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:57 15360] C:\Dokumente und Einstellungen\Gert\Startmen\Programme\Autostart\ OpenOffice.org 2.4.lnk - C:\Programme\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 15:41:28 393216] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Google Updater.lnk - C:\Programme\Google\Google Updater\GoogleUpdater.exe [2008-02-15 19:32:18 125624] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\LucasArts\\Star Wars Empire at War\\GameData\\sweaw.exe"= "C:\\Programme\\Bonjour\\mDNSResponder.exe"= "C:\\WINDOWS\\system32\\dpvsetup.exe"= "C:\\Programme\\ICQ6\\ICQ.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= S3 ldiskl;ldiskl;C:\DOKUME~1\Gert\LOKALE~1\Temp\ldiskl.sys [] . Inhalt des "geplante Tasks" Ordners "2008-03-20 19:45:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Programme\Apple Software Update\SoftwareUpdate.exe "2008-04-25 13:05:46 C:\WINDOWS\Tasks\Norton Security Scan.job" - C:\Programme\Norton Security Scan\Nss.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-19 01:27:34 Windows 5.1.2600 Service Pack 2 NTFS detected NTDLL code modification: ZwClose Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-05-19 1:28:18 ComboFix-quarantined-files.txt 2008-05-18 23:28:15 ComboFix2.txt 2008-05-18 23:21:11 ComboFix3.txt 2008-05-18 20:43:22 ComboFix4.txt 2008-05-18 20:27:41 9 Verzeichnis(se), 113,540,354,048 Bytes frei 12 Verzeichnis(se), 113,532,469,248 Bytes frei 125 --- E O F --- 2008-05-18 11:24:33 Scheint als sei alles weg! Soll ich Windows im abgesicherten Modus haben beim Scan, oder gibts so ne Option bei Dr. Web? Ich find´s echt hammer, dass einem hier so gut und schnell geholfen wird! Ich lieb euch Leute! (Sabina) |
|
|
||
Ich habe erstmal alles durchgeführt was hier verlangt wird und dennoch kommt der Virus immer wieder, was sehr ärgerlich ist, da ich eine wichtige Uni-Arbeit schreibe!
Ich konnte kein Doppelklick mehr ausführen auf Partition C und D
Dann steht oben in der Explorer (wenn ich z.B. auf google bin) google-hacked by "und dann mein Benutzername"
Hier erstmal Highjack:
Logfile of HijackThis v1.99.1
Scan saved at 18:37:06, on 31.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Hewlett-Packard\OrderReminder\OrderReminder.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\internet explorer\iexplore.exe
C:\Dokumente und Einstellungen\schoeni\Desktop\hijackthis_199\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O4 - HKLM\..\Run: [NvMixerTray] C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [OrderReminder] C:\Programme\Hewlett-Packard\OrderReminder\OrderReminder.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SCHOENI-EA20CA7] C:\WINDOWS\SYSTEM32\SCHOENI-EA20CA7.vbs
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DW4] "C:\Programme\The Weather Channel FW\Desktop Weather\DesktopWeather.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - D:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - D:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab?nocache=20071219-1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
-------------------------------------------------
Combofix
ComboFix 08-03-30.2 - schoeni 2008-03-31 18:31:53.3 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\schoeni\Desktop\ComboFix.exe
[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Autorun.inf
D:\Autorun.inf
.
((((((((((((((((((((((( Dateien erstellt von 2008-02-28 bis 2008-03-31 ))))))))))))))))))))))))))))))
.
2008-03-26 18:43 . 2008-03-26 18:43 <DIR> d-------- C:\WINDOWS\system32\QuickTime
2008-03-26 18:43 . 2008-03-26 18:43 <DIR> d-------- C:\WINDOWS\system32\custom matrices
2008-03-26 18:43 . 2008-03-26 18:43 <DIR> d-------- C:\WINDOWS\system32\C2MP
2008-03-24 18:54 . 2008-03-24 18:54 <DIR> d-------- C:\Dokumente und Einstellungen\schoeni\Anwendungsdaten\DivX
2008-03-23 08:13 . 2008-03-31 18:10 4,308 --a------ C:\SCHOENI-EA20CA7.vbs
2008-03-22 23:56 . 2008-03-31 18:10 4,308 -rahs---- C:\WINDOWS\system32\SCHOENI-EA20CA7.vbs
2008-03-17 00:24 . 2008-03-17 00:24 <DIR> d-------- C:\Programme\Google
2008-03-15 23:54 . 2008-03-15 23:54 <DIR> d-------- C:\Dokumente und Einstellungen\schoeni\Anwendungsdaten\teamspeak2
2008-03-15 23:54 . 2008-03-15 23:54 34,064 --a------ C:\WINDOWS\system32\lhacm.acm
2008-02-27 20:50 . 2008-02-27 20:50 <DIR> d-------- C:\Dokumente und Einstellungen\schoeni\Anwendungsdaten\skypePM
2008-02-27 20:50 . 2008-02-27 20:50 32 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-02-26 18:05 . 2008-02-26 18:08 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-02-26 18:05 . 2008-02-26 18:08 1,409 --a------ C:\WINDOWS\QTFont.for
2008-02-21 04:11 . 2008-02-21 04:11 3,136 --a------ C:\WINDOWS\system32\dtu_de.qm
2008-02-21 04:03 . 2008-02-21 04:03 156,992 --a------ C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-02-16 16:00 . 2008-02-28 23:29 <DIR> d-------- C:\Dokumente und Einstellungen\schoeni\Anwendungsdaten\Skype
2008-02-16 15:59 . 2008-02-16 16:00 <DIR> d-------- C:\Programme\Skype
2008-02-16 15:59 . 2008-02-16 15:59 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2008-02-16 15:59 . 2008-02-16 16:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-02-16 15:35 . 2008-02-16 15:35 <DIR> d-------- C:\Dokumente und Einstellungen\schoeni\Anwendungsdaten\Apple Computer
2008-02-16 15:32 . 2008-02-16 15:32 <DIR> d-------- C:\Programme\Apple Software Update
2008-02-16 15:32 . 2008-02-16 15:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-02-16 15:31 . 2008-03-26 17:43 69 --a------ C:\WINDOWS\NeroDigital.ini
2008-02-13 19:35 . 2008-02-13 19:35 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ahead
2008-02-13 19:35 . 2004-07-26 18:16 1,568,768 --------- C:\WINDOWS\system32\ImagX7.dll
2008-02-13 19:35 . 2004-07-26 18:16 476,320 --------- C:\WINDOWS\system32\ImagXpr7.dll
2008-02-13 19:35 . 2004-07-26 18:16 471,040 --------- C:\WINDOWS\system32\ImagXRA7.dll
2008-02-13 19:35 . 2004-07-26 18:16 262,144 --------- C:\WINDOWS\system32\ImagXR7.dll
2008-02-13 19:35 . 2001-07-09 12:50 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe
2008-02-13 19:35 . 2004-03-02 18:37 125,184 --------- C:\WINDOWS\system32\drivers\imagesrv.sys
2008-02-13 19:35 . 2000-06-26 12:45 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll
2008-02-13 19:35 . 2004-03-02 18:37 5,504 --------- C:\WINDOWS\system32\drivers\imagedrv.sys
2008-02-13 17:52 . 2008-03-24 19:00 736 --a------ C:\WINDOWS\Irodio.INI
2008-02-13 17:51 . 2008-02-14 09:41 <DIR> d-------- C:\WINDOWS\SxsCaPendDel
2008-02-13 17:47 . 1998-07-09 20:41 217,088 --a------ C:\WINDOWS\system32\skjpeg40.dll
2008-02-13 17:47 . 1998-03-04 11:40 83,968 --a------ C:\WINDOWS\system32\Skbase40.dll
2008-02-09 22:16 . 2008-02-09 22:16 <DIR> d-------- C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-02-09 10:50 . 2008-03-21 21:16 <DIR> d-------- C:\Dokumente und Einstellungen\schoeni\Anwendungsdaten\Canon
2008-02-09 10:48 . 2008-02-09 10:48 10 -r------- C:\WINDOWS\PSTUDIO.SN
2008-02-09 10:47 . 2001-05-17 15:25 339,968 -ra------ C:\WINDOWS\system32\N067UFW.dll
2008-02-09 10:47 . 2001-08-22 21:36 323,644 -ra------ C:\WINDOWS\system32\UCS32P.DLL
2008-02-09 10:47 . 2001-08-22 21:37 114,688 -ra------ C:\WINDOWS\system32\SG62UUD.DLL
2008-02-09 10:47 . 2001-08-22 21:37 28,720 -ra------ C:\WINDOWS\system32\SG62CPL.DLL
2008-02-09 10:45 . 1995-07-31 14:44 212,480 --a------ C:\WINDOWS\PCDLIB32.DLL
2008-02-09 10:45 . 2008-03-21 21:22 1,339 --a------ C:\WINDOWS\pstudio.ini
2008-02-09 10:45 . 2008-03-21 21:22 28 --a------ C:\WINDOWS\album.ini
2008-02-09 10:45 . 1998-07-21 21:29 21 --a------ C:\WINDOWS\Ps_setup.ini
2008-02-09 10:44 . 2008-02-09 10:44 <DIR> d-------- C:\Dokumente und Einstellungen\schoeni\WINDOWS
2008-02-09 10:44 . 1998-11-17 14:44 328,704 --a------ C:\WINDOWS\IsUn0407.exe
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-24 16:53 --------- d-----w C:\Programme\DivX
2008-02-13 15:58 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-13 15:52 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2007-12-30 16:46 24,064 ----a-w C:\WINDOWS\autoload.exe
2007-12-20 07:10 499,712 ------w C:\WINDOWS\system32\msvcp71.dll
2007-12-07 02:04 824,832 ----a-w C:\WINDOWS\system32\wininet.dll
2007-12-05 01:53 356,352 ----a-w C:\WINDOWS\system32\NVUNINST.EXE
2007-12-05 00:41 356,352 ----a-w C:\WINDOWS\system32\nvudisp.exe
2007-12-05 00:41 1,089,536 ----a-w C:\WINDOWS\system32\nvcuda.dll
2007-12-04 18:40 550,912 ----a-w C:\WINDOWS\system32\oleaut32.dll
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"DW4"="C:\Programme\The Weather Channel FW\Desktop Weather\DesktopWeather.exe" [ ]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvMixerTray"="C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe" [2004-03-03 15:30 131072]
"avgnt"="D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-12-30 19:46 249896]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-07-12 14:19 7626752]
"nwiz"="nwiz.exe" [2006-07-12 14:19 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-07-12 14:19 86016]
"OrderReminder"="C:\Programme\Hewlett-Packard\OrderReminder\OrderReminder.exe" [2006-01-30 11:00 98304]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"SCHOENI-EA20CA7"="C:\WINDOWS\SYSTEM32\SCHOENI-EA20CA7.vbs" [2008-03-31 18:10 4308]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Camfrog]
--a------ 2003-09-29 08:22 36352 D:\Programme\Camfrog\Camfrog Video Chat\CamfrogNet.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Programme\\ICQLite\\ICQLite.exe"=
"D:\\steam-cs\\SteamApps\\eike-wolff@gmx.de\\counter-strike\\hl.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"D:\\Programme\\Camfrog\\Camfrog Video Chat\\Camfrog Video Chat.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
S3 STV679;NMS Video Camera (Webcam);C:\WINDOWS\system32\drivers\STV679.sys [2003-12-16 16:35]
S3 STV679m;NMS Video Camera (Webcam)m;C:\WINDOWS\system32\drivers\STV679m.sys [2003-12-16 16:35]
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-31 18:32:55
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Einträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-31 18:33:18
ComboFix-quarantined-files.txt 2008-03-31 16:33:10
ComboFix2.txt 2008-03-30 20:57:31
ComboFix3.txt 2008-03-30 19:32:20
7 Verzeichnis(se), 9,245,753,344 Bytes frei
9 Verzeichnis(se), 9,234,735,104 Bytes frei
.
2008-03-13 12:14:31 --- E O F ---
----------------------------------
datfind:
.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E4FA-F827
Verzeichnis von C:\WINDOWS\system32
31.03.2008 18:10 4.308 SCHOENI-EA20CA7.vbs
31.03.2008 13:22 2.206 wpa.dbl
31.03.2008 13:22 73.451 nvapps.xml
30.03.2008 08:03 314.508 perfh009.dat
30.03.2008 08:03 40.836 perfc009.dat
30.03.2008 08:03 49.174 perfc007.dat
30.03.2008 08:03 320.094 perfh007.dat
30.03.2008 08:03 732.342 PerfStringBackup.INI
15.03.2008 23:54 34.064 lhacm.acm
05.03.2008 18:30 19.148.408 MRT.exe
21.02.2008 04:11 3.136 dtu_de.qm
21.02.2008 04:03 156.992 DivXCodecVersionChecker.exe
11.01.2008 07:32 44.544 pngfilt.dll
06.01.2008 13:03 603 zhp1020.log
04.01.2008 12:22 188.200 FNTCACHE.DAT
03.01.2008 23:48 138.558 TZLog.log
30.12.2007 18:35 261 $winnt$.inf
30.12.2007 18:32 2.951 CONFIG.NT
30.12.2007 18:32 16.832 amcompat.tlb
30.12.2007 18:32 23.392 nscompat.tlb
30.12.2007 18:31 488 WindowsLogon.manifest
30.12.2007 18:31 488 logonui.exe.manifest
30.12.2007 18:30 749 sapi.cpl.manifest
30.12.2007 18:30 749 cdplayer.exe.manifest
30.12.2007 18:30 749 wuaucpl.cpl.manifest
30.12.2007 18:30 749 ncpa.cpl.manifest
30.12.2007 18:30 749 nwc.cpl.manifest
30.12.2007 18:28 21.740 emptyregdb.dat
30.12.2007 18:26 0 h323log.txt
20.12.2007 09:10 499.712 msvcp71.dll
20.12.2007 00:48 347.136 dxtmsft.dll
08.12.2007 07:04 3.592.192 mshtml.dll
07.12.2007 04:04 105.984 url.dll
07.12.2007 04:04 1.159.680 urlmon.dll
07.12.2007 04:04 102.912 occache.dll
07.12.2007 04:04 824.832 wininet.dll
07.12.2007 04:04 671.232 mstime.dll
07.12.2007 04:04 233.472 webcheck.dll
07.12.2007 04:04 193.024 msrating.dll
07.12.2007 04:04 478.208 mshtmled.dll
07.12.2007 04:04 27.648 jsproxy.dll
07.12.2007 04:04 1.831.424 inetcpl.cpl
07.12.2007 04:04 52.224 msfeedsbs.dll
07.12.2007 04:04 459.264 msfeeds.dll
07.12.2007 04:04 6.066.176 ieframe.dll
07.12.2007 04:04 267.776 iertutil.dll
07.12.2007 04:04 44.544 iernonce.dll
07.12.2007 04:04 384.512 iedkcs32.dll
07.12.2007 04:04 214.528 dxtrans.dll
07.12.2007 04:04 63.488 icardie.dll
07.12.2007 04:04 230.400 ieaksie.dll
07.12.2007 04:04 133.120 extmgr.dll
07.12.2007 04:04 383.488 ieapfltr.dll
07.12.2007 04:04 153.088 ieakeng.dll
07.12.2007 04:04 124.928 advpack.dll
06.12.2007 13:00 13.824 ieudinit.exe
06.12.2007 13:00 70.656 ie4uinit.exe
06.12.2007 06:59 161.792 ieakui.dll
05.12.2007 03:53 356.352 NVUNINST.EXE
05.12.2007 02:41 1.089.536 nvcuda.dll
05.12.2007 02:41 356.352 nvudisp.exe
04.12.2007 20:40 550.912 oleaut32.dll
2198 Datei(en) 482.540.445 Bytes
0 Verzeichnis(se), 9.283.977.216 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E4FA-F827
Verzeichnis von C:\DOKUME~1\schoeni\LOKALE~1\Temp
31.03.2008 18:38 107.630 datfind.txt
31.03.2008 18:37 16.384 ~DFCB26.tmp
2 Datei(en) 124.014 Bytes
0 Verzeichnis(se), 9.283.997.696 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E4FA-F827
Verzeichnis von C:\WINDOWS
31.03.2008 18:32 227 system.ini
31.03.2008 18:15 254 wiadebug.log
31.03.2008 13:22 0 0.log
31.03.2008 13:22 1.466.264 WindowsUpdate.log
31.03.2008 13:22 50 wiaservc.log
31.03.2008 13:22 2.048 bootstat.dat
31.03.2008 13:16 32.622 SchedLgU.Txt
26.03.2008 17:43 69 NeroDigital.ini
24.03.2008 19:00 736 Irodio.INI
21.03.2008 21:22 1.339 pstudio.ini
21.03.2008 21:22 28 album.ini
26.02.2008 18:08 1.409 QTFont.for
26.02.2008 18:08 54.156 QTFont.qfn
09.02.2008 10:48 10 PSTUDIO.SN
11.01.2008 10:57 573 win.ini
07.01.2008 11:02 316.640 WMSysPr9.prx
04.01.2008 23:43 0 Sti_Trace.log
03.01.2008 16:50 0 iPlayer.INI
02.01.2008 11:31 400 ODBC.INI
30.12.2007 19:10 512 randseed.rnd
30.12.2007 18:46 24.064 autoload.exe
30.12.2007 18:36 8.192 REGLOCS.OLD
30.12.2007 18:32 0 control.ini
30.12.2007 18:32 4.161 ODBCINST.INI
30.12.2007 18:30 749 WindowsShell.Manifest
30.12.2007 18:28 36 vb.ini
30.12.2007 18:28 37 vbaddin.ini
13.06.2007 15:21 1.036.288 explorer.exe
30.01.2006 11:00 143.360 apptune1020.exe
27.05.2005 01:22 10.752 hh.exe
04.08.2004 14:00 48.680 winnt256.bmp
04.08.2004 14:00 26.680 F„cher.bmp
04.08.2004 14:00 16.730 Feder.bmp
04.08.2004 14:00 80 explorer.scf
04.08.2004 14:00 153.600 regedit.exe
04.08.2004 14:00 65.954 Pr„riewind.bmp
04.08.2004 14:00 17.362 Rhododendron.bmp
04.08.2004 14:00 65.832 Santa Fe-Stuck.bmp
04.08.2004 14:00 34.818 wmprfDEU.prx
04.08.2004 14:00 65.978 Seifenblase.bmp
04.08.2004 14:00 1.014.663 SET3.tmp
04.08.2004 14:00 1.086.058 SET4.tmp
04.08.2004 14:00 26.582 Granit.bmp
04.08.2004 14:00 2 desktop.ini
04.08.2004 14:00 17.336 Angler.bmp
04.08.2004 14:00 15.872 TASKMAN.EXE
04.08.2004 14:00 94.800 twain.dll
04.08.2004 14:00 50.688 twain_32.dll
04.08.2004 14:00 49.680 twunk_16.exe
04.08.2004 14:00 25.600 twunk_32.exe
04.08.2004 14:00 70.144 NOTEPAD.EXE
04.08.2004 14:00 9.522 Zapotek.bmp
04.08.2004 14:00 18.944 vmmreg32.dll
04.08.2004 14:00 82.944 clock.avi
04.08.2004 14:00 1.272 Blaue Spitzen 16.bmp
04.08.2004 14:00 17.062 Kaffeetasse.bmp
04.08.2004 14:00 14.043 SET8.tmp
04.08.2004 14:00 1.405 msdfmap.ini
04.08.2004 14:00 257.568 winhelp.exe
04.08.2004 14:00 288.768 winhlp32.exe
04.08.2004 14:00 48.680 winnt.bmp
04.08.2004 14:00 707 _default.pif
31.08.2000 08:00 28.160 Nircmd.exe
17.11.1998 14:44 328.704 IsUn0407.exe
21.07.1998 21:29 21 Ps_setup.ini
31.07.1995 14:44 212.480 PCDLIB32.DLL
66 Datei(en) 7.362.395 Bytes
0 Verzeichnis(se), 9.283.993.600 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E4FA-F827
Verzeichnis von C:\WINDOWS\temp
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E4FA-F827
Verzeichnis von C:\WINDOWS\Downloaded Program Files
30.12.2007 18:31 65 desktop.ini
24.11.2007 22:24 2.684.432 ImageUploader4.ocx
24.11.2007 22:24 378 ImageUploader4.inf
16.05.2007 09:22 399 gp.inf
11.04.2007 15:55 1.292 erma.inf
29.03.2007 12:06 669 SysReqLab2.osd
6 Datei(en) 2.687.235 Bytes
0 Verzeichnis(se), 9.283.993.600 Bytes frei
.
ich finde da immer wieder eine vbs datei und ich habe diese auch schon gefixt und dann den Mousepoint2 Schlüssel gelöscht. Es ist dann auch für eine Zeit wieder gut doch irgendwann steht oben im Explorertitel wieder Hacked by...
Doppelclick geht allerdings wieder, seitdem ich Combofix laufen lassen habe.. Auch "Hacked by.." ist nach Combofixlauf weg. kommt aber wieder!
Vielleicht könnt ihr mir helfen..
Bin nicht besonders gut darin!
Grüße und Danke