#1
da mein usb stick scheinbar befallen war, habe ich mein laptop auch mal gescannt,wäre toll wenn wer diese scans auch mal durchschauen könnte. schon mal vielen vielen dank in voraus.
ComboFix 08-04-17.1 - pepa 2008-04-18 15:47:03.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.328 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\pepa\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt
[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] .
((((((((((((((((((((((( Dateien erstellt von 2008-03-18 bis 2008-04-18 )))))))))))))))))))))))))))))) .
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
************************************************************************** . Zeit der Fertigstellung: 2008-04-18 15:49:46 ComboFix-quarantined-files.txt 2008-04-18 13:49:40
Logfile of HijackThis v1.99.1 Scan saved at 15:59:39, on 18.04.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
schon mal vielen vielen dank in voraus.
ComboFix 08-04-17.1 - pepa 2008-04-18 15:47:03.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.328 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\pepa\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.
((((((((((((((((((((((( Dateien erstellt von 2008-03-18 bis 2008-04-18 ))))))))))))))))))))))))))))))
.
2008-04-18 15:43 . 2008-04-18 15:43 <DIR> d-------- C:\Programme\CCleaner
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2006-06-21 19:14 35328]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-09-13 12:39 249896]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:57 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
*Newly Created Service* - CATCHME
.
**************************************************************************
catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-18 15:48:19
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Einträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-18 15:49:46
ComboFix-quarantined-files.txt 2008-04-18 13:49:40
9 Verzeichnis(se), 22,729,621,504 Bytes frei
12 Verzeichnis(se), 22,722,953,216 Bytes frei
--------------------------------------------------------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 15:59:39, on 18.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\hijackthis\hjt.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
-----------------------------------------------------------------------------------------------------
scan mit bitdefender onlinescan sagt
Scanned File
Status
C:\Dokumente und Einstellungen\pepa\Desktop\ComboFix.exe=>(RAR Sfx o)=>327882R2FWJFW\NirCmdC.cfexe
Detected with: Spyware.Tool.Nircmd.A
C:\Dokumente und Einstellungen\pepa\Desktop\ComboFix.exe=>(RAR Sfx o)=>327882R2FWJFW\NirCmdC.cfexe
Deleted
C:\Dokumente und Einstellungen\pepa\Desktop\ComboFix.exe=>(RAR Sfx o)
Update failed
C:\Dokumente und Einstellungen\pepa\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\r7tv8ftq.default\Cache\C2152591d01=>(RAR Sfx o)=>327882R2FWJFW\NirCmdC.cfexe
Detected with: Spyware.Tool.Nircmd.A
C:\Dokumente und Einstellungen\pepa\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\r7tv8ftq.default\Cache\C2152591d01=>(RAR Sfx o)=>327882R2FWJFW\NirCmdC.cfexe
Deleted
C:\Dokumente und Einstellungen\pepa\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\r7tv8ftq.default\Cache\C2152591d01=>(RAR Sfx o)
Update failed
-----------------------------------------------------------------------------------------------
und nochwas vergessen das datfind-bat log
.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E80D-0541
Verzeichnis von C:\WINDOWS\system32
18.04.2008 00:43 311.938 perfh009.dat
18.04.2008 00:43 40.326 perfc009.dat
18.04.2008 00:43 48.552 perfc007.dat
18.04.2008 00:43 317.168 perfh007.dat
18.04.2008 00:43 723.744 PerfStringBackup.INI
18.04.2008 00:41 2.206 wpa.dbl
18.04.2008 16:49 92.254 datfind.txt
1 Datei(en) 92.254 Bytes
0 Verzeichnis(se), 22.910.115.840 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E80D-0541
Verzeichnis von C:\WINDOWS
18.04.2008 16:03 8.278 setupapi.log
18.04.2008 15:58 487 SETTINGS.INI
18.04.2008 15:48 227 system.ini
18.04.2008 15:46 409.852 WindowsUpdate.log
18.04.2008 15:40 2.048 bootstat.dat
18.04.2008 01:19 32.586 SchedLgU.Txt
09.01.2008 15:01 53.248 bdoscandel.exe
09.01.2008 15:01 453 bdoscandellang.ini
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E80D-0541
Verzeichnis von C:\WINDOWS\Downloaded Program Files
26.02.2008 15:59 487.424 oscan82.ocx
26.02.2008 15:42 7.724 lang.ini
07.02.2008 14:06 1.248 oscan8.inf
21.01.2008 17:43 130 live.ini
09.01.2008 15:01 32 libfn.dll
09.01.2008 15:01 53.248 ipsupd.dll
09.01.2008 15:01 118.784 bdupd.dll
09.01.2008 15:01 32 bdcore.dll
09.01.2008 15:01 6.828 scanoptions.tsi