fieser vundo ... mit logs! |
||
---|---|---|
#0
| ||
24.04.2008, 10:43
...neu hier
Beiträge: 7 |
||
|
||
24.04.2008, 10:59
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo,
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern Zitat KILLALL::Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden. cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen danach: Combofix noch einmal anwenden PC neustarten --------- poste ein neus Log von Combofix, bitte __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
24.04.2008, 11:21
...neu hier
Themenstarter Beiträge: 7 |
#3
jo vielen dank für die schnelle und kompetente hilfe würd dir ja direkt nen bier ausgeben
ComboFix 08-04-22.5 - moe 2008-04-24 11:06:43.3 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.683 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\moe\Desktop\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\moe\Desktop\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] FILE :: C:\WINDOWS\olgdqarf.exe C:\WINDOWS\system32\ac6adcc2 C:\WINDOWS\system32\nnnnMgeC.dll C:\WINDOWS\system32\qoMgfDtU.dll C:\WINDOWS\wxvgsdbq.exe . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\olgdqarf.exe C:\WINDOWS\system32\ac6adcc2 C:\WINDOWS\system32\nnnnMgeC.dll C:\WINDOWS\wxvgsdbq.exe . ((((((((((((((((((((((( Dateien erstellt von 2008-03-24 bis 2008-04-24 )))))))))))))))))))))))))))))) . 2008-04-24 10:01 . 2008-04-24 10:01 <DIR> d-------- C:\Programme\CleanUp! 2008-04-24 02:48 . 2008-04-24 10:05 <DIR> d-------- C:\Programme\Enigma Software Group 2008-04-24 00:23 . 2008-04-24 00:23 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien 2008-04-22 11:32 . 2008-04-22 11:32 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien 2008-04-22 11:31 . 2008-04-22 11:31 0 --a------ C:\WINDOWS\nsreg.dat 2008-04-22 11:30 . 2008-04-22 11:39 4,620 --a------ C:\WINDOWS\system32\tmp.reg 2008-04-22 11:28 . 2007-04-04 15:17 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2008-04-22 11:28 . 2007-04-04 16:04 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen 2008-04-22 11:28 . 2007-04-04 16:04 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2008-04-22 11:28 . 2008-04-24 10:39 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2008-04-22 11:28 . 2007-04-04 16:04 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten 2008-04-22 11:28 . 2007-04-04 16:04 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung 2008-04-22 11:28 . 2008-04-22 11:28 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Intel 2008-04-22 11:28 . 2008-04-22 11:28 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2008-04-22 11:28 . 2008-04-22 11:32 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator 2008-04-22 11:28 . 2008-04-24 11:06 1,024 --ah----- C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG 2008-04-22 11:23 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-04-22 11:23 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-04-22 11:23 . 2008-04-14 19:28 86,528 --a------ C:\WINDOWS\system32\VACFix.exe 2008-04-22 11:23 . 2008-04-21 10:01 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-04-22 11:23 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-04-22 11:23 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-04-22 11:23 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2008-04-21 23:08 . 2008-04-21 23:08 <DIR> d-------- C:\Dokumente und Einstellungen\moe\Anwendungsdaten\TmpRecentIcons 2008-04-21 21:48 . 2008-04-21 21:48 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Deterministic Networks 2008-04-21 21:48 . 2008-04-21 21:48 <DIR> d-------- C:\Programme\Cisco Systems 2008-04-21 21:47 . 2008-04-21 21:48 1,594 --a------ C:\WINDOWS\VPNInstall.MIF 2008-04-21 21:23 . 2008-04-21 21:23 94,208 --a------ C:\WINDOWS\DIIUnin.exe 2008-04-21 21:23 . 2008-04-21 21:23 18,258 --a------ C:\WINDOWS\DIIUnin.dat 2008-04-21 21:23 . 2008-04-21 21:23 2,829 --a------ C:\WINDOWS\DIIUnin.pif 2008-03-30 20:28 . 2008-03-30 20:28 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RoboForm 2008-03-25 13:22 . 2008-03-25 13:22 <DIR> d-------- C:\Dokumente und Einstellungen\moe\Anwendungsdaten\Yahoo! 2008-03-25 13:22 . 2008-03-25 13:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo! Companion 2008-03-25 13:19 . 2008-03-25 13:20 <DIR> d-------- C:\Programme\Yahoo! 3 Datei(en) . 525,502 C:\ComboFix\Bytes 1 Datei(en) . 62 C:\ComboFix\Bytes . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-04-24 09:11 --------- d-----w C:\Dokumente und Einstellungen\moe\Anwendungsdaten\Skype 2008-04-24 00:33 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared 2008-04-23 16:00 --------- d-----w C:\Programme\Norton Security Scan 2008-04-22 08:57 --------- d-----w C:\Programme\BELKIN USB Wireless Monitor 2008-04-21 19:40 21,840 ----atw C:\WINDOWS\system32\SIntfNT.dll 2008-04-21 19:40 17,212 ----atw C:\WINDOWS\system32\SIntf32.dll 2008-04-21 19:40 12,067 ----atw C:\WINDOWS\system32\SIntf16.dll 2008-04-15 20:52 --------- d-----w C:\Dokumente und Einstellungen\moe\Anwendungsdaten\teamspeak2 2008-04-11 14:21 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-03-30 18:27 --------- d-----w C:\Programme\Siber Systems 2008-03-25 18:15 --------- d-----w C:\Dokumente und Einstellungen\moe\Anwendungsdaten\dvdcss 2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys 2008-03-19 12:36 --------- d-----w C:\Programme\Gemeinsame Dateien\DVDVideoSoft 2008-03-14 12:32 181,655 ----a-w C:\WINDOWS\system32\msvcr71.zip 2008-03-14 11:47 21,275 ----a-w C:\WINDOWS\system32\drivers\AegisP.sys 2008-03-13 14:23 --------- d-----w C:\Programme\OXXOGames 2008-03-13 13:38 --------- d-----w C:\Programme\Windows Live 2008-03-13 10:00 --------- d-----w C:\Dokumente und Einstellungen\moe\Anwendungsdaten\OpenOffice.org2 2008-03-10 19:14 --------- d-----w C:\Dokumente und Einstellungen\moe\Anwendungsdaten\xpce 2008-03-10 08:22 --------- d-----w C:\Dokumente und Einstellungen\moe\Anwendungsdaten\SWI-Prolog 2008-03-07 19:39 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\X10 Settings 2008-03-07 06:58 --------- d-----w C:\Programme\Java 2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll 2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll 2008-02-16 08:59 665,088 ----a-w C:\WINDOWS\system32\wininet.dll . ((((((((((((((((((((((((((((( snapshot@2008-04-24_10.39.02,76 ))))))))))))))))))))))))))))))))))))))))) . - 2008-04-24 01:33:32 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-04-24 09:09:15 2,048 --s-a-w C:\WINDOWS\bootstat.dat . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "VoipDiscount"="C:\Programme\VoipDiscount.com\VoipDiscount\VoipDiscount.exe" [ ] "MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208] "Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-07-02 17:10 23237416] "DAEMON Tools"="D:\Programme\Zubehör\DAEMON Tools\daemon.exe" [ ] "RoboForm"="D:\Programme\Zubehör\Robo\RoboTaskBarIcon.exe" [ ] "Veoh"="D:\Programme\Video\Veoh Networks\Veoh\VeohClient.exe" [2008-04-01 18:35 3587120] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RTHDCPL"="RTHDCPL.EXE" [2005-09-22 14:36 14854144 C:\WINDOWS\RTHDCPL.exe] "AGRSMMSG"="AGRSMMSG.exe" [2005-08-24 17:24 88203 C:\WINDOWS\AGRSMMSG.exe] "IntelZeroConfig"="C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-10-03 22:59 401408] "IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-10-03 22:59 385024] "EOUApp"="C:\Programme\Intel\Wireless\Bin\EOUWiz.exe" [2005-10-03 23:03 356352] "LaunchAp"="C:\Programme\Launch Manager\LaunchAp.exe" [2005-07-25 13:36 32768] "HotkeyApp"="C:\Programme\Launch Manager\HotkeyApp.exe" [2005-11-30 11:47 61440] "CtrlVol"="C:\Programme\Launch Manager\CtrlVol.exe" [2003-09-16 14:28 20480] "LMgrOSD"="C:\Programme\Launch Manager\OSD.exe" [2005-03-16 13:52 204800] "Wbutton"="C:\Programme\Launch Manager\Wbutton.exe" [2005-11-08 10:19 81920] "SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-11-10 19:04 761945] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-11-22 00:51 7335936] "nwiz"="nwiz.exe" [2005-11-22 00:51 1519616 C:\WINDOWS\system32\nwiz.exe] "openvpn-gui"="D:\Programme\Internet\OpenVPN\bin\openvpn-gui.exe" [2005-04-21 11:46 98816] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648] "WinampAgent"="D:\Programme\Zubehör\Winamp\winampa.exe" [ ] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-24 00:38 262401] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-08-25 19:30 185632] "QuickTime Task"="D:\Programme\Video\qttask.exe" [2007-06-29 06:24 286720] "OmniPass"="D:\Programme\Zubehör\OmniPass\scureapp.exe" [ ] "RemoteControl"="D:\Programme\Zubehör\Home Cinema\PowerDVD\PDVDServ.exe" [ ] "PCMService"="D:\Programme\Zubehör\Home Cinema\PowerCinema\PCMService.exe" [ ] "Adobe Reader Speed Launcher"="D:\Programme\Zubehör\Reader 8.0\Reader\Reader_sl.exe" [ ] "Getca"="C:\Programme\BELKIN USB Wireless Monitor\InfoMyCa.exe" [ ] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless] C:\Programme\Intel\Wireless\Bin\LgNotify.dll 2005-10-03 22:59 110592 C:\Programme\Intel\Wireless\Bin\LgNotify.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OPXPGina] D:\Programme\Zubehör\OmniPass\opxpgina.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam] --a------ 2007-12-03 17:20 1266936 D:\Programme\Spiele\Steam\Steam.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "D:\\Programme\\Video\\VLC\\vlc.exe"= "D:\\Programme\\Spiele\\Steam\\steamapps\\kaiderhai\\counter-strike\\hl.exe"= "D:\\Programme\\Internet\\QIP\\qip.exe"= "D:\\Programme\\Spiele\\Stronghold2\\Stronghold2.exe"= "D:\\Programme\\Spiele\\Soldat\\Soldat.exe"= "C:\\Programme\\Messenger\\msmsgs.exe"= "D:\\Programme\\Internet\\[G]Script48\\mircG4.8.exe"= "D:\\Programme\\Spiele\\Dreamlords\\dreamlords.exe"= "D:\\Programme\\Spiele\\Steam\\Steam.exe"= "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "D:\\Programme\\Internet\\Mozilla Firefox\\firefox.exe"= "C:\\Programme\\Octoshape Streaming Services\\moe\\OctoshapeClient.exe"= "C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\NexonUS\\NGM\\NGM.exe"= "C:\\Programme\\Internet Explorer\\IEXPLORE.EXE"= "D:\\Programme\\Spiele\\Steam\\steamapps\\rogga580\\counter-strike\\hl.exe"= "D:\\Programme\\Spiele\\Steam\\steamapps\\richard1984\\counter-strike\\hl.exe"= "D:\\Programme\\Spiele\\HLSW\\hlsw.exe"= "D:\\Programme\\Internet\\QIP Infium\\infium.exe"= "D:\\progra\\eclipse\\eclipse\\eclipse.exe"= "D:\\Programme\\Video\\Veoh Networks\\Veoh\\VeohClient.exe"= "D:\\Programme\\Spiele\\Diablo II\\Game.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "4444:TCP"= 4444:TCP:Netzmonitor fürs Klassenzimmer R1 Hotkey;Hotkey;C:\WINDOWS\system32\drivers\Hotkey.sys [2003-04-28 11:27] R1 hwinterface;hwinterface;C:\WINDOWS\system32\Drivers\hwinterface.sys [2008-02-21 21:44] R2 Belkin 54Mbps Wireless USB;Belkin 54Mbps Wireless USB Network Service;C:\Programme\BELKIN USB Wireless Monitor\WLService.exe [2003-06-09 12:24] R2 NetObjectiveSvc;Net Objective;D:\Programme\Netzwerk\NetObjective\NetObjectiveSvc.exe [2006-04-19 10:41] R3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2005-12-06 12:16] R3 tap0801;TAP-Win32 Adapter V8;C:\WINDOWS\system32\DRIVERS\tap0801.sys [2004-06-24 03:54] S1 Wbutton;Wbutton;C:\WINDOWS\system32\drivers\Wbutton.sys [] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f43d6b5b-b08f-11dc-832b-005056c00008}] \Shell\AutoRun\command - H:\setupSNK.exe . Inhalt des "geplante Tasks" Ordners "2008-04-22 07:45:45 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Programme\Apple Software Update\SoftwareUpdate.exe "2008-04-23 22:30:24 C:\WINDOWS\Tasks\Norton Security Scan.job" - C:\Programme\Norton Security Scan\Nss.exe . ************************************************************************** catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-04-24 11:10:36 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 3 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\system32\winlogon.exe -> D:\Programme\Zubehör\OmniPass\opxpgina.dll . ------------------------ Other Running Processes ------------------------ . C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\BELKIN USB Wireless Monitor\WLanCfgG.exe D:\Programme\Zubehör\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe D:\Programme\Zubehör\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe C:\WINDOWS\system32\nvsvc32.exe D:\Programme\Zubehör\OmniPass\OmniServ.exe C:\Programme\Intel\Wireless\Bin\OProtSvc.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\Common Files\X10\Common\X10nets.exe D:\Programme\Zubehör\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe D:\Programme\Zubehör\OmniPass\OPXPApp.exe C:\Programme\Intel\Wireless\Bin\1XConfig.exe C:\Programme\Skype\Plugin Manager\skypePM.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-04-24 11:15:22 - machine was rebooted ComboFix-quarantined-files.txt 2008-04-24 09:15:18 ComboFix2.txt 2008-04-24 08:39:48 ComboFix3.txt 2008-04-24 06:40:33 7 Verzeichnis(se), 7,725,604,864 Bytes frei 8 Verzeichnis(se), 7,713,275,904 Bytes frei 227 --- E O F --- 2008-04-12 01:06:11 Dieser Beitrag wurde am 24.04.2008 um 13:29 Uhr von mRmOe editiert.
|
|
|
||
24.04.2008, 13:29
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo,
es müsste wieder alles o.k. sein « Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" + scanne noch mit Malwarebytes + lasse alles löschen, was noch gefunden wird http://virus-protect.org/artikel/tools/malwarebytes.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.04.2008, 13:06
...neu hier
Themenstarter Beiträge: 7 |
#5
hmmmm ... habe alles nochmal scannen lassen, und es wurde nix gefunden .... dafür hat sich grade aber der vundo wieder gemeldet :/ was soll ich machen?
|
|
|
||
25.04.2008, 13:14
Ehrenmitglied
Beiträge: 6028 |
#6
Systemwiederherstellung
http://www.virus-protect.org/systemwiederherstellung.html Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. - dann wieder aktivieren __________ MfG Argus |
|
|
||
25.04.2008, 13:21
...neu hier
Themenstarter Beiträge: 7 |
#7
hab ich gemacht ... muss ich jetzt noch mal combofix oder so laufen lassen oder ist der virus nu weg?
|
|
|
||
25.04.2008, 13:28
Ehrenmitglied
Beiträge: 29434 |
#8
1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit "Speichern unter" auf dem Desktop. Gebe bei Dateityp "Alle Dateien" an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\2. wende windowsscan an + poste den report http://virus-protect.org/artikel/tools/windowsscan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.04.2008, 13:43
...neu hier
Themenstarter Beiträge: 7 |
#9
1.
Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: AC6A-CEE3 Verzeichnis von C:\Dokumente und Einstellungen\moe\Anwendungsdaten\TmpRecentIcons 21.04.2008 23:08 <DIR> . 21.04.2008 23:08 <DIR> .. 21.04.2008 21:23 731 Diablo II.lnk 16.03.2008 16:09 651 Dreamlords.lnk 25.03.2008 13:19 641 FLV Player.lnk 15.11.2007 23:17 829 gitar tabs.lnk 15.01.2008 19:25 595 HLSW.lnk 08.04.2008 06:40 834 Launch VeohTV.lnk 11.02.2008 19:35 663 QIP 2005.lnk 11.02.2008 19:37 649 QIP Infium.lnk 21.07.2007 03:48 357 Serien.lnk 17.05.2007 21:28 671 VentriloMIX.lnk 13.06.2007 14:07 677 Verknpfung mit firefox.exe.lnk 11 Datei(en) 7.298 Bytes 2 Verzeichnis(se), 7.702.790.144 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: AC6A-CEE3 Verzeichnis von C:\Dokumente und Einstellungen\moe\Anwendungsdaten\TmpRecentIcons 21.04.2008 23:08 <DIR> . 21.04.2008 23:08 <DIR> .. 21.04.2008 21:23 731 Diablo II.lnk 16.03.2008 16:09 651 Dreamlords.lnk 25.03.2008 13:19 641 FLV Player.lnk 15.11.2007 23:17 829 gitar tabs.lnk 15.01.2008 19:25 595 HLSW.lnk 08.04.2008 06:40 834 Launch VeohTV.lnk 11.02.2008 19:35 663 QIP 2005.lnk 11.02.2008 19:37 649 QIP Infium.lnk 21.07.2007 03:48 357 Serien.lnk 17.05.2007 21:28 671 VentriloMIX.lnk 13.06.2007 14:07 677 Verknpfung mit firefox.exe.lnk 11 Datei(en) 7.298 Bytes 2 Verzeichnis(se), 7.702.560.768 Bytes frei 2. Die 30 neuesten Dateien im Ordner Windows: ***** ***** ***** ***** ***** ***** Scanning C:\WINDOWS ***** ***** ***** ***** ***** ***** 25.04.2008 NeroDigital.ini 06 18:116 24.04.2008 WindowsUpdate.log 23 57:1.835.231 24.04.2008 system.ini 11 10:261 24.04.2008 0.log 11 09:0 24.04.2008 bootstat.dat 11 09:2.048 24.04.2008 SchedLgU.Txt 11 08:32.584 22.04.2008 nsreg.dat 11 31:0 21.04.2008 VPNInstall.MIF 21 48:1.594 21.04.2008 DIIUnin.dat 21 23:18.258 21.04.2008 DIIUnin.pif 21 23:2.829 21.04.2008 DIIUnin.exe 21 23:94.208 13.03.2008 SIERRA.INI 15 32:25 03.01.2008 magix.ini 14 04:24 19.10.2007 WMSysPr9.prx 19 53:316.640 19.10.2007 winamp.ini 19 51:95 10.09.2007 EngineExe.INI 19 35:0 10.09.2007 PanelExe.INI 19 34:0 10.09.2007 MessageExe.INI 19 34:0 10.09.2007 FileMgrExe.INI 19 30:0 25.08.2007 cdplayer.ini 19 32:25 25.08.2007 mozver.dat 19 31:846 12.08.2007 setupapi.log.0.old 01 33:1.238.862 21.06.2007 win.ini 00 06:553 13.06.2007 explorer.exe 15 21:1.036.288 06.06.2007 hash.dat 20 53:32 05.04.2007 CD_Start.INI 11 27:32 04.04.2007 REGLOCS.OLD 15 24:8.192 Die 50 neuesten Dateien im Ordner Windows\system32: ***** ***** ***** ***** ***** ***** Scanning C:\WINDOWS\system32 ***** ***** ***** ***** ***** ***** 24.04.2008 nvapps.xml 11 10:41.156 24.04.2008 wpa.dbl 11 09:2.206 23.04.2008 clkcnt.txt 11 48:0 22.04.2008 tmp.txt 11 39:0 22.04.2008 tmp.reg 11 39:4.620 21.04.2008 SIntf32.dll 21 40:17.212 21.04.2008 SIntfNT.dll 21 40:21.840 21.04.2008 SIntf16.dll 21 40:12.067 21.04.2008 IEDFix.exe 10 01:82.432 14.04.2008 VACFix.exe 19 28:86.528 12.04.2008 perfh009.dat 03 05:397.894 12.04.2008 perfc007.dat 03 05:72.886 12.04.2008 perfh007.dat 03 05:411.840 12.04.2008 perfc009.dat 03 05:60.114 12.04.2008 PerfStringBackup.INI 03 05:907.998 10.04.2008 FNTCACHE.DAT 16 24:101.440 06.04.2008 MRT.exe 07 56:19.836.024 20.03.2008 win32k.sys 10 03:1.845.376 14.03.2008 msvcr71.zip 14 32:181.655 14.03.2008 results.txt 13 47:472 07.03.2008 jupdate-1.6.0_05-b13.log 08 58:6.641 22.02.2008 javaws.exe 03 33:139.264 22.02.2008 javacpl.cpl 03 33:69.632 22.02.2008 javaw.exe 02 23:135.168 22.02.2008 java.exe 02 23:135.168 20.02.2008 gdi32.dll 08 50:282.624 20.02.2008 dnsapi.dll 07 33:148.992 20.02.2008 dnsrslvr.dll 07 33:45.568 17.02.2008 mshtml.dll 00 29:3.080.704 16.02.2008 shlwapi.dll 10 59:474.624 16.02.2008 shdocvw.dll 10 59:1.494.528 16.02.2008 urlmon.dll 10 59:617.984 16.02.2008 wininet.dll 10 59:665.088 16.02.2008 mshtmled.dll 10 59:449.024 16.02.2008 pngfilt.dll 10 59:39.424 16.02.2008 msrating.dll 10 59:146.432 16.02.2008 mstime.dll 10 59:532.480 16.02.2008 jsproxy.dll 10 59:16.384 16.02.2008 extmgr.dll 10 59:55.808 16.02.2008 iepeers.dll 10 59:251.392 16.02.2008 dxtmsft.dll 10 59:357.888 16.02.2008 dxtrans.dll 10 59:205.312 16.02.2008 inseng.dll 10 59:96.768 16.02.2008 cdfview.dll 10 59:152.064 16.02.2008 danim.dll 10 59:1.056.256 16.02.2008 browseui.dll 10 59:1.023.488 16.02.2008 xpsp3res.dll 01 03:374.272 ***** ***** ***** ***** ***** ***** Scanning C:\WINDOWS\system32\drivers\etc\hosts ***** ***** ***** ***** ***** ***** 127.0.0.1 localhost ***** ***** ***** ***** ***** ***** Scanning Processe ***** ***** ***** ***** ***** ***** Microsoft Windows XP [Version 5.1.2600] http://www.paules-pc-forum.de ***** Malware Team ***** ***** Ende des Scans 25.04.2008 um 13:41:17,71 *** |
|
|
||
25.04.2008, 14:05
Ehrenmitglied
Beiträge: 29434 |
#10
Hallo,
Lösche: C:\WINDOWS\system32\clkcnt.txt vorher klicke auf die txt-Datei mit Rechtsklick - Mit Texteditor öffnen - poste mir, was da steht « dann wende noch mal Cleaner an http://www.ccleaner.de/?protecus.de « dann mache einen Onlinescan mit Bitdefender + berichte http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.04.2008, 18:43
...neu hier
Themenstarter Beiträge: 7 |
#11
so .... ich habs geschafft nahezu alles falsch zu machen. datei hab ich gelöscht ohne anzugucken, dann hab ich CCleaner durchlaufen lassen. danach wollte ich den bitdefender anschmeißen, ging aber nicht ... hab mir gedacht, ok, dann zieh ich einfach das prog und lass es so scannen. nach der install wurd allerdigs der pc neugestartet und somit ab ich keinen bericht vom CCleaner. dann hab ich mir den neuen inetexplorer gezogen und den online check gemacht. das kam raus.
allerdings ist vundo wieder da und stresst ohne ende. zusätzlich jetzt auch noch reboot.exe und restart.exe, die auch als virus erkannt werden :/ BitDefender Online Scanner - Real Time Virus Report Scanned Files 332227 Infected Files 1 Virus Detected Spyware.Tool.Nircmd.B 1 This summary of the scan process will be used by the BitDefender Antivirus Lab to create agregate statistics about virus activity around the world. die einzige datei die er gefunden und gelöscht hat war übrigens der combofix ... |
|
|
||
25.04.2008, 21:40
Ehrenmitglied
Beiträge: 29434 |
#12
nun
alles wieder im grünen Bereich. Wenn es noch Probleme gibt, melde dich __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.04.2008, 10:00
...neu hier
Themenstarter Beiträge: 7 |
#13
nene, nix ist im grünen bereich
die datei A0038385.exe enthält erkennungsmuster des SPR/Tool.Reboot.C-Programmes ... vundo ist auch wieder da mit den gleichen dlls. und antivir meldet das reboot.exe und restart.exe irgendwie versäucht sind. 'C:\QooBox\Quarantine\C\WINDOWS\system32\nnnnMgeC.dll.vir' wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.GJ' [trojan] C:\Dokumente und Einstellungen\moe\Desktop\SmitfraudFix\Reboot.exe' wurde ein Virus oder unerwünschtes Programm 'SPR/Tool.Reboot.C' 'C:\Dokumente und Einstellungen\moe\Desktop\SmitfraudFix\restart.exe' wurde ein Virus oder unerwünschtes Programm 'SPR/Tool.Hardoff.A' 'D:\System Volume Information\_restore{B4F68C5D-F67F-4A8F-AB2E-352A42168140}\RP361\A0038386.exe' wurde ein Virus oder unerwünschtes Programm 'SPR/Tool.Hardoff.A' was davon jetzt viren sind darfst du mir erklären ich habe wie oben im forum mein antivir eingestellt, vllt liegt es daran das er jetzt diese ganzen sachen findet. |
|
|
||
26.04.2008, 10:11
Ehrenmitglied
Beiträge: 29434 |
#14
Hallo,
«« das solltest du ausführen, hatte ich schon geschrieben: damit die Quarantäne rauskommt Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" oder lösche selbst: C:\QooBox\Quarantine « smitfraudfix ist keine Bedrohung: SPR/Tool, du kannst es löschen. «« http://virus-protect.org/systemwiederherstellung.html Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. dann das Häkchen wieder rausnehmen.(also wieder aktivieren) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
hijack
Logfile of HijackThis v1.99.1
Scan saved at 10:30:30, on 24.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\BELKIN USB Wireless Monitor\WLService.exe
C:\Programme\BELKIN USB Wireless Monitor\WLanCfgG.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
D:\Programme\Netzwerk\NetObjective\NetObjectiveSvc.exe
C:\WINDOWS\system32\nvsvc32.exe
D:\Programme\Zubehör\OmniPass\Omniserv.exe
C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
D:\Programme\Zubehör\OmniPass\OPXPApp.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
C:\WINDOWS\explorer.exe
D:\Programme\Internet\QIP Infium\infium.exe
D:\Programme\Internet\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\moe\LOKALE~1\Temp\Rar$EX00.578\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2E9D4C81-9F27-4c14-B804-7B0F6BC88A4F} - C:\Programme\Outerinfo\Outerinfo.dll (file missing)
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - D:\Programme\Zubehör\Robo\roboform.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {F50B3F5E-856E-4757-9BB1-B35D46CA7719} - C:\WINDOWS\system32\nnnnMgeC.dll
O2 - BHO: (no name) - {FF95BDE4-453F-4011-8261-879324EB36A0} - C:\WINDOWS\system32\qoMgfDtU.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - D:\Programme\Zubehör\Robo\roboform.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - D:\Programme\Video\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [IntelZeroConfig] C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
O4 - HKLM\..\Run: [LaunchAp] "C:\Programme\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [HotkeyApp] "C:\Programme\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [CtrlVol] "C:\Programme\Launch Manager\CtrlVol.exe"
O4 - HKLM\..\Run: [LMgrOSD] "C:\Programme\Launch Manager\OSD.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [openvpn-gui] D:\Programme\Internet\OpenVPN\bin\openvpn-gui.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Zubehör\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\Video\qttask.exe" -atboottime
O4 - HKLM\..\Run: [OmniPass] D:\Programme\Zubehör\OmniPass\scureapp.exe
O4 - HKLM\..\Run: [RemoteControl] "D:\Programme\Zubehör\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PCMService] "D:\Programme\Zubehör\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Zubehör\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Getca] C:\Programme\BELKIN USB Wireless Monitor\InfoMyCa.exe
O4 - HKCU\..\Run: [VoipDiscount] "C:\Programme\VoipDiscount.com\VoipDiscount\VoipDiscount.exe" -nosplash -minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [DAEMON Tools] "D:\Programme\Zubehör\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [RoboForm] "D:\Programme\Zubehör\Robo\RoboTaskBarIcon.exe"
O4 - HKCU\..\Run: [Veoh] "D:\Programme\Video\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: RF - Formular ausfüllen - file://D:\Programme\Zubeh%F6r\Robo\RoboFormComFillForms.html
O8 - Extra context menu item: RF - Formular speichern - file://D:\Programme\Zubeh%F6r\Robo\RoboFormComSavePass.html
O8 - Extra context menu item: RF - Menü anpassen - file://D:\Programme\Zubeh%F6r\Robo\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - RoboForm-Leiste ein/aus - file://D:\Programme\Zubeh%F6r\Robo\RoboFormComShowToolbar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://D:\Programme\Zubeh%F6r\Robo\RoboFormComFillForms.html (file missing)
O9 - Extra 'Tools' menuitem: RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://D:\Programme\Zubeh%F6r\Robo\RoboFormComFillForms.html (file missing)
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://D:\Programme\Zubeh%F6r\Robo\RoboFormComSavePass.html (file missing)
O9 - Extra 'Tools' menuitem: RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://D:\Programme\Zubeh%F6r\Robo\RoboFormComSavePass.html (file missing)
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://D:\Programme\Zubeh%F6r\Robo\RoboFormComShowToolbar.html (file missing)
O9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://D:\Programme\Zubeh%F6r\Robo\RoboFormComShowToolbar.html (file missing)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\Spiele\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\Spiele\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - D:\Programme\Spiele\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: IntelWireless - C:\Programme\Intel\Wireless\Bin\LgNotify.dll
O20 - Winlogon Notify: nnnnMgeC - C:\WINDOWS\SYSTEM32\nnnnMgeC.dll
O20 - Winlogon Notify: OPXPGina - D:\Programme\Zubehör\OmniPass\opxpgina.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Belkin 54Mbps Wireless USB Network Service (Belkin 54Mbps Wireless USB) - Unknown owner - C:\Programme\BELKIN USB Wireless Monitor\WLService.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - D:\Programme\Zubehör\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - D:\Programme\Zubehör\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - D:\Programme\Zubehör\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Net Objective (NetObjectiveSvc) - Unknown owner - D:\Programme\Netzwerk\NetObjective\NetObjectiveSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Softex OmniPass Service (omniserv) - Softex Inc. - D:\Programme\Zubehör\OmniPass\Omniserv.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - D:\Programme\Internet\OpenVPN\bin\openvpnserv.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
combofix
ComboFix 08-04-22.5 - moe 2008-04-24 10:37:31.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.653 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\moe\Desktop\ComboFix.exe
[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.
((((((((((((((((((((((( Dateien erstellt von 2008-03-24 bis 2008-04-24 ))))))))))))))))))))))))))))))
.
2008-04-24 10:01 . 2008-04-24 10:01 <DIR> d-------- C:\Programme\CleanUp!
2008-04-24 02:48 . 2008-04-24 10:05 <DIR> d-------- C:\Programme\Enigma Software Group
2008-04-24 02:36 . 2008-04-24 02:36 15 --a------ C:\WINDOWS\system32\ac6adcc2
2008-04-24 00:23 . 2008-04-24 00:23 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-04-22 11:32 . 2008-04-22 11:32 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-04-22 11:31 . 2008-04-22 11:31 0 --a------ C:\WINDOWS\nsreg.dat
2008-04-22 11:30 . 2008-04-22 11:39 4,620 --a------ C:\WINDOWS\system32\tmp.reg
2008-04-22 11:28 . 2007-04-04 15:17 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-04-22 11:28 . 2007-04-04 16:04 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-04-22 11:28 . 2007-04-04 16:04 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-04-22 11:28 . 2008-04-24 10:38 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-04-22 11:28 . 2007-04-04 16:04 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-04-22 11:28 . 2007-04-04 16:04 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-04-22 11:28 . 2008-04-22 11:28 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Intel
2008-04-22 11:28 . 2008-04-22 11:28 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-04-22 11:28 . 2008-04-22 11:32 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-04-22 11:28 . 2008-04-24 10:37 1,024 --ah----- C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG
2008-04-22 11:23 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-04-22 11:23 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-04-22 11:23 . 2008-04-14 19:28 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-04-22 11:23 . 2008-04-21 10:01 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-04-22 11:23 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-04-22 11:23 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-04-22 11:23 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-04-21 23:08 . 2008-04-21 23:08 <DIR> d-------- C:\Dokumente und Einstellungen\moe\Anwendungsdaten\TmpRecentIcons
2008-04-21 22:43 . 2008-04-21 22:43 272,896 --a------ C:\WINDOWS\system32\qoMgfDtU.dll
2008-04-21 21:48 . 2008-04-21 21:48 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Deterministic Networks
2008-04-21 21:48 . 2008-04-21 21:48 <DIR> d-------- C:\Programme\Cisco Systems
2008-04-21 21:47 . 2008-04-21 21:48 1,594 --a------ C:\WINDOWS\VPNInstall.MIF
2008-04-21 21:42 . 2008-04-21 13:48 94,208 --a------ C:\WINDOWS\olgdqarf.exe
2008-04-21 21:42 . 2008-04-21 13:48 81,920 --a------ C:\WINDOWS\wxvgsdbq.exe
2008-04-21 21:42 . 2008-04-21 21:42 39,936 --a------ C:\WINDOWS\system32\nnnnMgeC.dll
2008-04-21 21:23 . 2008-04-21 21:23 94,208 --a------ C:\WINDOWS\DIIUnin.exe
2008-04-21 21:23 . 2008-04-21 21:23 18,258 --a------ C:\WINDOWS\DIIUnin.dat
2008-04-21 21:23 . 2008-04-21 21:23 2,829 --a------ C:\WINDOWS\DIIUnin.pif
2008-03-30 20:28 . 2008-03-30 20:28 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RoboForm
2008-03-25 13:22 . 2008-03-25 13:22 <DIR> d-------- C:\Dokumente und Einstellungen\moe\Anwendungsdaten\Yahoo!
2008-03-25 13:22 . 2008-03-25 13:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2008-03-25 13:19 . 2008-03-25 13:20 <DIR> d-------- C:\Programme\Yahoo!
3 Datei(en) . 525,502 C:\ComboFix\Bytes
1 Datei(en) . 62 C:\ComboFix\Bytes
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-24 00:38 --------- d-----w C:\Dokumente und Einstellungen\moe\Anwendungsdaten\Skype
2008-04-24 00:33 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-04-23 16:00 --------- d-----w C:\Programme\Norton Security Scan
2008-04-22 08:57 --------- d-----w C:\Programme\BELKIN USB Wireless Monitor
2008-04-21 19:40 21,840 ----atw C:\WINDOWS\system32\SIntfNT.dll
2008-04-21 19:40 17,212 ----atw C:\WINDOWS\system32\SIntf32.dll
2008-04-21 19:40 12,067 ----atw C:\WINDOWS\system32\SIntf16.dll
2008-04-15 20:52 --------- d-----w C:\Dokumente und Einstellungen\moe\Anwendungsdaten\teamspeak2
2008-04-11 14:21 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-30 18:27 --------- d-----w C:\Programme\Siber Systems
2008-03-25 18:15 --------- d-----w C:\Dokumente und Einstellungen\moe\Anwendungsdaten\dvdcss
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-19 12:36 --------- d-----w C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-03-14 12:32 181,655 ----a-w C:\WINDOWS\system32\msvcr71.zip
2008-03-14 11:47 21,275 ----a-w C:\WINDOWS\system32\drivers\AegisP.sys
2008-03-13 14:23 --------- d-----w C:\Programme\OXXOGames
2008-03-13 13:38 --------- d-----w C:\Programme\Windows Live
2008-03-13 10:00 --------- d-----w C:\Dokumente und Einstellungen\moe\Anwendungsdaten\OpenOffice.org2
2008-03-10 19:14 --------- d-----w C:\Dokumente und Einstellungen\moe\Anwendungsdaten\xpce
2008-03-10 08:22 --------- d-----w C:\Dokumente und Einstellungen\moe\Anwendungsdaten\SWI-Prolog
2008-03-07 19:39 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\X10 Settings
2008-03-07 06:58 --------- d-----w C:\Programme\Java
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-16 08:59 665,088 ----a-w C:\WINDOWS\system32\wininet.dll
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2E9D4C81-9F27-4c14-B804-7B0F6BC88A4F}]
C:\Programme\Outerinfo\Outerinfo.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F50B3F5E-856E-4757-9BB1-B35D46CA7719}]
2008-04-21 21:42 39936 --a------ C:\WINDOWS\system32\nnnnMgeC.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FF95BDE4-453F-4011-8261-879324EB36A0}]
2008-04-21 22:43 272896 --a------ C:\WINDOWS\system32\qoMgfDtU.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VoipDiscount"="C:\Programme\VoipDiscount.com\VoipDiscount\VoipDiscount.exe" [ ]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-07-02 17:10 23237416]
"DAEMON Tools"="D:\Programme\Zubehör\DAEMON Tools\daemon.exe" [2007-09-18 16:16 171464]
"RoboForm"="D:\Programme\Zubehör\Robo\RoboTaskBarIcon.exe" [2008-03-30 20:27 160592]
"Veoh"="D:\Programme\Video\Veoh Networks\Veoh\VeohClient.exe" [2008-04-01 18:35 3587120]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2005-09-22 14:36 14854144 C:\WINDOWS\RTHDCPL.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2005-08-24 17:24 88203 C:\WINDOWS\AGRSMMSG.exe]
"IntelZeroConfig"="C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-10-03 22:59 401408]
"IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-10-03 22:59 385024]
"EOUApp"="C:\Programme\Intel\Wireless\Bin\EOUWiz.exe" [2005-10-03 23:03 356352]
"LaunchAp"="C:\Programme\Launch Manager\LaunchAp.exe" [2005-07-25 13:36 32768]
"HotkeyApp"="C:\Programme\Launch Manager\HotkeyApp.exe" [2005-11-30 11:47 61440]
"CtrlVol"="C:\Programme\Launch Manager\CtrlVol.exe" [2003-09-16 14:28 20480]
"LMgrOSD"="C:\Programme\Launch Manager\OSD.exe" [2005-03-16 13:52 204800]
"Wbutton"="C:\Programme\Launch Manager\Wbutton.exe" [2005-11-08 10:19 81920]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-11-10 19:04 761945]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-11-22 00:51 7335936]
"nwiz"="nwiz.exe" [2005-11-22 00:51 1519616 C:\WINDOWS\system32\nwiz.exe]
"openvpn-gui"="D:\Programme\Internet\OpenVPN\bin\openvpn-gui.exe" [2005-04-21 11:46 98816]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"WinampAgent"="D:\Programme\Zubehör\Winamp\winampa.exe" [ ]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-24 00:38 262401]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-08-25 19:30 185632]
"QuickTime Task"="D:\Programme\Video\qttask.exe" [2007-06-29 06:24 286720]
"OmniPass"="D:\Programme\Zubehör\OmniPass\scureapp.exe" [2005-11-15 16:57 1847296]
"RemoteControl"="D:\Programme\Zubehör\Home Cinema\PowerDVD\PDVDServ.exe" [2004-11-02 21:24 32768]
"PCMService"="D:\Programme\Zubehör\Home Cinema\PowerCinema\PCMService.exe" [2005-12-30 01:28 139264]
"Adobe Reader Speed Launcher"="D:\Programme\Zubehör\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"Getca"="C:\Programme\BELKIN USB Wireless Monitor\InfoMyCa.exe" [ ]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]
C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
VPN Client.lnk - C:\WINDOWS\Installer\{871DF2BE-41D2-4334-AC33-839AF16FC8FE}\Icon3E5562ED7.ico [2008-04-21 21:48:44 6144]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{F50B3F5E-856E-4757-9BB1-B35D46CA7719}"= C:\WINDOWS\system32\nnnnMgeC.dll [2008-04-21 21:42 39936]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]
C:\Programme\Intel\Wireless\Bin\LgNotify.dll 2005-10-03 22:59 110592 C:\Programme\Intel\Wireless\Bin\LgNotify.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nnnnMgeC]
nnnnMgeC.dll 2008-04-21 21:42 39936 C:\WINDOWS\system32\nnnnMgeC.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OPXPGina]
D:\Programme\Zubehör\OmniPass\opxpgina.dll 2005-11-15 16:57 49152 D:\Programme\Zubehör\OmniPass\OPXPGina.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2007-12-03 17:20 1266936 D:\Programme\Spiele\Steam\Steam.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Programme\\Video\\VLC\\vlc.exe"=
"D:\\Programme\\Spiele\\Steam\\steamapps\\kaiderhai\\counter-strike\\hl.exe"=
"D:\\Programme\\Internet\\QIP\\qip.exe"=
"D:\\Programme\\Spiele\\Stronghold2\\Stronghold2.exe"=
"D:\\Programme\\Spiele\\Soldat\\Soldat.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"D:\\Programme\\Internet\\[G]Script48\\mircG4.8.exe"=
"D:\\Programme\\Spiele\\Dreamlords\\dreamlords.exe"=
"D:\\Programme\\Spiele\\Steam\\Steam.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"D:\\Programme\\Internet\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Octoshape Streaming Services\\moe\\OctoshapeClient.exe"=
"C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\NexonUS\\NGM\\NGM.exe"=
"C:\\Programme\\Internet Explorer\\IEXPLORE.EXE"=
"D:\\Programme\\Spiele\\Steam\\steamapps\\rogga580\\counter-strike\\hl.exe"=
"D:\\Programme\\Spiele\\Steam\\steamapps\\richard1984\\counter-strike\\hl.exe"=
"D:\\Programme\\Spiele\\HLSW\\hlsw.exe"=
"D:\\Programme\\Internet\\QIP Infium\\infium.exe"=
"D:\\progra\\eclipse\\eclipse\\eclipse.exe"=
"D:\\Programme\\Video\\Veoh Networks\\Veoh\\VeohClient.exe"=
"D:\\Programme\\Spiele\\Diablo II\\Game.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4444:TCP"= 4444:TCP:Netzmonitor fürs Klassenzimmer
R1 Hotkey;Hotkey;C:\WINDOWS\system32\drivers\Hotkey.sys [2003-04-28 11:27]
R1 hwinterface;hwinterface;C:\WINDOWS\system32\Drivers\hwinterface.sys [2008-02-21 21:44]
R2 Belkin 54Mbps Wireless USB;Belkin 54Mbps Wireless USB Network Service;C:\Programme\BELKIN USB Wireless Monitor\WLService.exe [2003-06-09 12:24]
R2 NetObjectiveSvc;Net Objective;D:\Programme\Netzwerk\NetObjective\NetObjectiveSvc.exe [2006-04-19 10:41]
R3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2005-12-06 12:16]
R3 tap0801;TAP-Win32 Adapter V8;C:\WINDOWS\system32\DRIVERS\tap0801.sys [2004-06-24 03:54]
S1 Wbutton;Wbutton;C:\WINDOWS\system32\drivers\Wbutton.sys []
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f43d6b5b-b08f-11dc-832b-005056c00008}]
\Shell\AutoRun\command - H:\setupSNK.exe
*Newly Created Service* - GTNDIS5
.
Inhalt des "geplante Tasks" Ordners
"2008-04-22 07:45:45 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-04-23 22:30:24 C:\WINDOWS\Tasks\Norton Security Scan.job"
- C:\Programme\Norton Security Scan\Nss.exe
.
**************************************************************************
catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-24 10:38:38
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Einträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 3
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: C:\WINDOWS\system32\winlogon.exe
-> D:\Programme\Zubehör\OmniPass\opxpgina.dll
-> C:\WINDOWS\system32\nnnnMgeC.dll
.
Zeit der Fertigstellung: 2008-04-24 10:39:47
ComboFix-quarantined-files.txt 2008-04-24 08:39:23
ComboFix2.txt 2008-04-24 06:40:33
7 Verzeichnis(se), 7,706,411,008 Bytes frei
9 Verzeichnis(se), 7,761,657,856 Bytes frei
201 --- E O F --- 2008-04-12 01:06:11