Trojaner und Worms ...Voll mit Viren

#0
08.05.2008, 13:50
Member
Avatar SeelenZauber

Beiträge: 13
#1 Hallo,

Da ich mich nicht wirklich auskenne, hoffe ich, ich bin im richtig!
Ich musste meinen PC bedauerlicherweise Formatieren, und als ich XP wieder aufgespielt habe, habe ich "laut antivir" ziemlich viele TROJANER und WORMS drauf. Doch leider weiß ich nicht, wie ich diese nun entfernen kann, da ich die Ursache nicht kenne. Ich hoffe es ist hilfreich und jemand kann mir helfen.


ComboFix 08-05-07.1 - Michaela 2008-05-08 13:05:25.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.1.1252.1.1031.18.70 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Michaela.PSYCHOKA-OZEQRW\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
C:\Programme\inetget2
C:\Programme\JavaCore
C:\Programme\Temporary
C:\WINDOWS\cookies.ini
C:\WINDOWS\pskt.ini
C:\WINDOWS\rundll32.exe
C:\WINDOWS\system32\a.exe
C:\WINDOWS\system32\awtqnkhe.dll
C:\WINDOWS\system32\BdKnnnpo.ini
C:\WINDOWS\system32\BdKnnnpo.ini2
C:\WINDOWS\system32\cbXOFurp.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\msmsgs.exe
C:\WINDOWS\system32\pruFOXbc.ini
C:\WINDOWS\system32\pruFOXbc.ini2
C:\WINDOWS\system32\rjwqkpgj.dll
C:\WINDOWS\system32\ssmxuyfu.dll
C:\WINDOWS\system32\TttvDfii.ini
C:\WINDOWS\system32\TttvDfii.ini2
C:\WINDOWS\system32\ufyuxmss.ini
C:\WINDOWS\system32\xhfbctqq.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-08 bis 2008-05-08 ))))))))))))))))))))))))))))))
.

2008-05-08 13:05 . 2008-05-08 13:05 1,024 --ah----- C:\Dokumente und Einstellungen\Default User.WINDOWS\ntuser.dat.LOG
2008-05-08 12:55 . 2008-05-08 12:55 <DIR> d-------- C:\Programme\CCleaner
2008-05-07 23:52 . 2008-05-08 12:38 109,853 --a------ C:\WINDOWS\BM7f86f636.xml
2008-05-07 20:22 . 2008-05-07 20:22 392,192 -r--s---- C:\WINDOWS\system32\wbtserv.exe
2008-05-07 10:30 . 2008-05-07 10:30 20 --a------ C:\WINDOWS\system32\7cb5d724
2008-05-07 09:47 . 2008-05-07 09:47 15,360 --a------ C:\d.exe
2008-05-07 09:24 . 2008-05-07 09:25 87,165 --a------ C:\WINDOWS\system32\taskmangr.exe
2008-05-07 09:20 . 2008-05-07 09:47 2 --a------ C:\2092287237
2008-05-07 09:19 . 2008-05-07 09:46 66,048 --a------ C:\rjtstwbc.exe

2008-05-07 09:09 . 2008-05-07 09:09 <DIR> d---s---- C:\Dokumente und Einstellungen\Michaela.PSYCHOKA-OZEQRW\UserData
2008-05-07 01:57 . 2008-05-07 01:57 <DIR> d-------- C:\Programme\Avira
2008-05-07 01:57 . 2008-05-07 01:57 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira
2008-05-07 01:31 . 2008-05-07 01:31 <DIR> d-------- C:\Dokumente und Einstellungen\Michaela.PSYCHOKA-OZEQRW\Anwendungsdaten\TuneUp Software
2008-05-07 01:31 . 2008-05-07 01:31 354,560 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-05-07 01:31 . 2008-04-04 14:51 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-05-07 01:30 . 2008-05-07 01:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TuneUp Software
2008-05-07 01:08 . 2008-05-06 23:23 249 --a------ C:\WINDOWS\system32\$winnt$.inf
2008-05-07 01:05 . 2008-05-07 01:05 0 --a------ C:\WINDOWS\nsreg.dat
2008-05-07 01:03 . 2008-05-07 01:03 <DIR> d-------- C:\WINDOWS\system32\bits
2008-05-07 01:00 . 2008-05-07 01:29 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-05-07 01:00 . 2005-02-25 05:34 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-05-07 00:58 . 2004-07-02 00:08 360,448 --a--c--- C:\WINDOWS\system32\dllcache\qmgr.dll
2008-05-07 00:58 . 2004-07-02 00:08 331,776 --a------ C:\WINDOWS\system32\winhttp.dll
2008-05-07 00:58 . 2004-07-02 00:08 331,776 --a--c--- C:\WINDOWS\system32\dllcache\winhttp.dll
2008-05-07 00:58 . 2004-07-02 00:08 17,408 --a------ C:\WINDOWS\system32\qmgrprxy.dll
2008-05-07 00:58 . 2004-07-02 00:08 17,408 --a--c--- C:\WINDOWS\system32\dllcache\qmgrprxy.dll
2008-05-07 00:58 . 2004-07-02 00:08 7,680 -----c--- C:\WINDOWS\system32\dllcache\bitsprx2.dll
2008-05-07 00:58 . 2004-07-02 00:08 7,680 --------- C:\WINDOWS\system32\bitsprx2.dll
2008-05-07 00:58 . 2004-07-02 00:08 7,168 -----c--- C:\WINDOWS\system32\dllcache\bitsprx3.dll
2008-05-07 00:58 . 2004-07-02 00:08 7,168 --------- C:\WINDOWS\system32\bitsprx3.dll
2008-05-07 00:53 . 2008-05-07 00:53 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Messenger Plus!
2008-05-07 00:53 . 2007-07-30 19:19 549,720 --a------ C:\WINDOWS\system32\wuapi.dll
2008-05-07 00:53 . 2007-07-30 19:19 325,976 --a------ C:\WINDOWS\system32\wucltui.dll
2008-05-07 00:53 . 2007-07-30 19:19 216,408 --a------ C:\WINDOWS\system32\wuaucpl.cpl
2008-05-07 00:53 . 2007-07-30 19:19 203,096 --a------ C:\WINDOWS\system32\wuweb.dll
2008-05-07 00:53 . 2004-08-03 14:05 186,648 --a------ C:\WINDOWS\system32\wuaueng1.dll
2008-05-07 00:53 . 2004-08-03 14:02 169,752 --a------ C:\WINDOWS\system32\wuauclt1.exe
2008-05-07 00:53 . 2007-07-30 19:18 33,624 --a------ C:\WINDOWS\system32\wups.dll
2008-05-07 00:53 . 2008-05-07 00:53 268 --ah----- C:\sqmdata00.sqm
2008-05-07 00:53 . 2008-05-07 00:53 244 --ah----- C:\sqmnoopt00.sqm
2008-05-07 00:50 . 2008-05-07 15:07 <DIR> d-------- C:\Dokumente und Einstellungen\Michaela.PSYCHOKA-OZEQRW\Contacts
2008-05-07 00:42 . 2008-05-07 01:03 <DIR> d-------- C:\WINDOWS\LastGood
2008-05-07 00:35 . 2008-05-07 08:10 <DIR> d-------- C:\Programme\Circle Developement
2008-05-07 00:35 . 2008-05-07 00:35 <DIR> d-------- C:\Programme\Buildrefway
2008-05-07 00:35 . 2008-05-07 00:35 <DIR> d-------- C:\Dokumente und Einstellungen\Michaela.PSYCHOKA-OZEQRW\Anwendungsdaten\Buildrefway
2008-05-07 00:35 . 2008-05-07 00:35 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\eq rect plus copy

2008-05-07 00:33 . 2008-05-07 00:33 <DIR> d-------- C:\Programme\Windows Live
2008-05-07 00:33 . 2008-05-07 00:35 <DIR> d-------- C:\Programme\Messenger Plus! Live
2008-05-07 00:12 . 2001-08-18 05:54 70,144 --a------ C:\WINDOWS\system32\usbui.dll
2008-05-07 00:12 . 2001-08-17 13:19 40,704 --a------ C:\WINDOWS\system32\drivers\es1371mp.sys
2008-05-07 00:12 . 2001-08-17 14:58 27,392 --a------ C:\WINDOWS\system32\drivers\VIAAGP.SYS
2008-05-07 00:12 . 2001-08-17 13:13 27,165 --a------ C:\WINDOWS\system32\drivers\fetnd5.sys
2008-05-07 00:12 . 2002-08-29 02:32 9,856 --a------ C:\WINDOWS\system32\drivers\gameenum.sys
2008-05-07 00:12 . 2001-08-17 15:00 2,944 --a------ C:\WINDOWS\system32\drivers\msmpu401.sys
2008-05-07 00:10 . 2008-05-06 23:16 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User.WINDOWS\Vorlagen
2008-05-07 00:10 . 2008-05-07 00:10 <DIR> dr------- C:\Dokumente und Einstellungen\Default User.WINDOWS\Startmen
2008-05-07 00:10 . 2008-05-07 00:10 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User.WINDOWS\Netzwerkumgebung
2008-05-07 00:10 . 2008-05-07 00:10 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User.WINDOWS\Lokale Einstellungen
2008-05-07 00:10 . 2008-05-07 00:10 <DIR> d-------- C:\Dokumente und Einstellungen\Default User.WINDOWS\Favoriten
2008-05-07 00:10 . 2008-05-07 00:10 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User.WINDOWS\Druckumgebung
2008-05-07 00:10 . 2008-05-07 00:10 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users.WINDOWS\Vorlagen
2008-05-07 00:10 . 2008-05-06 23:23 <DIR> dr------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmen
2008-05-07 00:10 . 2008-05-07 00:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Favoriten
2008-05-07 00:10 . 2008-05-06 23:17 <DIR> dr------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Dokumente
2008-05-07 00:09 . 2008-05-07 00:10 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User.WINDOWS\Anwendungsdaten
2008-05-07 00:09 . 2008-05-08 13:05 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User.WINDOWS
2008-05-07 00:09 . 2008-05-07 01:57 <DIR> dr-h----- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten
2008-05-07 00:09 . 2008-05-06 23:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS
2008-05-07 00:09 . 2008-05-07 00:54 1,847,092 --a------ C:\WINDOWS\setupapi.log.0.old
2008-05-07 00:09 . 2002-08-29 14:00 1,086,182 -ra------ C:\WINDOWS\SET3.tmp
2008-05-07 00:06 . 2003-06-16 11:05 765,952 -ra------ C:\WINDOWS\system\crlds3d.dll
2008-05-07 00:04 . 2003-07-28 15:19 274,432 -ra------ C:\WINDOWS\system32\nvrsptb.dll
2008-05-07 00:03 . 2003-07-28 15:19 4,841,472 -ra------ C:\WINDOWS\system32\nvcpl.dll
2008-05-06 23:58 . 2003-02-20 06:09 1,892,352 -ra------ C:\WINDOWS\system32\cmiwcnfg.dll
2008-05-06 23:58 . 2003-03-25 10:34 929,792 -ra------ C:\WINDOWS\system\cmicnfg.cpl
2008-05-06 23:58 . 2002-04-29 09:04 917,504 -ra------ C:\WINDOWS\system\cmids3d.dll
2008-05-06 23:58 . 2003-03-25 02:13 741,583 -ra------ C:\WINDOWS\system32\drivers\cmuda.sys
2008-05-06 23:58 . 2001-11-23 06:08 712,704 -ra------ C:\WINDOWS\system32\Audio3D.dll
2008-05-06 23:58 . 2003-02-21 06:02 229,376 -ra------ C:\WINDOWS\system32\cmirmdrv.exe
2008-05-06 23:58 . 2003-03-25 06:30 69,632 -ra------ C:\WINDOWS\system32\cmuda.dll
2008-05-06 23:58 . 2003-02-16 07:59 32,768 -ra------ C:\WINDOWS\system32\udaprop.dll
2008-05-06 23:58 . 2003-02-18 12:26 28,672 -ra------ C:\WINDOWS\system32\cmirmdrv.dll
2008-05-06 23:51 . 2008-05-07 00:09 <DIR> d-------- C:\WINDOWS\LastGood.Tmp
2008-05-06 23:51 . 2004-06-04 14:35 135,168 -ra------ C:\WINDOWS\UNDPX2K.exe
2008-05-06 23:51 . 2004-06-04 14:34 53,693 -ra------ C:\WINDOWS\UNDPX2K.sys
2008-05-06 23:51 . 2004-06-10 18:42 15,429 -ra------ C:\WINDOWS\system32\drivers\Sacm2K.sys
2008-05-06 23:38 . 2008-05-07 02:02 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-05-06 23:38 . 2008-05-06 23:38 <DIR> d-------- C:\Dokumente und Einstellungen\Michaela.PSYCHOKA-OZEQRW\Anwendungsdaten\Symantec
2008-05-06 23:37 . 2008-05-07 02:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Symantec
2008-05-06 23:35 . 2002-05-24 19:42 45,056 -ra------ C:\WINDOWS\system32\WNTSETUP.DLL
2008-05-06 23:35 . 2000-10-25 22:27 3,000 -ra------ C:\WINDOWS\system32\SetupNT.sys
2008-05-06 23:35 . 2008-05-06 23:55 3 --a------ C:\WINDOWS\system32\BSETUP.TMP
2008-05-06 23:28 . 2008-05-06 23:16 <DIR> d--h----- C:\Dokumente und Einstellungen\Michaela.PSYCHOKA-OZEQRW\Vorlagen
2008-05-06 23:28 . 2008-05-07 00:10 <DIR> dr------- C:\Dokumente und Einstellungen\Michaela.PSYCHOKA-OZEQRW\Startmen
2008-05-06 23:28 . 2008-05-07 00:10 <DIR> d--h----- C:\Dokumente und Einstellungen\Michaela.PSYCHOKA-OZEQRW\Netzwerkumgebung
2008-05-06 23:28 . 2008-05-08 13:12 <DIR> d--h----- C:\Dokumente und Einstellungen\Michaela.PSYCHOKA-OZEQRW\Lokale Einstellungen
2008-05-06 23:28 . 2008-05-08 12:58 <DIR> dr------- C:\Dokumente und Einstellungen\Michaela.PSYCHOKA-OZEQRW\Favoriten
2008-05-06 23:28 . 2008-05-08 12:59 <DIR> dr------- C:\Dokumente und Einstellungen\Michaela.PSYCHOKA-OZEQRW\Eigene Dateien
2008-05-06 23:28 . 2008-05-07 00:10 <DIR> d--h----- C:\Dokumente und Einstellungen\Michaela.PSYCHOKA-OZEQRW\Druckumgebung
2008-05-06 23:28 . 2008-05-07 01:31 <DIR> dr-h----- C:\Dokumente und Einstellungen\Michaela.PSYCHOKA-OZEQRW\Anwendungsdaten
2008-05-06 23:28 . 2008-05-08 13:00 <DIR> d-------- C:\Dokumente und Einstellungen\Michaela.PSYCHOKA-OZEQRW
2008-05-06 23:28 . 2008-05-08 13:24 1,024 --ah----- C:\Dokumente und Einstellungen\Michaela.PSYCHOKA-OZEQRW\ntuser.dat.LOG
2008-05-06 23:24 . 2008-05-06 23:24 <DIR> d--hs---- C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITŽT.000
2008-05-06 23:24 . 2008-05-06 23:24 <DIR> d--hs---- C:\Dokumente und Einstellungen\LocalService.NT-AUTORITŽT.000
2008-05-06 23:24 . 2008-05-06 23:24 8,192 --a------ C:\WINDOWS\REGLOCS.OLD
2008-05-06 23:22 . 2002-08-29 14:00 1,875,968 --a--c--- C:\WINDOWS\system32\dllcache\msir3jp.lex
2008-05-06 23:21 . 2002-08-29 14:00 13,463,552 --a--c--- C:\WINDOWS\system32\dllcache\hwxjpn.dll
2008-05-06 23:20 . 2001-08-18 04:54 2,134,528 --a--c--- C:\WINDOWS\system32\dllcache\EXCH_smtpsnap.dll
2008-05-06 23:19 . 2008-05-06 23:20 <DIR> d--hs---- C:\Dokumente und Einstellungen\All Users.WINDOWS\DRM
2008-05-06 23:18 . 2002-08-29 14:00 4,399,505 --a--c--- C:\WINDOWS\system32\dllcache\nls302en.lex
2008-05-06 23:17 . 2002-08-29 14:00 798,782 --a--c--- C:\WINDOWS\system32\dllcache\srchui.dll
2008-05-06 23:16 . 2002-08-29 14:00 869,376 --a------ C:\WINDOWS\system32\msdtctm.dll
2008-05-06 23:15 . 2007-07-30 19:19 1,712,984 --a------ C:\WINDOWS\system32\wuaueng.dll
2008-05-06 22:53 . 2002-08-29 14:00 1,003,520 --a--c--- C:\WINDOWS\system32\dllcache\conf.exe
2008-05-06 22:53 . 2002-08-29 14:00 91,136 --a--c--- C:\WINDOWS\system32\dllcache\iexplore.exe
2008-05-06 22:53 . 2002-08-29 14:00 57,344 --a--c--- C:\WINDOWS\system32\dllcache\msimn.exe
2008-05-06 22:53 . 2002-08-29 14:00 24,576 --a--c--- C:\WINDOWS\system32\dllcache\icwdl.dll
2008-05-06 22:52 . 2002-08-29 14:00 528,384 --a--c--- C:\WINDOWS\system32\dllcache\dialer.exe
2008-05-06 22:52 . 2002-08-29 14:00 274,432 --a--c--- C:\WINDOWS\system32\dllcache\pinball.exe
2008-05-06 22:52 . 2002-08-29 14:00 42,577 --a--c--- C:\WINDOWS\system32\dllcache\bckgzm.exe
2008-05-06 22:52 . 2002-08-29 14:00 42,575 --a--c--- C:\WINDOWS\system32\dllcache\chkrzm.exe
2008-05-06 22:51 . 2002-08-29 14:00 202,240 --a--c--- C:\WINDOWS\system32\dllcache\wordpad.exe
2008-05-05 17:52 . 2008-05-05 17:52 0 -rahs---- C:\kgfbotwmk.exe
2008-05-05 09:26 . 2008-05-05 09:26 <DIR> d-------- C:\Programme\Spcron
2008-05-05 09:21 . 2008-05-05 09:21 <DIR> d-------- C:\Programme\Svconr

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-06 21:20 558,142 ----a-w C:\WINDOWS\java\Packages\PVR35RZP.ZIP
2008-05-06 21:20 155,995 ----a-w C:\WINDOWS\java\Packages\F7TVHB9B.ZIP
2008-05-01 08:26 --------- d-----w C:\Programme\microsoft frontpage
2008-05-01 08:25 --------- d-----w C:\Programme\Online-Dienste
2008-05-01 08:24 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvMediaCenter"="C:\WINDOWS\System32\NVMCTRAY.DLL" [2003-07-28 15:19 49152]
"SIGN 1"="C:\DOKUME~1\MICHAE~1.PSY\ANWEND~1\BUILDR~1\Settings cool mp3.exe" [2008-05-07 00:35 400896]
"sysPersonalFirewall"="taskmangr.exe" [2008-05-07 09:25 87165 C:\WINDOWS\system32\taskmangr.exe]
"Microsoft Windows Driver"="C:\WINDOWS\rundll32.exe" [ ]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"sysPersonalFirewall"="taskmangr.exe" [2008-05-07 09:25 87165 C:\WINDOWS\system32\taskmangr.exe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sysPersonalFirewall"="taskmangr.exe" [2008-05-07 09:25 87165 C:\WINDOWS\system32\taskmangr.exe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"sysPersonalFirewall"="taskmangr.exe" [2008-05-07 09:25 87165 C:\WINDOWS\system32\taskmangr.exe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"sysPersonalFirewall"="taskmangr.exe" [2008-05-07 09:25 87165 C:\WINDOWS\system32\taskmangr.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"sysPersonalFirewall"="taskmangr.exe" [2008-05-07 09:25 87165 C:\WINDOWS\system32\taskmangr.exe]
"Microsoft Oftice"="C:\WINDOWS\System32\msmsgs.exe" [ ]
"Microsoft Windows Driver"="C:\WINDOWS\rundll32.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"sysPersonalFirewall"="taskmangr.exe" [2008-05-07 09:25 87165 C:\WINDOWS\system32\taskmangr.exe]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\wbtserv.exe"=
"wiadss.exe"= wiadss.exe:SYSTEM

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2008-01-21 18:11]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-01-21 18:12]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2002-08-29 14:00]
R2 wbtserv;Windows Bluetooth Server;"C:\WINDOWS\system32\wbtserv.exe" [2008-05-07 20:22]
R3 WinDSLa;WinDSL-Adapter (PPP-over-Ethernet);C:\WINDOWS\System32\DRIVERS\WinDSL.sys [2002-02-08 05:50]
R4 Microsoft Xp update;sysPersonalFirewall;"C:\WINDOWS\System32\taskmangr.exe" -netsvcs []
S1 zwqcplsp;zwqcplsp;C:\WINDOWS\system32\zwqcplsp.sys []
S2 MS NET Service;MS NET Service;"C:\WINDOWS\wiadss.exe" []
S2 MSDisk;Network helper Service;"C:\WINDOWS\System32\irdvxc.exe" /service []
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-05-07 01:31]
S3 WinDSLp;%WinDSLp_Desc%;C:\WINDOWS\System32\DRIVERS\WinDSL.sys [2002-02-08 05:50]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - ALG
*Newly Created Service* - IPNAT
.
Inhalt des "geplante Tasks" Ordners
"2008-05-08 11:23:11 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe
"2008-05-08 11:00:02 C:\WINDOWS\Tasks\A783ED1991946A69.job"
- c:\dokume~1\michae~1.psy\anwend~1\buildr~1\playstyleteam.exe
"2008-05-06 21:45:17 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Programme\Symantec\LiveUpdate\NDETECT.EXE
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-08 13:23:27
Windows 5.1.2600 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-08 13:27:01 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-08 11:26:52

8 Verzeichnis(se), 75,197,435,904 Bytes frei
11 Verzeichnis(se), 75,197,476,864 Bytes frei

252 --- E O F --- 2008-05-06 23:03:54


Hijackthis-Logfiles

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:37:50, on 08.05.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\wbtserv.exe
C:\WINDOWS\System32\taskmangr.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\upds.exe
C:\Dokumente und Einstellungen\Michaela.PSYCHOKA-OZEQRW\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für HJT.zip\HijackThis.exe
C:\Programme\Windows NT\Zubehör\wordpad.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dbsarticles.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [sysPersonalFirewall] taskmangr.exe
O4 - HKLM\..\Run: [Windows System Update Tools] upds.exe
O4 - HKLM\..\RunServices: [sysPersonalFirewall] taskmangr.exe
O4 - HKLM\..\RunServices: [Windows System Update Tools] upds.exe
O4 - HKLM\..\RunOnce: [sysPersonalFirewall] taskmangr.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [SIGN 1] C:\DOKUME~1\MICHAE~1.PSY\ANWEND~1\BUILDR~1\Settings cool mp3.exe
O4 - HKCU\..\Run: [sysPersonalFirewall] taskmangr.exe
O4 - HKCU\..\Run: [Microsoft Windows Driver] C:\WINDOWS\rundll32.exe
O4 - HKCU\..\RunOnce: [sysPersonalFirewall] taskmangr.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [sysPersonalFirewall] taskmangr.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [sysPersonalFirewall] taskmangr.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [sysPersonalFirewall] taskmangr.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [sysPersonalFirewall] taskmangr.exe (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{F81AB0BA-99FB-454F-94BA-A13BFF18D2C5}: NameServer = 194.8.194.60 213.168.112.60
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: MS NET Service - Unknown owner - C:\WINDOWS\wiadss.exe (file missing)
O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 4116 bytes


datfind.bat


.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7CB5-C505

Verzeichnis von C:\WINDOWS\system32

08.05.2008 13:28 444.416 upds.exe
08.05.2008 13:25 311.604 perfh009.dat
08.05.2008 13:25 39.992 perfc009.dat
08.05.2008 13:25 316.594 perfh007.dat
08.05.2008 13:25 48.156 perfc007.dat
08.05.2008 13:25 723.744 PerfStringBackup.INI
07.05.2008 23:49 0 clkcnt.txt
07.05.2008 20:22 392.192 wbtserv.exe
07.05.2008 10:30 20 7cb5d724
07.05.2008 09:25 87.165 taskmangr.exe

07.05.2008 01:31 354.560 TuneUpDefragService.exe
07.05.2008 01:10 90.296 FNTCACHE.DAT
07.05.2008 00:14 0 h323log.txt
06.05.2008 23:55 3 BSETUP.TMP
06.05.2008 23:48 2.206 wpa.dbl
06.05.2008 23:28 25.065 wmpscheme.xml
06.05.2008 23:23 249 $winnt$.inf
06.05.2008 23:20 2.951 CONFIG.NT
06.05.2008 23:20 16.832 amcompat.tlb
06.05.2008 23:20 23.392 nscompat.tlb
06.05.2008 23:18 488 WindowsLogon.manifest
06.05.2008 23:18 488 logonui.exe.manifest
06.05.2008 23:18 749 cdplayer.exe.manifest
06.05.2008 23:18 749 sapi.cpl.manifest
06.05.2008 23:18 749 wuaucpl.cpl.manifest
06.05.2008 23:18 749 nwc.cpl.manifest
06.05.2008 23:18 749 ncpa.cpl.manifest
06.05.2008 23:17 21.740 emptyregdb.dat
04.04.2008 14:51 28.416 uxtuneup.dll
__________
Wer keine Angst hat, hat keine Phantasie...!
Seitenanfang Seitenende
08.05.2008, 17:23
Moderator

Beiträge: 7805
#2 Dein Problem ist hier, das du nur das SP1 von Windows Xp installiert hast. Das bedeutet, das du Malware garnicht so schnell loeschen kannst, wie du sie dir ueber das Internet wieder einfaengst..

Das Beste waere alle Daten zu sichern und den Rechner neu aufzusetzen...
http://board.protecus.de/t13020.htm
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
08.05.2008, 17:59
Member

Themenstarter
Avatar SeelenZauber

Beiträge: 13
#3 Das waere das kleinste uebel, wenn der Rechner nicht so zicken machen wuerde, wenn ich ihn neu aufsetze!
Und SP2 laesst sich nicht installieren, selbst die updates will er nicht nehmen!

Kann ich das Problem umgehen?
__________
Wer keine Angst hat, hat keine Phantasie...!
Seitenanfang Seitenende
08.05.2008, 18:04
Moderator

Beiträge: 7805
#4 Wenn du neu aufsetzt und du eine Windows XP Version besitzt, die den "Dies ist eine legale Version"-Test besteht, ist das kein Problem.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
08.05.2008, 18:09
Member

Themenstarter
Avatar SeelenZauber

Beiträge: 13
#5 Mit produkt Key und so 'gg' Ja vorhanden, aber es will nicht so wie es soll
__________
Wer keine Angst hat, hat keine Phantasie...!
Seitenanfang Seitenende
08.05.2008, 18:27
Moderator

Beiträge: 7805
#6 Doch, wird es, wenn du alles Formatierst und neu aufspielst...
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
11.05.2008, 16:05
Member

Beiträge: 47
#7 Und du spielst dir besser das SP 3 Drauf ;)
Seitenanfang Seitenende
11.05.2008, 22:19
Member

Themenstarter
Avatar SeelenZauber

Beiträge: 13
#8 Das sagt sich so einfach... das Setup von SP3 haengt sich im letzten viertel der Installation irgendwie immer auf... Hinzukommt die Warnung: System wird herrunter gefahren... Ich glaub in Windows/System32/Lsass.exe oder so aehnlich... Ist das eine weg, taucht das naechste auf ... *murr*
__________
Wer keine Angst hat, hat keine Phantasie...!
Seitenanfang Seitenende
11.05.2008, 22:41
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#9 ViruTotal

Verborgene Dateien sichtbar machen
Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren
Und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Prüfe mal diese Datei(en) bei http://www.virustotal.com/de


C:\WINDOWS\system32\taskmangr.exe

Note:Wenn bei ViruTotal die Meldung kommt ” Die Datei wurde bereits analysiert “waehle „Analisiere die Datei“
Stand alone DrWeb
Stand alone Kaspersky
__________
MfG Argus
Seitenanfang Seitenende
11.05.2008, 22:48
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Hallo,

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern



Zitat

KILLALL::

Driver::
sysPersonalFirewall
zwqcplsp
Network helper Service
MS NET Service
MSDisk
wbtserv

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\wbtserv.exe"=-
"wiadss.exe"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sysPersonalFirewall"=-
"Microsoft Windows Driver"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"sysPersonalFirewall"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sysPersonalFirewall"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"sysPersonalFirewall"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"sysPersonalFirewall"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"sysPersonalFirewall"=-
"Microsoft Oftice"=-
"Microsoft Windows Driver"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"sysPersonalFirewall"=-

File::
C:\WINDOWS\wiadss.exe
C:\WINDOWS\System32\irdvxc.exe
C:\WINDOWS\system32\zwqcplsp.sys
C:\WINDOWS\Tasks\A783ED1991946A69.job
C:\WINDOWS\system32\upds.exe
C:\WINDOWS\System32\msmsgs.exe
C:\WINDOWS\system32\wbtserv.exe
C:\WINDOWS\system32\7cb5d724
C:\d.exe
C:\WINDOWS\system32\taskmangr.exe
C:\2092287237
C:\rjtstwbc.exe
C:\kgfbotwmk.exe
C:\WINDOWS\BM7f86f636.xml

Folder::
C:\Programme\Spcron
C:\Programme\Svconr
C:\Programme\Buildrefway
C:\Dokumente und Einstellungen\Michaela.PSYCHOKA-OZEQRW\Anwendungsdaten\Buildrefway
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\eq rect plus copy

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden

«
poste das neue Log von Combofix

««
wende sdfix an , muss im abgesicherten modus sein « poste hier den report
http://virus-protect.org/artikel/tools/sdfix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.05.2008, 23:35
Member

Themenstarter
Avatar SeelenZauber

Beiträge: 13
#11 ich hoffe ich habe keinen Fehler gemacht...
Muß ich bei sdfix irgendwas beachten?

Hier dann die Logdatei

ComboFix 08-05-11.1 - Michaela 2008-05-11 23:26:19.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.1.1252.1.1031.18.138 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Michaela.PSYCHOKA-OZEQRW\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Michaela.PSYCHOKA-OZEQRW\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE ::
C:\2092287237
C:\d.exe
C:\kgfbotwmk.exe
C:\rjtstwbc.exe
C:\WINDOWS\system32\7cb5d724
C:\WINDOWS\System32\irdvxc.exe
C:\WINDOWS\System32\msmsgs.exe
C:\WINDOWS\system32\taskmangr.exe
C:\WINDOWS\system32\upds.exe
C:\WINDOWS\system32\wbtserv.exe
C:\WINDOWS\system32\zwqcplsp.sys
C:\WINDOWS\Tasks\A783ED1991946A69.job
C:\WINDOWS\wiadss.exe
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\2092287237
C:\d.exe
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\eq rect plus copy
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\eq rect plus copy\CITY MPEG.exe
C:\Dokumente und Einstellungen\Michaela.PSYCHOKA-OZEQRW\Anwendungsdaten\Buildrefway
C:\Dokumente und Einstellungen\Michaela.PSYCHOKA-OZEQRW\Anwendungsdaten\Buildrefway\0
C:\Dokumente und Einstellungen\Michaela.PSYCHOKA-OZEQRW\Anwendungsdaten\Buildrefway\huzkvins.exe
C:\Dokumente und Einstellungen\Michaela.PSYCHOKA-OZEQRW\Anwendungsdaten\Buildrefway\playstyleteam.exe
C:\Dokumente und Einstellungen\Michaela.PSYCHOKA-OZEQRW\Anwendungsdaten\Buildrefway\Settings cool mp3.exe
C:\Dokumente und Einstellungen\Michaela.PSYCHOKA-OZEQRW\Anwendungsdaten\Buildrefway\shimmanagernoungpl.exe
C:\kgfbotwmk.exe
C:\Programme\Buildrefway
C:\Programme\Spcron
C:\Programme\Spcron\Spcron.dll
C:\Programme\Svconr
C:\Programme\Svconr\Svconr.exe
C:\rjtstwbc.exe
C:\WINDOWS\system32\7cb5d724
C:\WINDOWS\system32\taskmangr.exe
C:\WINDOWS\Tasks\A783ED1991946A69.job

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_MSDISK
-------\Legacy_MS_NET_SERVICE
-------\Legacy_WBTSERV
-------\Service_MS NET Service
-------\Service_MSDisk
-------\Service_wbtserv


((((((((((((((((((((((( Dateien erstellt von 2008-04-11 bis 2008-05-11 ))))))))))))))))))))))))))))))
.

2008-05-11 23:24 . 2008-05-11 23:24 0 --a------ C:\WINDOWS\system32\wmsoft47657.exe
2008-05-11 22:07 . 2008-05-11 22:07 0 --ah----- C:\Dokumente und Einstellungen\Michaela.PSYCHOKA-OZEQRW\NTUSER.DAT_TU_17667.LOG
2008-05-11 00:41 . 2008-05-11 00:41 <DIR> d-------- C:\WINDOWS\Sun
2008-05-11 00:40 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-05-11 00:38 . 2008-05-11 00:40 <DIR> d-------- C:\Programme\Java
2008-05-11 00:38 . 2008-05-11 00:38 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-05-08 20:59 . 2008-05-08 20:59 983,040 --a------ C:\WINDOWS\system32\SPR0032E.TMP
2008-05-08 19:22 . 2008-05-08 19:22 4,146 --a------ C:\WINDOWS\SEC1349.tmp
2008-05-08 19:07 . 2008-05-08 19:07 <DIR> d-------- C:\WINDOWS\system32\de-de
2008-05-08 19:06 . 2008-05-08 19:06 <DIR> d-------- C:\WINDOWS\system32\de
2008-05-08 19:06 . 2008-05-08 19:06 <DIR> d-------- C:\WINDOWS\provisioning
2008-05-08 19:06 . 2008-05-08 19:06 <DIR> d-------- C:\WINDOWS\peernet
2008-05-08 19:06 . 2008-05-08 20:57 <DIR> d-------- C:\WINDOWS\l2schemas
2008-05-08 18:56 . 2008-05-08 18:56 0 --a------ C:\WINDOWS\system32\ftpupd.exe
2008-05-08 18:51 . 2007-08-10 20:44 33,656 --a------ C:\WINDOWS\system32\sprecovr.exe
2008-05-08 18:44 . 2006-12-29 00:31 19,569 --a------ C:\WINDOWS\002540_.tmp
2008-05-08 18:39 . 2002-08-29 14:00 13,463,552 --a------ C:\WINDOWS\system32\dllcache\hwxjpn.dll
2008-05-08 18:38 . 2002-08-29 14:00 3,346,432 --a------ C:\WINDOWS\system32\dllcache\msgr3en.dll
2008-05-08 18:37 . 2002-08-29 14:00 2,028,032 --a------ C:\WINDOWS\system32\dllcache\cdosys.dll
2008-05-08 18:36 . 2005-05-04 14:45 2,890,240 --a------ C:\WINDOWS\system32\msi.dll
2008-05-08 18:34 . 2002-08-29 14:00 2,044,416 --a------ C:\WINDOWS\system32\ntoskrnl.exe
2008-05-08 18:33 . 2008-05-08 18:33 <DIR> d-------- C:\WINDOWS\EHome
2008-05-08 18:16 . 2008-05-08 18:16 <DIR> d-------- C:\WINDOWS\system32\CatRoot_bak
2008-05-08 18:12 . 2008-05-08 18:16 <DIR> d-------- C:\9fc653228f735525443ccf19a93ab187
2008-05-08 14:49 . 2008-05-08 14:50 <DIR> d-------- C:\Programme\Panda Security
2008-05-08 13:55 . 2008-05-11 23:24 78 --a------ C:\WINDOWS\system32\i
2008-05-08 13:27 . 2008-05-08 13:27 <DIR> d-------- C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT.000
2008-05-08 13:27 . 2008-05-08 13:27 <DIR> d-------- C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT
2008-05-08 13:27 . <DIR> C:\Dokumente und Einstellungen\NetworkService.NT-AUTORIT-T\Lokale Einstellungen
2008-05-08 13:27 . <DIR> C:\Dokumente und Einstellungen\NetworkService.NT-AUTORIT-T.000\Lokale Einstellungen
2008-05-08 13:27 . <DIR> C:\Dokumente und Einstellungen\NetworkService.NT-AUTORIT-T.000\Lokale Einstellungen
2008-05-08 13:27 . 2008-05-08 13:27 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT.000
2008-05-08 13:27 . 2008-05-08 13:27 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT
2008-05-08 13:27 . <DIR> C:\Dokumente und Einstellungen\LocalService.NT-AUTORIT-T\Lokale Einstellungen
2008-05-08 13:27 . <DIR> C:\Dokumente und Einstellungen\LocalService.NT-AUTORIT-T.000\Lokale Einstellungen
2008-05-08 13:27 . <DIR> C:\Dokumente und Einstellungen\LocalService.NT-AUTORIT-T.000\Lokale Einstellungen
2008-05-08 13:05 . 2008-05-11 23:06 1,024 --ah----- C:\Dokumente und Einstellungen\Default User.WINDOWS\ntuser.dat.LOG
2008-05-08 12:55 . 2008-05-08 12:55 <DIR> d-------- C:\Programme\CCleaner
2008-05-07 23:52 . 2008-05-08 12:38 109,853 --a------ C:\WINDOWS\BM7f86f636.xml
2008-05-07 09:09 . 2008-05-07 09:09 <DIR> d---s---- C:\Dokumente und Einstellungen\Michaela.PSYCHOKA-OZEQRW\UserData
2008-05-07 01:57 . 2008-05-07 01:57 <DIR> d-------- C:\Programme\Avira
2008-05-07 01:57 . 2008-05-07 01:57 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira
2008-05-07 01:31 . 2008-05-07 01:31 <DIR> d-------- C:\Dokumente und Einstellungen\Michaela.PSYCHOKA-OZEQRW\Anwendungsdaten\TuneUp Software
2008-05-07 01:31 . 2008-05-07 01:31 354,560 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-05-07 01:31 . 2008-04-04 14:51 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-05-07 01:30 . 2008-05-07 01:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TuneUp Software
2008-05-07 01:08 . 2008-05-06 23:23 249 --a------ C:\WINDOWS\system32\$winnt$.inf
2008-05-07 01:05 . 2008-05-07 01:05 0 --a------ C:\WINDOWS\nsreg.dat
2008-05-07 01:03 . 2008-05-08 21:17 <DIR> d-------- C:\WINDOWS\system32\bits
2008-05-07 01:00 . 2008-05-07 01:29 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-05-07 01:00 . 2007-08-10 20:44 26,488 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-05-07 00:53 . 2008-05-07 00:53 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Messenger Plus!
2008-05-07 00:53 . 2007-07-30 19:19 549,720 --a------ C:\WINDOWS\system32\wuapi.dll
2008-05-07 00:53 . 2007-07-30 19:19 325,976 --a------ C:\WINDOWS\system32\wucltui.dll
2008-05-07 00:53 . 2007-07-30 19:19 216,408 --a------ C:\WINDOWS\system32\wuaucpl.cpl
2008-05-07 00:53 . 2007-07-30 19:19 203,096 --a------ C:\WINDOWS\system32\wuweb.dll
2008-05-07 00:53 . 2007-07-30 19:18 33,624 --a------ C:\WINDOWS\system32\wups.dll
2008-05-07 00:53 . 2008-05-07 00:53 268 --ah----- C:\sqmdata00.sqm
2008-05-07 00:53 . 2008-05-07 00:53 244 --ah----- C:\sqmnoopt00.sqm
2008-05-07 00:50 . 2008-05-11 21:27 <DIR> d-------- C:\Dokumente und Einstellungen\Michaela.PSYCHOKA-OZEQRW\Contacts
2008-05-07 00:35 . 2008-05-07 08:10 <DIR> d-------- C:\Programme\Circle Developement
2008-05-07 00:33 . 2008-05-07 00:33 <DIR> d-------- C:\Programme\Windows Live
2008-05-07 00:33 . 2008-05-07 00:35 <DIR> d-------- C:\Programme\Messenger Plus! Live
2008-05-07 00:13 . 2003-04-16 12:21 7,168 --a------ C:\WINDOWS\suecmdial.dll
2008-05-07 00:13 . 2001-08-17 14:59 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys
2008-05-07 00:12 . 2001-08-17 13:19 40,704 --a------ C:\WINDOWS\system32\drivers\es1371mp.sys
2008-05-07 00:12 . 2001-08-17 13:13 27,165 --a------ C:\WINDOWS\system32\drivers\fetnd5.sys
2008-05-07 00:12 . 2001-08-17 15:00 2,944 --a------ C:\WINDOWS\system32\drivers\msmpu401.sys
2008-05-07 00:10 . 2008-05-06 23:16 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User.WINDOWS\Vorlagen
2008-05-07 00:10 . 2008-05-07 00:10 <DIR> dr------- C:\Dokumente und Einstellungen\Default User.WINDOWS\Startmen
2008-05-07 00:10 . 2008-05-07 00:10 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User.WINDOWS\Netzwerkumgebung
2008-05-07 00:10 . 2008-05-11 23:22 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User.WINDOWS\Lokale Einstellungen
2008-05-07 00:10 . 2008-05-07 00:10 <DIR> d-------- C:\Dokumente und Einstellungen\Default User.WINDOWS\Favoriten
2008-05-07 00:10 . 2008-05-07 00:10 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User.WINDOWS\Druckumgebung
2008-05-07 00:10 . 2008-05-07 00:10 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users.WINDOWS\Vorlagen
2008-05-07 00:10 . 2008-05-08 19:10 <DIR> dr------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmen
2008-05-07 00:10 . 2008-05-07 00:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Favoriten
2008-05-07 00:10 . 2008-05-06 23:17 <DIR> dr------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Dokumente
2008-05-07 00:09 . 2008-05-07 00:10 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User.WINDOWS\Anwendungsdaten
2008-05-07 00:09 . 2008-05-08 13:05 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User.WINDOWS
2008-05-07 00:09 . 2008-05-11 23:26 <DIR> dr-h----- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten
2008-05-07 00:09 . 2008-05-06 23:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS
2008-05-07 00:09 . 2008-05-07 00:54 1,847,092 --a------ C:\WINDOWS\setupapi.log.0.old
2008-05-07 00:09 . 2002-08-29 14:00 1,086,182 -ra------ C:\WINDOWS\SET3.tmp
2008-05-07 00:06 . 2003-06-16 11:05 765,952 -ra------ C:\WINDOWS\system\crlds3d.dll
2008-05-07 00:06 . 2003-06-16 11:05 720,896 -ra------ C:\WINDOWS\system32\a3d.dll
2008-05-07 00:06 . 2003-06-16 11:05 369,920 -ra------ C:\WINDOWS\system32\drivers\viaudios.sys
2008-05-07 00:03 . 2003-07-28 15:19 4,841,472 -ra------ C:\WINDOWS\system32\nvcpl.dll
2008-05-06 23:58 . 2003-02-20 06:09 1,892,352 -ra------ C:\WINDOWS\system32\cmiwcnfg.dll
2008-05-06 23:58 . 2003-03-25 10:34 929,792 -ra------ C:\WINDOWS\system\cmicnfg.cpl
2008-05-06 23:58 . 2002-04-29 09:04 917,504 -ra------ C:\WINDOWS\system\cmids3d.dll
2008-05-06 23:58 . 2003-03-25 02:13 741,583 -ra------ C:\WINDOWS\system32\drivers\cmuda.sys
2008-05-06 23:58 . 2001-11-23 06:08 712,704 -ra------ C:\WINDOWS\system32\Audio3D.dll
2008-05-06 23:58 . 2003-02-21 06:02 229,376 -ra------ C:\WINDOWS\system32\cmirmdrv.exe
2008-05-06 23:58 . 2003-03-25 06:30 69,632 -ra------ C:\WINDOWS\system32\cmuda.dll
2008-05-06 23:58 . 2003-02-16 07:59 32,768 -ra------ C:\WINDOWS\system32\udaprop.dll
2008-05-06 23:58 . 2003-02-18 12:26 28,672 -ra------ C:\WINDOWS\system32\cmirmdrv.dll
2008-05-06 23:51 . 2004-06-04 14:35 135,168 -ra------ C:\WINDOWS\UNDPX2K.exe
2008-05-06 23:51 . 2004-06-04 14:34 53,693 -ra------ C:\WINDOWS\UNDPX2K.sys
2008-05-06 23:51 . 2004-06-10 18:42 15,429 -ra------ C:\WINDOWS\system32\drivers\Sacm2K.sys
2008-05-06 23:38 . 2008-05-07 02:02 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-05-06 23:38 . 2008-05-06 23:38 <DIR> d-------- C:\Dokumente und Einstellungen\Michaela.PSYCHOKA-OZEQRW\Anwendungsdaten\Symantec
2008-05-06 23:37 . 2008-05-07 02:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Symantec
2008-05-06 23:35 . 2002-05-24 19:42 45,056 -ra------ C:\WINDOWS\system32\WNTSETUP.DLL
2008-05-06 23:35 . 2000-10-25 22:27 3,000 -ra------ C:\WINDOWS\system32\SetupNT.sys
2008-05-06 23:35 . 2008-05-06 23:55 3 --a------ C:\WINDOWS\system32\BSETUP.TMP
2008-05-06 23:28 . 2008-05-06 23:16 <DIR> d--h----- C:\Dokumente und Einstellungen\Michaela.PSYCHOKA-OZEQRW\Vorlagen
2008-05-06 23:28 . 2008-05-07 00:10 <DIR> dr------- C:\Dokumente und Einstellungen\Michaela.PSYCHOKA-OZEQRW\Startmen
2008-05-06 23:28 . 2008-05-07 00:10 <DIR> d--h----- C:\Dokumente und Einstellungen\Michaela.PSYCHOKA-OZEQRW\Netzwerkumgebung
2008-05-06 23:28 . 2008-05-11 23:27 <DIR> d--h----- C:\Dokumente und Einstellungen\Michaela.PSYCHOKA-OZEQRW\Lokale Einstellungen
2008-05-06 23:28 . 2008-05-08 18:04 <DIR> dr------- C:\Dokumente und Einstellungen\Michaela.PSYCHOKA-OZEQRW\Favoriten
2008-05-06 23:28 . 2008-05-11 01:30 <DIR> dr------- C:\Dokumente und Einstellungen\Michaela.PSYCHOKA-OZEQRW\Eigene Dateien
2008-05-06 23:28 . 2008-05-07 00:10 <DIR> d--h----- C:\Dokumente und Einstellungen\Michaela.PSYCHOKA-OZEQRW\Druckumgebung
2008-05-06 23:28 . 2008-05-11 23:26 <DIR> dr-h----- C:\Dokumente und Einstellungen\Michaela.PSYCHOKA-OZEQRW\Anwendungsdaten
2008-05-06 23:28 . 2008-05-11 22:07 <DIR> d-------- C:\Dokumente und Einstellungen\Michaela.PSYCHOKA-OZEQRW
2008-05-06 23:28 . 2008-05-11 22:08 1,310,720 --ah----- C:\Dokumente und Einstellungen\Michaela.PSYCHOKA-OZEQRW\NTUSER.DAT_BAK_17667
2008-05-06 23:28 . 2008-05-11 23:29 1,024 --ah----- C:\Dokumente und Einstellungen\Michaela.PSYCHOKA-OZEQRW\ntuser.dat.LOG
2008-05-06 23:24 . 2008-05-11 22:07 <DIR> d--hs---- C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITŽT.000
2008-05-06 23:24 . 2008-05-11 22:07 <DIR> d--hs---- C:\Dokumente und Einstellungen\LocalService.NT-AUTORITŽT.000
2008-05-06 23:24 . 2008-05-06 23:24 8,192 --a------ C:\WINDOWS\REGLOCS.OLD
2008-05-06 23:22 . 2002-08-29 14:00 1,875,968 --a--c--- C:\WINDOWS\system32\dllcache\msir3jp.lex
2008-05-06 23:21 . 2002-08-29 14:00 10,129,408 --a--c--- C:\WINDOWS\system32\dllcache\hwxkor.dll
2008-05-06 23:20 . 2001-08-18 04:54 2,134,528 --a--c--- C:\WINDOWS\system32\dllcache\EXCH_smtpsnap.dll
2008-05-06 23:20 . 2008-05-08 21:26 299,552 --a------ C:\WINDOWS\WMSysPrx.prx
2008-05-06 23:20 . 2001-08-18 04:54 175,616 --a--c--- C:\WINDOWS\system32\dllcache\EXCH_smtpadm.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-06 21:20 558,142 ----a-w C:\WINDOWS\java\Packages\pvr35rzp.zip
2008-05-06 21:20 155,995 ----a-w C:\WINDOWS\java\Packages\f7tvhb9b.zip
2008-05-01 08:26 --------- d-----w C:\Programme\microsoft frontpage
2008-05-01 08:25 --------- d-----w C:\Programme\Online-Dienste
2008-05-01 08:24 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
.

------- Sigcheck -------

.
((((((((((((((((((((((((((((( snapshot_2008-05-11_23.21.47.50 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-11 21:17:51 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-11 21:28:37 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvMediaCenter"="C:\WINDOWS\System32\NVMCTRAY.DLL" [2003-07-28 15:19 49152]
"SIGN 1"="C:\DOKUME~1\MICHAE~1.PSY\ANWEND~1\BUILDR~1\Settings cool mp3.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"sysPersonalFirewall"=taskmangr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices-]
"sysPersonalFirewall"=taskmangr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2008-01-21 18:11]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-01-21 18:12]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2002-08-29 14:00]
R3 WinDSLa;WinDSL-Adapter (PPP-over-Ethernet);C:\WINDOWS\System32\DRIVERS\WinDSL.sys [2002-02-08 05:50]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-05-07 01:31]
S3 WinDSLp;%WinDSLp_Desc%;C:\WINDOWS\System32\DRIVERS\WinDSL.sys [2002-02-08 05:50]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-05-11 21:00:02 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-11 23:29:01
Windows 5.1.2600 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\rundll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-11 23:32:22 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-11 21:32:18
ComboFix2.txt 2008-05-11 21:22:09
ComboFix3.txt 2008-05-08 11:27:02

9 Verzeichnis(se), 72,286,707,712 Bytes frei
10 Verzeichnis(se), 72,275,255,296 Bytes frei

256 --- E O F --- 2008-05-06 23:03:54


logdatei vin sdfix

SDFix: Version 1.181
Run by Michaela on 12.05.2008 at 00:12

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\DOKUME~1\MICHAE~1.PSY\Desktop\SDFix\SDFix

Checking Services :


Restoring Windows Registry Values
Restoring Windows Default Hosts File
Restoring Default HKCU HomePage

Rebooting


Checking Files :

Trojan Files Found:

C:\WINDOWS\SYSTEM32\FTPUPD.EXE - Deleted
C:\WINDOWS\SYSTEM32\WMSOFT~1.EXE - Deleted
C:\KVVNAH~1.EXE - Deleted
C:\WINDOWS\system32\TFTP1276 - Deleted
C:\WINDOWS\system32\TFTP564 - Deleted
C:\WINDOWS\system32\wmsoft47657.exe - Deleted
C:\WINDOWS\system32\i - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1359.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-12 00:15:11
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

Remaining Files :


File Backups: - C:\DOKUME~1\MICHAE~1.PSY\Desktop\SDFix\SDFix\backups\backups.zip

Files with Hidden Attributes :

Sun 4 May 2008 44,184 ..SH. --- "C:\lox.exe"

Finished!
__________
Wer keine Angst hat, hat keine Phantasie...!
Dieser Beitrag wurde am 12.05.2008 um 00:23 Uhr von SeelenZauber editiert.
Seitenanfang Seitenende
12.05.2008, 09:19
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 Hallo,

1.
Virustotal http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\sprecovr.exe

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren

----------------------------------------------------------------

2.
Gehe in die Registry
Start - Ausführen - regedit

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001 - in 0 ändern
"AntiVirusDisableNotify"=dword:00000001 - in 0 ändern
"AntiVirusOverride"=dword:00000001 - in 0 ändern
"FirewallOverride"=dword:00000001 - in 0 ändern

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0) - in 1 ändern
"DisableNotifications"= 1 - in 0 ändern


Beispiel:
rechtsklick auf den Eintrag "AntiVirusDisableNotify"



die 1 wegklicken und 0 reinschreiben, dann abspeichern




3.
erstelle eine neue cfscript.txt(Änderung der erst erstellten zulassen) - dann wieder auf das Symbol von Combofix ziehen + Combofix anwenden

Zitat

KILLALL::

Driver::
Microsoft Xp update

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SIGN 1"=-
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"sysPersonalFirewall"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices-]
"sysPersonalFirewall"=-

File::
C:\WINDOWS\system32\ftpupd.exe
C:\WINDOWS\system32\i
C:\WINDOWS\system32\wmsoft47657.exe
C:\WINDOWS\BM7f86f636.xml
C:\lox.exe
------------------

4.
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

5.
sdfix
im Normalmodus
RunThis.bat doppelt klicken

reinschreiben: 3

1 : es wird a-squared geladen
2 : wird Norman geladen
3 : wird Sophos geladen



bei Option 6 - erfolgt ein Fullscan + löschen der infizierten Dateien
poste den report hier - "SophosReport.txt" (im SDFix-Ordner)


6.
scanne mit Bitdefender + poste den report hier
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.05.2008, 09:51
Member

Themenstarter
Avatar SeelenZauber

Beiträge: 13
#13 Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.10.0 2008.05.10 -
AntiVir 7.8.0.17 2008.05.11 -
Authentium 4.93.8 2008.05.11 -
Avast 4.8.1169.0 2008.05.11 -
AVG 7.5.0.516 2008.05.11 -
BitDefender 7.2 2008.05.08 -
CAT-QuickHeal 9.50 2008.05.10 -
ClamAV 0.92.1 2008.05.12 -
DrWeb 4.44.0.09170 2008.05.12 -
eSafe 7.0.15.0 2008.05.12 -
eTrust-Vet 31.4.5772 2008.05.09 -
Ewido 4.0 2008.05.11 -
F-Prot 4.4.2.54 2008.05.12 -
F-Secure 6.70.13260.0 2008.05.12 -
Fortinet 3.14.0.0 2008.05.12 -
Ikarus T3.1.1.26.0 2008.05.12 -
Kaspersky 7.0.0.125 2008.05.12 -
McAfee 5292 2008.05.10 -
Microsoft 1.3408 2008.05.12 -
NOD32v2 3091 2008.05.12 -
Norman 5.80.02 2008.05.09 -
Panda 9.0.0.4 2008.05.11 -
Prevx1 V2 2008.05.12 -
Rising 20.43.62.00 2008.05.11 -
Sophos 4.29.0 2008.05.12 -
Sunbelt 3.0.1114.0 2008.05.12 -
Symantec 10 2008.05.12 -
TheHacker 6.2.92.307 2008.05.12 -
VBA32 3.12.6.5 2008.05.12 -
VirusBuster 4.3.26:9 2008.05.11 -
Webwasher-Gateway 6.6.2 2008.05.11 -
weitere Informationen
File size: 33656 bytes
MD5...: 8f4aae6683f68424133869cd87d1d522
SHA1..: 786abf400e3e53a6ded5012800204a25a6d94ad1
SHA256: 3942ebd34e136472195f7981ed4ebcf78986f04fcd0acaf7bd5f3f9c87853f00
SHA512: bf29a946471a98a03554ca463c478db5bb46040aba684bff3d681d11f854b96f
69b8eb93f32d21a332a58063f1b19b36aa37e3183306458a1febbb713a730e07
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1004ebc
timedatestamp.....: 0x46aa061a (Fri Jul 27 14:50:02 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4cb0 0x4e00 6.36 e178eb75bf687f33eff49a5f4128ef1d
.data 0x6000 0x83a0 0x200 0.20 86a789a893c60d5e207d053188cdc250
.rsrc 0xf000 0x534 0x600 3.80 501924e7233eca08486432846242ee8f
.reloc 0x10000 0x3fa 0x400 5.72 a5d366c018eff727fb6c405b599caee2

( 1 imports )
> ntdll.dll: RtlAllocateHeap, RtlFreeHeap, NtQueryInformationFile, NtClose, NtMapViewOfSection, NtCreateSection, NtUnmapViewOfSection, NtCreateFile, RtlInitUnicodeString, wcscpy, NtSetInformationFile, NtOpenFile, wcslen, NtFsControlFile, NtWriteFile, _wcsicmp, LdrAccessResource, LdrFindResource_U, swprintf, wcsrchr, RtlTimeToTimeFields, RtlSystemTimeToLocalTime, NtQuerySystemTime, _alldiv, NtAdjustPrivilegesToken, NtOpenProcessToken, NtShutdownSystem, towupper, RtlAnsiStringToUnicodeString, RtlInitAnsiString, RtlFreeUnicodeString, RtlDosPathNameToNtPathName_U, RtlCreateUnicodeString, RtlFindMessage, _vsnprintf, sprintf, NtSetValueKey, memmove, NtQueryValueKey, NtOpenKey, NtDisplayString, _strnicmp, strchr, NtReadFile, RtlUnicodeStringToAnsiString, _wcsnicmp, NtDeleteValueKey, NtTerminateProcess, RtlUnhandledExceptionFilter, RtlUnwind, NtQueryVirtualMemory, DbgBreakPoint, RtlFreeAnsiString, RtlNormalizeProcessParams

( 0 exports )
__________
Wer keine Angst hat, hat keine Phantasie...!
Seitenanfang Seitenende
12.05.2008, 09:52
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 o.k. nun wende alles weitere an - ich habe das combofix -script editiert. (also die seite hier "neu laden"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.05.2008, 10:06
Member

Themenstarter
Avatar SeelenZauber

Beiträge: 13
#15 wenn ich das neu erstellte cfscript.txt auf Combofix ziehe, passiert nichts.
Jetzt habe ich die genannten schritte durch, aber ich komme erst gar nicht zu option 6.. Ich glaube ich hab was falsch gemacht. Aber was?
--------------------------------------------
__________
Wer keine Angst hat, hat keine Phantasie...!
Dieser Beitrag wurde am 12.05.2008 um 10:37 Uhr von SeelenZauber editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: