malwarrior..... |
||
|---|---|---|
| #0
| ||
|
15.05.2008, 23:50
Member
Beiträge: 13 |
||
 
|
|
|
|
16.05.2008, 00:08
Ehrenmitglied
 Beiträge: 29434 |
#2
Hallo,
Information............ http://virus-protect.org/artikel/spyware/malwarrior-remove.html ------------------- 1.. poste ein Log vom HijackThis http://virus-protect.org/hjtkurz.html Beim Erststart: Do a system scan and save a logfile - es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und im Sicherheits-Forum mit rechtem Mausklick "einfügen" ------------ 2. wende rvaxo an + poste hier den report http://virus-protect.org/artikel/tools/rvaxo.html 3. cleaner anwenden + die temp-Dateien löschen http://www.ccleaner.de/?protecus.de 4. wende Combofix an + Warnmeldung wegklicken - poste hier den report http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
16.05.2008, 00:26
Member
Themenstarter Beiträge: 13 |
#3
ravaxo:
---RVAXO.exe Updated: 2008-05-15---first run--- Uninstallers: Files found: C:\WINDOWS\system32\GOqYIRqr.ini2 C:\WINDOWS\system32\opXwwyay.ini2 C:\WINDOWS\system32\vafbxpta.ini2 C:\WINDOWS\system32\WHRCJRqr.ini2 C:\WINDOWS\fvowketqxfo.dll C:\WINDOWS\mpfanvqg.dll C:\WINDOWS\oadkxrts.exe C:\WINDOWS\wininit.ini C:\WINDOWS\system32\clkcnt.txt C:\WINDOWS\system32\mcrh.tmp Folders Found: Hosts-file was reset, If you use a custom hosts file please replace it... --------------RVAXO.exe last run--------------- Not deleted items: hijack: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:29:42, on 16.05.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Spyware Doctor\SDTrayApp.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Microsoft ActiveSync\wcescomm.exe C:\Programme\Uniblue\RegistryBooster 2\RegistryBooster.exe C:\Programme\Windows Live\Messenger\msnmsgr.exe C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe C:\WINDOWS\system\host.exe C:\PROGRA~1\MI3AA1~1\rapimgr.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\PnkBstrA.exe c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe C:\Programme\Spyware Doctor\svcntaux.exe C:\Programme\Spyware Doctor\swdsvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\atwtusb.exe C:\WINDOWS\System32\msiexec.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\System32\alg.exe C:\Programme\Windows Live\Messenger\usnsvc.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\wbem\wmiprvse.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\proxy.pac R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: pvnsmfor - {755F70ED-8112-4AEA-B77B-E11296C79DA7} - (no file) O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SDTray] C:\Programme\Spyware Doctor\SDTrayApp.exe O4 - HKLM\..\Run: [38219cc9] rundll32.exe "C:\WINDOWS\system32\atpxbfav.dll",b O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe" O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] C:\Programme\Uniblue\RegistryBooster 2\RegistryBooster.exe /S O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" autostart O4 - HKCU\..\Run: [vhost] C:\WINDOWS\system\host.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &Download by NetAnts - C:\PROGRA~1\NetAnts\NAGet.htm O8 - Extra context menu item: Download &All by NetAnts - C:\PROGRA~1\NetAnts\NAGetAll.htm O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NetAnts\NetAnts.exe O9 - Extra 'Tools' menuitem: &NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NetAnts\NetAnts.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (file missing) (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (file missing) (HKCU) O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1169112239375 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1169289655500 O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://nicolebachmann.spaces.live.com/PhotoUpload/MsnPUpld.cab O21 - SSODL: mpfanvqg - {5DB4D4A5-FC7F-44C6-BE59-0791574CCD64} - C:\WINDOWS\mpfanvqg.dll (file missing) O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: Capture Device Service - InterVideo Inc. - C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe O23 - Service: GhostStartService - Symantec Corporation - C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: NBService - Nero AG - F:\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Unknown owner - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe (file missing) O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: WTService - Unknown owner - C:\WINDOWS\system32\atwtusb.exe -- End of file - 11042 bytes combofix: ComboFix 08-05-15.2 - Tnaf 2008-05-16 0:51:56.5 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2464 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Tnaf\Desktop\ComboFix.exe [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\iiffcbaw.dll C:\WINDOWS\system32\wabcffii.ini C:\WINDOWS\system32\wabcffii.ini2 . ---- Previous Run ------- . C:\WINDOWS\system32\igrbedqd.ini C:\WINDOWS\system32\igrbedqd.tmp C:\WINDOWS\system32\igrbedqd.tmp2 C:\WINDOWS\system32\rqRJCRHW.dll C:\WINDOWS\system32\sysdm.exe C:\WINDOWS\system32\tdmbecra.ini C:\WINDOWS\system32\tvtshvkv.ini C:\WINDOWS\system32\vafbxpta.ini2 C:\WINDOWS\system32\vafbxpta.tmp C:\WINDOWS\system32\WHRCJRqr.ini C:\WINDOWS\system32\WHRCJRqr.ini2 . ((((((((((((((((((((((( Dateien erstellt von 2008-04-15 bis 2008-05-15 )))))))))))))))))))))))))))))) . 2008-05-16 00:59 . 2008-05-16 00:59 294 ---hs---- C:\WINDOWS\system32\fvllfvdr.ini2 2008-05-16 00:52 . 2008-05-16 00:52 1,410,792 ---hs---- C:\WINDOWS\system32\fvllfvdr.tmp 2008-05-16 00:47 . 2008-05-16 00:47 91,264 --a------ C:\WINDOWS\system32\rdvfllvf.dll 2008-05-16 00:41 . 2008-05-16 00:41 294 ---hs---- C:\WINDOWS\system32\vafbxpta.ini 2008-05-16 00:26 . 2008-05-16 00:26 <DIR> d-------- C:\Programme\Trend Micro 2008-05-16 00:16 . 2008-05-16 00:20 <DIR> d-------- C:\RVAXO 2008-05-16 00:14 . 2008-05-16 00:16 163,726 --a------ C:\RVAXO.reg 2008-05-16 00:12 . 2008-05-15 18:11 822,060 --a------ C:\WINDOWS\system32\RVAXO.bat 2008-05-16 00:12 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe 2008-05-16 00:08 . 2008-05-16 00:08 <DIR> d-------- C:\Programme\AbsoluteTransfer 2008-05-16 00:04 . 2008-05-16 00:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited 2008-05-15 19:19 . 2008-05-15 21:40 <DIR> d-------- C:\Programme\Spyware Doctor 2008-05-15 19:19 . 2008-05-15 19:19 <DIR> d-------- C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\PC Tools 2008-05-15 19:19 . 2007-04-19 15:18 83,536 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys 2008-05-15 19:19 . 2007-04-19 15:18 59,984 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys 2008-05-15 19:19 . 2007-04-19 15:18 52,304 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys 2008-05-15 19:19 . 2007-04-19 15:18 39,248 --a------ C:\WINDOWS\system32\drivers\ikfileflt.sys 2008-05-15 19:19 . 2007-04-19 15:18 26,064 --a------ C:\WINDOWS\system32\drivers\kcom.sys 2008-05-15 13:14 . 2008-05-15 23:55 1,830 --ahs---- C:\WINDOWS\system32\GOqYIRqr.ini 2008-05-15 12:02 . 2008-05-15 12:02 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Uniblue 2008-05-15 11:47 . 2008-05-15 13:04 877 --ahs---- C:\WINDOWS\system32\opXwwyay.ini 2008-05-15 11:16 . 2008-05-15 11:16 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien 2008-05-15 11:05 . 2008-05-15 03:48 217,088 --a------ C:\WINDOWS\fvowketqxfo.rvaxo 2008-05-15 11:05 . 2008-05-15 03:47 196,608 --a------ C:\WINDOWS\mpfanvqg.dllRVAXO 2008-05-15 11:05 . 2008-05-15 03:48 94,208 --a------ C:\WINDOWS\epfg.exe 2008-05-15 11:05 . 2008-05-15 11:05 28,800 --a------ C:\WINDOWS\system32\urqNGxXR.dll 2008-05-15 10:33 . 2008-05-15 10:33 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Protexis 2008-05-15 10:33 . 2008-05-15 10:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Corel 2008-05-15 10:32 . 2008-05-15 10:32 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Corel 2008-05-15 09:39 . 2008-05-15 09:39 32 --a------ C:\WINDOWS\CD_Start.INI 2008-05-14 18:40 . 2008-05-14 18:40 <DIR> d-------- C:\Programme\Lavasoft 2008-05-14 18:40 . 2008-05-14 18:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-05-14 18:28 . 2008-05-14 18:28 0 --ah----- C:\Dokumente und Einstellungen\Tnaf\NTUSER.DAT_TU_23388.LOG 2008-05-14 18:28 . 2008-05-14 18:28 0 --ah----- C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT_TU_47571.LOG 2008-05-14 18:28 . 2008-05-14 18:28 0 --ah----- C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT_TU_49783.LOG 2008-05-14 17:35 . 2001-08-18 04:34 18,176 --a------ C:\WINDOWS\system32\drivers\sermouse.sys 2008-05-14 17:35 . 2001-08-18 04:34 18,176 --a--c--- C:\WINDOWS\system32\dllcache\sermouse.sys 2008-05-14 17:06 . 2008-05-14 21:09 <DIR> d-------- C:\Programme\Secabo 2008-05-14 16:56 . 2008-05-14 16:56 <DIR> d-------- C:\Programme\Uniblue 2008-05-14 16:56 . 2008-05-14 16:56 <DIR> d-------- C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\Uniblue 2008-05-14 16:52 . 2008-05-14 16:52 <DIR> d-------- C:\Programme\TuneUp Utilities 2008 2008-05-14 16:52 . 2008-05-14 16:52 306,432 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe 2008-05-14 16:52 . 2007-09-04 11:59 29,704 --a------ C:\WINDOWS\system32\uxtuneup.dll 2008-05-13 12:35 . 1998-01-23 13:32 299,520 --a------ C:\WINDOWS\IsUn0804.exe 2008-05-05 04:51 . 2008-05-05 04:51 <DIR> d-------- C:\Programme\peppi_clipart 2008-05-05 04:51 . 2008-05-05 04:50 724,480 --a------ C:\WINDOWS\system\host.exe 2008-05-05 04:51 . 2008-05-05 04:51 6 --a------ C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\syslog2.dll 2008-05-04 18:28 . 2008-05-04 18:28 <DIR> d-------- C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\Ubisoft 2008-05-04 18:27 . 2008-05-04 18:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ubisoft 2008-05-04 18:27 . 2007-10-12 15:14 3,734,536 --a------ C:\WINDOWS\system32\d3dx9_36.dll 2008-05-04 18:27 . 2007-10-12 15:14 1,374,232 --a------ C:\WINDOWS\system32\D3DCompiler_36.dll 2008-05-04 18:27 . 2007-10-02 09:56 444,776 --a------ C:\WINDOWS\system32\d3dx10_36.dll 2008-05-04 18:27 . 2007-10-22 03:39 267,272 --a------ C:\WINDOWS\system32\xactengine2_10.dll 2008-05-04 18:27 . 2007-07-20 00:57 267,112 --a------ C:\WINDOWS\system32\xactengine2_9.dll 2008-05-04 18:26 . 2007-06-20 20:46 266,088 --a------ C:\WINDOWS\system32\xactengine2_8.dll 2008-05-04 18:26 . 2007-10-22 03:37 17,928 --a------ C:\WINDOWS\system32\X3DAudio1_2.dll 2008-05-01 23:30 . 2008-05-16 00:56 12 --a------ C:\WINDOWS\bthservsdp.dat 33 Datei(en) . 36,767,205 C:\ComboFix\Bytes 13 Datei(en) . 6,508,564 C:\ComboFix\Bytes 13 Datei(en) . 4,202,686 C:\ComboFix\Bytes 5 Datei(en) . 37,144 C:\ComboFix\Bytes 2 Datei(en) . 45,186 C:\ComboFix\Bytes 2 Datei(en) . 2,590 C:\ComboFix\Bytes . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-05-15 15:35 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-05-15 08:50 2,516 --sha-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\KGyGaAvL.sys 2008-05-15 08:34 --------- d-----w C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\Corel 2008-05-15 08:31 --------- d-----w C:\Programme\Corel 2008-05-14 16:40 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-05-14 16:37 --------- d-----w C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\Lavasoft 2008-05-13 19:36 --------- d-----w C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\The Bat! 2008-05-13 08:36 --------- d-----w C:\Programme\eMule 2008-05-04 16:16 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-04-29 15:54 --------- d-----w C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\U3 2008-03-31 07:29 --------- d-----w C:\Programme\AGEIA Technologies 2008-03-30 11:16 --------- d-----w C:\Programme\Grinbo 2008-03-30 11:10 --------- d-----w C:\Programme\xp-AntiSpy 2008-03-30 11:10 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ulead Systems 2008-03-29 21:54 --------- d-----w C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\Apple Computer 2008-03-26 16:39 --------- d-----w C:\Programme\Microsoft ActiveSync 2008-03-26 16:27 --------- d-----w C:\Programme\Windows Mobile Device Handbook 2008-03-24 11:20 --------- d-----w C:\Programme\BitTorrent Fastest Tool 2008-03-21 11:12 --------- d-----w C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\Grisoft 2008-03-21 11:12 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft 2008-03-21 11:04 --------- d-----w C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\Media Player Classic 2008-03-21 11:03 --------- d-----w C:\Programme\K-Lite Codec Pack 2008-03-21 11:02 --------- d-----w C:\Programme\Gemeinsame Dateien\Real 2008-03-21 11:01 --------- d-----w C:\Programme\DivX 2008-03-17 23:08 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Elaborate Bytes 2008-03-17 22:55 --------- d-----w C:\Programme\DVD Shrink DE 2008-03-17 22:55 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink 2008-03-01 17:03 8 --sh--r C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\1FDD298875.sys 2008-02-20 14:29 691,545 ----a-w C:\WINDOWS\unins000.exe 2007-11-27 13:03 22,328 ----a-w C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\PnkBstrK.sys 2007-10-18 11:14 818 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\amlistx.dat 2007-06-21 21:57 25,600 ----a-w C:\Dokumente und Einstellungen\Tnaf\usbsermptxp.sys 2007-06-21 21:57 22,768 ----a-w C:\Dokumente und Einstellungen\Tnaf\usbsermpt.sys 2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll 2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll . ------- Sigcheck ------- 2007-06-13 15:21 4922368 e17ff70a9650e19c5bfdf8f7ac898835 C:\WINDOWS\explorer.exe 2007-06-13 15:10 1036288 331ed93570baf3cfe30340298762cd56 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe 2002-08-29 04:43 1007104 22b0a56e6c5847292437078b484ec61b C:\WINDOWS\$NtServicePackUninstall$\explorer.exe 2004-08-04 09:57 1035264 22fe1be02eadde1632e478e4125639e0 C:\WINDOWS\$NtUninstallKB938828$\explorer.exe 2007-06-13 15:21 4922368 e17ff70a9650e19c5bfdf8f7ac898835 C:\WINDOWS\ServicePackFiles\i386\explorer.exe 2007-06-13 15:21 1036288 64d320c0e301eedc5a4adbbdc5024f7f C:\WINDOWS\VCP_SAVE\explorer.exe . ((((((((((((((((((((((((((((( snapshot@2008-05-16_ 0.45.39.64 ))))))))))))))))))))))))))))))))))))))))) . - 2008-05-15 22:40:43 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-05-15 22:59:00 2,048 --s-a-w C:\WINDOWS\bootstat.dat . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{18CB1A7B-94CD-4582-8022-ADA16851E44B}] 2008-03-27 15:43 247296 --a------ C:\Programme\AbsoluteTransfer\AbsoluteTransfer.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{279345EA-3E20-4E66-8A73-EDC2EFCFA5CB}] C:\WINDOWS\system32\rqRIYqOG.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9673F57D-44CC-4B63-AF7B-91450A790407}] 2008-05-15 11:05 28800 --a------ C:\WINDOWS\system32\urqNGxXR.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4E26A3A-80E0-4467-B116-4F0DC4441C4A}] C:\WINDOWS\fvowketqxfo.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 14:50 1289000] "vhost"="C:\WINDOWS\system\host.exe" [2008-05-05 04:50 724480] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792] "38219cc9"="C:\WINDOWS\system32\rdvfllvf.dll" [2008-05-16 00:47 91264] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{9673F57D-44CC-4B63-AF7B-91450A790407}"= C:\WINDOWS\system32\urqNGxXR.dll [2008-05-15 11:05 28800] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "mpfanvqg"= {5DB4D4A5-FC7F-44C6-BE59-0791574CCD64} - C:\WINDOWS\mpfanvqg.dll [ ] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\urqNGxXR] urqNGxXR.dll 2008-05-15 11:05 28800 C:\WINDOWS\system32\urqNGxXR.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.I420"= i420vfw.dll "vidc.yv12"= yv12vfw.dll [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "SweetIM"=C:\Programme\Macrogaming\SweetIM\SweetIM.exe "ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" "ccleaner"="C:\Programme\CCleaner\CCleaner.exe" /AUTO "swg"=C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe "DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 "SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe "vhost"=C:\WINDOWS\system\host.exe "InstallProgram"=C:\DOKUME~1\Tnaf\LOKALE~1\Temp\setup_526_1_.exe "Uniblue RegistryBooster 2"=C:\Programme\Uniblue\RegistryBooster 2\RegistryBooster.exe /S "TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" autostart "msnmsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "ISUSPM Startup"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -startup "ISUSPM"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler "GhostStartTrayApp"=C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe "RTHDCPL"=RTHDCPL.EXE "SkyTel"=SkyTel.EXE "SweetIM"=C:\Programme\Macrogaming\SweetIM\SweetIM.exe "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" "ICQ Lite"="D:\Programme\ICQLite\ICQLite.exe" -minimize "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime "Alcmtr"=ALCMTR.EXE "NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe "BluetoothAuthenticationAgent"=rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent "NBKeyScan"="F:\Nero 7\Nero BackItUp\NBKeyScan.exe" "SWClient"=C:\Programme\SoftActivity\AMSys\swsys.exe "38219cc9"=rundll32.exe "C:\WINDOWS\system32\arcebmdt.dll",b "SDTray"=C:\Programme\Spyware Doctor\SDTrayApp.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "D:\\Programme\\ICQLite\\ICQLite.exe"= "C:\\Programme\\Teamspeak2_RC2\\server_windows.exe"= "G:\\Vietcong\\vietcong.exe"= "C:\\WINDOWS\\system32\\dpnsvr.exe"= "C:\\WINDOWS\\system32\\PnkBstrA.exe"= "C:\\WINDOWS\\system32\\PnkBstrB.exe"= "C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"= "C:\\Programme\\Mozilla Firefox\\firefox.exe"= "C:\\Programme\\eMule\\emule.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= "C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "G:\\Assassin's Creed\\AssassinsCreed_Dx9.exe"= "G:\\Assassin's Creed\\AssassinsCreed_Dx10.exe"= "G:\\Assassin's Creed\\AssassinsCreed_Launcher.exe"= "C:\\WINDOWS\\system\\host.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service R0 mv614x;mv614x;C:\WINDOWS\system32\DRIVERS\mv614x.sys [2006-07-03 13:21] R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-02-23 05:38] R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys [2006-02-23 05:39] R1 GhPciScan;GhostPciScanner;C:\Programme\Symantec\Norton Ghost 2003\ghpciscan.sys [2003-05-28 20:01] R2 PSI_SVC_2;Protexis Licensing V2;"c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe" [2007-07-24 11:15] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 09:58] R2 WTService;WTService;C:\WINDOWS\system32\atwtusb.exe [2006-12-08 14:47] R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\atl01_xp.sys [2006-08-22 07:36] S3 musbehco;musbehco;C:\DOKUME~1\Tnaf\LOKALE~1\Temp\musbehco.sys [] S3 SAgentDriver;SAgent Driver;C:\Programme\SoftActivity\AMSys\sagendrv.sys [] S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-05-14 16:52] S3 Usblink;Usblink Driver;C:\WINDOWS\system32\Drivers\ulink.sys [2003-06-03 00:28] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3bb00e2a-c9c5-11dc-bd81-0018f37fc7a4}] \Shell\AutoRun\command - E:\setupSNK.exe . Inhalt des "geplante Tasks" Ordners "2008-05-14 14:52:42 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUp Utilities 2008\OneClick.exe "2008-04-07 09:06:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Programme\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-16 00:59:41 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\system32\winlogon.exe -> C:\WINDOWS\system32\urqNGxXR.dll -> C:\Programme\Spyware Doctor\klg.dat PROCESS: C:\WINDOWS\system32\lsass.exe -> C:\Programme\Spyware Doctor\klg.dat PROCESS: C:\WINDOWS\explorer.exe -> C:\Programme\Spyware Doctor\klg.dat -> C:\WINDOWS\system32\rdvfllvf.dll PROCESS: C:\WINDOWS\system32\csrss.exe -> C:\Programme\Spyware Doctor\klg.dat . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\system32\ati2evxx.exe C:\WINDOWS\system32\ati2evxx.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\Spyware Doctor\svcntaux.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Spyware Doctor\swdsvc.exe C:\Programme\Microsoft ActiveSync\rapimgr.exe C:\WINDOWS\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-05-16 1:04:00 - machine was rebooted [Tnaf] ComboFix-quarantined-files.txt 2008-05-15 23:03:53 ComboFix2.txt 2007-11-08 15:10:57 13 Verzeichnis(se), 15,056,375,808 Bytes frei 16 Verzeichnis(se), 15,045,844,992 Bytes frei 297 --- E O F --- 2008-05-14 11:37:24 habe jetzt alle 4 schritte befolgt hoffe mir kaqnn jemand helfen mfg Odin Dieser Beitrag wurde am 16.05.2008 um 01:06 Uhr von odin2703 editiert.
|
|
|
|
|
|
|
16.05.2008, 10:08
Ehrenmitglied
Beiträge: 29434 |
#4
odin2703
Virustotal http://www.virustotal.com/flash/index_en.html C:\WINDOWS\system\host.exe C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\syslog2.dll Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren ------------------------------------------------------------------------ «« Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern  Zitat KILLALL::Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden. cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen  danach: Combofix noch einmal anwenden « poste das neue Log von Combofix __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
16.05.2008, 11:33
Member
Themenstarter Beiträge: 13 |
#5
Guten Morgen
hier das Log ComboFix 08-05-15.2 - Tnaf 2008-05-16 12:18:56.6 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2572 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Tnaf\Desktop\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\Tnaf\Desktop\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] FILE :: C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\syslog2.dll C:\WINDOWS\epfg.exe C:\WINDOWS\fvowketqxfo.dll C:\WINDOWS\fvowketqxfo.rvaxo C:\WINDOWS\mpfanvqg.dll C:\WINDOWS\mpfanvqg.dllRVAXO C:\WINDOWS\system\host.exe C:\WINDOWS\system32\fvllfvdr.ini2 C:\WINDOWS\system32\fvllfvdr.tmp C:\WINDOWS\system32\GOqYIRqr.ini C:\WINDOWS\system32\opXwwyay.ini C:\WINDOWS\system32\rdvfllvf.dll C:\WINDOWS\system32\rqRIYqOG.dll C:\WINDOWS\system32\urqNGxXR.dll C:\WINDOWS\system32\vafbxpta.ini . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\MalWarrior 2008\LOG\20080516000746093.log C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\syslog2.dll C:\Programme\AbsoluteTransfer C:\Programme\AbsoluteTransfer\AbsoluteTransfer.dll C:\Programme\AbsoluteTransfer\uninstall.dat C:\Programme\AbsoluteTransfer\Uninstall.exe C:\Programme\peppi_clipart C:\Programme\peppi_clipart\license.txt C:\Programme\peppi_clipart\lisys.exe C:\Programme\peppi_clipart\peppi.exe C:\WINDOWS\epfg.exe C:\WINDOWS\fvowketqxfo.rvaxo C:\WINDOWS\mpfanvqg.dllRVAXO C:\WINDOWS\system\host.exe C:\WINDOWS\system32\fvllfvdr.tmp C:\WINDOWS\system32\GOqYIRqr.ini C:\WINDOWS\system32\mcrh.tmp C:\WINDOWS\system32\mpAHRqss.ini C:\WINDOWS\system32\mpAHRqss.ini2 C:\WINDOWS\system32\opXwwyay.ini C:\WINDOWS\system32\rdvfllvf.dll C:\WINDOWS\system32\urqNGxXR.dll C:\WINDOWS\system32\vafbxpta.ini C:\WINDOWS\system32\vsowqfjk.ini . ((((((((((((((((((((((( Dateien erstellt von 2008-04-16 bis 2008-05-16 )))))))))))))))))))))))))))))) . 2008-05-16 12:12 . 2008-05-16 12:12 317,824 --a------ C:\WINDOWS\system32\ssqRHApm.dll 2008-05-16 12:12 . 2008-05-16 12:12 91,776 --a------ C:\WINDOWS\system32\kjfqwosv.dll 2008-05-16 01:27 . 2008-05-16 01:29 <DIR> d-------- C:\Programme\Spyware Scrapper Demo 2008-05-16 01:04 . 2008-05-16 00:59 294 --ahs---- C:\WINDOWS\system32\fvllfvdr.ini 2008-05-16 00:26 . 2008-05-16 00:26 <DIR> d-------- C:\Programme\Trend Micro 2008-05-16 00:16 . 2008-05-16 00:20 <DIR> d-------- C:\RVAXO 2008-05-16 00:14 . 2008-05-16 00:16 163,726 --a------ C:\RVAXO.reg 2008-05-16 00:12 . 2008-05-15 18:11 822,060 --a------ C:\WINDOWS\system32\RVAXO.bat 2008-05-16 00:12 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe 2008-05-15 19:19 . 2008-05-15 21:40 <DIR> d-------- C:\Programme\Spyware Doctor 2008-05-15 19:19 . 2008-05-15 19:19 <DIR> d-------- C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\PC Tools 2008-05-15 19:19 . 2007-04-19 15:18 83,536 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys 2008-05-15 19:19 . 2007-04-19 15:18 59,984 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys 2008-05-15 19:19 . 2007-04-19 15:18 52,304 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys 2008-05-15 19:19 . 2007-04-19 15:18 39,248 --a------ C:\WINDOWS\system32\drivers\ikfileflt.sys 2008-05-15 19:19 . 2007-04-19 15:18 26,064 --a------ C:\WINDOWS\system32\drivers\kcom.sys 2008-05-15 12:02 . 2008-05-15 12:02 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Uniblue 2008-05-15 11:16 . 2008-05-15 11:16 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien 2008-05-15 10:33 . 2008-05-15 10:33 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Protexis 2008-05-15 10:33 . 2008-05-15 10:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Corel 2008-05-15 10:32 . 2008-05-15 10:32 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Corel 2008-05-15 09:39 . 2008-05-15 09:39 32 --a------ C:\WINDOWS\CD_Start.INI 2008-05-14 18:40 . 2008-05-14 18:40 <DIR> d-------- C:\Programme\Lavasoft 2008-05-14 18:40 . 2008-05-14 18:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-05-14 18:28 . 2008-05-14 18:28 0 --ah----- C:\Dokumente und Einstellungen\Tnaf\NTUSER.DAT_TU_23388.LOG 2008-05-14 18:28 . 2008-05-14 18:28 0 --ah----- C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT_TU_47571.LOG 2008-05-14 18:28 . 2008-05-14 18:28 0 --ah----- C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT_TU_49783.LOG 2008-05-14 17:35 . 2001-08-18 04:34 18,176 --a------ C:\WINDOWS\system32\drivers\sermouse.sys 2008-05-14 17:35 . 2001-08-18 04:34 18,176 --a--c--- C:\WINDOWS\system32\dllcache\sermouse.sys 2008-05-14 17:06 . 2008-05-14 21:09 <DIR> d-------- C:\Programme\Secabo 2008-05-14 16:56 . 2008-05-14 16:56 <DIR> d-------- C:\Programme\Uniblue 2008-05-14 16:56 . 2008-05-14 16:56 <DIR> d-------- C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\Uniblue 2008-05-14 16:52 . 2008-05-14 16:52 <DIR> d-------- C:\Programme\TuneUp Utilities 2008 2008-05-14 16:52 . 2008-05-14 16:52 306,432 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe 2008-05-14 16:52 . 2007-09-04 11:59 29,704 --a------ C:\WINDOWS\system32\uxtuneup.dll 2008-05-13 12:35 . 1998-01-23 13:32 299,520 --a------ C:\WINDOWS\IsUn0804.exe 2008-05-04 18:28 . 2008-05-04 18:28 <DIR> d-------- C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\Ubisoft 2008-05-04 18:27 . 2008-05-04 18:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ubisoft 2008-05-04 18:27 . 2007-10-12 15:14 3,734,536 --a------ C:\WINDOWS\system32\d3dx9_36.dll 2008-05-04 18:27 . 2007-10-12 15:14 1,374,232 --a------ C:\WINDOWS\system32\D3DCompiler_36.dll 2008-05-04 18:27 . 2007-10-02 09:56 444,776 --a------ C:\WINDOWS\system32\d3dx10_36.dll 2008-05-04 18:27 . 2007-10-22 03:39 267,272 --a------ C:\WINDOWS\system32\xactengine2_10.dll 2008-05-04 18:27 . 2007-07-20 00:57 267,112 --a------ C:\WINDOWS\system32\xactengine2_9.dll 2008-05-04 18:26 . 2007-06-20 20:46 266,088 --a------ C:\WINDOWS\system32\xactengine2_8.dll 2008-05-04 18:26 . 2007-10-22 03:37 17,928 --a------ C:\WINDOWS\system32\X3DAudio1_2.dll 2008-05-01 23:30 . 2008-05-16 12:23 12 --a------ C:\WINDOWS\bthservsdp.dat 33 Datei(en) . 36,726,245 C:\ComboFix\Bytes 13 Datei(en) . 6,489,108 C:\ComboFix\Bytes 13 Datei(en) . 4,202,686 C:\ComboFix\Bytes 4 Datei(en) . 37,138 C:\ComboFix\Bytes 2 Datei(en) . 45,186 C:\ComboFix\Bytes 2 Datei(en) . 2,590 C:\ComboFix\Bytes . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-05-15 15:35 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-05-15 08:50 2,516 --sha-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\KGyGaAvL.sys 2008-05-15 08:34 --------- d-----w C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\Corel 2008-05-15 08:31 --------- d-----w C:\Programme\Corel 2008-05-14 16:40 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-05-14 16:37 --------- d-----w C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\Lavasoft 2008-05-13 19:36 --------- d-----w C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\The Bat! 2008-05-13 08:36 --------- d-----w C:\Programme\eMule 2008-05-04 16:16 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-04-29 15:54 --------- d-----w C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\U3 2008-03-31 07:29 --------- d-----w C:\Programme\AGEIA Technologies 2008-03-30 11:16 --------- d-----w C:\Programme\Grinbo 2008-03-30 11:10 --------- d-----w C:\Programme\xp-AntiSpy 2008-03-30 11:10 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ulead Systems 2008-03-29 21:54 --------- d-----w C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\Apple Computer 2008-03-26 16:39 --------- d-----w C:\Programme\Microsoft ActiveSync 2008-03-26 16:27 --------- d-----w C:\Programme\Windows Mobile Device Handbook 2008-03-24 11:20 --------- d-----w C:\Programme\BitTorrent Fastest Tool 2008-03-21 11:12 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft 2008-03-21 11:04 --------- d-----w C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\Media Player Classic 2008-03-21 11:03 --------- d-----w C:\Programme\K-Lite Codec Pack 2008-03-21 11:02 --------- d-----w C:\Programme\Gemeinsame Dateien\Real 2008-03-21 11:01 --------- d-----w C:\Programme\DivX 2008-03-17 23:08 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Elaborate Bytes 2008-03-17 22:55 --------- d-----w C:\Programme\DVD Shrink DE 2008-03-17 22:55 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink 2008-03-01 17:03 8 --sh--r C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\1FDD298875.sys 2008-02-20 14:29 691,545 ----a-w C:\WINDOWS\unins000.exe 2007-11-27 13:03 22,328 ----a-w C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\PnkBstrK.sys 2007-10-18 11:14 818 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\amlistx.dat 2007-06-21 21:57 25,600 ----a-w C:\Dokumente und Einstellungen\Tnaf\usbsermptxp.sys 2007-06-21 21:57 22,768 ----a-w C:\Dokumente und Einstellungen\Tnaf\usbsermpt.sys 2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll 2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll . ------- Sigcheck ------- 2007-06-13 15:21 4922368 e17ff70a9650e19c5bfdf8f7ac898835 C:\WINDOWS\explorer.exe 2007-06-13 15:10 1036288 331ed93570baf3cfe30340298762cd56 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe 2002-08-29 04:43 1007104 22b0a56e6c5847292437078b484ec61b C:\WINDOWS\$NtServicePackUninstall$\explorer.exe 2004-08-04 09:57 1035264 22fe1be02eadde1632e478e4125639e0 C:\WINDOWS\$NtUninstallKB938828$\explorer.exe 2007-06-13 15:21 4922368 e17ff70a9650e19c5bfdf8f7ac898835 C:\WINDOWS\ServicePackFiles\i386\explorer.exe 2007-06-13 15:21 1036288 64d320c0e301eedc5a4adbbdc5024f7f C:\WINDOWS\VCP_SAVE\explorer.exe . ((((((((((((((((((((((((((((( snapshot@2008-05-16_ 0.45.39.64 ))))))))))))))))))))))))))))))))))))))))) . - 2008-05-15 22:40:43 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-05-16 10:25:57 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2003-07-20 22:13:12 253,952 ----a-w C:\WINDOWS\system32\skinboxer43.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BBA4C23D-2FA1-4D42-B576-6DCDD039900D}] 2008-05-16 12:12 317824 --a------ C:\WINDOWS\system32\ssqRHApm.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 14:50 1289000] "msnmsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 12:34 5724184] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.I420"= i420vfw.dll "vidc.yv12"= yv12vfw.dll [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "SweetIM"=C:\Programme\Macrogaming\SweetIM\SweetIM.exe "ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" "CCleaner"="C:\Programme\CCleaner\CCleaner.exe" /AUTO "swg"=C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe "DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 "SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe "Uniblue RegistryBooster 2"=C:\Programme\Uniblue\RegistryBooster 2\RegistryBooster.exe /S "TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" autostart "msnmsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "ISUSPM Startup"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -startup "ISUSPM"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler "GhostStartTrayApp"=C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe "RTHDCPL"=RTHDCPL.EXE "SkyTel"=SkyTel.EXE "SweetIM"=C:\Programme\Macrogaming\SweetIM\SweetIM.exe "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" "ICQ Lite"="D:\Programme\ICQLite\ICQLite.exe" -minimize "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime "Alcmtr"=ALCMTR.EXE "NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe "BluetoothAuthenticationAgent"=rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent "NBKeyScan"="F:\Nero 7\Nero BackItUp\NBKeyScan.exe" "SWClient"=C:\Programme\SoftActivity\AMSys\swsys.exe "SDTray"=C:\Programme\Spyware Doctor\SDTrayApp.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "D:\\Programme\\ICQLite\\ICQLite.exe"= "C:\\Programme\\Teamspeak2_RC2\\server_windows.exe"= "G:\\Vietcong\\vietcong.exe"= "C:\\WINDOWS\\system32\\dpnsvr.exe"= "C:\\WINDOWS\\system32\\PnkBstrA.exe"= "C:\\WINDOWS\\system32\\PnkBstrB.exe"= "C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"= "C:\\Programme\\Mozilla Firefox\\firefox.exe"= "C:\\Programme\\eMule\\emule.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= "C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "G:\\Assassin's Creed\\AssassinsCreed_Dx9.exe"= "G:\\Assassin's Creed\\AssassinsCreed_Dx10.exe"= "G:\\Assassin's Creed\\AssassinsCreed_Launcher.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service R0 mv614x;mv614x;C:\WINDOWS\system32\DRIVERS\mv614x.sys [2006-07-03 13:21] R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-02-23 05:38] R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys [2006-02-23 05:39] R1 GhPciScan;GhostPciScanner;C:\Programme\Symantec\Norton Ghost 2003\ghpciscan.sys [2003-05-28 20:01] R2 PSI_SVC_2;Protexis Licensing V2;"c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe" [2007-07-24 11:15] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 09:58] R2 WTService;WTService;C:\WINDOWS\system32\atwtusb.exe [2006-12-08 14:47] R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\atl01_xp.sys [2006-08-22 07:36] S3 musbehco;musbehco;C:\DOKUME~1\Tnaf\LOKALE~1\Temp\musbehco.sys [] S3 SAgentDriver;SAgent Driver;C:\Programme\SoftActivity\AMSys\sagendrv.sys [] S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-05-14 16:52] S3 Usblink;Usblink Driver;C:\WINDOWS\system32\Drivers\ulink.sys [2003-06-03 00:28] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3bb00e2a-c9c5-11dc-bd81-0018f37fc7a4}] \Shell\AutoRun\command - E:\setupSNK.exe . Inhalt des "geplante Tasks" Ordners "2008-05-14 14:52:42 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUp Utilities 2008\OneClick.exe "2008-04-07 09:06:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Programme\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-16 12:26:19 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\system32\winlogon.exe -> C:\Programme\Spyware Doctor\klg.dat PROCESS: C:\WINDOWS\system32\lsass.exe -> C:\Programme\Spyware Doctor\klg.dat PROCESS: C:\WINDOWS\system32\csrss.exe -> C:\Programme\Spyware Doctor\klg.dat . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\system32\ati2evxx.exe C:\WINDOWS\system32\ati2evxx.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Microsoft ActiveSync\rapimgr.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\Spyware Doctor\svcntaux.exe C:\Programme\Spyware Doctor\swdsvc.exe C:\WINDOWS\system32\msiexec.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\msiexec.exe C:\WINDOWS\system32\msiexec.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-05-16 12:30:23 - machine was rebooted ComboFix-quarantined-files.txt 2008-05-16 10:30:19 ComboFix2.txt 2008-05-15 23:04:02 ComboFix3.txt 2007-11-08 15:10:57 13 Verzeichnis(se), 15,085,371,392 Bytes frei 16 Verzeichnis(se), 15,082,811,392 Bytes frei 293 --- E O F --- 2008-05-14 11:37:24 Danke Odin |
|
|
|
|
|
|
16.05.2008, 11:54
Ehrenmitglied
Beiträge: 29434 |
#6
erstelle eine neue cfscript.txt - dann wieder auf combofix ziehen + Combofix erneut anwenden
Zitat KILLALL::poste das neue Log von Combofix __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
16.05.2008, 12:08
Member
Themenstarter Beiträge: 13 |
#7
Hallo
hier das nächste log ComboFix 08-05-15.2 - Tnaf 2008-05-16 12:57:25.7 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2493 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Tnaf\Desktop\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\Tnaf\Desktop\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] FILE :: C:\WINDOWS\system32\fvllfvdr.ini C:\WINDOWS\system32\kjfqwosv.dll C:\WINDOWS\system32\ssqRHApm.dll . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Programme\Spyware Scrapper Demo C:\Programme\Spyware Scrapper Demo\AdwareProcessHelper.exe C:\Programme\Spyware Scrapper Demo\AppRestart.exe C:\Programme\Spyware Scrapper Demo\BlockedCookies.dat C:\Programme\Spyware Scrapper Demo\date.dat C:\Programme\Spyware Scrapper Demo\DirectoryDefinition.dat C:\Programme\Spyware Scrapper Demo\ExeDefinition.dat C:\Programme\Spyware Scrapper Demo\FileDefinition.dat C:\Programme\Spyware Scrapper Demo\help.chm C:\Programme\Spyware Scrapper Demo\RegistryDefinition.dat C:\Programme\Spyware Scrapper Demo\riched32.dll C:\Programme\Spyware Scrapper Demo\Scan_Log.txt C:\Programme\Spyware Scrapper Demo\SpywareScrapper.com.url C:\Programme\Spyware Scrapper Demo\SpywareScrapperDemo.exe C:\WINDOWS\system32\fvllfvdr.ini C:\WINDOWS\system32\kjfqwosv.dll C:\WINDOWS\system32\ssqRHApm.dll . ((((((((((((((((((((((( Dateien erstellt von 2008-04-16 bis 2008-05-16 )))))))))))))))))))))))))))))) . 2008-05-16 12:47 . 2008-05-16 12:47 <DIR> d-------- C:\Programme\Avira 2008-05-16 12:47 . 2008-05-16 12:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-05-16 00:26 . 2008-05-16 00:26 <DIR> d-------- C:\Programme\Trend Micro 2008-05-16 00:16 . 2008-05-16 00:20 <DIR> d-------- C:\RVAXO 2008-05-16 00:14 . 2008-05-16 00:16 163,726 --a------ C:\RVAXO.reg 2008-05-16 00:12 . 2008-05-15 18:11 822,060 --a------ C:\WINDOWS\system32\RVAXO.bat 2008-05-16 00:12 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe 2008-05-15 19:19 . 2008-05-15 21:40 <DIR> d-------- C:\Programme\Spyware Doctor 2008-05-15 19:19 . 2008-05-15 19:19 <DIR> d-------- C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\PC Tools 2008-05-15 19:19 . 2007-04-19 15:18 83,536 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys 2008-05-15 19:19 . 2007-04-19 15:18 59,984 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys 2008-05-15 19:19 . 2007-04-19 15:18 52,304 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys 2008-05-15 19:19 . 2007-04-19 15:18 39,248 --a------ C:\WINDOWS\system32\drivers\ikfileflt.sys 2008-05-15 19:19 . 2007-04-19 15:18 26,064 --a------ C:\WINDOWS\system32\drivers\kcom.sys 2008-05-15 12:02 . 2008-05-15 12:02 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Uniblue 2008-05-15 11:16 . 2008-05-15 11:16 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien 2008-05-15 10:33 . 2008-05-15 10:33 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Protexis 2008-05-15 10:33 . 2008-05-15 10:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Corel 2008-05-15 10:32 . 2008-05-15 10:32 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Corel 2008-05-15 09:39 . 2008-05-15 09:39 32 --a------ C:\WINDOWS\CD_Start.INI 2008-05-14 18:40 . 2008-05-14 18:40 <DIR> d-------- C:\Programme\Lavasoft 2008-05-14 18:40 . 2008-05-14 18:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-05-14 18:28 . 2008-05-14 18:28 0 --ah----- C:\Dokumente und Einstellungen\Tnaf\NTUSER.DAT_TU_23388.LOG 2008-05-14 18:28 . 2008-05-14 18:28 0 --ah----- C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT_TU_47571.LOG 2008-05-14 18:28 . 2008-05-14 18:28 0 --ah----- C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT_TU_49783.LOG 2008-05-14 17:35 . 2001-08-18 04:34 18,176 --a------ C:\WINDOWS\system32\drivers\sermouse.sys 2008-05-14 17:35 . 2001-08-18 04:34 18,176 --a--c--- C:\WINDOWS\system32\dllcache\sermouse.sys 2008-05-14 17:06 . 2008-05-14 21:09 <DIR> d-------- C:\Programme\Secabo 2008-05-14 16:56 . 2008-05-14 16:56 <DIR> d-------- C:\Programme\Uniblue 2008-05-14 16:56 . 2008-05-14 16:56 <DIR> d-------- C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\Uniblue 2008-05-14 16:52 . 2008-05-14 16:52 <DIR> d-------- C:\Programme\TuneUp Utilities 2008 2008-05-14 16:52 . 2008-05-14 16:52 306,432 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe 2008-05-14 16:52 . 2007-09-04 11:59 29,704 --a------ C:\WINDOWS\system32\uxtuneup.dll 2008-05-13 12:35 . 1998-01-23 13:32 299,520 --a------ C:\WINDOWS\IsUn0804.exe 2008-05-04 18:28 . 2008-05-04 18:28 <DIR> d-------- C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\Ubisoft 2008-05-04 18:27 . 2008-05-04 18:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ubisoft 2008-05-04 18:27 . 2007-10-12 15:14 3,734,536 --a------ C:\WINDOWS\system32\d3dx9_36.dll 2008-05-04 18:27 . 2007-10-12 15:14 1,374,232 --a------ C:\WINDOWS\system32\D3DCompiler_36.dll 2008-05-04 18:27 . 2007-10-02 09:56 444,776 --a------ C:\WINDOWS\system32\d3dx10_36.dll 2008-05-04 18:27 . 2007-10-22 03:39 267,272 --a------ C:\WINDOWS\system32\xactengine2_10.dll 2008-05-04 18:27 . 2007-07-20 00:57 267,112 --a------ C:\WINDOWS\system32\xactengine2_9.dll 2008-05-04 18:26 . 2007-06-20 20:46 266,088 --a------ C:\WINDOWS\system32\xactengine2_8.dll 2008-05-04 18:26 . 2007-10-22 03:37 17,928 --a------ C:\WINDOWS\system32\X3DAudio1_2.dll 2008-05-01 23:30 . 2008-05-16 12:58 12 --a------ C:\WINDOWS\bthservsdp.dat 33 Datei(en) . 37,041,637 C:\ComboFix\Bytes 13 Datei(en) . 6,489,108 C:\ComboFix\Bytes 13 Datei(en) . 4,202,686 C:\ComboFix\Bytes 4 Datei(en) . 37,138 C:\ComboFix\Bytes 2 Datei(en) . 45,186 C:\ComboFix\Bytes 2 Datei(en) . 2,590 C:\ComboFix\Bytes . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-05-15 15:35 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-05-15 08:50 2,516 --sha-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\KGyGaAvL.sys 2008-05-15 08:34 --------- d-----w C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\Corel 2008-05-15 08:31 --------- d-----w C:\Programme\Corel 2008-05-14 16:40 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-05-14 16:37 --------- d-----w C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\Lavasoft 2008-05-13 19:36 --------- d-----w C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\The Bat! 2008-05-13 08:36 --------- d-----w C:\Programme\eMule 2008-05-04 16:16 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-04-29 15:54 --------- d-----w C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\U3 2008-03-31 07:29 --------- d-----w C:\Programme\AGEIA Technologies 2008-03-30 11:16 --------- d-----w C:\Programme\Grinbo 2008-03-30 11:10 --------- d-----w C:\Programme\xp-AntiSpy 2008-03-30 11:10 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ulead Systems 2008-03-29 21:54 --------- d-----w C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\Apple Computer 2008-03-26 16:39 --------- d-----w C:\Programme\Microsoft ActiveSync 2008-03-26 16:27 --------- d-----w C:\Programme\Windows Mobile Device Handbook 2008-03-24 11:20 --------- d-----w C:\Programme\BitTorrent Fastest Tool 2008-03-21 11:12 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft 2008-03-21 11:04 --------- d-----w C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\Media Player Classic 2008-03-21 11:03 --------- d-----w C:\Programme\K-Lite Codec Pack 2008-03-21 11:02 --------- d-----w C:\Programme\Gemeinsame Dateien\Real 2008-03-21 11:01 --------- d-----w C:\Programme\DivX 2008-03-17 23:08 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Elaborate Bytes 2008-03-17 22:55 --------- d-----w C:\Programme\DVD Shrink DE 2008-03-17 22:55 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink 2008-03-01 17:03 8 --sh--r C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\1FDD298875.sys 2008-02-20 14:29 691,545 ----a-w C:\WINDOWS\unins000.exe 2007-11-27 13:03 22,328 ----a-w C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\PnkBstrK.sys 2007-10-18 11:14 818 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\amlistx.dat 2007-06-21 21:57 25,600 ----a-w C:\Dokumente und Einstellungen\Tnaf\usbsermptxp.sys 2007-06-21 21:57 22,768 ----a-w C:\Dokumente und Einstellungen\Tnaf\usbsermpt.sys 2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll 2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll . ------- Sigcheck ------- 2007-06-13 15:21 4922368 e17ff70a9650e19c5bfdf8f7ac898835 C:\WINDOWS\explorer.exe 2007-06-13 15:10 1036288 331ed93570baf3cfe30340298762cd56 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe 2002-08-29 04:43 1007104 22b0a56e6c5847292437078b484ec61b C:\WINDOWS\$NtServicePackUninstall$\explorer.exe 2004-08-04 09:57 1035264 22fe1be02eadde1632e478e4125639e0 C:\WINDOWS\$NtUninstallKB938828$\explorer.exe 2007-06-13 15:21 4922368 e17ff70a9650e19c5bfdf8f7ac898835 C:\WINDOWS\ServicePackFiles\i386\explorer.exe 2007-06-13 15:21 1036288 64d320c0e301eedc5a4adbbdc5024f7f C:\WINDOWS\VCP_SAVE\explorer.exe . ((((((((((((((((((((((((((((( snapshot@2008-05-16_ 0.45.39.64 ))))))))))))))))))))))))))))))))))))))))) . - 2008-05-15 22:40:43 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-05-16 11:01:18 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-01-21 16:12:52 41,792 ----a-w C:\WINDOWS\system32\drivers\avgntdd.sys + 2008-01-21 16:11:28 22,336 ----a-w C:\WINDOWS\system32\drivers\avgntmgr.sys + 2008-03-04 11:28:49 79,424 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys - 2008-04-15 15:50:39 21,248 ----a-w C:\WINDOWS\system32\drivers\ssmdrv.sys + 2007-11-08 17:03:26 21,248 ----a-w C:\WINDOWS\system32\drivers\ssmdrv.sys + 2003-07-20 22:13:12 253,952 ----a-w C:\WINDOWS\system32\skinboxer43.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 14:50 1289000] "msnmsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 12:34 5724184] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.I420"= i420vfw.dll "vidc.yv12"= yv12vfw.dll [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "SweetIM"=C:\Programme\Macrogaming\SweetIM\SweetIM.exe "ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" "CCleaner"="C:\Programme\CCleaner\CCleaner.exe" /AUTO "swg"=C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe "DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 "SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe "Uniblue RegistryBooster 2"=C:\Programme\Uniblue\RegistryBooster 2\RegistryBooster.exe /S "TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" autostart "msnmsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "ISUSPM Startup"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -startup "ISUSPM"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler "GhostStartTrayApp"=C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe "RTHDCPL"=RTHDCPL.EXE "SkyTel"=SkyTel.EXE "SweetIM"=C:\Programme\Macrogaming\SweetIM\SweetIM.exe "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" "ICQ Lite"="D:\Programme\ICQLite\ICQLite.exe" -minimize "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime "Alcmtr"=ALCMTR.EXE "NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe "BluetoothAuthenticationAgent"=rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent "NBKeyScan"="F:\Nero 7\Nero BackItUp\NBKeyScan.exe" "SWClient"=C:\Programme\SoftActivity\AMSys\swsys.exe "SDTray"=C:\Programme\Spyware Doctor\SDTrayApp.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "D:\\Programme\\ICQLite\\ICQLite.exe"= "C:\\Programme\\Teamspeak2_RC2\\server_windows.exe"= "G:\\Vietcong\\vietcong.exe"= "C:\\WINDOWS\\system32\\dpnsvr.exe"= "C:\\WINDOWS\\system32\\PnkBstrA.exe"= "C:\\WINDOWS\\system32\\PnkBstrB.exe"= "C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"= "C:\\Programme\\Mozilla Firefox\\firefox.exe"= "C:\\Programme\\eMule\\emule.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= "C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "G:\\Assassin's Creed\\AssassinsCreed_Dx9.exe"= "G:\\Assassin's Creed\\AssassinsCreed_Dx10.exe"= "G:\\Assassin's Creed\\AssassinsCreed_Launcher.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service R0 mv614x;mv614x;C:\WINDOWS\system32\DRIVERS\mv614x.sys [2006-07-03 13:21] R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-02-23 05:38] R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys [2006-02-23 05:39] R1 GhPciScan;GhostPciScanner;C:\Programme\Symantec\Norton Ghost 2003\ghpciscan.sys [2003-05-28 20:01] R2 PSI_SVC_2;Protexis Licensing V2;"c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe" [2007-07-24 11:15] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 09:58] R2 WTService;WTService;C:\WINDOWS\system32\atwtusb.exe [2006-12-08 14:47] R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\atl01_xp.sys [2006-08-22 07:36] S3 musbehco;musbehco;C:\DOKUME~1\Tnaf\LOKALE~1\Temp\musbehco.sys [] S3 SAgentDriver;SAgent Driver;C:\Programme\SoftActivity\AMSys\sagendrv.sys [] S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-05-14 16:52] S3 Usblink;Usblink Driver;C:\WINDOWS\system32\Drivers\ulink.sys [2003-06-03 00:28] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3bb00e2a-c9c5-11dc-bd81-0018f37fc7a4}] \Shell\AutoRun\command - E:\setupSNK.exe *Newly Created Service* - USNJSVC . Inhalt des "geplante Tasks" Ordners "2008-05-14 14:52:42 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUp Utilities 2008\OneClick.exe "2008-04-07 09:06:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Programme\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-16 13:01:43 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\system32\winlogon.exe -> C:\Programme\Spyware Doctor\klg.dat PROCESS: C:\WINDOWS\system32\lsass.exe -> C:\Programme\Spyware Doctor\klg.dat PROCESS: C:\WINDOWS\system32\csrss.exe -> C:\Programme\Spyware Doctor\klg.dat . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\system32\ati2evxx.exe C:\WINDOWS\system32\ati2evxx.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\Microsoft ActiveSync\rapimgr.exe C:\Programme\Spyware Doctor\svcntaux.exe C:\Programme\Spyware Doctor\swdsvc.exe C:\WINDOWS\system32\msiexec.exe C:\Programme\Windows Live\Messenger\usnsvc.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-05-16 13:06:03 - machine was rebooted ComboFix-quarantined-files.txt 2008-05-16 11:05:58 ComboFix2.txt 2008-05-16 10:30:24 ComboFix3.txt 2008-05-15 23:04:02 ComboFix4.txt 2007-11-08 15:10:57 13 Verzeichnis(se), 14,892,654,592 Bytes frei 15 Verzeichnis(se), 14,885,724,160 Bytes frei 277 --- E O F --- 2008-05-14 11:37:24 Danke Odin |
|
|
|
|
|
|
16.05.2008, 12:16
Member
Themenstarter Beiträge: 13 |
#8
hallo
C: 16.05.2008 13:12 C:\WINDOWS --------- 0 16.05.2008 13:12 C:\RECYCLER --------- 0 16.05.2008 13:06 C:\ComboFix.txt --------- 18590 16.05.2008 13:05 C:\Config.Msi --------- 0 C:\pagefile.sys --------- 16.05.2008 13:06 C:\QooBox --------- 0 16.05.2008 12:57 C:\Programme --------- 0 16.05.2008 12:07 C:\System Volume Information --------- 0 16.05.2008 00:50 C:\VundoFix.txt --------- 767 16.05.2008 00:24 C:\VundoFix Backups --------- 0 16.05.2008 00:20 C:\RVAXO --------- 0 16.05.2008 00:16 C:\RVAXO-results.log --------- 601 16.05.2008 00:16 C:\RVAXO.reg --------- 163726 16.05.2008 00:15 C:\firstrun6.log --------- 520 15.05.2008 09:05 C:\artcut6 --------- 0 29.04.2008 00:37 C:\temp --------- 0 27.04.2008 18:21 C:\Log.txt --------- 0 02.03.2008 20:46 C:\gdiprn.log --------- 2728 04.11.2007 23:06 C:\ComboFix2.txt --------- 10011 04.11.2007 20:57 C:\ComboFix3.txt --------- 10465 21.10.2007 22:25 C:\totalcmd --------- 0 11.08.2007 12:45 C:\Program Files --------- 0 30.07.2007 11:08 C:\get_video(2).AVI.AAC --------- 5766548 30.07.2007 11:02 C:\get_video(2).AAC --------- 4290078 21.06.2007 23:52 C:\DBS.TXT --------- 0 22.04.2007 00:09 C:\ComboFix-quarantined-files.txt --------- 145 21.04.2007 23:10 C:\Dokumente und Einstellungen --------- 0 08.04.2007 14:31 C:\down.txt --------- 722 08.04.2007 14:30 C:\tmp.txt --------- 110 08.04.2007 14:30 C:\system.txt --------- 6020 08.04.2007 14:29 C:\systemtemp.txt --------- 297 08.04.2007 14:29 C:\system32.txt --------- 101766 18.01.2007 18:42 C:\VIRTPART.DAT --------- 27262976 18.01.2007 17:27 C:\boot.ini --------- 223 18.01.2007 16:35 C:\vcredist_x86.log --------- 511732 18.01.2007 13:23 C:\MSOCache --------- 0 18.01.2007 12:43 C:\ATI --------- 0 18.01.2007 12:05 C:\NTDETECT.COM --------- 47564 18.01.2007 12:05 C:\ntldr --------- 251184 18.01.2007 10:41 C:\MSDOS.SYS --------- 0 18.01.2007 10:41 C:\IO.SYS --------- 0 18.01.2007 10:41 C:\CONFIG.SYS --------- 0 18.01.2007 10:41 C:\zdvjavz3.sys --------- 960 18.01.2007 10:41 C:\AUTOEXEC.BAT --------- 0 17.03.2004 18:13 C:\vbrun60sp6.exe --------- 1028368 18.08.2001 22:00 C:\bootfont.bin --------- 4952 ---------------------------------------- C:\WINDOWS 16.05.2008 13:04 C:\WINDOWS\WindowsUpdate.log --------- 64250 16.05.2008 13:02 C:\WINDOWS\win.ini --------- 799 16.05.2008 13:02 C:\WINDOWS\wiadebug.log --------- 159 16.05.2008 13:02 C:\WINDOWS\wiaservc.log --------- 50 16.05.2008 13:01 C:\WINDOWS\system.ini --------- 227 16.05.2008 13:01 C:\WINDOWS\bootstat.dat --------- 2048 16.05.2008 12:58 C:\WINDOWS\bthservsdp.dat --------- 12 16.05.2008 01:22 C:\WINDOWS\Artcut6.INI --------- 24 15.05.2008 12:49 C:\WINDOWS\wincmd.ini --------- 2055 15.05.2008 10:55 C:\WINDOWS\FontData.fdb --------- 185703 15.05.2008 09:39 C:\WINDOWS\CD_Start.INI --------- 32 13.05.2008 12:26 C:\WINDOWS\NeroDigital.ini --------- 116 19.04.2008 16:44 C:\WINDOWS\ConvertYa Settings.ini --------- 123 18.04.2008 11:28 C:\WINDOWS\AUTOLNCH.REG --------- 1080 18.04.2008 11:27 C:\WINDOWS\ULEAD32.INI --------- 630 04.04.2008 00:16 C:\WINDOWS\mozver.dat --------- 1814 02.04.2008 01:52 C:\WINDOWS\PhotoSnapViewer.INI --------- 151 26.03.2008 16:30 C:\WINDOWS\nscstiu_error.txt --------- 768 18.03.2008 01:07 C:\WINDOWS\SB2D0C7A0.tmp --------- 48 20.02.2008 16:30 C:\WINDOWS\unins000.dat --------- 2551 20.02.2008 16:29 C:\WINDOWS\unins000.exe --------- 691545 20.01.2008 17:07 C:\WINDOWS\Setup1.exe --------- 253952 20.01.2008 17:07 C:\WINDOWS\ST6UNST.EXE --------- 74752 19.11.2007 05:53 C:\WINDOWS\ReplacerUndo.txt --------- 266 C:\WINDOWS\System 04.08.2004 09:58 C:\WINDOWS\System\winspool.drv --------- 146944 04.08.2004 09:37 C:\WINDOWS\System\mmsystem.dll --------- 69632 C:\WINDOWS\System32 16.05.2008 13:06 C:\WINDOWS\system32\iklog.log --------- 80660 16.05.2008 13:06 C:\WINDOWS\system32\drivers --------- 0 16.05.2008 13:05 C:\WINDOWS\system32\CatRoot2 --------- 0 16.05.2008 12:23 C:\WINDOWS\system32\config --------- 0 16.05.2008 12:12 C:\WINDOWS\system32\clkcnt.txt --------- 0 16.05.2008 12:07 C:\WINDOWS\system32\Restore --------- 0 16.05.2008 01:22 C:\WINDOWS\system32\WTCY9853.dat --------- 512 15.05.2008 18:11 C:\WINDOWS\system32\RVAXO.bat --------- 822060 15.05.2008 11:13 C:\WINDOWS\system32\FNTCACHE.DAT --------- 2250384 15.05.2008 11:05 C:\WINDOWS\system32\wpa.dbl --------- 2300 14.05.2008 17:35 C:\WINDOWS\system32\dllcache --------- 0 14.05.2008 16:52 C:\WINDOWS\system32\TuneUpDefragService.exe --------- 306432 04.05.2008 18:26 C:\WINDOWS\system32\DirectX --------- 0 12.04.2008 12:02 C:\WINDOWS\system32\perfc009.dat --------- 68236 12.04.2008 12:02 C:\WINDOWS\system32\perfh009.dat --------- 417736 12.04.2008 12:02 C:\WINDOWS\system32\perfc007.dat --------- 82564 12.04.2008 12:02 C:\WINDOWS\system32\perfh007.dat --------- 435474 12.04.2008 12:02 C:\WINDOWS\system32\PerfStringBackup.INI --------- 970924 06.04.2008 07:56 C:\WINDOWS\system32\MRT.exe --------- 19836024 25.03.2008 06:51 C:\WINDOWS\system32\msjint40.dll --------- 187168 25.03.2008 06:51 C:\WINDOWS\system32\mswstr10.dll --------- 621344 25.03.2008 06:50 C:\WINDOWS\system32\msxbde40.dll --------- 355104 25.03.2008 06:50 C:\WINDOWS\system32\mswdat10.dll --------- 838432 25.03.2008 06:50 C:\WINDOWS\system32\mstext40.dll --------- 264992 25.03.2008 06:50 C:\WINDOWS\system32\msrepl40.dll --------- 559904 25.03.2008 06:50 C:\WINDOWS\system32\msrd3x40.dll --------- 322336 25.03.2008 06:50 C:\WINDOWS\system32\msrd2x40.dll --------- 432928 25.03.2008 06:50 C:\WINDOWS\system32\mspbde40.dll --------- 355104 25.03.2008 06:50 C:\WINDOWS\system32\msltus40.dll --------- 219936 25.03.2008 06:50 C:\WINDOWS\system32\msjtes40.dll --------- 248608 25.03.2008 06:50 C:\WINDOWS\system32\msjter40.dll --------- 60192 25.03.2008 06:50 C:\WINDOWS\system32\msjetoledb40.dll --------- 355112 25.03.2008 06:50 C:\WINDOWS\system32\msjet40.dll --------- 1516568 25.03.2008 06:50 C:\WINDOWS\system32\msexcl40.dll --------- 326432 25.03.2008 06:50 C:\WINDOWS\system32\msexch40.dll --------- 518944 20.03.2008 10:03 C:\WINDOWS\system32\win32k.sys --------- 1845376 01.03.2008 18:34 C:\WINDOWS\system32\KGyGaAvL.sys --------- 2516 26.02.2008 11:52 C:\WINDOWS\system32\DRVSTORE --------- 0 25.02.2008 04:00 C:\WINDOWS\system32\pndx5016.dll --------- 6656 25.02.2008 04:00 C:\WINDOWS\system32\pncrt.dll --------- 278528 C:\WINDOWS\Prefetch 16.05.2008 00:05 C:\WINDOWS\Prefetch\HOST.EXE-20F5036B.pf --------- 25938 16.05.2008 00:05 C:\WINDOWS\Prefetch\REGISTRYBOOSTER.EXE-32B7CE29.pf --------- 48896 16.05.2008 00:05 C:\WINDOWS\Prefetch\QTTASK.EXE-2D7EEF34.pf --------- 17656 15.05.2008 11:07 C:\WINDOWS\Prefetch\CORELROUTER.EXE-25EA6BE0.pf--------- 8036 15.05.2008 11:05 C:\WINDOWS\Prefetch\NYPS4.EXE-2CCEC371.pf --------- 18634 15.05.2008 11:05 C:\WINDOWS\Prefetch\TNO_VS50.EXE-1600A0E8.pf --------- 16518 15.05.2008 11:05 C:\WINDOWS\Prefetch\PLNTQDKGXF.DAT-2952A78E.pf --------- 20392 15.05.2008 11:05 C:\WINDOWS\Prefetch\EPFG.EXE-0E545474.pf --------- 16522 15.05.2008 11:05 C:\WINDOWS\Prefetch\OADKXRTS.EXE-0876A2E2.pf 15.05.2008 11:04 C:\WINDOWS\Prefetch\CRACK.EXE-073AD0DC.pf --------- 5854 15.05.2008 10:28 C:\WINDOWS\Prefetch\KEYGEN.EXE-03DE3D8A.pf C:\WINDOWS\Temp ---------------------------------------- C:\DOKUME~1\Tnaf\LOKALE~1\Temp 16.05.2008 13:08 C:\DOKUME~1\Tnaf\LOKALE~1\Temp\MessengerCache --------- 0 16.05.2008 13:06 C:\DOKUME~1\Tnaf\LOKALE~1\Temp\flashgot.fk42uflg.default --------- 0 16.05.2008 13:05 C:\DOKUME~1\Tnaf\LOKALE~1\Temp\~DFFD1F.tmp --------- 512 16.05.2008 13:05 C:\DOKUME~1\Tnaf\LOKALE~1\Temp\~DFF926.tmp --------- 98304 16.05.2008 13:05 C:\DOKUME~1\Tnaf\LOKALE~1\Temp\~DF8665.tmp --------- 512 16.05.2008 13:05 C:\DOKUME~1\Tnaf\LOKALE~1\Temp\~DF864E.tmp --------- 98304 16.05.2008 13:01 C:\DOKUME~1\Tnaf\LOKALE~1\Temp\WCESLog.log --------- 404 ---------------------------------------- C:\Programme 09.09.2007 12:08 C:\Programme\LucasArts --------- 0 26.08.2007 23:18 C:\Programme\AskPBar --------- 0 22.08.2007 15:18 C:\Programme\Macromedia --------- 0 14.08.2007 13:38 C:\Programme\HP --------- 0 02.02.2007 21:03 C:\Programme\Macrogaming --------- 0 ---------------------------------------- C:\WINDOWS\system32\drivers\etc\hosts 127.0.0.1 localhost ---------------------------------------- [/CODE] danke |
|
|
|
|
|
|
16.05.2008, 12:20
Ehrenmitglied
Beiträge: 29434 |
#9
Virustotal http://www.virustotal.com/flash/index_en.html
C:\zdvjavz3.sys Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
16.05.2008, 12:23
Member
Themenstarter Beiträge: 13 |
#10
«
C:\zdvjavz3.sys Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.5.15.0 2008.05.15 - AntiVir 7.8.0.19 2008.05.16 - Authentium 5.1.0.4 2008.05.16 - Avast 4.8.1169.0 2008.05.12 - AVG 7.5.0.516 2008.05.16 - BitDefender 7.2 2008.05.16 - CAT-QuickHeal 9.50 2008.05.15 - ClamAV 0.92.1 2008.05.16 - DrWeb 4.44.0.09170 2008.05.16 - eSafe 7.0.15.0 2008.05.16 - eTrust-Vet 31.4.5788 2008.05.14 - Ewido 4.0 2008.05.14 - F-Prot 4.4.2.54 2008.05.16 - F-Secure 6.70.13260.0 2008.05.16 - Fortinet 3.14.0.0 2008.05.15 - GData 2.0.7306.1023 2008.05.16 - Ikarus T3.1.1.26.0 2008.05.16 - Kaspersky 7.0.0.125 2008.05.16 - McAfee 5296 2008.05.16 - Microsoft 1.3408 2008.05.13 - NOD32v2 3104 2008.05.16 - Norman 5.80.02 2008.05.15 - Panda 9.0.0.4 2008.05.15 - Prevx1 V2 2008.05.16 - Rising 20.44.32.00 2008.05.15 - Sophos 4.29.0 2008.05.16 - Sunbelt 3.0.1114.0 2008.05.12 - Symantec 10 2008.05.16 - TheHacker 6.2.92.311 2008.05.15 - VBA32 3.12.6.6 2008.05.16 - VirusBuster 4.3.26:9 2008.05.15 - Webwasher-Gateway 6.6.2 2008.05.16 - weitere Informationen File size: 960 bytes MD5...: 6e4ac65679ec23424a5196a06018022d SHA1..: 31be9fc372650b1266a9dc5788e6581341525b90 SHA256: 1dda73bd3d3fd2188541865b9a3cd6b4bf52b90ca1ca94fc317b79651d7bd097 SHA512: 6f1e524d2be8a0f5957d040310b41bbce9b3dc9c7d9f804d1ed6a8a4ce5a963c a34929be66d0a81b545d80062dac17443dd816d0488708cf14830ddef52b58f2 PEiD..: - PEInfo: - |
|
|
|
|
|
|
16.05.2008, 12:41
Ehrenmitglied
Beiträge: 29434 |
#11
1.
gehe in C:\WINDOWS\Prefetch - lösche alles, ausser -layout.ini C:\WINDOWS\Prefetch\layout.ini 2. erstelle eine neue cfscript.txt, wie gewohnt anwenden... Zitat KILLALL::------------ 3. scanne mit malwarebytes und poste den report http://virus-protect.org/artikel/tools/malwarebytes.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
16.05.2008, 13:00
Member
Themenstarter Beiträge: 13 |
#12
ComboFix 08-05-15.2 - Tnaf 2008-05-16 13:47:56.8 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2468 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Tnaf\Desktop\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\Tnaf\Desktop\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] FILE :: C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\Temp\~DF864E.tmp C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\Temp\~DF8665.tmp C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\Temp\~DFF926.tmp C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\Temp\~DFFD1F.tmp C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\Temp\musbehco.sys C:\zdvjavz3.sys . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Programme\AskPBar C:\Programme\AskPBar\bar\Cache\00072354.bin C:\Programme\AskPBar\bar\Cache\0007250A.bin C:\Programme\AskPBar\bar\Cache\000726BF.bin C:\Programme\AskPBar\bar\Cache\0011A13E C:\Programme\AskPBar\bar\Cache\files.ini C:\Programme\AskPBar\bar\History\search2 C:\Programme\AskPBar\bar\Settings\prevcfg2.htm C:\zdvjavz3.sys . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_MUSBEHCO -------\Service_musbehco ((((((((((((((((((((((( Dateien erstellt von 2008-04-16 bis 2008-05-16 )))))))))))))))))))))))))))))) . 2008-05-16 12:47 . 2008-05-16 12:47 <DIR> d-------- C:\Programme\Avira 2008-05-16 12:47 . 2008-05-16 12:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-05-16 00:26 . 2008-05-16 00:26 <DIR> d-------- C:\Programme\Trend Micro 2008-05-16 00:16 . 2008-05-16 00:20 <DIR> d-------- C:\RVAXO 2008-05-16 00:14 . 2008-05-16 00:16 163,726 --a------ C:\RVAXO.reg 2008-05-16 00:12 . 2008-05-15 18:11 822,060 --a------ C:\WINDOWS\system32\RVAXO.bat 2008-05-16 00:12 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe 2008-05-15 19:19 . 2008-05-15 21:40 <DIR> d-------- C:\Programme\Spyware Doctor 2008-05-15 19:19 . 2008-05-15 19:19 <DIR> d-------- C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\PC Tools 2008-05-15 19:19 . 2007-04-19 15:18 83,536 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys 2008-05-15 19:19 . 2007-04-19 15:18 59,984 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys 2008-05-15 19:19 . 2007-04-19 15:18 52,304 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys 2008-05-15 19:19 . 2007-04-19 15:18 39,248 --a------ C:\WINDOWS\system32\drivers\ikfileflt.sys 2008-05-15 19:19 . 2007-04-19 15:18 26,064 --a------ C:\WINDOWS\system32\drivers\kcom.sys 2008-05-15 12:02 . 2008-05-15 12:02 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Uniblue 2008-05-15 11:16 . 2008-05-15 11:16 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien 2008-05-15 10:33 . 2008-05-15 10:33 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Protexis 2008-05-15 10:33 . 2008-05-15 10:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Corel 2008-05-15 10:32 . 2008-05-15 10:32 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Corel 2008-05-15 09:39 . 2008-05-15 09:39 32 --a------ C:\WINDOWS\CD_Start.INI 2008-05-14 18:40 . 2008-05-14 18:40 <DIR> d-------- C:\Programme\Lavasoft 2008-05-14 18:40 . 2008-05-14 18:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-05-14 18:28 . 2008-05-14 18:28 0 --ah----- C:\Dokumente und Einstellungen\Tnaf\NTUSER.DAT_TU_23388.LOG 2008-05-14 18:28 . 2008-05-14 18:28 0 --ah----- C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT_TU_47571.LOG 2008-05-14 18:28 . 2008-05-14 18:28 0 --ah----- C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT_TU_49783.LOG 2008-05-14 17:35 . 2001-08-18 04:34 18,176 --a------ C:\WINDOWS\system32\drivers\sermouse.sys 2008-05-14 17:35 . 2001-08-18 04:34 18,176 --a--c--- C:\WINDOWS\system32\dllcache\sermouse.sys 2008-05-14 17:06 . 2008-05-14 21:09 <DIR> d-------- C:\Programme\Secabo 2008-05-14 16:56 . 2008-05-14 16:56 <DIR> d-------- C:\Programme\Uniblue 2008-05-14 16:56 . 2008-05-14 16:56 <DIR> d-------- C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\Uniblue 2008-05-14 16:52 . 2008-05-14 16:52 <DIR> d-------- C:\Programme\TuneUp Utilities 2008 2008-05-14 16:52 . 2008-05-14 16:52 306,432 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe 2008-05-14 16:52 . 2007-09-04 11:59 29,704 --a------ C:\WINDOWS\system32\uxtuneup.dll 2008-05-13 12:35 . 1998-01-23 13:32 299,520 --a------ C:\WINDOWS\IsUn0804.exe 2008-05-04 18:28 . 2008-05-04 18:28 <DIR> d-------- C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\Ubisoft 2008-05-04 18:27 . 2008-05-04 18:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ubisoft 2008-05-04 18:27 . 2007-10-12 15:14 3,734,536 --a------ C:\WINDOWS\system32\d3dx9_36.dll 2008-05-04 18:27 . 2007-10-12 15:14 1,374,232 --a------ C:\WINDOWS\system32\D3DCompiler_36.dll 2008-05-04 18:27 . 2007-10-02 09:56 444,776 --a------ C:\WINDOWS\system32\d3dx10_36.dll 2008-05-04 18:27 . 2007-10-22 03:39 267,272 --a------ C:\WINDOWS\system32\xactengine2_10.dll 2008-05-04 18:27 . 2007-07-20 00:57 267,112 --a------ C:\WINDOWS\system32\xactengine2_9.dll 2008-05-04 18:26 . 2007-06-20 20:46 266,088 --a------ C:\WINDOWS\system32\xactengine2_8.dll 2008-05-04 18:26 . 2007-10-22 03:37 17,928 --a------ C:\WINDOWS\system32\X3DAudio1_2.dll 2008-05-01 23:30 . 2008-05-16 13:50 12 --a------ C:\WINDOWS\bthservsdp.dat 33 Datei(en) . 36,734,437 C:\ComboFix\Bytes 13 Datei(en) . 6,508,564 C:\ComboFix\Bytes 13 Datei(en) . 4,202,686 C:\ComboFix\Bytes 4 Datei(en) . 37,138 C:\ComboFix\Bytes 2 Datei(en) . 45,186 C:\ComboFix\Bytes 2 Datei(en) . 2,590 C:\ComboFix\Bytes . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-05-15 15:35 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-05-15 08:50 2,516 --sha-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\KGyGaAvL.sys 2008-05-15 08:34 --------- d-----w C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\Corel 2008-05-15 08:31 --------- d-----w C:\Programme\Corel 2008-05-14 16:40 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-05-14 16:37 --------- d-----w C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\Lavasoft 2008-05-13 19:36 --------- d-----w C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\The Bat! 2008-05-13 08:36 --------- d-----w C:\Programme\eMule 2008-05-04 16:16 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-04-29 15:54 --------- d-----w C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\U3 2008-03-31 07:29 --------- d-----w C:\Programme\AGEIA Technologies 2008-03-30 11:16 --------- d-----w C:\Programme\Grinbo 2008-03-30 11:10 --------- d-----w C:\Programme\xp-AntiSpy 2008-03-30 11:10 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ulead Systems 2008-03-29 21:54 --------- d-----w C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\Apple Computer 2008-03-26 16:39 --------- d-----w C:\Programme\Microsoft ActiveSync 2008-03-26 16:27 --------- d-----w C:\Programme\Windows Mobile Device Handbook 2008-03-24 11:20 --------- d-----w C:\Programme\BitTorrent Fastest Tool 2008-03-21 11:12 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft 2008-03-21 11:04 --------- d-----w C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\Media Player Classic 2008-03-21 11:03 --------- d-----w C:\Programme\K-Lite Codec Pack 2008-03-21 11:02 --------- d-----w C:\Programme\Gemeinsame Dateien\Real 2008-03-21 11:01 --------- d-----w C:\Programme\DivX 2008-03-17 23:08 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Elaborate Bytes 2008-03-17 22:55 --------- d-----w C:\Programme\DVD Shrink DE 2008-03-17 22:55 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink 2008-03-01 17:03 8 --sh--r C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\1FDD298875.sys 2008-02-20 14:29 691,545 ----a-w C:\WINDOWS\unins000.exe 2007-11-27 13:03 22,328 ----a-w C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\PnkBstrK.sys 2007-10-18 11:14 818 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\amlistx.dat 2007-06-21 21:57 25,600 ----a-w C:\Dokumente und Einstellungen\Tnaf\usbsermptxp.sys 2007-06-21 21:57 22,768 ----a-w C:\Dokumente und Einstellungen\Tnaf\usbsermpt.sys 2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll 2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll . ------- Sigcheck ------- 2007-06-13 15:21 4922368 e17ff70a9650e19c5bfdf8f7ac898835 C:\WINDOWS\explorer.exe 2007-06-13 15:10 1036288 331ed93570baf3cfe30340298762cd56 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe 2002-08-29 04:43 1007104 22b0a56e6c5847292437078b484ec61b C:\WINDOWS\$NtServicePackUninstall$\explorer.exe 2004-08-04 09:57 1035264 22fe1be02eadde1632e478e4125639e0 C:\WINDOWS\$NtUninstallKB938828$\explorer.exe 2007-06-13 15:21 4922368 e17ff70a9650e19c5bfdf8f7ac898835 C:\WINDOWS\ServicePackFiles\i386\explorer.exe 2007-06-13 15:21 1036288 64d320c0e301eedc5a4adbbdc5024f7f C:\WINDOWS\VCP_SAVE\explorer.exe . ((((((((((((((((((((((((((((( snapshot@2008-05-16_ 0.45.39.64 ))))))))))))))))))))))))))))))))))))))))) . - 2008-05-15 22:40:43 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-05-16 11:53:02 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-01-21 16:12:52 41,792 ----a-w C:\WINDOWS\system32\drivers\avgntdd.sys + 2008-01-21 16:11:28 22,336 ----a-w C:\WINDOWS\system32\drivers\avgntmgr.sys + 2008-03-04 11:28:49 79,424 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys - 2008-04-15 15:50:39 21,248 ----a-w C:\WINDOWS\system32\drivers\ssmdrv.sys + 2007-11-08 17:03:26 21,248 ----a-w C:\WINDOWS\system32\drivers\ssmdrv.sys + 2003-07-20 22:13:12 253,952 ----a-w C:\WINDOWS\system32\skinboxer43.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 14:50 1289000] "msnmsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 12:34 5724184] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-02-01 00:13 385024] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.I420"= i420vfw.dll "vidc.yv12"= yv12vfw.dll [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "SweetIM"=C:\Programme\Macrogaming\SweetIM\SweetIM.exe "ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" "CCleaner"="C:\Programme\CCleaner\CCleaner.exe" /AUTO "swg"=C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe "DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 "SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe "Uniblue RegistryBooster 2"=C:\Programme\Uniblue\RegistryBooster 2\RegistryBooster.exe /S "TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" autostart "msnmsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "ISUSPM Startup"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -startup "ISUSPM"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler "GhostStartTrayApp"=C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe "RTHDCPL"=RTHDCPL.EXE "SkyTel"=SkyTel.EXE "SweetIM"=C:\Programme\Macrogaming\SweetIM\SweetIM.exe "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" "ICQ Lite"="D:\Programme\ICQLite\ICQLite.exe" -minimize "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime "Alcmtr"=ALCMTR.EXE "NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe "BluetoothAuthenticationAgent"=rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent "NBKeyScan"="F:\Nero 7\Nero BackItUp\NBKeyScan.exe" "SWClient"=C:\Programme\SoftActivity\AMSys\swsys.exe "SDTray"=C:\Programme\Spyware Doctor\SDTrayApp.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "D:\\Programme\\ICQLite\\ICQLite.exe"= "C:\\Programme\\Teamspeak2_RC2\\server_windows.exe"= "G:\\Vietcong\\vietcong.exe"= "C:\\WINDOWS\\system32\\dpnsvr.exe"= "C:\\WINDOWS\\system32\\PnkBstrA.exe"= "C:\\WINDOWS\\system32\\PnkBstrB.exe"= "C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"= "C:\\Programme\\Mozilla Firefox\\firefox.exe"= "C:\\Programme\\eMule\\emule.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= "C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "G:\\Assassin's Creed\\AssassinsCreed_Dx9.exe"= "G:\\Assassin's Creed\\AssassinsCreed_Dx10.exe"= "G:\\Assassin's Creed\\AssassinsCreed_Launcher.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service R0 mv614x;mv614x;C:\WINDOWS\system32\DRIVERS\mv614x.sys [2006-07-03 13:21] R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-02-23 05:38] R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys [2006-02-23 05:39] R1 GhPciScan;GhostPciScanner;C:\Programme\Symantec\Norton Ghost 2003\ghpciscan.sys [2003-05-28 20:01] R2 PSI_SVC_2;Protexis Licensing V2;"c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe" [2007-07-24 11:15] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 09:58] R2 WTService;WTService;C:\WINDOWS\system32\atwtusb.exe [2006-12-08 14:47] R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\atl01_xp.sys [2006-08-22 07:36] S3 SAgentDriver;SAgent Driver;C:\Programme\SoftActivity\AMSys\sagendrv.sys [] S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-05-14 16:52] S3 Usblink;Usblink Driver;C:\WINDOWS\system32\Drivers\ulink.sys [2003-06-03 00:28] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3bb00e2a-c9c5-11dc-bd81-0018f37fc7a4}] \Shell\AutoRun\command - E:\setupSNK.exe *Newly Created Service* - USNJSVC . Inhalt des "geplante Tasks" Ordners "2008-05-14 14:52:42 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUp Utilities 2008\OneClick.exe "2008-04-07 09:06:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Programme\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-16 13:53:45 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\system32\winlogon.exe -> C:\Programme\Spyware Doctor\klg.dat PROCESS: C:\WINDOWS\system32\lsass.exe -> C:\Programme\Spyware Doctor\klg.dat PROCESS: C:\WINDOWS\explorer.exe -> C:\Programme\Spyware Doctor\klg.dat PROCESS: C:\WINDOWS\system32\csrss.exe -> C:\Programme\Spyware Doctor\klg.dat . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\system32\ati2evxx.exe C:\WINDOWS\system32\ati2evxx.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\Spyware Doctor\svcntaux.exe C:\PROGRA~1\MI3AA1~1\rapimgr.exe C:\WINDOWS\system32\msiexec.exe C:\Programme\Spyware Doctor\swdsvc.exe C:\Programme\Windows Live\Messenger\usnsvc.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-05-16 13:58:42 - machine was rebooted ComboFix-quarantined-files.txt 2008-05-16 11:58:37 ComboFix2.txt 2008-05-16 11:06:05 ComboFix3.txt 2008-05-16 10:30:24 ComboFix4.txt 2008-05-15 23:04:02 ComboFix5.txt 2007-11-08 15:10:57 13 Verzeichnis(se), 14,783,664,128 Bytes frei 16 Verzeichnis(se), 14,771,068,928 Bytes frei 279 --- E O F --- 2008-05-14 11:37:24 |
|
|
|
|
|
|
16.05.2008, 13:17
Ehrenmitglied
Beiträge: 29434 |
#13
scanne mit malwarebytes und poste den report
http://virus-protect.org/artikel/tools/malwarebytes.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
17.05.2008, 00:33
Member
Themenstarter Beiträge: 13 |
#14
Malwarebytes' Anti-Malware 1.12
Datenbank Version: 755 Scan Art: Komplett Scan (C:\|D:\|F:\|G:\|K:\|) Objekte gescannt: 175191 Scan Dauer: 47 minute(s), 52 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 6 Infizierte Registrierungswerte: 0 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\Typelib\{8b8df25f-2c47-4473-8e1c-7f54ac7ef481} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\Adsl Software Limited (Rogue.MalWarrior) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\pvnsmfor.blqd (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\pvnsmfor.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine Malware Objekte gefunden) Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\Tnaf\Desktop\CDGSX4\CorelDRAW.Graphics.Suite.X4.v14.0.0.567.German.Incl.Keymaker-CORE\CORE10k.EXE (Trojan.Agent) -> Quarantined and deleted successfully. K:\CorelDRAW.Graphics.Suite.X4.v14.0.0.567.German.Incl.Keymaker-CORE\CORE10k.EXE (Trojan.Agent) -> Quarantined and deleted successfully. |
|
|
|
|
|
|
17.05.2008, 13:37
Ehrenmitglied
Beiträge: 29434 |
#15
1.
http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) USNJSVC in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. 2. wende sdfix an (muss im abgesicherten Modus sein) - poste hier den report http://virus-protect.org/artikel/tools/sdfix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
hab folgendes problem:
bei mir kommt seit heute nachdem ich nen treiber für meinen plotter gedowloadet habe (nicht von der original seite) immer die antivir meldung: fake.malwarrior....
wie bekomm ich das ding wieder runter????
desweiteren hatte ich kurze zeit später eine html-verlinkung als desktophintergrund mit einer art tribal wo darunter stand your priavcy ......
hab jetzut schon mit adaware, spybot, antivir und spyware doctor im abgesicherten modus einiges gelöscht und habe unter tune up jedes unbekannte programm aus der autostart funktion entfernt, allerdings kommen noch immer trojaner meldungen von antivier!
er brachte auch noch einige datein die mit vundo... zusammenhingen daraufhin hab ich vondofix geladen und durchlaufen lassen gebracht hat es leider nix!
was kann ich tun? bin dankbar für jede antwort!