Entfernung der Spyware BraveSentry |
||
---|---|---|
#0
| ||
19.05.2008, 13:05
Member
Beiträge: 12 |
||
|
||
19.05.2008, 13:42
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo,
1. mit dem HijackThis löschen ("fixen") Klicke: "Do a system scan only" Setze ein Häckchen in das Kästchen vor den genannten Eintrag und wähle fix checked Zitat R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ://softwarereferral./jump.php?wmid=6010&mid=MjI6Ojg5&lid=2------------------------------------------------------------ «« Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern Zitat KILLALL::Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden. cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen danach: Combofix noch einmal anwenden »» poste das neue Log von Combofix »» PC neustarten -------------- «« http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) Cio51 in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. -- das gleiche mit Google Online Services --------------------------------------- «« wende windowsscan an + poste den report http://virus-protect.org/artikel/tools/windowsscan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.05.2008, 10:15
Member
Themenstarter Beiträge: 12 |
#3
Hallo Sabina,
erstmal vielen Dank für deine Hilfe !!! Hier die gewünschten Log-Daten: ----------------------------------------------------------------- ComboFix: ComboFix 08-05-15.3 - keller.ronny 2008-05-20 9:52:20.4 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.262 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\keller.ronny\Desktop\ComboFix.exe [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . ---- Previous Run ------- . C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fqdqlsfg C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fqdqlsfg\hsjilihu.exe C:\Dokumente und Einstellungen\keller.ronny\Favoriten\Error Cleaner.url C:\Dokumente und Einstellungen\keller.ronny\Favoriten\Privacy Protector.url C:\Dokumente und Einstellungen\keller.ronny\Favoriten\Spyware&Malware Protection.url C:\Dokumente und Einstellungen\keller.ronny\ie_updates3r.exe C:\kskbd.exe C:\WINDOWS\exnk.exe C:\WINDOWS\mpfanvqg.dll C:\WINDOWS\oadkxrts.exe C:\WINDOWS\pvnsmfor.dll C:\WINDOWS\system32\amp.ini C:\WINDOWS\system32\blackster.scr C:\WINDOWS\system32\bsnkhknw.exe C:\WINDOWS\system32\c__0593.nls C:\WINDOWS\system32\c__10983.nls C:\WINDOWS\system32\c__2303.nls C:\WINDOWS\system32\c__23732.nls C:\WINDOWS\system32\c__3478.nls C:\WINDOWS\system32\c__3479.nls C:\WINDOWS\system32\c__3480.nls C:\WINDOWS\system32\c__3481.nls C:\WINDOWS\system32\c__3482.nls C:\WINDOWS\system32\c__34895.nls C:\WINDOWS\system32\c__374.nls C:\WINDOWS\system32\c__3948.nls C:\WINDOWS\system32\clkcnt.txt C:\WINDOWS\system32\ctfmonb.bmp C:\WINDOWS\system32\djki397g.dll C:\WINDOWS\system32\Drivers\Cio51.sys C:\WINDOWS\system32\edyj534.exe C:\WINDOWS\system32\edyj550.exe C:\WINDOWS\system32\edyj615.exe C:\WINDOWS\system32\edyj617.exe C:\WINDOWS\system32\edyj618.exe C:\WINDOWS\system32\es.dat C:\WINDOWS\system32\gwwzpc.tmp C:\WINDOWS\system32\hdxjd4g.dll C:\WINDOWS\system32\interns32.dll C:\WINDOWS\system32\khfCtqpp.dll C:\WINDOWS\system32\msiesetup.exe C:\WINDOWS\system32\nzqtegh.sys C:\WINDOWS\system32\rqnovyzg.exe C:\WINDOWS\system32\sincim32.dll C:\WINDOWS\system32\urqOIAqn.dll C:\WINDOWS\totacon.config C:\WINDOWS\totacon.exe C:\WINDOWS\vbksrofa.dll . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_CIO51 -------\Legacy_GOOGLE_ONLINE_SERVICES -------\Service_Cio51 -------\Service_Google Online Services -------\Service_nzqtegh ((((((((((((((((((((((( Dateien erstellt von 2008-04-20 bis 2008-05-20 )))))))))))))))))))))))))))))) . 2008-05-19 11:36 . 2008-05-19 11:36 <DIR> d-------- C:\Programme\CCleaner 2008-05-19 10:02 . 2005-01-15 22:47 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2008-05-19 10:02 . 2005-01-15 22:47 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü 2008-05-19 10:02 . 2005-01-15 22:47 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2008-05-19 10:02 . 2008-05-20 09:52 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2008-05-19 10:02 . 2005-07-09 05:27 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten 2008-05-19 10:02 . 2005-07-09 05:27 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien 2008-05-19 10:02 . 2005-01-15 22:47 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung 2008-05-19 10:02 . 2005-07-09 05:30 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\You've Got Pictures Screensaver 2008-05-19 10:02 . 2005-01-15 23:00 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Symantec 2008-05-19 10:02 . 2005-07-09 05:42 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AOL 2008-05-19 10:02 . 2005-01-15 22:47 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2008-05-19 10:02 . 2008-05-19 11:54 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator 2008-05-19 10:02 . 2008-05-19 11:52 1,024 --ah----- C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG 2008-05-19 09:52 . 2008-05-19 13:46 <DIR> d-------- C:\Dokumente und Einstellungen\keller.ronny\Anwendungsdaten\TmpRecentIcons 2008-05-16 13:44 . 2008-05-16 13:44 80,384 --a------ C:\prkh.exe 2008-05-16 13:44 . 2008-05-16 13:44 2 --a------ C:\281198849 2008-05-16 13:37 . 2008-05-16 13:37 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Startmenü 2008-05-16 13:37 . 2008-05-16 13:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited 2008-05-16 13:36 . 2008-05-16 13:37 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Favoriten 2008-04-28 09:52 . 2007-07-30 19:19 43,352 --a------ C:\WINDOWS\system32\wups2.dll 2008-04-28 09:52 . 2007-07-30 19:18 34,136 --a------ C:\WINDOWS\system32\wucltui.dll.mui 2008-04-28 09:52 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui 2008-04-28 09:52 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui 2008-04-28 09:52 . 2007-07-30 19:18 20,824 --a------ C:\WINDOWS\system32\wuaueng.dll.mui 3 Datei(en) . 1,049,790 C:\ComboFix\Bytes 1 Datei(en) . 62 C:\ComboFix\Bytes . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-05-20 00:12 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared 2006-04-11 11:10 316 ----a-w C:\Dokumente und Einstellungen\keller.ronny\Anwendungsdaten\wklnhst.dat . ------- Sigcheck ------- 2004-08-04 05:00 510464 62c9b901da3bfb29fda1d07b4d582da8 C:\WINDOWS\system32\winlogon.exe md5deep: C:\WINDOWS\explorer.exe: error at offset 0: Permission denied md5deep: C:\WINDOWS\system32\services.exe: error at offset 0: Permission denied md5deep: C:\WINDOWS\system32\lsass.exe: error at offset 0: Permission denied . ((((((((((((((((((((((((((((( snapshot@2008-05-19_12.02.05.62 ))))))))))))))))))))))))))))))))))))))))) . - 2008-05-19 09:59:19 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-05-19 12:08:04 2,048 --s-a-w C:\WINDOWS\bootstat.dat - 2008-05-19 09:25:57 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat + 2008-05-19 09:59:19 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat - 2008-05-19 09:25:57 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat + 2008-05-19 09:59:19 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat - 2008-05-19 09:25:57 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat + 2008-05-19 09:59:19 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 05:00 15360] "eRecoveryService"="" [] "MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352] "swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-18 10:24 68856] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2005-08-04 10:49 58992] C:\Dokumente und Einstellungen\keller.ronny\Startmen\Programme\Autostart\ Launch K9.lnk - C:\Programme\KeirNet\K9\K9.exe [2004-04-18 21:43:44 82944] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-29 11:21:07 110592] Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 22:05:56 65588] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "ObEjcC"= {10C2C102-BA68-6BA8-EE70-57A451F76353} - C:\WINDOWS\system32\eyzaulk.dll [2004-08-04 05:00 32768] [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"= "C:\\Programme\\ICQLite\\ICQLite.exe"= "C:\\Programme\\MSN Messenger\\msnmsgr.exe"= "C:\\Programme\\MSN Messenger\\livecall.exe"= "\\findfast.exe"= R0 nvcchflt;NVIDIA Disk Cache Filter Driver;C:\WINDOWS\system32\DRIVERS\nvcchflt.sys [2005-02-11 19:11] S3 int15.sys;int15.sys;C:\Programme\acer\eRecovery\int15.sys [2005-01-13 14:46] *Newly Created Service* - catchme . Inhalt des "geplante Tasks" Ordners "2008-05-05 07:53:18 C:\WINDOWS\Tasks\Norton AntiVirus - Meinen Computer prüfen - keller.ronny.job" - C:\PROGRA~1\NORTON~1\Navw32.exe "2008-05-16 11:07:33 C:\WINDOWS\Tasks\Symantec NetDetect.job" - C:\Programme\Symantec\LiveUpdate\NDETECT.EXE . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-20 09:53:00 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-05-20 9:53:25 ComboFix-quarantined-files.txt 2008-05-20 07:53:18 ComboFix2.txt 2008-05-19 10:08:35 15 Verzeichnis(se), 88,963,825,664 Bytes frei 18 Verzeichnis(se), 88,956,059,648 Bytes frei 178 ----------------------------------------------------------------- regsearch (Cio51): Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.5.0 ; Results at 20.05.2008 10:01:34 for strings: ; 'cio51' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Cio51.sys] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\Cio51.sys] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\Cio51.sys] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Cio51.sys] ; End Of The Log... ----------------------------------------------------------------- regsearch (Google Online Services): Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.5.0 ; Results at 20.05.2008 10:04:41 for strings: ; 'google online services' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... ----------------------------------------------------------------- WindowsScan: Die 30 neuesten Dateien im Ordner Windows: ***** ***** ***** ***** ***** ***** Scanning C:\WINDOWS ***** ***** ***** ***** ***** ***** 20.05.2008 system.ini 09 52:227 19.05.2008 WindowsUpdate.log 14 09:492.958 19.05.2008 0.log 14 08:0 19.05.2008 wiaservc.log 14 08:50 19.05.2008 wiadebug.log 14 08:159 19.05.2008 bootstat.dat 14 08:2.048 16.05.2008 BRWMARK.INI 12 04:416 16.05.2008 BRPP2KA.INI 12 04:26 11.04.2008 win.ini 11 56:742 03.08.2007 ODBC.INI 10 17:403 28.02.2007 vbaddin.ini 13 24:59 09.02.2007 BO5150D.INI 14 03:40 09.02.2007 WORDPAD.INI 13 52:754 09.07.2005 WMSysPr9.prx 05 29:316.640 09.07.2005 nsreg.dat 05 28:335 09.07.2005 REGLOCS.OLD 04 20:8.192 28.03.2005 ALAUNCH.INI 09 29:83 24.03.2005 conv.bat 12 34:43 24.03.2005 shut.bat 02 50:17 24.03.2005 yes.txt 01 52:7 16.01.2005 smscfg.ini 20 50:61 15.01.2005 control.ini 22 52:0 15.01.2005 ODBCINST.INI 22 52:4.161 15.01.2005 WindowsShell.Manifest 22 51:749 15.01.2005 vb.ini 22 51:36 15.01.2005 T30DebugLogFile.txt 22 50:0 15.01.2005 Sti_Trace.log 22 49:0 Die 50 neuesten Dateien im Ordner Windows\system32: ***** ***** ***** ***** ***** ***** Scanning C:\WINDOWS\system32 ***** ***** ***** ***** ***** ***** 19.05.2008 wpa.dbl 09 49:1.158 13.05.2008 eRLog.ini 09 53:924 19.04.2008 perfh009.dat 10 22:313.082 19.04.2008 perfc009.dat 10 22:40.800 19.04.2008 perfh007.dat 10 22:318.436 19.04.2008 perfc007.dat 10 22:49.226 19.04.2008 PerfStringBackup.INI 10 22:728.266 19.04.2008 FNTCACHE.DAT 10 20:364.632 14.01.2008 jupdate-1.6.0_03-b05.log 14 44:5.628 25.09.2007 javaws.exe 00 31:139.264 25.09.2007 javacpl.cpl 00 31:69.632 24.09.2007 javaw.exe 23 30:135.168 24.09.2007 java.exe 23 30:135.168 20.08.2007 jupdate-1.6.0_02-b06.log 10 08:5.156 30.07.2007 wuaucpl.cpl.mui 19 20:30.040 30.07.2007 wuapi.dll.mui 19 20:30.040 30.07.2007 wuweb.dll 19 19:203.096 30.07.2007 wuaueng.dll 19 19:1.712.984 30.07.2007 wuapi.dll 19 19:549.720 30.07.2007 wucltui.dll 19 19:325.976 30.07.2007 wuaucpl.cpl 19 19:216.408 30.07.2007 cdm.dll 19 19:92.504 30.07.2007 wuauclt.exe 19 19:53.080 30.07.2007 wups2.dll 19 19:43.352 30.07.2007 wucltui.dll.mui 19 18:34.136 30.07.2007 wups.dll 19 18:33.624 30.07.2007 wuaueng.dll.mui 19 18:20.824 04.06.2007 jupdate-1.6.0_01-b06.log 10 00:4.196 19.01.2007 sirenacm.dll 12 53:51.056 28.07.2005 S32EVNT1.DLL 14 52:91.856 09.07.2005 $ncsp$.inf 05 43:333 09.07.2005 qtplugin.log 05 30:2.780 09.07.2005 pncrt.dll 05 29:278.528 09.07.2005 pndx5016.dll 05 29:6.656 09.07.2005 pndx5032.dll 05 29:5.632 09.07.2005 prefscpl.cpl 05 29:25.088 09.07.2005 rmoc3260.dll 05 29:157.696 03.05.2005 atiiiexx.dll 22 04:299.008 03.05.2005 ATIDEMGR.dll 21 31:221.184 03.05.2005 atioglx1.dll 20 52:6.680.576 03.05.2005 atioglxx.dll 19 44:4.820.992 03.05.2005 ati2dvag.dll 19 28:226.816 03.05.2005 atipdlxx.dll 19 24:94.208 03.05.2005 Oemdspif.dll 19 24:73.728 03.05.2005 Ati2mdxx.exe 19 24:25.088 03.05.2005 ati2edxx.dll 19 24:39.936 03.05.2005 ati2evxx.dll 19 23:46.080 ***** ***** ***** ***** ***** ***** Scanning C:\WINDOWS\system32\drivers\etc\hosts ***** ***** ***** ***** ***** ***** 127.0.0.1 localhost ***** ***** ***** ***** ***** ***** Scanning Processe ***** ***** ***** ***** ***** ***** Microsoft Windows XP [Version 5.1.2600] http://www.paules-pc-forum.de ***** Malware Team ***** ***** Ende des Scans 20.05.2008 um 10:06:46,78 *** ---------------------------------------------------------------------- keine ahnung ob es dir weiterhilft, aber der Rechner wurde am 16.05 mit BraveSentry infiziert. Grüße KMD Dieser Beitrag wurde am 20.05.2008 um 10:24 Uhr von KMD editiert.
|
|
|
||
20.05.2008, 11:02
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo,
«« Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" «« lade Combofix neu + anwenden http://virus-protect.org/artikel/tools/combofix.html 1. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit "Speichern unter" auf dem Desktop. Gebe bei Dateityp "Alle Dateien" an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\2. erstelle eine neue cfscript.txt /Änderung der erst erstellten zulassen) - dann wieder auf das Symbol von Combofix ziehen + erneut anwenden Zitat KILLALL::« poste das neue log von Combofix »» http://virus-protect.org/artikel/tools/gmer.html nutze Gmer Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser beendet, wähle Copy und füge den Bericht ein. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.05.2008, 11:51
Member
Themenstarter Beiträge: 12 |
#5
listen.bat
Datentr„ger in Laufwerk C: ist ACER Volumeseriennummer: 10C2-C101 Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited 16.05.2008 13:37 <DIR> . 16.05.2008 13:37 <DIR> .. 16.05.2008 13:38 <DIR> MalWarrior 2008 0 Datei(en) 0 Bytes 3 Verzeichnis(se), 89.041.162.240 Bytes frei Datentr„ger in Laufwerk C: ist ACER Volumeseriennummer: 10C2-C101 Verzeichnis von C:\Dokumente und Einstellungen\LocalService\Favoriten 16.05.2008 13:37 <DIR> . 16.05.2008 13:37 <DIR> .. 16.05.2008 13:37 <DIR> Links 0 Datei(en) 0 Bytes 3 Verzeichnis(se), 89.041.158.144 Bytes frei Datentr„ger in Laufwerk C: ist ACER Volumeseriennummer: 10C2-C101 Verzeichnis von C:\Dokumente und Einstellungen\LocalService Datentr„ger in Laufwerk C: ist ACER Volumeseriennummer: 10C2-C101 Verzeichnis von C:\WINDOWS\Downloaded Program Files 09.11.2006 15:36 5.019 swflash.inf 30.07.2007 19:24 293 wuweb.inf 2 Datei(en) 5.312 Bytes 0 Verzeichnis(se), 89.041.158.144 Bytes frei Datentr„ger in Laufwerk C: ist ACER Volumeseriennummer: 10C2-C101 Verzeichnis von C:\Programme Datentr„ger in Laufwerk C: ist ACER Volumeseriennummer: 10C2-C101 Verzeichnis von C:\Dokumente und Einstellungen\keller.ronny 19.05.2008 14:05 <DIR> . 19.05.2008 14:05 <DIR> .. 23.01.2006 12:11 519 ACERBACKUPCDLog.TXT 26.07.2006 10:16 <DIR> Contacts 20.05.2008 11:25 <DIR> Desktop 07.09.2007 17:23 <DIR> Eigene Dateien 19.05.2008 14:06 <DIR> Favoriten 08.05.2006 14:02 600 PUTTY.RND 28.02.2007 13:17 <DIR> Startmen 2 Datei(en) 1.119 Bytes 7 Verzeichnis(se), 89.041.158.144 Bytes frei Datentr„ger in Laufwerk C: ist ACER Volumeseriennummer: 10C2-C101 Verzeichnis von C:\Program Files 16.05.2008 13:35 <DIR> . 16.05.2008 13:35 <DIR> .. 16.05.2008 13:35 <DIR> BraveSentry 30.11.2006 12:25 <DIR> ICQLite 0 Datei(en) 0 Bytes 4 Verzeichnis(se), 89.041.158.144 Bytes frei Datentr„ger in Laufwerk C: ist ACER Volumeseriennummer: 10C2-C101 Verzeichnis von C:\Dokumente und Einstellungen\keller.ronny\Lokale Einstellungen\Temporary Internet Files\Content.IE5 20.05.2008 11:20 32.768 index.dat 1 Datei(en) 32.768 Bytes 0 Verzeichnis(se), 89.041.158.144 Bytes frei Datentr„ger in Laufwerk C: ist ACER Volumeseriennummer: 10C2-C101 Verzeichnis von C:\Dokumente und Einstellungen\keller.ronny\Lokale Einstellungen\Temp 20.05.2008 11:23 <DIR> . 20.05.2008 11:23 <DIR> .. 20.05.2008 11:23 7.242 Combofix-Log-2.txt 1 Datei(en) 7.242 Bytes 2 Verzeichnis(se), 89.041.158.144 Bytes frei Datentr„ger in Laufwerk C: ist ACER Volumeseriennummer: 10C2-C101 Verzeichnis von C:\WINDOWS\Temp 20.05.2008 11:23 <DIR> . 20.05.2008 11:23 <DIR> .. 0 Datei(en) 0 Bytes 2 Verzeichnis(se), 89.041.158.144 Bytes frei Datentr„ger in Laufwerk C: ist ACER Volumeseriennummer: 10C2-C101 Verzeichnis von C:\Temp 28.02.2007 13:17 <DIR> . 28.02.2007 13:17 <DIR> .. 0 Datei(en) 0 Bytes 2 Verzeichnis(se), 89.041.158.144 Bytes frei Datentr„ger in Laufwerk C: ist ACER Volumeseriennummer: 10C2-C101 Verzeichnis von C:\Programme 19.05.2008 11:52 <DIR> . 19.05.2008 11:52 <DIR> .. 16.01.2005 20:42 <DIR> acer 29.03.2005 11:20 <DIR> Adobe 15.01.2005 22:58 <DIR> AMD 03.08.2006 14:51 <DIR> AOL 9.0 19.05.2008 11:36 <DIR> CCleaner 15.01.2005 22:51 <DIR> ComPlus Applications 15.01.2005 22:58 <DIR> CyberLink 13.05.2008 09:52 <DIR> Gemeinsame Dateien 29.01.2007 10:55 <DIR> Google 30.11.2006 12:31 <DIR> ICQLite 15.01.2005 22:51 <DIR> Internet Explorer 14.01.2008 14:44 <DIR> Java 04.12.2007 11:21 <DIR> KeirNet 08.09.2007 10:10 <DIR> LeechFTP 28.03.2005 10:19 <DIR> Macromedia 15.01.2005 22:50 <DIR> Messenger 28.02.2007 13:17 <DIR> microsoft frontpage 20.09.2007 10:39 <DIR> Microsoft Office 28.02.2007 13:23 <DIR> Microsoft Visual Studio 28.03.2005 09:27 <DIR> Microsoft Works 15.01.2005 22:51 <DIR> Movie Maker 19.05.2008 10:53 <DIR> Mozilla Firefox 15.01.2005 22:50 <DIR> MSN 15.01.2005 22:50 <DIR> MSN Gaming Zone 11.06.2007 09:58 <DIR> MSN Messenger 15.01.2005 22:51 <DIR> NetMeeting 15.01.2005 22:57 <DIR> NewTech Infosystems 28.03.2005 09:52 <DIR> Norton AntiVirus 16.01.2005 20:41 <DIR> NVIDIA Corporation 15.01.2005 22:50 <DIR> Online Services 15.01.2005 22:51 <DIR> Online-Dienste 15.01.2005 22:51 <DIR> Outlook Express 12.01.2007 14:35 <DIR> Planetside Software 09.07.2005 05:29 <DIR> QuickTime 09.07.2005 05:29 <DIR> Real 14.01.2008 13:06 <DIR> Sibelius Software 28.03.2005 09:41 <DIR> Symantec 28.03.2005 09:41 <DIR> SymNetDrv 09.07.2005 05:30 <DIR> Viewpoint 15.01.2005 22:50 <DIR> Windows Media Player 15.01.2005 22:50 <DIR> Windows NT 10.08.2006 11:30 <DIR> WinRAR 15.01.2005 22:52 <DIR> xerox 0 Datei(en) 0 Bytes 45 Verzeichnis(se), 89.041.154.048 Bytes frei Datentr„ger in Laufwerk C: ist ACER Volumeseriennummer: 10C2-C101 Verzeichnis von C:\Dokumente und Einstellungen\keller.ronny\Lokale Einstellungen\Anwendungsdaten 28.03.2005 10:09 <DIR> Adobe 11.04.2006 11:25 62.672 GDIPFONTCACHEV1.DAT 25.09.2006 10:15 <DIR> Google 12.01.2006 13:27 <DIR> Identities 23.02.2007 11:25 <DIR> Lexware 05.12.2007 11:42 <DIR> Microsoft 25.10.2006 13:13 <DIR> Mozilla 28.03.2005 09:24 <DIR> {7148F0A6-6813-11D6-A77B-00B0D0142050} 1 Datei(en) 62.672 Bytes 7 Verzeichnis(se), 89.041.154.048 Bytes frei Datentr„ger in Laufwerk C: ist ACER Volumeseriennummer: 10C2-C101 Verzeichnis von C:\Dokumente und Einstellungen\keller.ronny\Anwendungsdaten 18.11.2005 12:37 <DIR> Adobe 28.03.2005 10:09 <DIR> AdobeUM 09.07.2005 05:42 <DIR> AOL 25.09.2006 11:37 <DIR> Google 30.11.2006 12:31 <DIR> ICQLite 15.01.2005 22:56 <DIR> Identities 04.12.2007 11:22 <DIR> K9 28.03.2005 10:07 <DIR> Macromedia 28.02.2007 13:18 <DIR> Microsoft Web Folders 25.10.2006 13:13 <DIR> Mozilla 14.01.2008 13:06 <DIR> Sibelius Software 28.03.2005 09:24 <DIR> Sun 28.03.2005 09:38 <DIR> Symantec 11.04.2006 11:26 <DIR> Template 19.05.2008 13:46 <DIR> TmpRecentIcons 12.01.2007 14:39 <DIR> uk.co.planetside 11.04.2006 13:10 316 wklnhst.dat 09.07.2005 05:30 <DIR> You've Got Pictures Screensaver 1 Datei(en) 316 Bytes 17 Verzeichnis(se), 89.041.154.048 Bytes frei Datentr„ger in Laufwerk C: ist ACER Volumeseriennummer: 10C2-C101 Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten 15.01.2005 22:56 <DIR> Adobe 16.05.2008 13:37 <DIR> Adsl Software Limited 03.08.2006 14:51 <DIR> AOL 15.01.2005 22:58 <DIR> CyberLink 25.09.2006 09:59 <DIR> Google 14.11.2005 12:05 <DIR> QuickTime 15.01.2005 23:00 <DIR> Symantec 09.07.2005 05:30 <DIR> Viewpoint 0 Datei(en) 0 Bytes 8 Verzeichnis(se), 89.041.149.952 Bytes frei Datentr„ger in Laufwerk C: ist ACER Volumeseriennummer: 10C2-C101 Verzeichnis von C:\Programme\Gemeinsame Dateien 13.05.2008 09:52 <DIR> . 13.05.2008 09:52 <DIR> .. 29.03.2005 11:20 <DIR> Adobe 09.07.2005 05:29 <DIR> aol 09.07.2005 05:29 <DIR> aolshare 28.02.2007 13:23 <DIR> Designer 15.01.2005 22:51 <DIR> Dienste 15.01.2005 22:57 <DIR> InstallShield 28.03.2005 09:24 <DIR> Java 19.01.2007 11:09 <DIR> Lexware 28.03.2005 10:19 <DIR> Macromedia 20.09.2007 10:39 <DIR> Microsoft Shared 15.01.2005 22:51 <DIR> MSSoap 09.07.2005 05:29 <DIR> Nullsoft 16.01.2005 20:41 <DIR> NVIDIA Shared 15.01.2005 22:47 <DIR> ODBC 09.07.2005 05:29 <DIR> Real 15.01.2005 22:47 <DIR> SpeechEngines 20.05.2008 02:12 <DIR> Symantec Shared 28.02.2007 13:22 <DIR> System 0 Datei(en) 0 Bytes 20 Verzeichnis(se), 89.041.149.952 Bytes frei Datentr„ger in Laufwerk C: ist ACER Volumeseriennummer: 10C2-C101 Verzeichnis von C:\Windows\tasks 05.05.2008 09:53 582 Norton AntiVirus - Meinen Computer prfen - keller.ronny.job 16.05.2008 13:07 362 Symantec NetDetect.job 2 Datei(en) 944 Bytes 0 Verzeichnis(se), 89.041.149.952 Bytes frei ----------------------------------------------------------------------- ComboFix 08-05-19.4 - keller.ronny 2008-05-20 11:35:08.7 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.263 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\keller.ronny\Desktop\ComboFix.exe [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . ---- Previous Run ------- . C:\281198849 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\MalWarrior 2008\Malwarrior.exe C:\Dokumente und Einstellungen\keller.ronny\Anwendungsdaten\TmpRecentIcons C:\Dokumente und Einstellungen\keller.ronny\Anwendungsdaten\TmpRecentIcons\CCleaner.lnk C:\prkh.exe . ((((((((((((((((((((((( Dateien erstellt von 2008-04-20 bis 2008-05-20 )))))))))))))))))))))))))))))) . 2008-05-19 11:36 . 2008-05-19 11:36 <DIR> d-------- C:\Programme\CCleaner 2008-05-19 10:02 . 2005-01-15 22:47 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2008-05-19 10:02 . 2005-01-15 22:47 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü 2008-05-19 10:02 . 2005-01-15 22:47 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2008-05-19 10:02 . 2008-05-20 11:35 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2008-05-19 10:02 . 2005-07-09 05:27 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten 2008-05-19 10:02 . 2005-07-09 05:27 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien 2008-05-19 10:02 . 2005-01-15 22:47 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung 2008-05-19 10:02 . 2005-07-09 05:30 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\You've Got Pictures Screensaver 2008-05-19 10:02 . 2005-01-15 23:00 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Symantec 2008-05-19 10:02 . 2005-07-09 05:42 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AOL 2008-05-19 10:02 . 2005-01-15 22:47 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2008-05-19 10:02 . 2008-05-19 11:54 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator 2008-05-19 10:02 . 2008-05-20 11:19 1,024 --ah----- C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG 2008-05-16 13:37 . 2008-05-16 13:37 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Startmenü 2008-05-16 13:36 . 2008-05-16 13:37 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Favoriten 2008-04-28 09:52 . 2007-07-30 19:19 43,352 --a------ C:\WINDOWS\system32\wups2.dll 2008-04-28 09:52 . 2007-07-30 19:18 34,136 --a------ C:\WINDOWS\system32\wucltui.dll.mui 2008-04-28 09:52 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui 2008-04-28 09:52 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui 2008-04-28 09:52 . 2007-07-30 19:18 20,824 --a------ C:\WINDOWS\system32\wuaueng.dll.mui . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-05-20 09:34 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared 2006-04-11 11:10 316 ----a-w C:\Dokumente und Einstellungen\keller.ronny\Anwendungsdaten\wklnhst.dat . ------- Sigcheck ------- 2004-08-04 05:00 510464 62c9b901da3bfb29fda1d07b4d582da8 C:\WINDOWS\system32\winlogon.exe md5deep: C:\WINDOWS\explorer.exe: error at offset 0: Permission denied md5deep: C:\WINDOWS\system32\services.exe: error at offset 0: Permission denied md5deep: C:\WINDOWS\system32\lsass.exe: error at offset 0: Permission denied . ((((((((((((((((((((((((((((( snapshot@2008-05-20_11.20.21,89 ))))))))))))))))))))))))))))))))))))))))) . - 2008-05-19 12:08:04 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-05-20 09:30:36 2,048 --s-a-w C:\WINDOWS\bootstat.dat . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 05:00 15360] "eRecoveryService"="" [] "MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352] "swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-18 10:24 68856] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2005-08-04 10:49 58992] C:\Dokumente und Einstellungen\keller.ronny\Startmen\Programme\Autostart\ Launch K9.lnk - C:\Programme\KeirNet\K9\K9.exe [2004-04-18 21:43:44 82944] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-29 11:21:07 110592] Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 22:05:56 65588] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "ObEjcC"= {10C2C102-BA68-6BA8-EE70-57A451F76353} - C:\WINDOWS\system32\eyzaulk.dll [2004-08-04 05:00 32768] [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"= "C:\\Programme\\ICQLite\\ICQLite.exe"= "C:\\Programme\\MSN Messenger\\msnmsgr.exe"= "C:\\Programme\\MSN Messenger\\livecall.exe"= "\\findfast.exe"= R0 nvcchflt;NVIDIA Disk Cache Filter Driver;C:\WINDOWS\system32\DRIVERS\nvcchflt.sys [2005-02-11 19:11] S3 int15.sys;int15.sys;C:\Programme\acer\eRecovery\int15.sys [2005-01-13 14:46] *Newly Created Service* - catchme . Inhalt des "geplante Tasks" Ordners "2008-05-05 07:53:18 C:\WINDOWS\Tasks\Norton AntiVirus - Meinen Computer prüfen - keller.ronny.job" - C:\PROGRA~1\NORTON~1\Navw32.exe "2008-05-16 11:07:33 C:\WINDOWS\Tasks\Symantec NetDetect.job" - C:\Programme\Symantec\LiveUpdate\NDETECT.EXE . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-20 11:35:41 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-05-20 11:35:58 ComboFix-quarantined-files.txt 2008-05-20 09:35:56 ComboFix2.txt 2008-05-20 09:20:31 ComboFix3.txt 2008-05-20 07:53:26 15 Verzeichnis(se), 89,011,961,856 Bytes frei 17 Verzeichnis(se), 89,004,359,680 Bytes frei 118 ----------------------------------------------------------------------- Gmer GMER 1.0.14.14205 - http://www.gmer.net Rootkit scan 2008-05-20 11:46:07 Windows 5.1.2600 Service Pack 2 ---- System - GMER 1.0.14 ---- SSDT 819E22C0 ZwConnectPort SSDT 819D0290 ZwOpenProcess SSDT 819C8290 ZwOpenThread ---- Kernel code sections - GMER 1.0.14 ---- ? Combo-Fix.sys Das System kann die angegebene Datei nicht finden. ! ? C:\WINDOWS\system32\Drivers\PROCEXP90.SYS Das System kann die angegebene Datei nicht finden. ! ? C:\ComboFix\catchme.sys Das System kann die angegebene Datei nicht finden. ! ---- User code sections - GMER 1.0.14 ---- .rsrc Sections: C:\WINDOWS\system32\winlogon.exe[676] C:\WINDOWS\system32\winlogon.exe section is executable [0x01076000, 0xC000, 0x60000060] .rsrc Sections: C:\WINDOWS\system32\winlogon.exe[676] C:\WINDOWS\system32\winlogon.exe entry point in ".rsrc" section [0x01081000] .rsrc Sections: C:\WINDOWS\system32\services.exe[724] C:\WINDOWS\system32\services.exe section is executable [0x0101B000, 0x2000, 0x60000060] .rsrc Sections: C:\WINDOWS\system32\services.exe[724] C:\WINDOWS\system32\services.exe entry point in ".rsrc" section [0x0101C000] .reloc Sections: C:\WINDOWS\explorer.exe[916] C:\WINDOWS\explorer.exe section is executable [0x010FB000, 0x5000, 0x62000060] .reloc Sections: C:\WINDOWS\explorer.exe[916] C:\WINDOWS\explorer.exe entry point in ".reloc" section [0x010FF000] .text C:\Programme\MSN Messenger\MsnMsgr.Exe[1556] kernel32.dll!SetUnhandledExceptionFilter 7C810386 5 Bytes JMP 004DE392 C:\Programme\MSN Messenger\MsnMsgr.Exe (Messenger/Microsoft Corporation) ---- Devices - GMER 1.0.14 ---- AttachedDevice \FileSystem\Ntfs \Ntfs SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) AttachedDevice \Driver\Tcpip \Device\Ip SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) AttachedDevice \Driver\Tcpip \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) AttachedDevice \Driver\Tcpip \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) AttachedDevice \Driver\Tcpip \Device\RawIp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) AttachedDevice \FileSystem\Fastfat \Fat SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ---- EOF - GMER 1.0.14 ---- |
|
|
||
20.05.2008, 12:07
Ehrenmitglied
Beiträge: 29434 |
#6
««
erstelle eine neue cfscript.txt /Änderung der erst erstellten zulassen) - dann wieder auf das Symbol von Combofix ziehen + erneut anwenden Zitat KILLALL::«« scanne mit avz + poste den report http://virus-protect.org/artikel/tools/avz.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.05.2008, 12:33
Member
Themenstarter Beiträge: 12 |
#7
ComboFix 08-05-19.4 - keller.ronny 2008-05-20 12:26:09.9 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.261 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\keller.ronny\Desktop\ComboFix.exe [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . ---- Previous Run ------- . C:\Program Files\BraveSentry C:\Program Files\BraveSentry\BraveSentry.exe C:\Program Files\BraveSentry\BraveSentry.lic C:\Program Files\BraveSentry\BraveSentry0.bs C:\Program Files\BraveSentry\BraveSentry0.dll C:\Program Files\BraveSentry\BraveSentry1.bs C:\Program Files\BraveSentry\BraveSentry2.dll C:\Program Files\BraveSentry\BraveSentry3.dll C:\Program Files\BraveSentry\Uninstall.exe . ((((((((((((((((((((((( Dateien erstellt von 2008-04-20 bis 2008-05-20 )))))))))))))))))))))))))))))) . 2008-05-20 11:39 . 2008-05-20 11:39 250 --a------ C:\WINDOWS\gmer.ini 2008-05-19 11:36 . 2008-05-19 11:36 <DIR> d-------- C:\Programme\CCleaner 2008-05-19 10:02 . 2005-01-15 22:47 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2008-05-19 10:02 . 2005-01-15 22:47 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü 2008-05-19 10:02 . 2005-01-15 22:47 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2008-05-19 10:02 . 2008-05-20 12:26 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2008-05-19 10:02 . 2005-07-09 05:27 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten 2008-05-19 10:02 . 2005-07-09 05:27 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien 2008-05-19 10:02 . 2005-01-15 22:47 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung 2008-05-19 10:02 . 2005-07-09 05:30 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\You've Got Pictures Screensaver 2008-05-19 10:02 . 2005-01-15 23:00 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Symantec 2008-05-19 10:02 . 2005-07-09 05:42 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AOL 2008-05-19 10:02 . 2005-01-15 22:47 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2008-05-19 10:02 . 2008-05-19 11:54 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator 2008-05-19 10:02 . 2008-05-20 11:19 1,024 --ah----- C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG 2008-05-16 13:37 . 2008-05-16 13:37 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Startmenü 2008-05-16 13:36 . 2008-05-16 13:37 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Favoriten 2008-04-28 09:52 . 2007-07-30 19:19 43,352 --a------ C:\WINDOWS\system32\wups2.dll 2008-04-28 09:52 . 2007-07-30 19:18 34,136 --a------ C:\WINDOWS\system32\wucltui.dll.mui 2008-04-28 09:52 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui 2008-04-28 09:52 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui 2008-04-28 09:52 . 2007-07-30 19:18 20,824 --a------ C:\WINDOWS\system32\wuaueng.dll.mui . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-05-20 09:34 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared 2006-04-11 11:10 316 ----a-w C:\Dokumente und Einstellungen\keller.ronny\Anwendungsdaten\wklnhst.dat . ------- Sigcheck ------- 2004-08-04 05:00 510464 62c9b901da3bfb29fda1d07b4d582da8 C:\WINDOWS\system32\winlogon.exe md5deep: C:\WINDOWS\explorer.exe: error at offset 0: Permission denied md5deep: C:\WINDOWS\system32\services.exe: error at offset 0: Permission denied md5deep: C:\WINDOWS\system32\lsass.exe: error at offset 0: Permission denied . ((((((((((((((((((((((((((((( snapshot@2008-05-20_11.20.21,89 ))))))))))))))))))))))))))))))))))))))))) . - 2008-05-19 12:08:04 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-05-20 10:23:07 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-05-20 09:39:33 819,200 ----a-w C:\WINDOWS\gmer.dll + 2008-03-03 18:29:06 761,856 ----a-w C:\WINDOWS\gmer.exe + 2008-05-20 09:39:33 86,097 ----a-w C:\WINDOWS\system32\drivers\gmer.sys . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 05:00 15360] "eRecoveryService"="" [] "MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352] "swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-18 10:24 68856] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2005-08-04 10:49 58992] C:\Dokumente und Einstellungen\keller.ronny\Startmen\Programme\Autostart\ Launch K9.lnk - C:\Programme\KeirNet\K9\K9.exe [2004-04-18 21:43:44 82944] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-29 11:21:07 110592] Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 22:05:56 65588] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "ObEjcC"= {10C2C102-BA68-6BA8-EE70-57A451F76353} - C:\WINDOWS\system32\eyzaulk.dll [2004-08-04 05:00 32768] [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"= "C:\\Programme\\ICQLite\\ICQLite.exe"= "C:\\Programme\\MSN Messenger\\msnmsgr.exe"= "C:\\Programme\\MSN Messenger\\livecall.exe"= "\\findfast.exe"= R0 nvcchflt;NVIDIA Disk Cache Filter Driver;C:\WINDOWS\system32\DRIVERS\nvcchflt.sys [2005-02-11 19:11] S3 int15.sys;int15.sys;C:\Programme\acer\eRecovery\int15.sys [2005-01-13 14:46] *Newly Created Service* - catchme . Inhalt des "geplante Tasks" Ordners "2008-05-05 07:53:18 C:\WINDOWS\Tasks\Norton AntiVirus - Meinen Computer prüfen - keller.ronny.job" - C:\PROGRA~1\NORTON~1\Navw32.exe "2008-05-16 11:07:33 C:\WINDOWS\Tasks\Symantec NetDetect.job" - C:\Programme\Symantec\LiveUpdate\NDETECT.EXE . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-20 12:26:42 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-05-20 12:27:00 ComboFix-quarantined-files.txt 2008-05-20 10:26:58 ComboFix2.txt 2008-05-20 09:36:00 ComboFix3.txt 2008-05-20 09:20:31 ComboFix4.txt 2008-05-20 07:53:26 15 Verzeichnis(se), 88,982,773,760 Bytes frei 18 Verzeichnis(se), 88,975,237,120 Bytes frei 126 ------------------------------------------------------------------------ AVZ-Log Attention !!! Database was last updated 06.04.2008 it is necessary to update the bases using automatic updates (File/Database update) AVZ Antiviral Toolkit log; AVZ version is 4.30 Scanning started at 20.05.2008 12:28:40 Database loaded: signatures - 157571, NN profile(s) - 2, microprograms of healing - 55, signature database released 06.04.2008 17:09 Heuristic microprograms loaded: 370 SPV microprograms loaded: 9 Digital signatures of system files loaded: 70476 Heuristic analyzer mode: Medium heuristics level Healing mode: disabled Windows version: 5.1.2600, Service Pack 2 ; AVZ is launched with administrator rights System Restore: enabled 1. Searching for Rootkits and programs intercepting API functions 1.1 Searching for user-mode API hooks Analysis: kernel32.dll, export table found in section .text Analysis: ntdll.dll, export table found in section .text Analysis: user32.dll, export table found in section .text Analysis: advapi32.dll, export table found in section .text Analysis: ws2_32.dll, export table found in section .text Analysis: wininet.dll, export table found in section .text Analysis: rasapi32.dll, export table found in section .text Analysis: urlmon.dll, export table found in section .text Analysis: netapi32.dll, export table found in section .text 1.2 Searching for kernel-mode API hooks Driver loaded successfully SDT found (RVA=07B180) Kernel ntkrnlpa.exe found in memory at address 804D7000 SDT = 80552180 KiST = 80501030 (284) Function NtConnectPort (1F) intercepted (8059843A->819E32C0), hook not defined Function NtOpenProcess (7A) intercepted (805BFB78->819D3290), hook not defined Function NtOpenThread (80) intercepted (805BFE04->819C5290), hook not defined Functions checked: 284, intercepted: 3, restored: 0 1.3 Checking IDT and SYSENTER Analysis for CPU 1 Checking IDT and SYSENTER - complete 1.4 Searching for masking processes and drivers Checking not performed: extended monitoring driver (AVZPM) is not installed Driver loaded successfully 1.5 Checking of IRP handlers Checking - complete 2. Scanning memory Number of processes found: 31 Direct reading c:\windows\system32\services.exe Direct reading c:\windows\system32\lsass.exe Direct reading c:\windows\system32\spoolsv.exe Direct reading c:\windows\explorer.exe Number of modules loaded: 306 Scanning memory - complete 3. Scanning disks 4. Checking Winsock Layered Service Provider (SPI/LSP) LSP settings checked. No errors detected 5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs) 6. Searching for opened TCP/UDP ports used by malicious programs Checking disabled by user 7. Heuristic system check Checking - complete 8. Searching for vulnerabilities >> Services: potentially dangerous service allowed: TermService (Terminaldienste) >> Services: potentially dangerous service allowed: SSDPSRV (SSDP-Suchdienst) >> Services: potentially dangerous service allowed: mnmsrvc (NetMeeting-Remotedesktop-Freigabe) >> Services: potentially dangerous service allowed: RDSessMgr (Sitzungs-Manager für Remotedesktophilfe) > Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)! >> Security: disk drives' autorun is enabled >> Security: administrative shares (C$, D$ ...) are enabled >> Security: anonymous user access is enabled >> Security: sending Remote Assistant queries is enabled Checking - complete 9. Troubleshooting wizard Checking - complete Files scanned: 337, extracted from archives: 0, malicious software found 0, suspicions - 0 Scanning finished at 20.05.2008 12:28:56 Time of scanning: 00:00:17 If you have a suspicion on presence of viruses or questions on the suspected objects, you can address http://virusinfo.info conference |
|
|
||
20.05.2008, 12:41
Ehrenmitglied
Beiträge: 29434 |
#8
««
Lade sdfix http://virus-protect.org/artikel/tools/sdfix.html 1. boote in den abgesicherten Modus - wende dort sdfix an (RunThis.bat) + poste den report 2. dann sdifix wieder anwenden + im Normalmodus reinschreiben: 1 1 : es wird a-squared geladen - scanne + poste den report __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.05.2008, 13:51
Member
Themenstarter Beiträge: 12 |
#9
Hallo Sabina,
ich werde dir die Reports wohl erst morgen posten da ich gleich weg muss. ÜBRIGENS: beim Scannen (Im Normalmodus) wurden einige Sachen gefunden, bis der Scan sich mittendrinn (einfach von alleine) ohne Report geschlossen hat. Habe den Scan jetzt nochmal gestartet. Bis Morgen! Grüße aus Bayern! KMD |
|
|
||
20.05.2008, 13:57
Ehrenmitglied
Beiträge: 29434 |
||
|
||
21.05.2008, 10:26
Member
Themenstarter Beiträge: 12 |
#11
Hallo Sabina, hier bin ich schon wieder ;-)
Hier die Reports: -------------------------------------------------------------------------- Report des Abgesicherten Modus: SDFix: Version 1.183 Run by Administrator on 20.05.2008 at 13:04 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Checking Services : Restoring Windows Registry Values Restoring Windows Default Hosts File Rebooting Checking Files : No Trojan Files Found Removing Temp Files ADS Check : Final Check : catchme 0.3.1359.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-20 13:14:45 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden services & system hive ... scanning hidden registry entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services : Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"="C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe:*:Enabled:Remoteuntersttzung - Windows Messenger und Voice" "C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite" "C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1" "C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)" "\\findfast.exe"="\\findfast.exe:*:Enabled:@xpsp2res.dll,-22019" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)" "C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1" "C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)" "C:\\Dokumente und Einstellungen\\LocalService\\Anwendungsdaten\\printer.exe"="C:\\Dokumente und Einstellungen\\LocalService\\Anwendungsdaten\\printer.exe:*:Enabled:@xpsp2res.dll,-22019" "C:\\WINDOWS\\system32\\printer.exe"="C:\\WINDOWS\\system32\\printer.exe:*:Enabled:@xpsp2res.dll,-22019" "C:\\WINDOWS\\system32\\spoolvs.exe"="C:\\WINDOWS\\system32\\spoolvs.exe:*:Enabled:@xpsp2res.dll,-22019" "C:\\WINDOWS\\shell.exe"="C:\\WINDOWS\\shell.exe:*:Enabled:@xpsp2res.dll,-22019" "\\findfast.exe"="\\findfast.exe:*:Enabled:@xpsp2res.dll,-22019" "C:\\Dokumente und Einstellungen\\All Users\\Startmen\\Programme\\Autostart\\autorun.exe"="C:\\Dokumente und Einstellungen\\All Users\\Startmen\\Programme\\Autostart\\autorun.exe:*:Enabled:@xpsp2res.dll,-22019" "%windir%\\system32\\winav.exe"="%windir%\\system32\\winav.exe:*:Enabled:@xpsp2res.dll,-22019" "C:\\Dokumente und Einstellungen\\keller.ronny\\Startmen\\Programme\\Autostart\\findfast.exe"="C:\\Dokumente und Einstellungen\\keller.ronny\\Startmen\\Programme\\Autostart\\findfast.exe:*:Enabled:@xpsp2res.dll,-22019" "C:\\Dokumente und Einstellungen\\keller.ronny\\Anwendungsdaten\\mcrupdate.exe"="C:\\Dokumente und Einstellungen\\keller.ronny\\Anwendungsdaten\\mcrupdate.exe:*:Enabled:@xpsp2res.dll,-22019" "C:\\Dokumente und Einstellungen\\Administrator\\Startmen\\Programme\\Autostart\\findfast.exe"="C:\\Dokumente und Einstellungen\\Administrator\\Startmen\\Programme\\Autostart\\findfast.exe:*:Enabled:@xpsp2res.dll,-22019" Remaining Files : File Backups: - C:\SDFix\backups\backups.zip Files with Hidden Attributes : Wed 25 Feb 2004 54,384 A..H. --- "C:\Programme\AOL 9.0\aolphx.exe" Wed 25 Feb 2004 156,784 A..H. --- "C:\Programme\AOL 9.0\aoltray.exe" Wed 25 Feb 2004 31,344 A..H. --- "C:\Programme\AOL 9.0\RBM.exe" Mon 19 Jan 2004 428,544 A..H. --- "C:\Programme\AOL 9.0\StartSM.exe" Sat 15 Jan 2005 1,024 A..HR --- "C:\WINDOWS\system32\NTICDMK32.dll" Sat 15 Jan 2005 1,024 A..HR --- "C:\WINDOWS\system32\ntiembed.dll" Sat 15 Jan 2005 1,024 A..HR --- "C:\WINDOWS\system32\NTIMPEG2.dll" Sun 18 Mar 2007 3,031,040 A.SH. --- "C:\Dokumente und Einstellungen\keller.ronny\Desktop\Stick Ronny Keller\heidi portrait\SIV3.tmp" Wed 22 Jun 2005 21,504 A..H. --- "C:\Dokumente und Einstellungen\All Users\Dokumente\Datensicherung Andrea\C\Eigene Dateien\Arbeitslisten\~WRL0004.tmp" Wed 22 Jun 2005 23,040 A..H. --- "C:\Dokumente und Einstellungen\All Users\Dokumente\Datensicherung Andrea\C\Eigene Dateien\Arbeitslisten\~WRL2306.tmp" Wed 22 Jun 2005 21,504 A..H. --- "C:\Dokumente und Einstellungen\All Users\Dokumente\Datensicherung Andrea\Desktop\Eigene Dateien\Arbeitslisten\~WRL0004.tmp" Wed 22 Jun 2005 23,040 A..H. --- "C:\Dokumente und Einstellungen\All Users\Dokumente\Datensicherung Andrea\Desktop\Eigene Dateien\Arbeitslisten\~WRL2306.tmp" Finished! -------------------------------------------------------------------------- Report des Normal-Modus (Quarantine_Report einen anderen habe ich nicht bekommen oder weiss nicht wie ich diesen abrufe oder Finde) a-squared Command Line Scanner v. 3.5.0.18 (C) 2003-2008 Emsi Software GmbH - www.emsisoft.com ID Object 0 C:\QooBox\Quarantine\C\Program Files\BraveSentry\BraveSentry.exe.vir detected: Riskware.FraudTool.Win32.BraveSentry.m 1 C:\QooBox\Quarantine\C\Program Files\BraveSentry\BraveSentry0.dll.vir detected: Riskware.FraudTool.Win32.BraveSentry.b 2 C:\QooBox\Quarantine\C\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\MalWarrior 2008\Malwarrior.exe.vir detected: Riskware.FraudTool.Win32.MalWarrior.r 3 Key: HKEY_CURRENT_USER\software\kazaa detected: Trace.Registry.KaZaA 4 C:\Dokumente und Einstellungen\keller.ronny\Desktop\board protecus\SmitfraudFix.zip detected: 5 C:\SDFix\apps\Process.exe detected: Riskware.RiskTool.Win32.Processor.20 6 C:\Dokumente und Einstellungen\keller.ronny\Desktop\SmitfraudFix\SmitfraudFix\Process.exe detected: Riskware.RiskTool.Win32.Processor.20 7 C:\Dokumente und Einstellungen\keller.ronny\Desktop\board protecus\SmitfraudFix\SmitfraudFix\Process.exe detected: Riskware.RiskTool.Win32.Processor.20 8 C:\Dokumente und Einstellungen\keller.ronny\Desktop\SmitfraudFix\SmitfraudFix\Reboot.exe detected: Riskware.RiskTool.Win32.Reboot.f 9 C:\QooBox\Quarantine\C\Program Files\BraveSentry\BraveSentry3.dll.vir detected: Riskware.FraudTool.Win32.BraveSentry.b 10 C:\QooBox\Quarantine\C\Program Files\BraveSentry\BraveSentry2.dll.vir detected: Riskware.FraudTool.Win32.BraveSentry.b 11 C:\WINDOWS\system32\Check.exe detected: Trojan-PSW.Win32.WOW.lq 12 C:\Dokumente und Einstellungen\keller.ronny\Lokale Einstellungen\Tempmbroit.exe detected: Trojan-Dropper.Win32.Agent.cjc 13 C:\Dokumente und Einstellungen\keller.ronny\Desktop\SDFix.exe detected: 14 C:\Dokumente und Einstellungen\keller.ronny\Desktop\board protecus\SmitfraudFix\SmitfraudFix\Reboot.exe detected: Riskware.RiskTool.Win32.Reboot -------------------------------------------------------------------------- Grüße KMD EDIT Sabina Zitat http://www.sophos.com/security/analyses/viruses-and-spyware/trojagentglj.htmlNachtrag: bin etwas verwirrt! Wo kommt das zitat ^^^ in meinem Post her??? Von mir ist es nicht! Dieser Beitrag wurde am 21.05.2008 um 11:58 Uhr von KMD editiert.
|
|
|
||
21.05.2008, 11:57
Ehrenmitglied
Beiträge: 29434 |
#12
««
ich kopiere die zitate rein, damit ich was zum "festhalten" hab '' das muss noch bereinigt werden... http://www.sophos.com/security/analyses/viruses-and-spyware/trojagentglj.html ----------------------------------------------------------- «« Virustotal http://www.virustotal.com/flash/index_en.html C:\WINDOWS\system32\winav.exe C:\WINDOWS\system32\spoolvs.exe C:\WINDOWS\system32\printer.exe C:\WINDOWS\system32\wowfx.dll C:\Dokumente und Einstellungen\Administrator\Startmen\Programme\Autostart\findfast.exe C:\Dokumente und Einstellungen\keller.ronny\Anwendungsdaten\mcrupdate.exe C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\printer.exe C:\WINDOWS\shell.exe Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren ------------------------------------------------------------------ «« erstelle eine neue cfscript.txt /Änderung der erst erstellten zulassen) - dann wieder auf das Symbol von Combofix ziehen + erneut anwenden Zitat KILLALL::------------------------------------------------------------ «« wende dialfix an , hake alls an + berichte, ob die windowsupdates funktionieren http://virus-protect.org/artikel/tools/dial_a_fix.html ~~~~~~~~ «« http://virus-protect.org/artikel/tools/sdfix.html sdfix - im normalmodus RunThis.bat doppelt klicken 3 : wird Sophos geladen bei Option 6 - erfolgt ein Fullscan + löschen der infizierten Dateien poste den report. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.05.2008, 12:40
Member
Themenstarter Beiträge: 12 |
#13
Hallo Sabina,
folgende Dateien konnte ich auf meinem System nicht finden! C:\WINDOWS\system32\winav.exe C:\WINDOWS\system32\spoolvs.exe dafür eine "spoolsv.exe" C:\WINDOWS\system32\printer.exe dafür eine "print.exe" C:\WINDOWS\system32\wowfx.dll C:\Dokumente und Einstellungen\Administrator\Startmen\Programme\Autostart\findfast.exe C:\Dokumente und Einstellungen\keller.ronny\Anwendungsdaten\mcrupdate.exe C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\printer.exe (Ordner LocalService existiert nicht) C:\WINDOWS\shell.exe Sozusagen konnte ich alle nicht finden. Wie soll ich jetzt weiter machen? Das cfscript.txt script habe ich jetzt noch nicht angewendet! Grüße KMD |
|
|
||
21.05.2008, 12:43
Ehrenmitglied
Beiträge: 29434 |
#14
wende das script an , damit die reg-Einträge bereinigt werden.
dann scanne mit sophos laut anleitung + poste den report __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.05.2008, 14:08
Member
Themenstarter Beiträge: 12 |
#15
ComboFix 08-05-19.4 - keller.ronny 2008-05-21 13:03:33.13 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.264 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\keller.ronny\Desktop\ComboFix.exe [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . ((((((((((((((((((((((( Dateien erstellt von 2008-04-21 bis 2008-05-21 )))))))))))))))))))))))))))))) . 2008-05-20 12:55 . 2008-05-20 12:55 <DIR> d-------- C:\WINDOWS\ERUNT 2008-05-20 12:52 . 2008-05-21 11:16 <DIR> d-------- C:\SDFix 2008-05-20 11:39 . 2008-05-20 11:39 250 --a------ C:\WINDOWS\gmer.ini 2008-05-19 11:36 . 2008-05-19 11:36 <DIR> d-------- C:\Programme\CCleaner 2008-05-19 10:02 . 2005-01-15 22:47 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2008-05-19 10:02 . 2005-01-15 22:47 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü 2008-05-19 10:02 . 2005-01-15 22:47 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2008-05-19 10:02 . 2008-05-21 13:04 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2008-05-19 10:02 . 2005-07-09 05:27 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten 2008-05-19 10:02 . 2005-07-09 05:27 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien 2008-05-19 10:02 . 2005-01-15 22:47 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung 2008-05-19 10:02 . 2005-07-09 05:30 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\You've Got Pictures Screensaver 2008-05-19 10:02 . 2005-01-15 23:00 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Symantec 2008-05-19 10:02 . 2005-07-09 05:42 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AOL 2008-05-19 10:02 . 2005-01-15 22:47 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2008-05-19 10:02 . 2008-05-19 11:54 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator 2008-05-19 10:02 . 2008-05-20 13:12 1,024 --ah----- C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG 2008-05-16 13:37 . 2008-05-16 13:37 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Startmenü 2008-05-16 13:36 . 2008-05-16 13:37 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Favoriten 2008-04-28 09:52 . 2007-07-30 19:19 43,352 --a------ C:\WINDOWS\system32\wups2.dll 2008-04-28 09:52 . 2007-07-30 19:18 34,136 --a------ C:\WINDOWS\system32\wucltui.dll.mui 2008-04-28 09:52 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui 2008-04-28 09:52 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui 2008-04-28 09:52 . 2007-07-30 19:18 20,824 --a------ C:\WINDOWS\system32\wuaueng.dll.mui . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-05-21 10:55 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared 2006-04-11 11:10 316 ----a-w C:\Dokumente und Einstellungen\keller.ronny\Anwendungsdaten\wklnhst.dat . ------- Sigcheck ------- 2004-08-04 05:00 510464 62c9b901da3bfb29fda1d07b4d582da8 C:\WINDOWS\system32\winlogon.exe md5deep: C:\WINDOWS\explorer.exe: error at offset 0: Permission denied md5deep: C:\WINDOWS\system32\services.exe: error at offset 0: Permission denied md5deep: C:\WINDOWS\system32\lsass.exe: error at offset 0: Permission denied . ((((((((((((((((((((((((((((( snapshot@2008-05-20_11.20.21,89 ))))))))))))))))))))))))))))))))))))))))) . - 2008-05-19 12:08:04 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-05-21 11:00:43 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-05-17 00:22:37 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE + 2008-05-20 11:03:01 815,104 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000001\NTUSER.DAT + 2008-05-20 11:03:01 8,192 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat + 2008-05-17 00:22:37 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE + 2008-05-20 10:55:49 815,104 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000001\NTUSER.DAT + 2008-05-20 10:55:49 8,192 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat + 2008-05-20 09:39:33 819,200 ----a-w C:\WINDOWS\gmer.dll + 2008-03-03 18:29:06 761,856 ----a-w C:\WINDOWS\gmer.exe - 2008-05-19 09:59:19 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat + 2008-05-21 08:18:59 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat - 2008-05-19 09:59:19 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat + 2008-05-21 08:18:59 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat - 2008-05-19 09:59:19 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat + 2008-05-21 08:18:59 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat + 2008-05-20 09:39:33 86,097 ----a-w C:\WINDOWS\system32\drivers\gmer.sys . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 05:00 15360] "eRecoveryService"="" [] "swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-18 10:24 68856] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2005-08-04 10:49 58992] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-29 11:21:07 110592] Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 22:05:56 65588] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "ObEjcC"= {10C2C102-BA68-6BA8-EE70-57A451F76353} - C:\WINDOWS\system32\eyzaulk.dll [2004-08-04 05:00 32768] [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"= "C:\\Programme\\ICQLite\\ICQLite.exe"= "C:\\Programme\\MSN Messenger\\msnmsgr.exe"= "C:\\Programme\\MSN Messenger\\livecall.exe"= R0 nvcchflt;NVIDIA Disk Cache Filter Driver;C:\WINDOWS\system32\DRIVERS\nvcchflt.sys [2005-02-11 19:11] S3 int15.sys;int15.sys;C:\Programme\acer\eRecovery\int15.sys [2005-01-13 14:46] *Newly Created Service* - catchme . Inhalt des "geplante Tasks" Ordners "2008-05-05 07:53:18 C:\WINDOWS\Tasks\Norton AntiVirus - Meinen Computer prüfen - keller.ronny.job" - C:\PROGRA~1\NORTON~1\Navw32.exel/task: "2008-05-16 11:07:33 C:\WINDOWS\Tasks\Symantec NetDetect.job" - C:\Programme\Symantec\LiveUpdate\NDETECT.EXE . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-21 13:04:05 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-05-21 13:04:26 ComboFix-quarantined-files.txt 2008-05-21 11:04:20 ComboFix2.txt 2008-05-21 10:57:20 ComboFix3.txt 2008-05-20 10:27:01 ComboFix4.txt 2008-05-20 09:36:00 ComboFix5.txt 2008-05-20 09:20:31 16 Verzeichnis(se), 88,830,390,272 Bytes frei 18 Verzeichnis(se), 88,822,939,648 Bytes frei 120 -------------------------------------------------------------- -------------------------------------------------------------- -------------------------------------------------------------- Dial fix ist durchgelaufen. Alle Häkchen auser "Tooltips" haben sich dabei deaktiviert. Keine Anhnung ob das seine Richtigkeit hat. Hier das Log: Notes about this log: 1) "->" denotes an external command being executed, and "-> (number)" indicates the return code from the previous command 2) Not all external command return codes are accurate, or useful 3) Sometimes commands return 0 (no error) even when they fail or crash 4) If an error occurs while registering an object, please send an email to: dial-a-fix@DjLizard.net and include a copy of this log DAF version: v0.60.0.24 --- System info --- OS: Microsoft Windows XP Service Pack 2 IE version: 6.0.2900.2180 MPC: 76416-OEM CPU: AMD Athlon(tm) 64 Processor 3400+ (~2220MHz) CPU: CPU is 64-bit or has 64-bit extensions BIOS: 19.04.2005 Memory (approx): 511MB Uptime: 0 hour(s) Current directory: C:\Dokumente und Einstellungen\keller.ronny\Desktop\Dial-a-fix --- 21.05.2008 13:07:09 -- Dial-a-fix : [v0.60.0.24] -- started 13:07:09 | Policy scan started 13:07:09 | Policy scan ended - no restrictive policies were found --- Emptying temp folders --- 13:09:28 | Deleting C:\Dokumente und Einstellungen\keller.ronny\Lokale Einstellungen\Temp... 13:09:28 | C:\Dokumente und Einstellungen\keller.ronny\Lokale Einstellungen\Temp could not be completely emptied, please reboot and try again 13:09:28 | Deleting C:\WINDOWS\temp... 13:09:29 | C:\WINDOWS\temp has been re-created 13:09:29 | Deleting C:\DOKUME~1\KELLER~1.RON\LOKALE~1\Temp... 13:09:29 | C:\DOKUME~1\KELLER~1.RON\LOKALE~1\Temp could not be completely emptied, please reboot and try again --- MSI --- 13:10:10 | Registered: C:\WINDOWS\system32\msi.dll --- Windows Update --- --- Registration: Windows Update/Automatic Update DLLs --- 13:10:15 | Unregistered: C:\WINDOWS\system32\msxml.dll 13:10:15 | Registered: C:\WINDOWS\system32\msxml.dll 13:10:15 | Unregistered: C:\WINDOWS\system32\msxml2.dll 13:10:16 | Registered: C:\WINDOWS\system32\msxml2.dll 13:10:16 | Unregistered: C:\WINDOWS\system32\msxml3.dll 13:10:16 | Registered: C:\WINDOWS\system32\msxml3.dll 13:10:16 | Unregistered: C:\WINDOWS\system32\msxml4.dll 13:10:16 | Registered: C:\WINDOWS\system32\msxml4.dll 13:10:16 | Unregistered: C:\WINDOWS\system32\qmgr.dll 13:10:16 | Registered: C:\WINDOWS\system32\qmgr.dll 13:10:16 | Unregistered: C:\WINDOWS\system32\qmgrprxy.dll 13:10:16 | Registered: C:\WINDOWS\system32\qmgrprxy.dll 13:10:16 | Unregistered: C:\WINDOWS\system32\winhttp.dll 13:10:16 | Registered: C:\WINDOWS\system32\winhttp.dll 13:10:16 | Registered: C:\WINDOWS\system32\wuapi.dll 13:10:17 | Unregistered: C:\WINDOWS\system32\wuaueng.dll 13:10:17 | Registered: C:\WINDOWS\system32\wuaueng.dll 13:10:17 | Unregistered: C:\WINDOWS\system32\wuaueng1.dll 13:10:17 | Registered: C:\WINDOWS\system32\wuaueng1.dll 13:10:17 | Unregistered: C:\WINDOWS\system32\wucltui.dll 13:10:17 | Registered: C:\WINDOWS\system32\wucltui.dll 13:10:17 | Unregistered: C:\WINDOWS\system32\wups.dll 13:10:17 | Registered: C:\WINDOWS\system32\wups.dll 13:10:17 | Unregistered: C:\WINDOWS\system32\wups2.dll 13:10:17 | Registered: C:\WINDOWS\system32\wups2.dll 13:10:17 | Unregistered: C:\WINDOWS\system32\wuweb.dll 13:10:17 | Registered: C:\WINDOWS\system32\wuweb.dll 13:10:17 | Registered: C:\WINDOWS\system32\ole32.dll --- SSL/HTTPS/Cryptography --- 13:10:29 | Executed 'cmd.exe /c rmdir /q /s C:\WINDOWS\system32\Catroot2' --- Registration: SSL/HTTPS/Cryptography --- 13:10:33 | Unregistered: C:\WINDOWS\system32\cryptdlg.dll 13:10:33 | Registered: C:\WINDOWS\system32\cryptdlg.dll 13:10:33 | Unregistered: C:\WINDOWS\system32\cryptui.dll 13:10:33 | Registered: C:\WINDOWS\system32\cryptui.dll 13:10:33 | Unregistered: C:\WINDOWS\system32\cryptext.dll 13:10:33 | Registered: C:\WINDOWS\system32\cryptext.dll 13:10:33 | Unregistered: C:\WINDOWS\system32\dssenh.dll 13:10:33 | Registered: C:\WINDOWS\system32\dssenh.dll 13:10:33 | Unregistered: C:\WINDOWS\system32\gpkcsp.dll 13:10:33 | Registered: C:\WINDOWS\system32\gpkcsp.dll 13:10:33 | Unregistered: C:\WINDOWS\system32\initpki.dll 13:10:50 | Registered: C:\WINDOWS\system32\initpki.dll 13:10:50 | Unregistered: C:\WINDOWS\system32\licdll.dll 13:10:50 | Registered: C:\WINDOWS\system32\licdll.dll 13:10:50 | Unregistered: C:\WINDOWS\system32\mssign32.dll 13:10:50 | Registered: C:\WINDOWS\system32\mssign32.dll 13:10:50 | Unregistered: C:\WINDOWS\system32\mssip32.dll 13:10:50 | Registered: C:\WINDOWS\system32\mssip32.dll 13:10:50 | Unregistered: C:\WINDOWS\system32\scardssp.dll 13:10:50 | Registered: C:\WINDOWS\system32\scardssp.dll 13:10:51 | Unregistered: C:\WINDOWS\system32\sccbase.dll 13:10:51 | Registered: C:\WINDOWS\system32\sccbase.dll 13:10:51 | Unregistered: C:\WINDOWS\system32\scecli.dll 13:10:51 | Registered: C:\WINDOWS\system32\scecli.dll 13:10:51 | Unregistered: C:\WINDOWS\system32\softpub.dll 13:10:51 | Registered: C:\WINDOWS\system32\softpub.dll 13:10:51 | Unregistered: C:\WINDOWS\system32\slbcsp.dll 13:10:51 | Registered: C:\WINDOWS\system32\slbcsp.dll 13:10:51 | Unregistered: C:\WINDOWS\system32\regwizc.dll 13:10:51 | Registered: C:\WINDOWS\system32\regwizc.dll 13:10:51 | Unregistered: C:\WINDOWS\system32\rsaenh.dll 13:10:51 | Registered: C:\WINDOWS\system32\rsaenh.dll 13:10:51 | Unregistered: C:\WINDOWS\system32\winhttp.dll 13:10:51 | Registered: C:\WINDOWS\system32\winhttp.dll 13:10:51 | Unregistered: C:\WINDOWS\system32\wintrust.dll 13:10:51 | Registered: C:\WINDOWS\system32\wintrust.dll --- Registration: ActiveX controls/codecs --- 13:10:51 | Registered: C:\WINDOWS\system32\acelpdec.ax 13:10:51 | Registered: C:\WINDOWS\system32\actxprxy.dll 13:10:51 | Registered: C:\WINDOWS\system32\asctrls.ocx 13:10:51 | Registered: C:\WINDOWS\system32\daxctle.ocx 13:10:51 | Registered: C:\WINDOWS\system32\hhctrl.ocx 13:10:51 | Registered: C:\WINDOWS\system32\l3codecx.ax 13:10:51 | Registered: C:\WINDOWS\system32\licmgr10.dll 13:10:51 | Registered: C:\WINDOWS\system32\mpg4ds32.ax 13:10:52 | Registered: C:\WINDOWS\system32\msdxm.ocx 13:10:52 | Registered: C:\WINDOWS\system32\plugin.ocx 13:10:52 | Registered: C:\WINDOWS\system32\proctexe.ocx 13:10:52 | Registered: C:\WINDOWS\system32\tdc.ocx 13:10:52 | Registered: C:\WINDOWS\system32\wshom.ocx --- Registration: Control Panel applets --- 13:10:53 | DllInstalled: C:\WINDOWS\system32\inetcpl.cpl 13:10:53 | DllInstalled: C:\WINDOWS\system32\appwiz.cpl 13:10:53 | Registered: C:\WINDOWS\system32\appwiz.cpl 13:10:53 | DllInstalled: C:\WINDOWS\system32\nusrmgr.cpl 13:10:53 | Registered: C:\WINDOWS\system32\nusrmgr.cpl --- Registration: Direct[X|Draw|Show|Media] --- 13:10:53 | Registered: C:\WINDOWS\system32\quartz.dll 13:10:53 | Registered: C:\WINDOWS\system32\danim.dll 13:10:53 | Registered: C:\WINDOWS\system32\dmscript.dll 13:10:53 | Registered: C:\WINDOWS\system32\dmstyle.dll 13:10:53 | Registered: C:\WINDOWS\system32\dxmasf.dll 13:10:54 | Registered: C:\WINDOWS\system32\dxtmsft.dll 13:10:54 | Registered: C:\WINDOWS\system32\dxtrans.dll 13:10:54 | Registered: C:\WINDOWS\system32\sbe.dll --- Registration: Programming cores/runtimes --- 13:10:54 | Registered: C:\WINDOWS\system32\atl.dll 13:10:54 | Registered: C:\WINDOWS\system32\corpol.dll 13:10:54 | Registered: C:\WINDOWS\system32\jscript.dll 13:10:54 | Registered: C:\WINDOWS\system32\dispex.dll 13:10:54 | Registered: C:\WINDOWS\system32\scrrun.dll 13:10:54 | Registered: C:\WINDOWS\system32\scrobj.dll 13:10:54 | Registered: C:\WINDOWS\system32\vbscript.dll 13:10:54 | Registered: C:\WINDOWS\system32\wshext.dll --- Registration: Explorer/IE/OE/shell/WMP --- 13:10:54 | Registered: C:\WINDOWS\system32\activeds.dll 13:10:54 | DllInstalled: C:\WINDOWS\system32\browseui.dll 13:10:54 | Registered: C:\WINDOWS\system32\browseui.dll 13:10:54 | Registered: C:\WINDOWS\system32\browsewm.dll 13:10:54 | Registered: C:\WINDOWS\system32\cabview.dll 13:10:54 | Registered: C:\WINDOWS\system32\cdfview.dll 13:10:54 | Registered: C:\WINDOWS\system32\clbcatex.dll 13:10:54 | Registered: C:\WINDOWS\system32\clbcatq.dll 13:10:54 | Registered: C:\WINDOWS\system32\comcat.dll 13:10:54 | Registered: C:\WINDOWS\system32\cscui.dll 13:10:54 | Registered: C:\WINDOWS\system32\credui.dll 13:10:54 | Registered: C:\WINDOWS\system32\datime.dll 13:10:54 | Registered: C:\WINDOWS\system32\devmgr.dll 13:10:55 | Registered: C:\WINDOWS\system32\dfsshlex.dll 13:10:55 | Registered: C:\WINDOWS\system32\dmdlgs.dll 13:10:55 | Registered: C:\WINDOWS\system32\dmdskmgr.dll 13:10:55 | Registered: C:\WINDOWS\system32\dmloader.dll 13:10:55 | Registered: C:\WINDOWS\system32\dmocx.dll 13:10:55 | Registered: C:\WINDOWS\system32\dmview.ocx 13:10:55 | DllInstalled: C:\WINDOWS\system32\dsuiext.dll 13:10:55 | Registered: C:\WINDOWS\system32\dsuiext.dll 13:10:55 | DllInstalled: C:\WINDOWS\system32\dsquery.dll 13:10:55 | Registered: C:\WINDOWS\system32\dsquery.dll 13:10:55 | Registered: C:\WINDOWS\system32\dskquoui.dll 13:10:55 | Registered: C:\WINDOWS\system32\els.dll 13:10:55 | Registered: C:\WINDOWS\system32\es.dll 13:10:55 | Registered: C:\WINDOWS\system32\fontext.dll 13:10:55 | Registered: C:\WINDOWS\system32\hlink.dll 13:10:55 | Registered: C:\WINDOWS\system32\hnetcfg.dll 13:10:55 | Registered: C:\WINDOWS\system32\iedkcs32.dll 13:10:55 | Registered: C:\WINDOWS\system32\iepeers.dll 13:10:55 | DllInstalled: C:\WINDOWS\system32\iesetup.dll 13:10:55 | Registered: C:\WINDOWS\system32\iesetup.dll 13:10:55 | Registered: C:\WINDOWS\system32\ils.dll 13:10:55 | Registered: C:\WINDOWS\system32\imgutil.dll 13:10:55 | Registered: C:\WINDOWS\system32\inetcfg.dll 13:10:56 | Registered: C:\WINDOWS\system32\inetcomm.dll 13:10:56 | DllInstalled: C:\WINDOWS\system32\inseng.dll 13:10:56 | Registered: C:\WINDOWS\system32\inseng.dll 13:10:56 | Registered: C:\WINDOWS\system32\laprxy.dll 13:10:56 | Registered: C:\WINDOWS\system32\lmrt.dll 13:10:56 | Registered: C:\WINDOWS\system32\mlang.dll 13:10:56 | Registered: C:\WINDOWS\system32\mmcndmgr.dll 13:10:56 | Registered: C:\WINDOWS\system32\mmcshext.dll 13:10:56 | DllInstalled: C:\WINDOWS\system32\mshtml.dll 13:10:56 | Registered: C:\WINDOWS\system32\mshtml.dll 13:10:57 | Registered: C:\WINDOWS\system32\mshtmled.dll 13:10:57 | Registered: C:\WINDOWS\system32\msieftp.dll 13:10:57 | Registered: C:\WINDOWS\system32\msoeacct.dll 13:10:57 | Registered: C:\WINDOWS\system32\msr2c.dll 13:10:57 | Registered: C:\WINDOWS\system32\msrating.dll 13:10:57 | DllInstalled: C:\WINDOWS\system32\mydocs.dll 13:10:57 | Registered: C:\WINDOWS\system32\mydocs.dll 13:10:57 | Registered: C:\WINDOWS\system32\mstime.dll 13:10:57 | Registered: C:\WINDOWS\system32\netcfgx.dll 13:10:57 | DllInstalled: C:\WINDOWS\system32\netplwiz.dll 13:10:57 | Registered: C:\WINDOWS\system32\netplwiz.dll 13:10:57 | Registered: C:\WINDOWS\system32\netman.dll 13:10:57 | Registered: C:\WINDOWS\system32\netshell.dll 13:10:57 | Registered: C:\WINDOWS\system32\ntmsevt.dll 13:10:57 | Registered: C:\WINDOWS\system32\ntmsmgr.dll 13:10:57 | DllInstalled: C:\WINDOWS\system32\ntmssvc.dll 13:10:57 | Registered: C:\WINDOWS\system32\ntmssvc.dll 13:10:57 | DllInstalled: C:\WINDOWS\system32\occache.dll 13:10:57 | Registered: C:\WINDOWS\system32\occache.dll 13:10:57 | Registered: C:\WINDOWS\system32\ole32.dll 13:10:58 | Registered: C:\WINDOWS\system32\oleaut32.dll 13:10:58 | Registered: C:\WINDOWS\system32\oleacc.dll 13:10:58 | Registered: C:\WINDOWS\system32\olepro32.dll 13:10:58 | DllInstalled: C:\WINDOWS\system32\photowiz.dll 13:10:58 | Registered: C:\WINDOWS\system32\photowiz.dll 13:10:58 | Registered: C:\WINDOWS\system32\pngfilt.dll 13:10:58 | Registered: C:\WINDOWS\system32\remotepg.dll 13:10:58 | Registered: C:\WINDOWS\system32\rpcrt4.dll 13:10:58 | Registered: C:\WINDOWS\system32\rshx32.dll 13:10:58 | Registered: C:\WINDOWS\system32\sendmail.dll 13:10:58 | Registered: C:\WINDOWS\system32\slayerxp.dll 13:10:58 | DllInstalled: C:\WINDOWS\system32\shdocvw.dll 13:10:58 | Registered: C:\WINDOWS\system32\shdocvw.dll 13:10:58 | Registered: C:\WINDOWS\system32\shell32.dll 13:11:02 | DllInstalled: C:\WINDOWS\system32\shell32.dll 13:11:02 | Registered: C:\WINDOWS\system32\shmedia.dll 13:11:02 | DllInstalled: C:\WINDOWS\system32\shimgvw.dll 13:11:02 | Registered: C:\WINDOWS\system32\shimgvw.dll 13:11:02 | DllInstalled: C:\WINDOWS\system32\shsvcs.dll 13:11:02 | Registered: C:\WINDOWS\system32\shsvcs.dll 13:11:03 | Registered: C:\WINDOWS\system32\srclient.dll 13:11:03 | Unregistered: C:\WINDOWS\system32\stobject.dll 13:11:03 | Registered: C:\WINDOWS\system32\stobject.dll 13:11:03 | DllInstalled: C:\WINDOWS\system32\themeui.dll 13:11:03 | Registered: C:\WINDOWS\system32\themeui.dll 13:11:03 | Registered: C:\WINDOWS\system32\twext.dll 13:11:03 | DllInstalled: C:\WINDOWS\system32\urlmon.dll 13:11:03 | Registered: C:\WINDOWS\system32\urlmon.dll 13:11:03 | Registered: C:\WINDOWS\system32\userenv.dll 13:11:03 | DllInstalled: C:\WINDOWS\system32\webcheck.dll 13:11:03 | Registered: C:\WINDOWS\system32\webcheck.dll 13:11:03 | Registered: C:\WINDOWS\system32\webvw.dll 13:11:03 | Registered: C:\WINDOWS\system32\winhttp.dll 13:11:03 | DllInstalled: C:\WINDOWS\system32\wininet.dll 13:11:03 | Registered: C:\WINDOWS\system32\zipfldr.dll 13:11:03 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msdadc.dll 13:11:03 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msdaenum.dll 13:11:03 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msdaer.dll 13:11:03 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msdaipp.dll 13:11:03 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msdaora.dll 13:11:03 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msdaosp.dll 13:11:04 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msdaps.dll 13:11:04 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msdasc.dll 13:11:04 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msdasql.dll 13:11:04 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msdatt.dll 13:11:04 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msdaurl.dll 13:11:04 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msxactps.dll 13:11:04 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\oledb32.dll 13:11:04 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\oledb32r.dll 13:11:04 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\sqedb.dll 13:11:04 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\sqlxmlx.dll ----------------------------------------------------------------------------------------- ----------------------------------------------------------------------------------------- ----------------------------------------------------------------------------------------- Sophos Anti-Virus Version 4.29.0 [Win32/Intel] Virus data version 4.29E, May 2008 Includes detection for 402134 viruses, trojans and worms Copyright (c) 1989-2008 Sophos Plc, www.sophos.com System time 13:40:51, System date 21 May 2008 Command line qualifiers are: -f -remove -nc -nb -dn --stop-scan -idedir=C:\SDFix\IDE -p=C:\SDFix\SophosReport.txt IDE directory is: C:\SDFix\IDE Full Scanning >>> Virus 'Mal/Generic-A' found in file C:\Dokumente und Einstellungen\keller.ronny\Desktop\backups\backup-20080519-135422-297.dll Removal successful >>> Virus 'Mal/Emogen-AC' found in file C:\Dokumente und Einstellungen\keller.ronny\Desktop\backups\backup-20080519-135422-772.dll Removal successful Could not open C:\hiberfil.sys >>> Virus 'Troj/FakeAle-BH' found in file C:\System Volume Information\_restore{35B8D453-7967-4CE1-8DA8-9733AAD36E97}\RP424\A0039631.exe Removal successful >>> Virus 'Mal/Heuri-E' found in file C:\System Volume Information\_restore{35B8D453-7967-4CE1-8DA8-9733AAD36E97}\RP424\A0039633.exe Removal successful >>> Virus 'Mal/EncPk-AV' found in file C:\System Volume Information\_restore{35B8D453-7967-4CE1-8DA8-9733AAD36E97}\RP425\A0039898.exe Removal successful >>> Virus 'Mal/Generic-A' found in file C:\System Volume Information\_restore{35B8D453-7967-4CE1-8DA8-9733AAD36E97}\RP427\A0040134.dll Removal successful >>> Virus 'Mal/Emogen-AC' found in file C:\System Volume Information\_restore{35B8D453-7967-4CE1-8DA8-9733AAD36E97}\RP427\A0040135.dll Removal successful Could not check C:\WINDOWS\explorer.exe (virus scan failed) Could not check C:\WINDOWS\system32\eyzaulk.dll (virus scan failed) Could not check C:\WINDOWS\system32\lsass.exe (virus scan failed) Could not check C:\WINDOWS\system32\services.exe (virus scan failed) Could not check C:\WINDOWS\system32\spoolsv.exe (virus scan failed) >>> Virus 'W32/Liger-A' found in file C:\WINDOWS\system32\winlogon.exe Removal failed 2 boot sectors swept. 184677 files swept in 26 minutes and 2 seconds. 6 errors were encountered. 8 viruses were discovered. 8 files out of 184677 were infected. Please send infected samples to Sophos for analysis. For advice consult www.sophos.com, email support@sophos.com or telephone +44 1235 559933 Ending Sophos Anti-Virus. « Zitat [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] |
|
|
||
ich bräuchte dringend Hilfe bei der Entfernung der Spyware BraveSentry. BraveSentry hat den Rechner und das gesammte Netzwerk lahm gelegt. Es ging weder der Taskmanager noch konnte man die Systemsteuerung aufrufen, geschweige irgend welche Programme über Start/Ausführen starten.
Habe zwar schon einiges hier im Forum gefunden, aber sobald es darum geht, Einträge mit dem Avenger zu löschen, wusste ich nicht mehr weiter. Vielleicht kann mir ja jemand von euch weiter helfen!?
Hier mal meine Log-Files:
------------------------------------------------------------------------
ComboFix 08-05-15.3 - keller.ronny 2008-05-19 12:07:13.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.221 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\keller.ronny\Desktop\ComboFix.exe
[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\autoex.dll
C:\d.exe
C:\Dokumente und Einstellungen\Administrator\cftmon.exe
C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\findfast.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\autorun.exe
C:\Dokumente und Einstellungen\keller.ronny\Anwendungsdaten\ultra
C:\Dokumente und Einstellungen\keller.ronny\Anwendungsdaten\ultra\uninstall.bat
C:\Dokumente und Einstellungen\keller.ronny\cftmon.exe
C:\Dokumente und Einstellungen\keller.ronny\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\keller.ronny\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\keller.ronny\Favoriten\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\keller.ronny\Startmenü\Programme\Autostart\findfast.exe
C:\Dokumente und Einstellungen\keller.ronny\Startmenü\Programme\Brave-Sentry
C:\Dokumente und Einstellungen\keller.ronny\Startmenü\Programme\Brave-Sentry\BraveSentry.lnk
C:\Dokumente und Einstellungen\keller.ronny\Startmenü\Programme\Brave-Sentry\Uninstall.lnk
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\microsoft\internet explorer\Desktop.htt
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\printer.exe
C:\Dokumente und Einstellungen\LocalService\cftmon.exe
C:\Dokumente und Einstellungen\LocalService\ftpdll.dll
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Install.dat
C:\findfast.exe
C:\Programme\Helper
C:\Programme\Helper\1210938304.dll
C:\Programme\syscmd
C:\Programme\syscmd\mscmp.inf
C:\Programme\syscmd\mscmp32.dll
C:\Programme\syscmd\uninstall.bat
C:\WINDOWS\desktop.html
C:\WINDOWS\Downloaded Program Files\setup.inf
C:\WINDOWS\inf\ultra.inf
C:\WINDOWS\mrofinu27.exe
C:\WINDOWS\mrofinu27.exe.tmp
C:\WINDOWS\shell.exe
C:\WINDOWS\system32\11454897941.dll
C:\WINDOWS\system32\autorun.ini
C:\WINDOWS\system32\config\49248406.Evt
C:\WINDOWS\system32\crypts.dll
C:\WINDOWS\system32\ctfmona.exe
C:\WINDOWS\system32\cwgqvhvs.dll
C:\WINDOWS\system32\dllgh8jkd1q1.exe
C:\WINDOWS\system32\dllgh8jkd1q2.exe
C:\WINDOWS\system32\dllgh8jkd1q5.exe
C:\WINDOWS\system32\dllgh8jkd1q6.exe
C:\WINDOWS\system32\dllgh8jkd1q7.exe
C:\WINDOWS\system32\dllgh8jkd1q8.exe
C:\WINDOWS\system32\drivers\Bhn17.sys
C:\WINDOWS\system32\drivers\spools.exe
C:\WINDOWS\system32\drivers\tcpsr.sys
C:\WINDOWS\system32\EdJjlnnn.ini
C:\WINDOWS\system32\EdJjlnnn.ini2
C:\WINDOWS\system32\fccdayxX.dll
C:\WINDOWS\system32\found.exe.exe
C:\WINDOWS\system32\ftpdll.dll
C:\WINDOWS\system32\kr_done1
C:\WINDOWS\system32\maxpaynow1.exe
C:\WINDOWS\system32\maxpaynowti.exe
C:\WINDOWS\system32\maxpaynowti1.exe
C:\WINDOWS\system32\msdefender.exe
C:\WINDOWS\system32\nnnljJdE.dll
C:\WINDOWS\system32\printer.exe
C:\WINDOWS\system32\spoolvs.exe
C:\WINDOWS\system32\svchost.t__
C:\WINDOWS\system32\svcp.csv
C:\WINDOWS\system32\svhvqgwc.ini
C:\WINDOWS\system32\vedxg4am1et2.exe
C:\WINDOWS\system32\vedxg6ame4.exe
C:\WINDOWS\system32\vedxga1me4t1.exe
C:\WINDOWS\system32\vedxga3me2.exe
C:\WINDOWS\system32\vedxga4me1.exe
C:\WINDOWS\system32\vx.tll
C:\WINDOWS\system32\wind32.exe
C:\WINDOWS\system32\WinNt32.dll
C:\WINDOWS\system32\winsub.xml
C:\WINDOWS\system32\wowfx.dll
C:\WINDOWS\system32\xlibgfl254.dll
C:\WINDOWS\taskmon.exe
C:\windows\xpupdate.exe
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_ASC3550P
-------\Legacy_BHN17
-------\Legacy_ICF
-------\Legacy_TCPSR
-------\Service_asc3550p
-------\Service_Bhn17
-------\Service_ICF
-------\Service_tcpsr
-------\Legacy_Schedule
-------\Service_Schedule
((((((((((((((((((((((( Dateien erstellt von 2008-04-19 bis 2008-05-19 ))))))))))))))))))))))))))))))
.
2008-05-19 11:36 . 2008-05-19 11:36 <DIR> d-------- C:\Programme\CCleaner
2008-05-19 10:02 . 2005-01-15 22:47 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-05-19 10:02 . 2005-01-15 22:47 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-05-19 10:02 . 2005-01-15 22:47 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-05-19 10:02 . 2008-05-19 12:07 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-05-19 10:02 . 2005-07-09 05:27 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-05-19 10:02 . 2005-07-09 05:27 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-05-19 10:02 . 2005-01-15 22:47 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-05-19 10:02 . 2005-07-09 05:30 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\You've Got Pictures Screensaver
2008-05-19 10:02 . 2005-01-15 23:00 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Symantec
2008-05-19 10:02 . 2005-07-09 05:42 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AOL
2008-05-19 10:02 . 2005-01-15 22:47 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-05-19 10:02 . 2008-05-19 11:54 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-05-19 10:02 . 2008-05-19 11:52 1,024 --ah----- C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG
2008-05-19 09:52 . 2008-05-19 09:52 <DIR> d-------- C:\Dokumente und Einstellungen\keller.ronny\Anwendungsdaten\TmpRecentIcons
2008-05-16 13:44 . 2008-05-19 11:35 269,334 --a------ C:\WINDOWS\system32\ctfmonb.bmp
2008-05-16 13:44 . 2008-05-16 13:44 233,984 --a------ C:\WINDOWS\system32\edyj617.exe
2008-05-16 13:44 . 2008-05-19 11:35 160,256 --a------ C:\WINDOWS\system32\blackster.scr
2008-05-16 13:44 . 2008-05-16 13:44 80,384 --a------ C:\prkh.exe
2008-05-16 13:44 . 2008-05-19 12:08 62,386 --a------ C:\WINDOWS\system32\nzqtegh.sys
2008-05-16 13:44 . 2008-05-16 13:44 9,216 --a------ C:\WINDOWS\system32\edyj615.exe
2008-05-16 13:44 . 2008-05-16 13:44 2 --a------ C:\281198849
2008-05-16 13:42 . 2008-05-16 13:42 110,592 --a------ C:\WINDOWS\system32\rqnovyzg.exe
2008-05-16 13:39 . 2008-05-16 13:39 29,824 --a------ C:\WINDOWS\system32\urqOIAqn.dll
2008-05-16 13:38 . 2008-05-16 13:44 27,136 --a------ C:\WINDOWS\system32\drivers\Cio51.sys
2008-05-16 13:37 . 2008-05-16 13:37 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Startmenü
2008-05-16 13:37 . 2008-05-16 13:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fqdqlsfg
2008-05-16 13:37 . 2008-05-16 13:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited
2008-05-16 13:37 . 2008-05-16 02:02 327,680 --a------ C:\WINDOWS\vbksrofa.dll
2008-05-16 13:37 . 2008-05-16 02:02 278,528 --a------ C:\WINDOWS\fvowketqgbv.dll
2008-05-16 13:37 . 2008-05-16 02:01 241,664 --a------ C:\WINDOWS\mpfanvqg.dll
2008-05-16 13:37 . 2008-05-16 02:03 200,704 --a------ C:\WINDOWS\pvnsmfor.dll
2008-05-16 13:37 . 2008-05-16 02:03 159,744 --a------ C:\WINDOWS\exnk.exe
2008-05-16 13:37 . 2008-05-16 13:37 110,592 --a------ C:\WINDOWS\system32\bsnkhknw.exe
2008-05-16 13:37 . 2008-05-16 02:03 94,208 --a------ C:\WINDOWS\oadkxrts.exe
2008-05-16 13:37 . 2008-05-16 13:37 29,824 --a------ C:\WINDOWS\system32\khfCtqpp.dll
2008-05-16 13:36 . 2008-05-16 13:37 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Favoriten
2008-05-16 13:36 . 2008-05-16 13:45 33,792 --a------ C:\WINDOWS\system32\sincim32.dll
2008-05-16 13:36 . 2008-05-16 13:37 33,792 --a------ C:\WINDOWS\system32\interns32.dll
2008-05-16 13:36 . 2008-05-16 13:45 347 --a------ C:\WINDOWS\system32\es.dat
2008-05-16 13:34 . 2008-05-16 13:56 19,557 --a------ C:\WINDOWS\totacon.config
2008-05-16 13:33 . 2008-05-16 13:44 212,992 --a------ C:\WINDOWS\totacon.exe
2008-05-16 13:33 . 2008-05-16 13:33 29,136 --a------ C:\WINDOWS\system32\edyj618.exe
2008-05-16 13:33 . 2008-05-16 13:33 11,776 --a------ C:\WINDOWS\system32\edyj534.exe
2008-05-16 13:33 . 2008-05-16 13:44 1 --a------ C:\WINDOWS\system32\gwwzpc.tmp
2008-05-16 13:32 . 2008-05-16 13:32 3,117 --a------ C:\Dokumente und Einstellungen\keller.ronny\ie_updates3r.exe
2008-04-28 09:52 . 2007-07-30 19:19 43,352 --a------ C:\WINDOWS\system32\wups2.dll
2008-04-28 09:52 . 2007-07-30 19:18 34,136 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2008-04-28 09:52 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2008-04-28 09:52 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2008-04-28 09:52 . 2007-07-30 19:18 20,824 --a------ C:\WINDOWS\system32\wuaueng.dll.mui
6 Datei(en) . 5,018,040 C:\ComboFix\Bytes
3 Datei(en) . 1,049,790 C:\ComboFix\Bytes
1 Datei(en) . 62 C:\ComboFix\Bytes
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-19 10:06 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-05-16 11:44 233,006 ----a-w C:\WINDOWS\system32\edyj550.exe
2008-05-16 11:43 66,048 ----a-w C:\kskbd.exe
2008-05-16 11:43 40,448 ----a-w C:\WINDOWS\system32\msiesetup.exe
2008-05-16 11:43 10,000 ----a-w C:\WINDOWS\system32\hdxjd4g.dll
2008-05-16 11:43 10,000 ----a-w C:\WINDOWS\system32\djki397g.dll
2008-05-16 11:43 1,005,568 ----a-w C:\WINDOWS\system32\msupdate.dll
2006-04-11 11:10 316 ----a-w C:\Dokumente und Einstellungen\keller.ronny\Anwendungsdaten\wklnhst.dat
.
------- Sigcheck -------
2004-08-04 05:00 510464 62c9b901da3bfb29fda1d07b4d582da8 C:\WINDOWS\system32\winlogon.exe
md5deep: C:\WINDOWS\explorer.exe: error at offset 0: Permission denied
md5deep: C:\WINDOWS\system32\services.exe: error at offset 0: Permission denied
md5deep: C:\WINDOWS\system32\lsass.exe: error at offset 0: Permission denied
.
((((((((((((((((((((((((((((( snapshot@2008-05-19_12.02.05.62 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-19 09:25:57 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-05-19 09:59:19 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-05-19 09:25:57 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
+ 2008-05-19 09:59:19 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
- 2008-05-19 09:25:57 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2008-05-19 09:59:19 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3A4E6FF3-BF59-446E-9DC8-731BCE2F349A}]
2008-05-16 13:43 1005568 --a------ C:\WINDOWS\system32\msupdate.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4e7e9fb8-7954-4b15-86bc-5e8d5549047a}]
2008-05-16 02:02 278528 --a------ C:\WINDOWS\fvowketqgbv.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EF4CC146-43C9-4741-8D21-EB5035A4EBEC}]
2008-05-16 13:37 29824 --a------ C:\WINDOWS\system32\khfCtqpp.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ffffffff-b432-46fc-9143-b82b832b1b14}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{91549F7B-90F9-4BBA-8599-7515EB4D87C1}"= "C:\WINDOWS\pvnsmfor.dll" [2008-05-16 02:03 200704]
[HKEY_CLASSES_ROOT\clsid\{91549f7b-90f9-4bba-8599-7515eb4d87c1}]
[HKEY_CLASSES_ROOT\pvnsmfor.1]
[HKEY_CLASSES_ROOT\TypeLib\{9209A88A-455F-4DE4-97D9-0B32E537DBF7}]
[HKEY_CLASSES_ROOT\pvnsmfor]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 05:00 15360]
"eRecoveryService"="" []
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-18 10:24 68856]
"ntswqugt"="C:\WINDOWS\system32\rqnovyzg.exe" [2008-05-16 13:42 110592]
"totacon"="C:\WINDOWS\totacon.exe" [2008-05-16 13:44 212992]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmona"="C:\WINDOWS\system32\ctfmona.exe" [ ]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2005-08-04 10:49 58992]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"higevnwa"="C:\WINDOWS\system32\bsnkhknw.exe" [2008-05-16 13:37 110592]
"Service Pack 1"="C:\WINDOWS\system32\vedxg6ame4.exe" [ ]
C:\Dokumente und Einstellungen\keller.ronny\Startmen\Programme\Autostart\
Launch K9.lnk - C:\Programme\KeirNet\K9\K9.exe [2004-04-18 21:43:44 82944]
C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-29 11:21:07 110592]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 22:05:56 65588]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"ghF1ghlZFw"= C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fqdqlsfg\hsjilihu.exe
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{EF4CC146-43C9-4741-8D21-EB5035A4EBEC}"= C:\WINDOWS\system32\khfCtqpp.dll [2008-05-16 13:37 29824]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"ObEjcC"= {10C2C102-BA68-6BA8-EE70-57A451F76353} - C:\WINDOWS\system32\eyzaulk.dll [2004-08-04 05:00 32768]
"vbksrofa"= {D5D7377D-FA73-4D1A-901D-F17773DAFF8B} - C:\WINDOWS\vbksrofa.dll [2008-05-16 02:02 327680]
"mpfanvqg"= {6E79FE4A-33E7-45BF-A13D-A8DE422F1910} - C:\WINDOWS\mpfanvqg.dll [2008-05-16 02:01 241664]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\khfCtqpp]
khfCtqpp.dll 2008-05-16 13:37 29824 C:\WINDOWS\system32\khfCtqpp.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Cio51.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"\\findfast.exe"=
"C:\\WINDOWS\\totacon.exe"=
R0 Cio51;Cio51;C:\WINDOWS\system32\Drivers\Cio51.sys [2008-05-16 13:44]
R0 nvcchflt;NVIDIA Disk Cache Filter Driver;C:\WINDOWS\system32\DRIVERS\nvcchflt.sys [2005-02-11 19:11]
R2 Google Online Services;Google Online Services;C:\Dokumente und Einstellungen\keller.ronny\ie_updates3r.exe [2008-05-16 13:32]
S3 int15.sys;int15.sys;C:\Programme\acer\eRecovery\int15.sys [2005-01-13 14:46]
.
Inhalt des "geplante Tasks" Ordners
"2008-05-05 07:53:18 C:\WINDOWS\Tasks\Norton AntiVirus - Meinen Computer prüfen - keller.ronny.job"
- C:\PROGRA~1\NORTON~1\Navw32.exel/task:
"2008-05-16 11:07:33 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Programme\Symantec\LiveUpdate\NDETECT.EXE
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-19 12:07:54
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Einträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\khfCtqpp.dll
-> C:\WINDOWS\system32\WinNt32.dll
.
Zeit der Fertigstellung: 2008-05-19 12:08:35
ComboFix-quarantined-files.txt 2008-05-19 10:08:24
15 Verzeichnis(se), 88,989,736,960 Bytes frei
18 Verzeichnis(se), 88,982,298,624 Bytes frei
280
------------------------------------------------------------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:19:55, on 19.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLACSD.EXE
C:\Dokumente und Einstellungen\keller.ronny\ie_updates3r.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fqdqlsfg\hsjilihu.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\rqnovyzg.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\explorer.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\keller.ronny\Desktop\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: NETWORK SERVICE - {3A4E6FF3-BF59-446E-9DC8-731BCE2F349A} - C:\WINDOWS\system32\msupdate.dll
O2 - BHO: QXK Rhythm - {4e7e9fb8-7954-4b15-86bc-5e8d5549047a} - C:\WINDOWS\fvowketqgbv.dll
O2 - BHO: (no name) - {EF4CC146-43C9-4741-8D21-EB5035A4EBEC} - C:\WINDOWS\system32\khfCtqpp.dll
O2 - BHO: Min stor proj. - {ffffffff-b432-46fc-9143-b82b832b1b14} - sincim32.dll (file missing)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: pvnsmfor - {91549F7B-90F9-4BBA-8599-7515EB4D87C1} - C:\WINDOWS\pvnsmfor.dll
O4 - HKLM\..\Run: [ctfmona] C:\WINDOWS\system32\ctfmona.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ntswqugt] C:\WINDOWS\system32\rqnovyzg.exe
O4 - HKCU\..\Run: [totacon] C:\WINDOWS\totacon.exe
O4 - HKLM\..\Policies\Explorer\Run: [ghF1ghlZFw] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fqdqlsfg\hsjilihu.exe
O4 - HKUS\.DEFAULT\..\Run: [higevnwa] C:\WINDOWS\system32\bsnkhknw.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [Service Pack 1] C:\WINDOWS\system32\vedxg6ame4.exe (User 'Default user')
O4 - Startup: Launch K9.lnk = C:\Programme\KeirNet\K9\K9.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1209369107718
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPlugin.cab
O20 - Winlogon Notify: khfCtqpp - C:\WINDOWS\SYSTEM32\khfCtqpp.dll
O21 - SSODL: ObEjcC - {10C2C102-BA68-6BA8-EE70-57A451F76353} - C:\WINDOWS\system32\eyzaulk.dll
O21 - SSODL: vbksrofa - {D5D7377D-FA73-4D1A-901D-F17773DAFF8B} - C:\WINDOWS\vbksrofa.dll
O21 - SSODL: mpfanvqg - {6E79FE4A-33E7-45BF-A13D-A8DE422F1910} - C:\WINDOWS\mpfanvqg.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLACSD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Google Online Services - Unknown owner - C:\Dokumente und Einstellungen\keller.ronny\ie_updates3r.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
--
End of file - 6874 bytes
------------------------------------------------------------------------
HijackThis-Uninstall-List
Adobe Flash Player 9 ActiveX
Adobe Photoshop 7.0
Adobe Reader 6.0
AOL Coach Version 1.0(Build:20040201.2 de)
AOL Deutschland
AOL Meine Fotos Bildschirmschoner
AOL Optimized Dial-In
Athlon 64 Processor Driver
ATI Display Driver
ccCommon
CCleaner (remove only)
Google Toolbar for Internet Explorer
HijackThis 2.0.2
ICQ 5.1
Internet Worm Protection
Java 2 Runtime Environment, SE v1.4.2_05
Java(TM) 6 Update 2
Java(TM) 6 Update 3
Java(TM) SE Runtime Environment 6 Update 1
K9
LeechFTP
LiveReg (Symantec Corporation)
LiveUpdate 2.5 (Symantec Corporation)
Macromedia Dreamweaver MX
Macromedia Extension Manager
Microsoft Office 2000 Premium
Microsoft Works
Mozilla Firefox (2.0.0.12)
Norton AntiVirus 2005
Norton AntiVirus 2005 (Symantec Corporation)
Norton AntiVirus Help
Norton AntiVirus Parent MSI
Norton WMI Update
NTI Backup NOW! 3
NTI CD & DVD-Maker Gold
NVIDIA Drivers
NvMixer
PowerDVD
QuickTime
RealPlayer Basic
Ruby-186-26
Sibelius Scorch (ActiveX Only)
SPBBC
Symantec
Symantec Script Blocking Installer
SymNet
Terragen 2 Technology Preview
Viewpoint Media Player
Windows Live Messenger
Windows Live Sign-in Assistant
WinRAR Archivierer
------------------------------------------------------------------------
DatFind
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 10C2-C101
Verzeichnis von C:\WINDOWS\system32
19.05.2008 12:29 62.386 nzqtegh.sys
19.05.2008 11:35 160.256 blackster.scr
19.05.2008 11:35 269.334 ctfmonb.bmp
19.05.2008 09:49 1.158 wpa.dbl
16.05.2008 13:50 0 clkcnt.txt
16.05.2008 13:45 33.792 sincim32.dll
16.05.2008 13:45 347 es.dat
16.05.2008 13:44 1 gwwzpc.tmp
16.05.2008 13:44 233.984 edyj617.exe
16.05.2008 13:44 9.216 edyj615.exe
16.05.2008 13:44 233.006 edyj550.exe
16.05.2008 13:43 10.000 djki397g.dll
16.05.2008 13:43 10.000 hdxjd4g.dll
16.05.2008 13:43 658 c__3478.nls
16.05.2008 13:43 418 c__3480.nls
16.05.2008 13:43 290 c__3482.nls
16.05.2008 13:43 66 c__3948.nls
16.05.2008 13:43 130 c__10983.nls
16.05.2008 13:43 98 c__3481.nls
16.05.2008 13:43 338 c__3479.nls
16.05.2008 13:43 82 c__23732.nls
16.05.2008 13:43 48.882 c__0593.nls
16.05.2008 13:43 130 c__2303.nls
16.05.2008 13:43 930 c__374.nls
16.05.2008 13:43 178 c__34895.nls
16.05.2008 13:43 40.448 msiesetup.exe
16.05.2008 13:43 1.005.568 msupdate.dll
16.05.2008 13:43 3 amp.ini
16.05.2008 13:42 110.592 rqnovyzg.exe
16.05.2008 13:39 29.824 urqOIAqn.dll
16.05.2008 13:37 33.792 interns32.dll
16.05.2008 13:37 110.592 bsnkhknw.exe
16.05.2008 13:37 29.824 khfCtqpp.dll
16.05.2008 13:33 29.136 edyj618.exe
16.05.2008 13:33 11.776 edyj534.exe
13.05.2008 09:53 924 eRLog.ini
19.04.2008 10:22 40.800 perfc009.dat
19.04.2008 10:22 318.436 perfh007.dat
19.04.2008 10:22 313.082 perfh009.dat
19.04.2008 10:22 49.226 perfc007.dat
19.04.2008 10:22 728.266 PerfStringBackup.INI
19.04.2008 10:20 364.632 FNTCACHE.DAT
2051 Datei(en) 362.981.890 Bytes
0 Verzeichnis(se), 88.994.480.128 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 10C2-C101
Verzeichnis von C:\DOKUME~1\KELLER~1.RON\LOKALE~1\Temp
19.05.2008 12:29 100.217 datfind.txt
1 Datei(en) 100.217 Bytes
0 Verzeichnis(se), 88.994.508.800 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 10C2-C101
Verzeichnis von C:\WINDOWS
19.05.2008 12:07 227 system.ini
19.05.2008 12:00 489.910 WindowsUpdate.log
19.05.2008 11:59 0 0.log
19.05.2008 11:59 50 wiaservc.log
19.05.2008 11:59 159 wiadebug.log
19.05.2008 11:59 2.048 bootstat.dat
16.05.2008 13:56 19.557 totacon.config
16.05.2008 13:44 212.992 totacon.exe
16.05.2008 12:04 416 BRWMARK.INI
16.05.2008 12:04 26 BRPP2KA.INI
16.05.2008 02:03 94.208 oadkxrts.exe
16.05.2008 02:03 200.704 pvnsmfor.dll
16.05.2008 02:03 159.744 exnk.exe
16.05.2008 02:02 278.528 fvowketqgbv.dll
16.05.2008 02:02 327.680 vbksrofa.dll
16.05.2008 02:01 241.664 mpfanvqg.dll
11.04.2008 11:56 742 win.ini
86 Datei(en) 6.883.241 Bytes
0 Verzeichnis(se), 88.994.504.704 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 10C2-C101
Verzeichnis von C:\WINDOWS\temp
.
.
.
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 10C2-C101
Verzeichnis von C:\WINDOWS\Downloaded Program Files
30.07.2007 19:24 293 wuweb.inf
09.11.2006 15:36 5.019 swflash.inf
15.01.2005 22:51 65 desktop.ini
3 Datei(en) 5.377 Bytes
0 Verzeichnis(se), 88.994.504.704 Bytes frei
------------------------------------------------------------------------
Vielen herzlichen Dank im Vorraus!
Grüße aus Bayern
KMD