Virus eingeschlichen ! - Adsl Software Limited |
||
---|---|---|
#0
| ||
24.05.2008, 10:05
Member
Beiträge: 262 |
||
|
||
24.05.2008, 12:53
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo r123s
«« Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern Zitat KILLALL::Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden. cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen danach: Combofix noch einmal anwenden »» poste das neue Log von Comboofix «« poste das log von Windowsscan http://virus-protect.org/artikel/tools/windowsscan.html «« scanne mit Malwarebytes, lasse alles entfernen, was gefunden wird + poste den report http://virus-protect.org/artikel/tools/malwarebytes.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.05.2008, 08:35
Member
Themenstarter Beiträge: 262 |
#3
ComboFix 08-05-21.3 - Main 2008-05-25 8:30:22.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.712 [GMT 2:00] ausgeführt von:: E:\Eigene Dateien\downloads\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\Main\Desktop\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] FILE :: C:\WINDOWS\eope.exe C:\WINDOWS\gnowmebk.dll C:\WINDOWS\mdtgkswr.exe C:\WINDOWS\pxgdslro.dll C:\WINDOWS\system32\byXRjijJ.dll C:\WINDOWS\system32\cnvfctik.dll . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\WinSpywareProtect.exe C:\WINDOWS\eope.exe C:\WINDOWS\mdtgkswr.exe C:\WINDOWS\system32\byXRjijJ.dll C:\WINDOWS\system32\hsikbaqb.ini C:\WINDOWS\system32\KQAdNqss.ini C:\WINDOWS\system32\KQAdNqss.ini2 C:\WINDOWS\system32\ssqNdAQK.dll C:\WINDOWS\system32\tyfsnhfc.ini . ((((((((((((((((((((((( Dateien erstellt von 2008-04-25 bis 2008-05-25 )))))))))))))))))))))))))))))) . 2008-05-25 08:25 . 2008-05-25 08:25 91,136 --a------ C:\WINDOWS\system32\cfhnsfyt.dll 2008-05-24 09:56 . 2008-05-24 09:56 294 ---hs---- C:\WINDOWS\system32\kitcfvnc.ini 2008-05-18 09:12 . 2008-05-18 09:12 <DIR> d-------- C:\Programme\Gemeinsame Dateien\SWF Studio 2008-05-10 08:04 . 2008-05-10 08:04 <DIR> d-------- C:\WINDOWS\system32\Adobe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-05-25 06:33 --------- d-----w C:\Dokumente und Einstellungen\Main\Anwendungsdaten\Vidalia 2008-05-25 06:33 --------- d-----w C:\Dokumente und Einstellungen\Main\Anwendungsdaten\tor 2008-05-24 08:53 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater 2008-05-24 07:51 --------- d-----w C:\Programme\Google 2008-05-24 07:37 --------- d-----w C:\Programme\MailOut 2008-05-21 16:46 --------- d-----w C:\Programme\Napster 2008-04-18 16:06 --------- d-----w C:\Programme\ICQ6 2008-04-17 19:31 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip 2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll 2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll 2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys . ((((((((((((((((((((((((((((( snapshot@2008-05-24_ 9.56.15.50 ))))))))))))))))))))))))))))))))))))))))) . - 2008-05-24 07:54:15 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-05-25 06:33:10 2,048 --s-a-w C:\WINDOWS\bootstat.dat . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Outlook Express"="C:\Programme\Outlook Express\msimn.exe" [2004-08-04 14:00 60416] "Personal ID"="C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE" [2007-08-08 18:12 1423872] "Vidalia"="C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe" [2007-11-22 23:49 12889088] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-03-08 01:24 7557120] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-10-30 12:55 185896] "NapsterShell"="C:\Programme\Napster\napster.exe" [2007-01-12 19:36 323216] "HP Software Update"="C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2005-05-12 00:12 49152] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ] --a------ 2008-04-01 12:40 172280 C:\Programme\ICQ6\ICQ.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "Personal ID"=C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "C:\\Program Files\\WS_FTP Pro\\wsftpgui.exe"= "C:\\Programme\\ICQ6\\ICQ.exe"= R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14:00] S3 IwUSB;IwUSB Driver;C:\WINDOWS\system32\Drivers\IwUSB.sys [2007-08-10 09:13] S3 NAL;Nal Service ;C:\WINDOWS\system32\Drivers\iqvw32.sys [2006-06-05 03:39] S3 SetupNTGLM7X;SetupNTGLM7X;D:\NTGLM7X.sys [] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2e9a0b16-1865-11dd-a9dc-001676b68f9e}] \Shell\AutoRun\command - H:\setup.exe AUTORUN=1 . Inhalt des "geplante Tasks" Ordners "2008-05-23 15:15:50 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-25 08:33:29 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... C:\WINDOWS\TEMP\op3enq5r.TMP Scan erfolgreich abgeschlossen versteckte Dateien: 1 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Google\Google Updater\GoogleUpdater.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe E:\Eigene Dateien\downloads\WinZip\WZQKPICK.EXE C:\Programme\Hewlett-Packard\Digital Imaging\Product Assistant\bin\hprblog.exe C:\Programme\Vidalia Bundle\Tor\tor.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-05-25 8:35:01 - machine was rebooted [Main] ComboFix-quarantined-files.txt 2008-05-25 06:34:59 ComboFix2.txt 2008-05-24 07:56:36 ComboFix3.txt 2007-12-03 16:39:50 11 Verzeichnis(se), 244,588,814,336 Bytes frei 13 Verzeichnis(se), 244,575,854,592 Bytes frei 122 --- E O F --- 2008-05-14 12:10:24 |
|
|
||
25.05.2008, 11:55
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo r123s
«« http://virus-protect.org/artikel/tools/otmoveIt.html öffne: OTMoveIt.exe OTMoveIt Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move Zitat C:\WINDOWS\system32\cfhnsfyt.dllKlicke auf den Roten MoveIt! «« scanne mit malwarebytes, lasse alles entfernen, was gefunden wird, + poste den Report http://virus-protect.org/artikel/tools/malwarebytes.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.05.2008, 08:25
Member
Themenstarter Beiträge: 262 |
#5
Malwarebytes' Anti-Malware 1.12
Datenbank Version: 722 Scan Art: Schnell Scan Objekte gescannt: 32180 Scan Dauer: 2 minute(s), 12 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 3 Infizierte Registrierungswerte: 0 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\Adsl Software Limited (Rogue.MalWarrior) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine Malware Objekte gefunden) Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: C:\WINDOWS\Downloaded Program Files\website.dll (Trojan.Downloader) -> Quarantined and deleted successfully. |
|
|
||
26.05.2008, 10:59
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo
« wende datfindbat an , es erscheinen verschiedene Logs, kopiere von jedem nur die letzten 3 Monate ab (sind nach Datum geordnet) http://virus-protect.org/datfindbat.html « erstelle die tempfiles.bat - poste den Report http://virus-protect.org/artikel/tools/tempfiles-bat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Die das Combofox Log.
-----------------------------------------
ComboFix 08-05-21.3 - Main 2008-05-24 9:50:51.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.653 [GMT 2:00]
ausgeführt von:: E:\Eigene Dateien\downloads\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.
(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Dokumente und Einstellungen\Main\Lokale Einstellungen\Temporary Internet Files\AlxRes_dll_IMAGE_bg_popup.gif
C:\Dokumente und Einstellungen\Main\Lokale Einstellungen\Temporary Internet Files\AlxRes_dll_IMAGE_window_sliver.gif
C:\Programme\alexa toolbar
C:\Programme\Google\googletoolbar1.dll
C:\WINDOWS\gktxaspm.dll
C:\WINDOWS\gnowmebk.dll
C:\WINDOWS\nldfmtapefs.dll
C:\WINDOWS\pxgdslro.dll
C:\WINDOWS\system32\drivers\core.cache(2)(2).dsk
C:\WINDOWS\system32\HNqtvyxx.ini
C:\WINDOWS\system32\HNqtvyxx.ini2
C:\WINDOWS\system32\kitcfvnc.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\xxyvtqNH.dll
.
((((((((((((((((((((((( Dateien erstellt von 2008-04-24 bis 2008-05-24 ))))))))))))))))))))))))))))))
.
2008-05-24 09:34 . 2008-05-24 09:34 90,112 --a------ C:\WINDOWS\system32\cnvfctik.dll
2008-05-24 09:12 . 2008-05-24 09:12 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited
2008-05-24 09:12 . 2008-05-23 20:50 176,128 --a------ C:\WINDOWS\eope.exe
2008-05-24 09:12 . 2008-05-23 20:51 159,744 --a------ C:\WINDOWS\mdtgkswr.exe
2008-05-24 09:12 . 2008-05-24 09:12 29,312 --a------ C:\WINDOWS\system32\byXRjijJ.dll
2008-05-18 09:12 . 2008-05-18 09:12 <DIR> d-------- C:\Programme\Gemeinsame Dateien\SWF Studio
2008-05-10 08:04 . 2008-05-10 08:04 <DIR> d-------- C:\WINDOWS\system32\Adobe
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-24 07:55 --------- d-----w C:\Dokumente und Einstellungen\Main\Anwendungsdaten\Vidalia
2008-05-24 07:55 --------- d-----w C:\Dokumente und Einstellungen\Main\Anwendungsdaten\tor
2008-05-24 07:51 --------- d-----w C:\Programme\Google
2008-05-24 07:37 --------- d-----w C:\Programme\MailOut
2008-05-23 07:53 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-05-21 16:46 --------- d-----w C:\Programme\Napster
2008-04-18 16:06 --------- d-----w C:\Programme\ICQ6
2008-04-17 19:31 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{613E416F-BCB6-43AD-B0FC-DF7B0D5A70BF}]
2008-05-24 09:12 29312 --a------ C:\WINDOWS\system32\byXRjijJ.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{2890C98D-5959-4A94-A6C2-C59E85462152}"= "C:\WINDOWS\gktxaspm.dll" [ ]
[HKEY_CLASSES_ROOT\clsid\{2890c98d-5959-4a94-a6c2-c59e85462152}]
[HKEY_CLASSES_ROOT\gktxaspm.1]
[HKEY_CLASSES_ROOT\TypeLib\{E84E3733-34F2-43F6-BD3A-5A4FD4D67848}]
[HKEY_CLASSES_ROOT\gktxaspm]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Outlook Express"="C:\Programme\Outlook Express\msimn.exe" [2004-08-04 14:00 60416]
"Personal ID"="C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE" [2007-08-08 18:12 1423872]
"Vidalia"="C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe" [2007-11-22 23:49 12889088]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-03-08 01:24 7557120]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-10-30 12:55 185896]
"NapsterShell"="C:\Programme\Napster\napster.exe" [2007-01-12 19:36 323216]
"HP Software Update"="C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2005-05-12 00:12 49152]
"7ca1f308"="C:\WINDOWS\system32\cnvfctik.dll" [2008-05-24 09:34 90112]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{613E416F-BCB6-43AD-B0FC-DF7B0D5A70BF}"= C:\WINDOWS\system32\byXRjijJ.dll [2008-05-24 09:12 29312]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"gnowmebk"= {8B304E93-E70E-417E-A459-51E6CAB3E37B} - C:\WINDOWS\gnowmebk.dll [ ]
"pxgdslro"= {1C0D962A-1C89-4EDF-9520-3D11F06DBDB1} - C:\WINDOWS\pxgdslro.dll [ ]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\byXRjijJ]
byXRjijJ.dll 2008-05-24 09:12 29312 C:\WINDOWS\system32\byXRjijJ.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
--a------ 2008-04-01 12:40 172280 C:\Programme\ICQ6\ICQ.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Personal ID"=C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Program Files\\WS_FTP Pro\\wsftpgui.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14:00]
S3 IwUSB;IwUSB Driver;C:\WINDOWS\system32\Drivers\IwUSB.sys [2007-08-10 09:13]
S3 NAL;Nal Service ;C:\WINDOWS\system32\Drivers\iqvw32.sys [2006-06-05 03:39]
S3 SetupNTGLM7X;SetupNTGLM7X;D:\NTGLM7X.sys []
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2e9a0b16-1865-11dd-a9dc-001676b68f9e}]
\Shell\AutoRun\command - H:\setup.exe AUTORUN=1
.
Inhalt des "geplante Tasks" Ordners
"2008-05-23 15:15:50 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-24 09:54:51
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Eintr„ge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\byXRjijJ.dll
PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\system32\cnvfctik.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe
E:\Eigene Dateien\downloads\WinZip\WZQKPICK.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Programme\Vidalia Bundle\Tor\tor.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-24 9:56:35 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-24 07:56:30
ComboFix2.txt 2007-12-03 16:39:50
11 Verzeichnis(se), 244,334,190,592 Bytes frei
14 Verzeichnis(se), 244,293,046,272 Bytes frei
137 --- E O F --- 2008-05-14 12:10:24
Gruss aus Berlin