Home » Spyware & Browser Hijacker Support Forum » Problem mit Spyware (Virus Alert!) » Themenansicht
Problem mit Spyware (Virus Alert!)Thema ist geschlossen! |
||
|---|---|---|
Thema ist geschlossen! |
||
| #0
| ||
|
24.05.2008, 20:15
...neu hier
Beiträge: 5 |
||
 
|
|
|
|
24.05.2008, 21:20
Ehrenmitglied
 Beiträge: 29434 |
#2
Hallo Iuventas
«« wende cleaner an und lösche die temporären Dateien http://www.ccleaner.de/?protecus.de «« mit dem HijackThis löschen ("fixen") Klicke: "Do a system scan only" Setze ein Häckchen in das Kästchen vor den genannten Eintrag und wähle fix checked. + starte den Rechner neu. Zitat R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2«« wende rvaxo an + poste den report http://virus-protect.org/artikel/tools/rvaxo.html «« wende Combofix an / Warnmeldung wegklicken - + poste den report http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
25.05.2008, 09:20
...neu hier
Themenstarter Beiträge: 5 |
#3
hi, ich habe jetzt alles so gemacht wie du es beschrieben hast,
hier ist der letzte ergebniss von HijackThis Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 09:07: VIRUS ALERT!, on 25.05.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\a-squared Free\a2service.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe E:\Disc D\ICQLite\ICQLite.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\Programme\Windows Media Player\wmplayer.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2 R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Disc D\ICQLite\ICQLite.exe -trayboot O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{B1713780-48B6-461B-B43E-BA292929F9EA}: NameServer = 217.237.151.51 217.237.149.205 O21 - SSODL: vregfwlx - {1A228671-CA1B-4E75-94C4-5185295A7968} - C:\WINDOWS\vregfwlx.dll O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe -- End of file - 6593 bytes |
|
|
|
|
|
|
25.05.2008, 11:52
Ehrenmitglied
Beiträge: 29434 |
#4
««
fixe mit hijackThis: Zitat R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2«« wende Combofix an / Warnmeldung wegklicken - + poste den report HIER http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
25.05.2008, 13:04
...neu hier
Themenstarter Beiträge: 5 |
#5
der erste link softwarereferral./jump.php?wmid=6010&mid=MjI6Ojg5&lid=2)
ging nicht ich habe jetzt nur ComboFix durchlaufen lassen ComboFix 08-05-24.1 - Michael 2008-05-25 12:38:32.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.879 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Michael\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\Michael\Favoriten\Error Cleaner.url C:\Dokumente und Einstellungen\Michael\Favoriten\Privacy Protector.url C:\Dokumente und Einstellungen\Michael\Favoriten\Spyware&Malware Protection.url . ((((((((((((((((((((((( Dateien erstellt von 2008-04-25 bis 2008-05-25 )))))))))))))))))))))))))))))) . 2008-05-25 09:02 . 2008-05-25 09:02 <DIR> d-------- C:\Programme\Yahoo! 2008-05-25 09:02 . 2008-05-25 09:02 <DIR> d-------- C:\Programme\CCleaner 2008-05-24 19:47 . 2008-05-24 20:01 <DIR> d-------- C:\Programme\CleanUp! 2008-05-24 19:33 . 2008-05-24 19:33 <DIR> d-------- C:\Programme\Trend Micro 2008-05-24 18:27 . 2008-05-24 18:41 <DIR> d-------- C:\Programme\a-squared Free 2008-05-24 17:25 . 2008-05-24 17:25 <VERBINDUNG> d-------l C:\Neuer Ordner (2) 2008-05-24 17:25 . 2008-05-24 17:25 <DIR> d-------- C:\Neuer Ordner (3) 2008-05-24 17:25 . 2008-05-24 17:25 <DIR> d-------- C:\Neuer Ordner 2008-05-24 16:57 . 2008-05-24 17:18 <DIR> d-------- C:\WINDOWS\system32\NtmsData 2008-05-24 15:09 . 2008-05-24 15:09 <DIR> d-------- C:\Programme\Lavasoft 2008-05-24 15:08 . 2008-05-24 15:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-05-24 14:51 . 2008-05-24 14:51 <DIR> d-------- C:\Programme\Spybot - Search & Destroy 2008-05-24 14:51 . 2008-05-24 15:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-05-24 14:33 . 2008-05-24 17:58 <DIR> d-------- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\TmpRecentIcons 2008-05-24 13:05 . 2008-05-24 10:34 286,720 --------- C:\WINDOWS\vltdfabw.dll 2008-05-24 13:05 . 2008-05-24 10:34 253,952 --a------ C:\WINDOWS\vregfwlx.dll 2008-05-24 13:05 . 2008-05-24 10:34 221,184 --a------ C:\WINDOWS\boqnrwdmtwm.dll 2008-05-24 13:05 . 2008-05-24 10:34 188,416 --a------ C:\WINDOWS\atfxqogp.dll 2008-05-24 13:05 . 2008-05-24 10:34 159,744 --a------ C:\WINDOWS\enrx.exe 2008-05-24 13:05 . 2008-05-24 10:34 94,208 --a------ C:\WINDOWS\xmpstean.exe 2008-05-17 18:50 . 2008-05-17 18:50 <DIR> d-------- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\vlc 2008-05-17 18:40 . 2008-05-17 18:40 <DIR> d-------- C:\Programme\VideoLAN 2008-05-16 11:58 . 2008-05-16 11:58 12,632 --a------ C:\WINDOWS\system32\lsdelete.exe 2008-04-29 11:20 . 2008-04-29 11:20 15,648 --a------ C:\WINDOWS\system32\drivers\NSDriver.sys 2008-04-29 11:19 . 2008-04-29 11:19 15,648 --a------ C:\WINDOWS\system32\drivers\Awrtrd.sys 2008-04-29 11:19 . 2008-04-29 11:19 12,960 --a------ C:\WINDOWS\system32\drivers\Awrtpd.sys 2008-04-27 23:04 . 2008-04-27 23:05 30 --a------ C:\WINDOWS\batch.bat 2008-04-27 22:29 . 2008-04-27 22:32 <DIR> d-------- C:\WINDOWS\Lhsp 2008-04-27 22:28 . 2008-04-27 22:28 <DIR> d-------- C:\WINDOWS\speech . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-05-24 15:56 --------- d-----w C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\teamspeak2 2008-05-24 13:04 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-05-12 12:56 --------- d-----w C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Azureus 2008-04-12 11:42 --------- d-----w C:\Programme\Octoshape Streaming Services 2008-04-12 11:41 --------- d-----w C:\Programme\Java 2008-04-12 11:39 --------- d-----w C:\Programme\Gemeinsame Dateien\Java 2008-04-06 17:05 725,504 ----a-w C:\WINDOWS\system32\kcpp.dll 2008-04-01 17:17 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-03-31 12:37 --------- d-----w C:\Programme\Pinnacle 2008-03-31 12:37 --------- d-----w C:\Programme\Gemeinsame Dateien\Fellowes 2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll 2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll 2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys 2008-03-02 17:53 2,829 ----a-w C:\WINDOWS\War3Unin.pif 2008-03-02 17:53 139,264 ----a-w C:\WINDOWS\War3Unin.exe 2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FCE2B5F9-602F-4637-939D-004B97512F9E}] 2008-05-24 10:34 221184 --a------ C:\WINDOWS\boqnrwdmtwm.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57 15360] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoToolbarCustomize"= 1 (0x1) "NoStartMenuMorePrograms"= 1 (0x1) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "vregfwlx"= {E560BCA6-8F8D-451F-9E15-E4B4EA36E9B5} - C:\WINDOWS\vregfwlx.dll [2008-05-24 10:34 253952] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.I420"= vdrcodec.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] --a------ 2004-08-04 09:57 15360 C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "D:\\CoD 2\\CoD2MP_s.exe"= "C:\\Programme\\ICQLite\\ICQLite.exe"= "D:\\World of Warcraft 1-\\Repair.exe"= "C:\\Programme\\Azureus\\Azureus.exe"= "D:\\World of Warcraft 1-\\BackgroundDownloader.exe"= "C:\\Programme\\Internet Explorer\\iexplore.exe"= "C:\\Programme\\Octoshape Streaming Services\\Michael\\OctoshapeClient.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3724:TCP"= 3724:TCP:Blizzard Downloader: 3724 R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\DRIVERS\avgntmgr.sys [2008-04-27 17:53] R0 VOBID;VOBID;C:\WINDOWS\system32\DRIVERS\vobid.sys [2003-02-20 11:42] R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-27 17:53] R1 vobcom;vobcom;C:\WINDOWS\system32\drivers\vobcom.sys [2001-10-04 11:53] R1 vobiw;vobiw;C:\WINDOWS\system32\drivers\vobiw.sys [2003-03-21 17:09] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 09:58] R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2002-07-29 14:14] R3 Cdrdrv;Cdrdrv;C:\WINDOWS\system32\Drivers\Cdrdrv.sys [2002-12-13 17:33] R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2002-07-29 14:15] S3 Fadpu16E;Fadpu16E;C:\DOKUME~1\Michael\LOKALE~1\Temp\Fadpu16E.sys [] S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2007-04-25 14:24] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp *Newly Created Service* - CATCHME . Inhalt des "geplante Tasks" Ordners "2008-05-16 15:18:24 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUp Utilities 2008\OneClick.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-25 12:40:42 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-05-25 12:42:20 ComboFix-quarantined-files.txt 2008-05-25 10:42:02 14 Verzeichnis(se), 50,420,248,576 Bytes frei 16 Verzeichnis(se), 50,418,896,896 Bytes frei 132 --- E O F --- 2008-05-17 14:35:40 |
|
|
|
|
|
|
25.05.2008, 16:57
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo,
1. Virustotal http://www.virustotal.com/flash/index_en.html C:\WINDOWS\system32\kcpp.dll C:\WINDOWS\xmpstean.exe C:\WINDOWS\boqnrwdmtwm.dll Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren ----------------------------------------------------------------------- 2. Zitat der erste link softwarereferral./jump.php?wmid=6010&mid=MjI6Ojg5&lid=2)das war nicht zum anklicken, das war mit dem HijackThis zu fixen, des es gehört zum virus ! ----------------------------------------------------------- 3. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern  Zitat KILLALL::Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden. cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen  danach: Combofix noch einmal anwenden 4. poste das neue Log von Combofix ------------- 5. scanne mit Malwarebytes, lasse alles entfernen, was gefunden wird + poste hier den report http://virus-protect.org/artikel/tools/malwarebytes.html 6. poste ein neues Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
25.05.2008, 22:50
...neu hier
Themenstarter Beiträge: 5 |
#7
hi ,
------------------------------------------------------------------------------- zu 1. kcpp.dll ------- Datei kcpp.dll empfangen 2008.05.25 17:31:29 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 3/32 (9.38%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 1. Geschätzte Startzeit is zwischen 39 und 56 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.5.22.1 2008.05.23 - AntiVir 7.8.0.19 2008.05.25 - Authentium 5.1.0.4 2008.05.23 - Avast 4.8.1195.0 2008.05.25 - AVG 7.5.0.516 2008.05.24 - BitDefender 7.2 2008.05.25 - CAT-QuickHeal 9.50 2008.05.24 - ClamAV 0.92.1 2008.05.25 - DrWeb 4.44.0.09170 2008.05.25 - eSafe 7.0.15.0 2008.05.22 - eTrust-Vet 31.4.5817 2008.05.23 - Ewido 4.0 2008.05.25 - F-Prot 4.4.4.56 2008.05.23 - F-Secure 6.70.13260.0 2008.05.25 - Fortinet 3.14.0.0 2008.05.25 - GData 2.0.7306.1023 2008.05.23 - Ikarus T3.1.1.26.0 2008.05.25 - Kaspersky 7.0.0.125 2008.05.25 - McAfee 5302 2008.05.23 - Microsoft None 2008.05.25 - NOD32v2 3128 2008.05.23 - Norman 5.80.02 2008.05.23 - Panda 9.0.0.4 2008.05.25 Suspicious file Prevx1 V2 2008.05.25 - Rising 20.45.42.00 2008.05.23 - Sophos 4.29.0 2008.05.25 - Sunbelt 3.0.1123.1 2008.05.17 VIPRE.Suspicious Symantec 10 2008.05.25 - TheHacker 6.2.92.318 2008.05.23 - VBA32 3.12.6.6 2008.05.25 - VirusBuster 4.3.26:9 2008.05.25 - Webwasher-Gateway 6.6.2 2008.05.25 Win32.Malware.gen (suspicious) weitere Informationen File size: 725504 bytes MD5...: 8a0305724511444d663c1d6598ad389f SHA1..: 79e22ac8039316853b73d0e107f4bc92d30aeba5 SHA256: 34fbdffdf79c6d3563516814de33749f6aad631855de04689b95a69e7d175a91 SHA512: 1233c6c580d716c4b259dc8218729550d0911e1063cc001db953f59e25d01711 7bd9764d278e498fffa0b337383cd8d8d0d91d4ff0bd54963be55295a6ff387a PEiD..: ASPack v2.12 PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x103de001 timedatestamp.....: 0x47f90254 (Sun Apr 06 17:03:16 2008) machinetype.......: 0x14c (I386) ( 10 sections ) name viradd virsiz rawdsiz ntrpy md5 0x1000 0xd0981 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e 0xd2000 0x1b9000 0x5fc00 8.00 0422da9c19e1821ddac1f2cba6908ac6 0x28b000 0xa9000 0xf000 8.00 77e4169f3f35785be3bc6a9056b3cb5c 0x334000 0x89000 0x1000 7.96 c69698c6c1e91200ef9cef35337f7acd 0x3bd000 0x6000 0x4600 7.99 9ad5943166c24202d79b06acd5a8bce9 .rsrc 0x3c3000 0x1000 0x200 2.92 119e36e4d586949a8f1a4d400bd09b79 0x3c4000 0x18000 0xc400 8.00 4e5f8eac9fecd2d339fb049a71509e9f 0x3dc000 0x2000 0x2000 2.91 fa4bbb555b526e9b354242115233ade8 .data 0x3de000 0x2e000 0x2da00 7.90 f71702f9666296302cfac1fbb4be03f4 .adata 0x40c000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e ( 13 imports ) > kernel32.dll: GetProcAddress, GetModuleHandleA, LoadLibraryA > user32.dll: WindowFromPoint > oleaut32.dll: - > shlwapi.dll: PathFindExtensionA > oleacc.dll: LresultFromObject > gdi32.dll: CreateSolidBrush > winspool.drv: DocumentPropertiesA > comdlg32.dll: GetFileTitleA > advapi32.dll: RegCloseKey > shell32.dll: SHGetFileInfoA > ole32.dll: OleRun > oleaut32.dll: VariantChangeTypeEx > kernel32.dll: RaiseException ( 122 exports ) _ClearTrivArray1@@YGXXZ, AddSentenceToMemory, ChangeMaximumRelevance, ChangeMinimumRelevance, ChangeQuestionFrequencyValue, ChangeRelatedWordValue, ChangeSameWordValue, ChangeScopeValue, ChangeTrivial1Value, ChangeTrivial2Value, ChangeTrivial3Value, DeliverMessage, FindRelatedSents, FixPronouns, GetBotsName, GetBotsNameLength, GetDT2Length, GetDT2String, GetDT3LeftToGo, GetDT3Length, GetDT3ParseResult, GetDT3ParseResultLength, GetDT3String, GetDefaultQReply1, GetDefaultQReply2, GetDefaultQReply3, GetDefaultQReply4, GetDefaultQReply5, GetDefaultReply1, GetDefaultReply10, GetDefaultReply2, GetDefaultReply3, GetDefaultReply4, GetDefaultReply5, GetDefaultReply6, GetDefaultReply7, GetDefaultReply8, GetDefaultReply9, GetFinalOutMessage, GetIndependence, GetKorMessage, GetLastKorRelevance, GetLastRelevance, GetLogicWords, GetMemoryLength, GetMemoryString, GetMemoryStringDirect, GetMemoryType, GetUsersName, GetUsersNameLength, IdeasOnlyDisable, IdeasOnlyEnable, LastReplyWasDefault, LearningDisable, LearningEnable, LoadDT2, LoadDT3, LoadDictionary, LoadFiles, LoadKariPersonality, LoadKariSettings, LoadMemory, LoadMemoryDirect, LoadTrivials, ReplaceMemorySentence, ReplacePrevOutMessage, ReplacePrevPrevOutMessage, ReplacePrevPrevPrevOutMessage, SaveKariPersonality, SaveKariSettings, SetBotsName, SetDefaultQReply1, SetDefaultQReply2, SetDefaultQReply3, SetDefaultQReply4, SetDefaultQReply5, SetDefaultReply1, SetDefaultReply10, SetDefaultReply2, SetDefaultReply3, SetDefaultReply4, SetDefaultReply5, SetDefaultReply6, SetDefaultReply7, SetDefaultReply8, SetDefaultReply9, SetEgoValue, SetEngineKey, SetHornyValue, SetIdea10Text, SetIdea10Value, SetIdea1Text, SetIdea1Value, SetIdea2Text, SetIdea2Value, SetIdea3Text, SetIdea3Value, SetIdea4Text, SetIdea4Value, SetIdea5Text, SetIdea5Value, SetIdea6Text, SetIdea6Value, SetIdea7Text, SetIdea7Value, SetIdea8Text, SetIdea8Value, SetIdea9Text, SetIdea9Value, SetIndependence, SetLoveValue, SetMemoryType, SetTrivs1, SetTrivs2, SetTrivs3, SetUsersName, StartDT3Parse, StopDT3Parse, SwitchYouMe, WordWeightsDisable, WordWeightsEnable, WordWeightsEnabled packers (F-Prot): Aspack ----------- xmpstean.exe ------------- Datei xmpstean.exe empfangen 2008.05.25 17:37:30 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 9/32 (28.13%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 1. Geschätzte Startzeit is zwischen 39 und 56 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.5.22.1 2008.05.23 - AntiVir 7.8.0.19 2008.05.25 - Authentium 5.1.0.4 2008.05.23 - Avast 4.8.1195.0 2008.05.25 Win32:Vapsup-CI AVG 7.5.0.516 2008.05.24 Downloader.Adload.JD BitDefender 7.2 2008.05.25 - CAT-QuickHeal 9.50 2008.05.24 Trojan.Vapsup.ffm ClamAV 0.92.1 2008.05.25 - DrWeb 4.44.0.09170 2008.05.25 Trojan.Popuper.6139 eSafe 7.0.15.0 2008.05.22 - eTrust-Vet 31.4.5817 2008.05.23 - Ewido 4.0 2008.05.25 - F-Prot 4.4.4.56 2008.05.23 - F-Secure 6.70.13260.0 2008.05.25 - Fortinet 3.14.0.0 2008.05.25 - GData 2.0.7306.1023 2008.05.23 Trojan.Win32.Vapsup.fpr Ikarus T3.1.1.26.0 2008.05.25 Trojan.Win32.Small.ZZB Kaspersky 7.0.0.125 2008.05.25 Trojan.Win32.Vapsup.fpr McAfee 5302 2008.05.23 - Microsoft None 2008.05.25 - NOD32v2 3128 2008.05.23 - Norman 5.80.02 2008.05.23 - Panda 9.0.0.4 2008.05.25 Adware/VapSup Prevx1 V2 2008.05.25 - Rising 20.45.42.00 2008.05.23 - Sophos 4.29.0 2008.05.25 - Sunbelt 3.0.1123.1 2008.05.17 - Symantec 10 2008.05.25 - TheHacker 6.2.92.318 2008.05.23 - VBA32 3.12.6.6 2008.05.25 suspected of Downloader.Zlob.7 VirusBuster 4.3.26:9 2008.05.25 - Webwasher-Gateway 6.6.2 2008.05.25 - weitere Informationen File size: 94208 bytes MD5...: ca71d365afef740175e057464807cdb8 SHA1..: 60a59329298d444ce1daee7342f207a3cb68a71b SHA256: a40cd1cb87386c7b6bfef00fb84fd7895f8879e58d4d922443eee140ede6fc19 SHA512: b7018f0354a2841b541f250a5ef06a15062a60d239796e03a715823663373b64 0ac3a6ae1c83cd8f994cf9f2c48ff24b7453f4f2f499059da14ecf84ba82f75f PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x4034f8 timedatestamp.....: 0x4837c36f (Sat May 24 07:27:43 2008) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0xd0f6 0xe000 6.24 22c1747be08c6e5fdaa3ce081d71cc81 .rdata 0xf000 0x4bd2 0x5000 5.10 62706b1e3beeb989ddd65b4fc7ffcc7c .data 0x14000 0x2e04 0x2000 1.52 756a44b7fb82e50ac02511ea2e4e451b .rsrc 0x17000 0xb0 0x1000 3.06 c67885160d1d4da2f4a5f0d18956abe6 ( 4 imports ) > KERNEL32.dll: LoadLibraryW, TerminateProcess, GetProcAddress, CloseHandle, SetLastError, G --------------- boqnrwdmtwm.dll ----------------- Datei boqnrwdmtwm.dll empfangen 2008.05.25 18:13:02 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 14/32 (43.75%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: ___. Geschätzte Startzeit is zwischen ___ und ___ . Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.5.22.1 2008.05.23 - AntiVir 7.8.0.19 2008.05.25 ADSPY/AdSpy.Gen Authentium 5.1.0.4 2008.05.25 - Avast 4.8.1195.0 2008.05.25 Win32:Vapsup-EB AVG 7.5.0.516 2008.05.25 Downloader.Adload.KM BitDefender 7.2 2008.05.25 - CAT-QuickHeal 9.50 2008.05.24 Trojan.Bho.sk ClamAV 0.92.1 2008.05.25 - DrWeb 4.44.0.09170 2008.05.25 Trojan.Popuper.6139 eSafe 7.0.15.0 2008.05.22 - eTrust-Vet 31.4.5817 2008.05.23 - Ewido 4.0 2008.05.25 - F-Prot 4.4.4.56 2008.05.23 W32/Adware-RegBHO-based.1!Maximus F-Secure 6.70.13260.0 2008.05.23 - Fortinet 3.14.0.0 2008.05.25 - GData 2.0.7306.1023 2008.05.23 Trojan.Win32.Vapsup.fpq Ikarus T3.1.1.26.0 2008.05.25 Virus.Trojan.Win32.Vapsup.fpq Kaspersky 7.0.0.125 2008.05.25 Trojan.Win32.Vapsup.fpq McAfee 5302 2008.05.23 - Microsoft None 2008.05.25 - NOD32v2 3128 2008.05.23 - Norman 5.80.02 2008.05.23 - Panda 9.0.0.4 2008.05.25 - Prevx1 V2 2008.05.25 Malware Dropper Rising 20.45.42.00 2008.05.23 Trojan.Win32.Vapsup.elr Sophos 4.29.0 2008.05.25 Mal/Emogen-AC Sunbelt 3.0.1123.1 2008.05.17 - Symantec 10 2008.05.25 - TheHacker 6.2.92.318 2008.05.23 - VBA32 3.12.6.6 2008.05.25 suspected of Downloader.Zlob.8 VirusBuster 4.3.26:9 2008.05.25 - Webwasher-Gateway 6.6.2 2008.05.25 Ad-Spyware.AdSpy.Gen weitere Informationen File size: 221184 bytes MD5...: 732310959b2cd4f4f11561d34dd3a024 SHA1..: 6ecbc77f7e74aa4861d0f68f528813b0981dbc9f SHA256: 282cf2754911ada00a0057cf5f0fb1dba69e5952476954be32245f9a585d05e1 SHA512: 5e762211968b9a2423a46e4c6b49e8b5968de8a4c65829ab3e9055a572b2f6d3 1ea946af9111dfbe58bba83edba2654099c7b443685da4bfaf277daf902d7dc5 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1001269c timedatestamp.....: 0x4837c83f (Sat May 24 07:48:15 2008) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x21d1b 0x22000 6.66 7a945401d83aebc444d81f35cbc86115 .rdata 0x23000 0xc243 0xd000 4.74 e9307b973bc54fa00c90673291ea4046 .data 0x30000 0x39c8 0x2000 3.91 eacb2c6337052376328d7dd4ffe6c56f .rsrc 0x34000 0xaf8 0x1000 3.32 eb4ded22c43844b7c9a56ba9126aab08 .reloc 0x35000 0x2c9e 0x3000 4.78 0c998019c0007e0af9b32498152c72ea ( 6 imports ) > KERNEL32.dll: lstrcmpiW, MultiByteToWideChar, SizeofResource, LoadResource, FindResourceW, LoadLibraryExW, GetModuleHandleW, DisableThreadLibraryCalls, GetModuleFileNameW, RaiseException, GetLastError, EnterCriticalSection, FreeLibrary, DeleteCriticalSection, LeaveCriticalSection, GetProcAddress, LoadLibraryW, CloseHandle, CreateFileA, SetEndOfFile, InterlockedDecrement, InterlockedIncrement, GlobalAlloc, Sleep, CreateThread, LocalAlloc, lstrlenW, FormatMessageW, InitializeCriticalSection, LocalFree, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, GetStringTypeW, GetStringTypeA, FlushFileBuffers, SetStdHandle, CreateFileW, GetConsoleMode, InterlockedExchange, GetACP, GetLocaleInfoA, GetThreadLocale, GetVersionExA, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, HeapReAlloc, HeapAlloc, HeapFree, VirtualProtect, VirtualAlloc, GetModuleHandleA, GetSystemInfo, VirtualQuery, GetCurrentThreadId, GetCommandLineA, GetProcessHeap, RtlUnwind, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetLastError, HeapSize, ExitProcess, SetFilePointer, ReadFile, HeapDestroy, HeapCreate, VirtualFree, WriteFile, GetStdHandle, GetModuleFileNameA, GetCPInfo, GetOEMCP, LCMapStringA, WideCharToMultiByte, LCMapStringW, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, GetStartupInfoA, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, LoadLibraryA, GetConsoleCP > USER32.dll: UnregisterClassA, CharNextW, MessageBoxW > ADVAPI32.dll: RegOpenKeyExW, RegQueryInfoKeyW, RegCloseKey, RegDeleteKeyW, RegDeleteValueW, RegCreateKeyExW, RegSetValueExW, RegEnumKeyExW, RegQueryValueExW > ole32.dll: CoTaskMemRealloc, CreateStreamOnHGlobal, CoTaskMemFree, CoTaskMemAlloc, StringFromGUID2, CoCreateInstance > OLEAUT32.dll: -, -, -, -, -, -, -, -, -, - > SHLWAPI.dll: StrToIntW ( 4 exports ) DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=8FDB89EA005F549D60A6039BD15D8E005C6AD927 ----------------------------------------------------------------------------------------------- zu4. Log von Combofix --------------------- ComboFix 08-05-24.1 - Michael 2008-05-25 18:30:34.2 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.830 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Michael\Desktop\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\Michael\Desktop\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] FILE :: C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Temp\Fadpu16E.sys C:\WINDOWS\atfxqogp.dll C:\WINDOWS\boqnrwdmtwm.dll C:\WINDOWS\enrx.exe C:\WINDOWS\vltdfabw.dll C:\WINDOWS\vregfwlx.dll C:\WINDOWS\xmpstean.exe . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\TmpRecentIcons C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\TmpRecentIcons\Ad-Aware.lnk C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\TmpRecentIcons\Ad-Watch.lnk C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\TmpRecentIcons\Frozen Throne.lnk C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\TmpRecentIcons\Spybot - Search & Destroy.lnk C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\TmpRecentIcons\TeamSpeak.lnk C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\TmpRecentIcons\Warcraft III.lnk C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\TmpRecentIcons\World of arcraft.lnk C:\WINDOWS\atfxqogp.dll C:\WINDOWS\enrx.exe C:\WINDOWS\vltdfabw.dll C:\WINDOWS\vregfwlx.dll C:\WINDOWS\xmpstean.exe . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_FADPU16E -------\Service_Fadpu16E ((((((((((((((((((((((( Dateien erstellt von 2008-04-25 bis 2008-05-25 )))))))))))))))))))))))))))))) . 2008-05-25 12:52 . 2007-12-10 13:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys 2008-05-25 12:52 . 2007-12-10 13:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys 2008-05-25 12:52 . 2008-02-01 11:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys 2008-05-25 12:52 . 2007-12-10 13:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys 2008-05-25 12:51 . 2008-05-25 18:37 <DIR> d-------- C:\Programme\Spyware Doctor 2008-05-25 12:51 . 2008-05-25 12:51 <DIR> d-------- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\PC Tools 2008-05-25 09:02 . 2008-05-25 09:02 <DIR> d-------- C:\Programme\Yahoo! 2008-05-25 09:02 . 2008-05-25 09:02 <DIR> d-------- C:\Programme\CCleaner 2008-05-24 19:47 . 2008-05-24 20:01 <DIR> d-------- C:\Programme\CleanUp! 2008-05-24 19:33 . 2008-05-24 19:33 <DIR> d-------- C:\Programme\Trend Micro 2008-05-24 18:27 . 2008-05-24 18:41 <DIR> d-------- C:\Programme\a-squared Free 2008-05-24 17:25 . 2008-05-24 17:25 <VERBINDUNG> d-------l C:\Neuer Ordner (2) 2008-05-24 17:25 . 2008-05-24 17:25 <DIR> d-------- C:\Neuer Ordner (3) 2008-05-24 17:25 . 2008-05-24 17:25 <DIR> d-------- C:\Neuer Ordner 2008-05-24 16:57 . 2008-05-24 17:18 <DIR> d-------- C:\WINDOWS\system32\NtmsData 2008-05-24 15:09 . 2008-05-24 15:09 <DIR> d-------- C:\Programme\Lavasoft 2008-05-24 15:08 . 2008-05-24 15:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-05-24 14:51 . 2008-05-24 14:51 <DIR> d-------- C:\Programme\Spybot - Search & Destroy 2008-05-24 14:51 . 2008-05-24 15:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-05-17 18:50 . 2008-05-17 18:50 <DIR> d-------- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\vlc 2008-05-17 18:40 . 2008-05-17 18:40 <DIR> d-------- C:\Programme\VideoLAN 2008-05-16 11:58 . 2008-05-16 11:58 12,632 --a------ C:\WINDOWS\system32\lsdelete.exe 2008-04-29 11:20 . 2008-04-29 11:20 15,648 --a------ C:\WINDOWS\system32\drivers\NSDriver.sys 2008-04-29 11:19 . 2008-04-29 11:19 15,648 --a------ C:\WINDOWS\system32\drivers\Awrtrd.sys 2008-04-29 11:19 . 2008-04-29 11:19 12,960 --a------ C:\WINDOWS\system32\drivers\Awrtpd.sys 2008-04-27 23:04 . 2008-04-27 23:05 30 --a------ C:\WINDOWS\batch.bat 2008-04-27 22:29 . 2008-04-27 22:32 <DIR> d-------- C:\WINDOWS\Lhsp 2008-04-27 22:28 . 2008-04-27 22:28 <DIR> d-------- C:\WINDOWS\speech . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-05-25 16:38 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-05-24 15:56 --------- d-----w C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\teamspeak2 2008-05-24 13:04 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-05-12 12:56 --------- d-----w C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Azureus 2008-04-12 11:42 --------- d-----w C:\Programme\Octoshape Streaming Services 2008-04-12 11:41 --------- d-----w C:\Programme\Java 2008-04-12 11:39 --------- d-----w C:\Programme\Gemeinsame Dateien\Java 2008-04-01 17:17 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-03-31 12:37 --------- d-----w C:\Programme\Pinnacle 2008-03-31 12:37 --------- d-----w C:\Programme\Gemeinsame Dateien\Fellowes 2008-03-02 17:53 2,829 ----a-w C:\WINDOWS\War3Unin.pif 2008-03-02 17:53 139,264 ----a-w C:\WINDOWS\War3Unin.exe . ((((((((((((((((((((((((((((( snapshot@2008-05-25_12.41.54,15 ))))))))))))))))))))))))))))))))))))))))) . - 2008-05-25 10:33:06 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-05-25 16:37:51 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2005-10-20 18:02:28 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE - 2008-04-06 09:54:11 76,898 ----a-w C:\WINDOWS\system32\perfc007.dat + 2008-05-25 10:53:08 76,898 ----a-w C:\WINDOWS\system32\perfc007.dat - 2008-04-06 09:54:11 63,470 ----a-w C:\WINDOWS\system32\perfc009.dat + 2008-05-25 10:53:08 63,470 ----a-w C:\WINDOWS\system32\perfc009.dat - 2008-04-06 09:54:11 421,272 ----a-w C:\WINDOWS\system32\perfh007.dat + 2008-05-25 10:53:08 421,272 ----a-w C:\WINDOWS\system32\perfh007.dat - 2008-04-06 09:54:11 405,888 ----a-w C:\WINDOWS\system32\perfh009.dat + 2008-05-25 10:53:08 405,888 ----a-w C:\WINDOWS\system32\perfh009.dat . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ISTray"="C:\Programme\Spyware Doctor\pctsTray.exe" [2008-04-10 15:14 1107848] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.I420"= vdrcodec.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] --a------ 2004-08-04 09:57 15360 C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "D:\\CoD 2\\CoD2MP_s.exe"= "C:\\Programme\\ICQLite\\ICQLite.exe"= "D:\\World of Warcraft 1-\\Repair.exe"= "C:\\Programme\\Azureus\\Azureus.exe"= "D:\\World of Warcraft 1-\\BackgroundDownloader.exe"= "C:\\Programme\\Internet Explorer\\iexplore.exe"= "C:\\Programme\\Octoshape Streaming Services\\Michael\\OctoshapeClient.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3724:TCP"= 3724:TCP:Blizzard Downloader: 3724 R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\DRIVERS\avgntmgr.sys [2008-04-27 17:53] R0 VOBID;VOBID;C:\WINDOWS\system32\DRIVERS\vobid.sys [2003-02-20 11:42] R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-27 17:53] R1 vobcom;vobcom;C:\WINDOWS\system32\drivers\vobcom.sys [2001-10-04 11:53] R1 vobiw;vobiw;C:\WINDOWS\system32\drivers\vobiw.sys [2003-03-21 17:09] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 09:58] R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2002-07-29 14:14] R3 Cdrdrv;Cdrdrv;C:\WINDOWS\system32\Drivers\Cdrdrv.sys [2002-12-13 17:33] R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2002-07-29 14:15] S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2007-04-25 14:24] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Inhalt des "geplante Tasks" Ordners "2008-05-16 15:18:24 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUp Utilities 2008\OneClick.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-25 18:38:26 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\a-squared Free\a2service.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Spyware Doctor\pctsAuxs.exe C:\Programme\Spyware Doctor\pctsSvc.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-05-25 18:43:26 - machine was rebooted ComboFix-quarantined-files.txt 2008-05-25 16:43:01 ComboFix2.txt 2008-05-25 10:42:21 14 Verzeichnis(se), 50,334,126,080 Bytes frei 16 Verzeichnis(se), 50,261,245,952 Bytes frei 167 --- E O F --- 2008-05-17 14:35:40 ------------------------------------------------------------------------- zu5. Malwarebytes report -------------------------- Malwarebytes' Anti-Malware 1.12 Datenbank Version: 786 Scan Art: Komplett Scan (C:\|D:\|E:\|) Objekte gescannt: 89036 Scan Dauer: 1 hour(s), 38 minute(s), 54 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 2 Infizierte Registrierungswerte: 0 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\atfxqogp.bwvp (Trojan.FakeAlert) -> No action taken. HKEY_CLASSES_ROOT\atfxqogp.toolbar.1 (Trojan.FakeAlert) -> No action taken. Infizierte Registrierungswerte: (Keine Malware Objekte gefunden) Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: C:\QooBox\Quarantine\C\WINDOWS\vltdfabw.dll.vir (Trojan.Zlob) -> No action taken. C:\System Volume Information\_restore{9FA1B618-FB82-4D62-AD6B-D21EAB6A2B75}\RP120\A0075666.dll (Trojan.Zlob) -> No action taken. ----------------------------------------------------------------------------- zu 6. hijackthis -------------- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:33: VIRUS ALERT!, on 25.05.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\a-squared Free\a2service.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\alg.exe D:\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wscntfy.exe E:\Disc D\World of Warcraft 1-\Wow.exe E:\Disc D\ICQLite\ICQLite.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Windows Media Player\wmplayer.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Disc D\ICQLite\ICQLite.exe -trayboot O17 - HKLM\System\CCS\Services\Tcpip\..\{B1713780-48B6-461B-B43E-BA292929F9EA}: NameServer = 217.237.151.51 217.237.149.205 O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe -- End of file - 3137 bytes ich hoffe das is nicht zu kompliziert geworden ist .... |
|
|
|
|
|
|
25.05.2008, 23:01
Ehrenmitglied
Beiträge: 29434 |
#8
««
lade die dll bitte hier hoch + berichte sandbox.norman - Submit file http://www.norman.com/microsites/nsic/Submit/de C:\WINDOWS\system32\kcpp.dll oder hast du sie schon ins nirvana geschickt ? Ich finde sie nicht mehr... __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
26.05.2008, 14:50
...neu hier
Themenstarter Beiträge: 5 |
#9
ich hab die datei jetzt bei http://www.norman.com/microsites/nsic/Submit/de hochgeladen
|
|
|
|
|
|
|
26.05.2008, 15:09
Ehrenmitglied
Beiträge: 29434 |
#10
o.k. wenn du benachrichtigt wirst, poste hier den Bericht
+ wende datfind an + poste von den logs, die erscheinen jeweils die letzten 3 Monate (sind nach Datum geordnet) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
27.05.2008, 00:47
...neu hier
Beiträge: 8 |
#11
Hilfeeeeee...!!! ich hab auch nen Virus Alert... der steht sogar auf meiner taskleiste ich hab schon ales versucht den weg zubekommen nix hilft... omg des nerft böss also es sieht so aus ...:
ich kann nicht mehr in meine systemsteuerung. kann meinen destop nicht ändern. da der admin es deaktivirt hat... mein arbeitsplatz ist weg es ist einfach alles merkwürdig wie bekomm ich den weg hab hier dass aber was des bringt weis ich nicht... ich kenn mich mit pcs nicht so sonderlich super aus ... aber des hab ich anderen foren gelesen und hab den hijackthis auch mal benutzt da kamm dies raus falls was fehlt oda ich was falsch gemacht habe dann bitte sagen brauch unbedingt hilfe ich will mein pc nicht neuinstalieren.... Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:05: VIRUS ALERT!, on 27.05.2008 Platform: Windows XP SP3, v.3311 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.3311) Boot mode: Normal Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\csrss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\Ati2evxx.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\Programme\TGTSoft\StyleXP\StyleXPService.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe D:\WINDOWS\system32\PnkBstrA.exe D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe D:\WINDOWS\System32\alg.exe D:\Programme\Spyware Doctor\pctsAuxs.exe D:\Programme\Spyware Doctor\pctsSvc.exe D:\WINDOWS\system32\Ati2evxx.exe D:\WINDOWS\Explorer.EXE D:\Programme\Java\jre1.5.0\bin\jusched.exe D:\WINDOWS\RTHDCPL.EXE D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe D:\Programme\Spyware Doctor\pctsTray.exe D:\WINDOWS\system32\ctfmon.exe C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe D:\Programme\Messenger\msmsgs.exe D:\Programme\ICQ6\ICQ.exe D:\Programme\Pando Networks\Pando\Pando.exe D:\Programme\DNA\btdna.exe D:\Programme\DAEMON Tools Lite\daemon.exe d:\programme\avira\antivir personaledition classic\avcenter.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe D:\Programme\Mozilla Firefox\firefox.exe C:\Programme\TuneUp Utilities 2006\Integrator.exe C:\Programme\TuneUp Utilities 2006\DiskCleaner.exe D:\Programme\Trend Micro\HijackThis\HijackThis.exe D:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=66028 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=66028 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=66028 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=66028 R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - D:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: QXK Olive - {11B771F0-C8FD-426A-B537-F9AAE4059895} - D:\WINDOWS\boqnrwdmkrs.dll O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - D:\Programme\Windows Desktop Search\dsWebAllow.dll O2 - BHO: CInterceptor Object - {38D3FE60-3D53-4F37-BB0E-C7A97A26A156} - D:\Programme\Pando Networks\Pando\PandoIEPlugin.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\PROGRA~1\ICQTOO~1\toolbaru.dll O3 - Toolbar: atfxqogp - {C48F0939-992C-45C8-A9C2-B97A22D9B4BD} - D:\WINDOWS\atfxqogp.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0\bin\jusched.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NeroFilterCheck] D:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [ISTray] "D:\Programme\Spyware Doctor\pctsTray.exe" O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ICQ] "D:\Programme\ICQ6\ICQ.exe" silent O4 - HKCU\..\Run: [Pando] "D:\Programme\Pando Networks\Pando\Pando.exe" /Minimized O4 - HKCU\..\Run: [BitTorrent DNA] "D:\Programme\DNA\btdna.exe" O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O8 - Extra context menu item: Download Using &BitSpirit - D:\Programme\BitSpirit\bsurl.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O21 - SSODL: vltdfabw - {2B8DBACE-66C9-4AD0-8086-9598BD2F3D6B} - D:\WINDOWS\vltdfabw.dll O21 - SSODL: vregfwlx - {BAF31B6C-1E80-4E66-861B-5FA90421107F} - D:\WINDOWS\vregfwlx.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: NMIndexingService - Nero AG - D:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: PnkBstrA - Unknown owner - D:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - D:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - D:\Programme\Spyware Doctor\pctsSvc.exe O23 - Service: SolidWorks Licensing Service - SolidWorks - D:\Programme\Gemeinsame Dateien\SolidWorks Shared\Service\SolidWorksLicensing.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe O23 - Service: StyleXPService - Unknown owner - D:\Programme\TGTSoft\StyleXP\StyleXPService.exe O24 - Desktop Component 0: Privacy Protection - (no file) -- End of file - 8342 bytes MfG Witali ich würde mich sehr freuen wenn ihr mir hielft dankeeeeeeeee... ich würde euch ja gerne ein bild von meinem destop zeigen geht aber leider nicht so einfach kann nicht in paint 
|
|
|
|
|
|
|
27.05.2008, 01:00
Ehrenmitglied
Beiträge: 29434 |
#12
Hallo Witali,
« wende cleaner an und lösche die temporären Dateien http://www.ccleaner.de/?protecus.de «« mit dem HijackThis löschen ("fixen") Klicke: "Do a system scan only" Setze ein Häckchen in das Kästchen vor den genannten Eintrag der als zu "fixen" (löschen) empfohlen wurde) - keine anderen !! und wähle fix checked. + starte den Rechner neu. Zitat O2 - BHO: QXK Olive - {11B771F0-C8FD-426A-B537-F9AAE4059895} - D:\WINDOWS\boqnrwdmkrs.dllboote in den abgesicherten Modus «« gehe in die Registry Start - Ausführen - regedit HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer NoToolbarCustomize - Schlüssel löschen NoDrives - Schlüssel löschen NoStartMenuMorePrograms - Schlüssel löschen ----------------------------------------------------------------- « boote wieder in den normalmodus «« Öffne Texteditor - Unter Start/Ausführen den Befehl notepad eingeben, bestätigen,dann erscheint der Texteditor. Oder unter Start/Programme/Zubehör/Editor kopiere diesen Code rein: Zitat reg query "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" >RegQuery.txt« Speichere die Datei als fix.bat auf Desktop (abspeichern unter Dateityp "Alle Dateien") « Doppelklick auf die Datei fix.bat, dann wird eine RegQuery.txt Datei erstellt,den Inhalt posten -------------------------------------------- « wende datfind an + poste von den logs, die erscheinen jeweils die letzten 3 Monate (sind nach Datum geordnet) http://virus-protect.org/datfindbat.html « wende rvaxo an + poste den report http://virus-protect.org/artikel/tools/rvaxo.html «« http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) VIRUS ALERT! in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn «« wende Combofix an / Warnmeldung wegklicken - + poste den report HIER http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
27.05.2008, 01:33
...neu hier
Beiträge: 8 |
#13
wie lösch ich den schlüssel im registrirungs-editor?
einfach auf NoToolbarCustomize und rechtsklcik löschen? |
|
|
|
|
|
|
27.05.2008, 10:20
Ehrenmitglied
Beiträge: 29434 |
#14
Zitat wie lösch ich den schlüssel im registrirungs-editor?ja, so macht man es  __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
27.05.2008, 15:52
...neu hier
Beiträge: 8 |
||
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:40: VIRUS ALERT!, on 24.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\cmd.exe
c:\programme\a-squared free\a2free.exe
C:\Programme\a-squared Free\a2service.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\cmd.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: QXK Olive - {FCE2B5F9-602F-4637-939D-004B97512F9E} - C:\WINDOWS\boqnrwdmtwm.dll
O3 - Toolbar: atfxqogp - {42F72442-2DD5-4B32-8A09-D2276C4EB3B9} - C:\WINDOWS\atfxqogp.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [IW_ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [VOBID] C:\Programme\Pinnacle\InstantCDDVD\\InstantDrive\InstantDrive.exe /remount
O4 - HKLM\..\Run: [TuneUp Utilities 2008.exe] C:\DOKUME~1\Michael\LOKALE~1\Temp\TuneUp Utilities 2008.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1201543101248
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B1713780-48B6-461B-B43E-BA292929F9EA}: NameServer = 217.237.151.51 217.237.149.205
O21 - SSODL: vregfwlx - {6832D056-7EC4-442D-AA3D-C5D0A9D86E8B} - C:\WINDOWS\vregfwlx.dll
O21 - SSODL: vltdfabw - {7983523D-A0FD-4378-B1A6-94AA3500A39C} - C:\WINDOWS\vltdfabw.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe