"hacked by" in der Titelleiste |
||
---|---|---|
#0
| ||
27.05.2008, 10:21
...neu hier
Beiträge: 7 |
||
|
||
27.05.2008, 10:46
Moderator
Beiträge: 5694 |
||
|
||
27.05.2008, 11:11
Ehrenmitglied
Beiträge: 29434 |
#3
Hallo heath
diese Seite ist nur ein Beispiel, ich brauche also von dir: das Log von HijackThis und von Combofix http://virus-protect.org/artikel/spyware/vbs-remove.html dann beginnt die Reinigung __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.05.2008, 17:09
...neu hier
Beiträge: 6 |
#4
Hallihallo Sabina,
also dann versuche ich, über das Forum Hilfe zu bekommen. Ist ja übrigens verständlich...! Also: ... ich schicke mal das, was mir "Hijackthis" als Logfile "ausgespuckt" hat. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:33:02, on 28.05.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\htpatch.exe C:\Programme\Medion\PowerVCR II\Agent.exe C:\WINDOWS\SOUNDMAN.EXE C:\PROGRA~1\ACDSYS~1\ACDSee\CAMDET~1.EXE C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\Oplmsb01.exe C:\Programme\Napster\napster.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe C:\Programme\TextBridge Classic 2.0\Ereg\REMIND32.EXE C:\WINDOWS\twain_32\CIS600X\WATCH.exe C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtWLan.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\DOKUME~1\Silja\LOKALE~1\Temp\Rar$EX03.938\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by SILJAHOFEMEIER O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerVCR II\Agent.exe O4 - HKLM\..\Run: [Remote_Agent] C:\Programme\Medion\PowerVCR II\RemoteAgent.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\ACDSee\CAMDET~1.EXE O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [LanguageMonitor] C:\WINDOWS\system32\Oplmsb01.exe OKI B4100 O4 - HKLM\..\Run: [NapsterShell] C:\Programme\Napster\napster.exe /systray O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [SILJAHOFEMEIER] C:\WINDOWS\SYSTEM32\SILJAHOFEMEIER.vbs O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Duden Korrektor 3.5] C:\Programme\Duden\Duden Korrektor\DK3Tray.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [SRUUninstall] "C:\WINDOWS\System32\msiexec.exe" /L*v C:\WINDOWS\TEMP\SND532unin.txt /x {6AF90EF6-F7F9-466C-99F4-1774826FBB40} /qn REBOOT=ReallySuppress (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [SRUUninstall] "C:\WINDOWS\System32\msiexec.exe" /L*v C:\WINDOWS\TEMP\SND532unin.txt /x {6AF90EF6-F7F9-466C-99F4-1774826FBB40} /qn REBOOT=ReallySuppress (User 'Default user') O4 - Startup: reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\TextBridge Classic 2.0\Ereg\REMIND32.EXE O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\CIS600X\WATCH.exe O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ? O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {DCFEB786-C45F-4CB4-8F6B-09456B3A89BA} - http://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.karstadt.de/ O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.stardialer.de/StarInstall.ocx O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?315 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe -- End of file - 7998 bytes Tja, und meine USB-Sticks sind dann wohl auch infiziert, oder? Oder hab ich da die Funktionsweise von diesem Virus oder was das ist nicht richtig verstanden?! |
|
|
||
28.05.2008, 21:47
Ehrenmitglied
Beiträge: 29434 |
#5
Hallo Sil
mit dem HijackThis löschen ("fixen") Klicke: "Do a system scan only" Setze ein Häckchen in das Kästchen vor den genannten Eintrag der als zu "fixen" (löschen) empfohlen wurde) - keine anderen !! und wähle fix checked. + starte den Rechner neu. Zitat R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by SILJAHOFEMEIER«« lade von dieser seite antivbs.zip und anwenden http://virus-protect.org/artikel/spyware/vbs-remove.html «« wende Cleaner an + lösche die temporären-Dateien http://www.ccleaner.de/?protecus.de «« wende bitte Combofix an + poste den report http://virus-protect.org/artikel/tools/combofix.html ------------- __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
29.05.2008, 11:25
...neu hier
Themenstarter Beiträge: 7 |
#6
Zitat Sabina posteteso, hier mal der hijackthis log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:24:33, on 29.05.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\Programme\ScanSoft\PaperPort\pptd40nt.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe C:\Programme\EpsonNet\common\bin\ensrvmgr.exe C:\xampp\mysql\bin\mysqld-nt.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\system32\HPZipm12.exe C:\Programme\EpsonNet\EpsonNet SOAP Server\bin\emsoaprr.exe C:\Programme\EpsonNet\EpsonNet Web Pages Service\bin\ewpsrr.exe C:\WINDOWS\system32\svchost.exe C:\Programme\EpsonNet\common\bin\emalmmon.exe C:\Programme\EpsonNet\EpsonNet Information Center\bin\emntfsrv.exe C:\Programme\EpsonNet\EpsonNet HTTP Server\bin\apache.exe C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe C:\Programme\RealVNC\VNC4\WinVNC4.exe c:\APPS\Powercinema\Kernel\TV\CLSched.exe C:\Programme\EpsonNet\EpsonNet HTTP Server\bin\apache.exe C:\Programme\MSN Messenger\usnsvc.exe C:\Programme\Mozilla Thunderbird\thunderbird.exe C:\Dokumente und Einstellungen\KraatzWeb\Eigene Dateien\BritneyFinalEdition\mirc.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Internet Explorer\IEXPLORE.EXE c:\programme\gemeinsame dateien\installshield\updateservice\isuspm.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\agent.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by KRAATZ-WEB O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - Global Startup: EPSON Status Monitor 3 Environment Check(2).lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O16 - DPF: {9C134253-E8A3-4759-9F98-302B7981922E} (MaxViewer Class) - http://support.scansoft.com/pp/files/np_max_de.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{9A43161D-6751-48F9-9223-0B53BBC1C03C}: NameServer = 192.168.2.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{9A43161D-6751-48F9-9223-0B53BBC1C03C}: NameServer = 192.168.2.1 O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe O23 - Service: EpsonBidirectionalService - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe O23 - Service: EpsonNet Primitive Service (EpsonNet_Primitive_Service) - Unknown owner - C:\Programme\EpsonNet\common\bin\ensrvmgr.exe O23 - Service: MySQL - Unknown owner - C:\xampp\mysql\bin\mysqld-nt.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: USBDeviceService - Unknown owner - C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programme\RealVNC\VNC4\WinVNC4.exe -- End of file - 6730 bytes |
|
|
||
29.05.2008, 11:33
Ehrenmitglied
Beiträge: 29434 |
#7
Hallo heath
mit dem HijackThis löschen ("fixen") Klicke: "Do a system scan only" Setze ein Häckchen in das Kästchen vor den genannten Eintrag der als zu "fixen" (löschen) empfohlen wurde) - keine anderen !! und wähle fix checked. + starte den Rechner neu. Zitat R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by KRAATZ-WEBlade von dieser seite antivbs.zip und anwenden http://virus-protect.org/artikel/spyware/vbs-remove.html «« wende Cleaner an + lösche die temporären-Dateien http://www.ccleaner.de/?protecus.de «« wende bitte Combofix an + poste den report http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
29.05.2008, 12:31
...neu hier
Themenstarter Beiträge: 7 |
#8
joa, soweit so gut, titelleiste ist wieder normal
hier noch der log von combofix: ComboFix 08-05-28.4 - KraatzWeb 2008-05-29 12:01:20.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.123 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\KraatzWeb\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_NWSAPAGENT -------\Service_NwSapAgent ((((((((((((((((((((((( Dateien erstellt von 2008-04-28 bis 2008-05-29 )))))))))))))))))))))))))))))) . 2309-02-25 19:00 . 2309-02-25 19:00 3,120 --a------ C:\WINDOWS\MF_C421.lfa 2309-02-25 19:00 . 2309-02-25 19:00 3,120 --a------ C:\WINDOWS\MF_C420.lfa 2008-05-29 11:23 . 2008-05-29 11:23 <DIR> d-------- C:\Programme\Trend Micro 2008-05-06 16:07 . 2008-05-06 16:08 <DIR> d-------- C:\Programme\SimpleOCR 2008-05-06 16:07 . 2008-05-06 16:16 364 --a------ C:\WINDOWS\SoftWriting.ini 2008-04-30 14:30 . 2008-04-30 14:30 <DIR> d-------- C:\Programme\Avira . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-05-29 09:44 --------- d-----w C:\Programme\Mozilla Thunderbird 2008-05-22 08:41 --------- d-----w C:\Programme\PDFCreator 2008-04-30 12:30 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-04-30 12:06 --------- d-----w C:\Programme\ParentsFriend8 2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll 2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll 2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys 2007-02-20 11:12 23,336 ----a-w C:\Dokumente und Einstellungen\KraatzWeb\Anwendungsdaten\GDIPFONTCACHEV1.DAT . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 12:55 5674352] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_04\bin\jusched.exe" [2005-06-03 10:52 36975] "ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 23:50 221184] "ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-07-27 23:50 81920] "SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 11:22 155648] "PaperPort PTD"="C:\Programme\ScanSoft\PaperPort\pptd40nt.exe" [2004-03-09 16:54 57393] "IndexSearch"="C:\Programme\ScanSoft\PaperPort\IndexSearch.exe" [2004-03-09 17:15 40960] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EmailChecker] --a------ 2003-07-02 18:13 40960 C:\APPS\EmailChecker\ech.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] --------- 2004-10-14 01:24 1694208 C:\Programme\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService] --------- 2006-02-23 19:08 147456 c:\APPS\Powercinema\PCMService.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background "MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.Exe" /background [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "RTHDCPL"=RTHDCPL.EXE "DetectorApp"=C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe "ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" "Vade Retro Outlook Express"="C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe" "ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" -minimize "NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe "ControlCenter2.0"=C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe"= "C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe"= "C:\\APPS\\AOL 9.0\\waol.exe"= "C:\\APPS\\Powercinema\\PowerCinema.exe"= "C:\\APPS\\Powercinema\\PCMService.exe"= "C:\\xampp\\apache\\bin\\Apache.exe"= "C:\\Programme\\ICQLite\\ICQLite.exe"= "C:\\Dokumente und Einstellungen\\KraatzWeb\\Eigene Dateien\\BritneyFinalEdition\\mirc.exe"= "C:\\Programme\\Internet Explorer\\IEXPLORE.EXE"= "C:\\Programme\\EpsonNet\\EpsonNet Config V1\\EpsonNet Config.exe"= "C:\\Programme\\EpsonNet\\EpsonNet SetupManager\\IMANAGER.exe"= "C:\\Programme\\MSN Messenger\\msnmsgr.exe"= "C:\\Programme\\MSN Messenger\\livecall.exe"= "C:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "135:TCP"= 135:TCP:TCP Port 135 "5000:TCP"= 5000:TCP:TCP Port 5000 "5001:TCP"= 5001:TCP:TCP Port 5001 "5002:TCP"= 5002:TCP:TCP Port 5002 "5003:TCP"= 5003:TCP:TCP Port 5003 "5004:TCP"= 5004:TCP:TCP Port 5004 "5005:TCP"= 5005:TCP:TCP Port 5005 "5006:TCP"= 5006:TCP:TCP Port 5006 "5007:TCP"= 5007:TCP:TCP Port 5007 "5008:TCP"= 5008:TCP:TCP Port 5008 "5009:TCP"= 5009:TCP:TCP Port 5009 "5010:TCP"= 5010:TCP:TCP Port 5010 "5011:TCP"= 5011:TCP:TCP Port 5011 "5012:TCP"= 5012:TCP:TCP Port 5012 "5013:TCP"= 5013:TCP:TCP Port 5013 "5014:TCP"= 5014:TCP:TCP Port 5014 "5015:TCP"= 5015:TCP:TCP Port 5015 "5016:TCP"= 5016:TCP:TCP Port 5016 "5017:TCP"= 5017:TCP:TCP Port 5017 "5018:TCP"= 5018:TCP:TCP Port 5018 "5019:TCP"= 5019:TCP:TCP Port 5019 "5020:TCP"= 5020:TCP:TCP Port 5020 R2 EpsonNet_Primitive_Service;EpsonNet Primitive Service;C:\Programme\EpsonNet\common\bin\ensrvmgr.exe [2004-02-09 10:16] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8259b6e9-9d87-11db-843a-00038a000015}] \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe KRAATZ-WEB.vbs . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-29 12:11:46 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MySQL] "ImagePath"="C:\xampp\mysql\bin\mysqld-nt MySQL" . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\system32\ati2evxx.exe C:\WINDOWS\system32\ati2evxx.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSvc.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe C:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe C:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe C:\xampp\mysql\bin\mysqld-nt.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\system32\HPZipm12.exe C:\Programme\EpsonNet\EpsonNet SOAP Server\bin\emsoaprr.exe C:\Programme\EpsonNet\EpsonNet Web Pages Service\bin\ewpsrr.exe C:\Programme\EpsonNet\common\bin\emalmmon.exe C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe C:\Programme\RealVNC\VNC4\winvnc4.exe C:\Programme\EpsonNet\EpsonNet Information Center\bin\emntfsrv.exe C:\Programme\EpsonNet\EpsonNet HTTP Server\bin\Apache.exe C:\APPS\Powercinema\Kernel\TV\CLSched.exe C:\Programme\EpsonNet\EpsonNet HTTP Server\bin\Apache.exe C:\Programme\MSN Messenger\usnsvc.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-05-29 12:20:49 - machine was rebooted ComboFix-quarantined-files.txt 2008-05-29 10:20:42 14 Verzeichnis(se), 100,022,206,464 Bytes frei 17 Verzeichnis(se), 100,409,368,576 Bytes frei 156 --- E O F --- 2008-05-29 07:49:34 |
|
|
||
29.05.2008, 12:37
Ehrenmitglied
Beiträge: 29434 |
#9
Hallo heath
der Virus kam mit einem verseuchten USB-Stick. wende ihn nicht mehr an, oder formatiere ihn und mache die ganze Reinigung noch mal von Beginn Stick formatieren: * Die einfachste Methode benutzt das Kontextmenü des Windows Explorers: USB-Stick (Wechseldatenträger) markieren, rechte Maustaste drücken, "Formatieren" wählen. (Vollständig) wende Flash_Disinfector an - der Stick muss eingestöpselt sein - infizierten Stick mit FlashDis. "behandeln" http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe --------------------------------------------------------------------------------- «« Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern Zitat Registry::Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden. cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen danach: Combofix noch einmal anwenden PC neustarten ------------------------------------- scanne mit dr.web im abgesicherten Modus http://virus-protect.org/cureit.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
29.05.2008, 12:49
...neu hier
Themenstarter Beiträge: 7 |
||
|
||
29.05.2008, 12:59
Ehrenmitglied
Beiträge: 29434 |
#11
du musst es unter desktop abspeichern, dann erscheint die txt-Datei auch
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
29.05.2008, 13:04
...neu hier
Themenstarter Beiträge: 7 |
#12
also die log datei die er mir ausgibt aufn desktop speichern?
|
|
|
||
29.05.2008, 13:06
Ehrenmitglied
Beiträge: 29434 |
#13
ja, so ungefähr hatte ich es geschrieben
«« Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden. cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen danach: Combofix noch einmal anwenden PC neustarten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
29.05.2008, 14:00
...neu hier
Themenstarter Beiträge: 7 |
||
|
||
29.05.2008, 15:19
Ehrenmitglied
Beiträge: 29434 |
#15
hast du combofix noch mal angewendet (nach rüberziehen vom Script) ?
dann scanne nun mit dr. web im abgesicherten Modus http://virus-protect.org/cureit.html dann sollte wieder alles i.o. sein... und den USB-Stick nicht mehr verwenden ! (oder formatieren + die ganze Reinigung noch mal machen) ...siehe, was ich weiter oben geschrieben habe __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
ich hab son seltsames phänomen ^^
und zwar hab ich seit kurzen in der Titelleiste im IE, wo sonst Microsoft internet explorer steht, steht dann Hacked by ... (Computername)
also z.b. wie hier sollte es ja so aussehen:
Security Forum - Microsoft Internet Explorer
steht aber:
Security Forum - Hacked by (Computername)
weiß jemand was das is und wie ichs wieder wegkrieg ????
gruß heath
p.s. hoffe ich habs so halbwegs verständlich erklärt