Spyware detected on your computerThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
12.06.2008, 16:58
...neu hier
Beiträge: 8 |
||
|
||
12.06.2008, 17:20
Moderator
Beiträge: 5694 |
#32
Hallo leila83
Hier eine bebilderte Anleitung dazu : http://www.windowspage.de/gemeinsame/desktop/anzeige/nodispbackgroundpage.html Zitat Falls dieser Schlüssel noch nicht existiert, dann müssen Sie ihn erstellen. Dazu klicken Sie mit der rechten Maustaste in das rechte Fenster. Im Kontextmenü wählen Sie "Neu" > "DWORD-Wert". Geben Sie nun den Namen "NoDispBackgroundPage" ein.Gruss Swiss |
|
|
||
12.06.2008, 19:52
...neu hier
Beiträge: 8 |
#33
VIELEN DANK!!! IHR SEID GENIES!!! :-**
|
|
|
||
12.06.2008, 20:03
Moderator
Beiträge: 5694 |
||
|
||
05.07.2008, 20:16
...neu hier
Beiträge: 10 |
#35
Hallo ! Ich habe ein ähnliches Problem und komme einfach nicht mehr weiter.
Bei mir erschein ein blauer Bildschirm mit gelben Fenster "Warning Spyware detected on your computer Install an Antivirus or spyware remover to clean your computer. Außerdem öffnen sich hier ganz viele Fenster. Habe schon ein bischen selber rumgetrickst aber das half nichts. Smitfraudfix lässt sich auf die Registry datei nicht anwenden, da kommt die melder der Administrator verweigert die Änderung der Registrierung. Ich habe jetz mal dieses HiJack ausgeführt unten seht ihr das Ergebnis. Hoffentlich hilft mir jemand: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:07:18, on 05.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\drivers\services.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\AGRSMMSG.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Launch Manager\LaunchAp.exe C:\Programme\Launch Manager\HotkeyApp.exe C:\Programme\Launch Manager\OSD.exe C:\Programme\Launch Manager\Wbutton.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe C:\Programme\Office Keyboard Driver\PS2USBKbdDrv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\mrofinu2000352.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\DOKUME~1\Manuel\LOKALE~1\Temp\csrssc.exe C:\Programme\Rainlendar2\Rainlendar2.exe C:\Programme\Windows Media Player\WMPNSCFG.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\Programme\Stardock\ObjectDock\ObjectDock.exe C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\RWTH Aachen\Cisco VPN Client\cvpnd.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe C:\WINDOWS\system32\msiexec.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/ F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\services.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe" O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [WireLessKeyboard] C:\Programme\Office Keyboard Driver\StartAutorun.exe PS2USBKbdDrv.exe O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKLM\..\Run: [jdgf894jrghoiiskd] C:\DOKUME~1\Manuel\LOKALE~1\Temp\winlogan.exe O4 - HKLM\..\Run: [autoload] C:\Dokumente und Einstellungen\LocalService\Local Settings\Application Data\cftmon.exe O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe O4 - HKLM\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe O4 - HKLM\..\Run: [winlogon] C:\Dokumente und Einstellungen\Manuel\svchost.exe O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu2000352.exe 61A847B5BBF72810329B385577FB01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310 O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [jdgf894jrghoiiskd] C:\DOKUME~1\Manuel\LOKALE~1\Temp\winlogan.exe O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe O4 - HKCU\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe O4 - HKCU\..\Run: [winlogon] C:\Dokumente und Einstellungen\Manuel\svchost.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Jnskdfmf9eldfd] C:\DOKUME~1\Manuel\LOKALE~1\Temp\csrssc.exe O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\Run: [autoload] C:\Dokumente und Einstellungen\LocalService\Local Settings\Application Data\cftmon.exe (User 'Default user') O4 - HKUS\.DEFAULT\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe (User 'Default user') O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe O4 - Startup: userinit.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: RWTH Aachen Cisco VPN Client.lnk = C:\Programme\RWTH Aachen\Cisco VPN Client\vpngui.exe O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {3D58ADF1-2986-4B11-AA79-6D427F004F08} - http://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111000070881 O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.new2.foto.com/ImageUploader4.cab O18 - Protocol: ecowin - {6152AF4B-A2CE-4A83-A305-E2139D12F3E0} - "C:\Programme\Gemeinsame Dateien\Vinga System\EWDBI2.dll" (file missing) O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O22 - SharedTaskScheduler: jhsf8d984jief8dsfus98jkefn - {C5AF49A2-94F3-42BD-F434-2604812C897D} - C:\WINDOWS\system32\jfiehayd.dll O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\RWTH Aachen\Cisco VPN Client\cvpnd.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: Taskplaner (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 10971 bytes |
|
|
||
05.07.2008, 21:50
Ehrenmitglied
Beiträge: 29434 |
#36
mod85
«« deaktiviere kurzzeitig: C:\Programme\Spybot - Search & Destroy\TeaTimer.exe «« wende cleaner an + lösche die temp-Dateien http://www.ccleaner.de/?protecus.de «« http://virus-protect.org/artikel/tools/otmoveIt.html Download OTMoveIt zum Desktop OTMoveIt öffne: OTMoveIt.exe OTMoveIt Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move Zitat C:\WINDOWS\mrofinu2000352.exeKlicke auf den Roten MoveIt! ------------------------------------------------------------- «« mit dem HijackThis löschen ("fixen") Klicke: "Do a system scan only" Setze ein Häckchen in das Kästchen vor den genannten Eintrag und wähle fix checked. + starte den Rechner neu. Zitat F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\services.exePC neustarten «« wende Combofix an, klicke die Warnmeldung weg + poste den report http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.07.2008, 11:34
...neu hier
Beiträge: 10 |
#37
Wow das ging ja fix, schon mal vielen Dank. Nach allen Schritten ist nun noch ein blauerHintergrund übrig ohne diese Warnmeldung. Hier der Bericht:
ComboFix 08-07-05.1 - Manuel 2008-07-06 11:20:08.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.98 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Manuel\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\userinit.exe C:\Dokumente und Einstellungen\All Users\Desktop\AntiSpywareBot.lnk C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\AntiSpywareBot C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\AntiSpywareBot\AntispywareBot on the Web.lnk C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\AntiSpywareBot\AntispywareBot.lnk C:\Dokumente und Einstellungen\LocalService\ftpdll.dll C:\Dokumente und Einstellungen\Manuel\Anwendungsdaten\AntispywareBot C:\Dokumente und Einstellungen\Manuel\Anwendungsdaten\AntispywareBot\Log\2008 Jul 05 - 07_58_44 PM_297.log C:\Dokumente und Einstellungen\Manuel\Anwendungsdaten\install.dat C:\Dokumente und Einstellungen\Manuel\ftpdll.dll C:\Dokumente und Einstellungen\Manuel\Startmenü\Programme\Autostart\userinit.exe C:\Programme\AntiSpywareBot C:\Programme\AntiSpywareBot\AntispywareBot.url C:\Programme\AntiSpywareBot\DataBase.ref C:\Programme\AntiSpywareBot\Difxapi.dll C:\Programme\AntiSpywareBot\FilterDrv\AntispywareBot.amd64.sys C:\Programme\AntiSpywareBot\FilterDrv\AntispywareBot.cat C:\Programme\AntiSpywareBot\FilterDrv\AntispywareBot.inf C:\Programme\AntiSpywareBot\FilterDrv\AntispywareBot.x86.sys C:\Programme\AntiSpywareBot\SpyCleaner.dll C:\Programme\AntiSpywareBot\TCL.dll C:\Programme\AntiSpywareBot\vistaCPtasks.xml C:\Programme\AntiSpywareBot\zlib.dll C:\WINDOWS\mrofinu2000352.exe.tmp C:\WINDOWS\msserv.config C:\WINDOWS\msserv.exe C:\WINDOWS\system32\734914 C:\WINDOWS\system32\734914\734914.dll C:\WINDOWS\system32\blphcjhcj0ec89.scr C:\WINDOWS\system32\config\43147582.Evt C:\WINDOWS\system32\dflgh8jkd2q1.exe C:\WINDOWS\system32\dflgh8jkd2q2.exe C:\WINDOWS\system32\dflgh8jkd2q5.exe C:\WINDOWS\system32\dflgh8jkd2q6.exe C:\WINDOWS\system32\dflgh8jkd2q7.exe C:\WINDOWS\system32\drivers\pya41.sys C:\WINDOWS\system32\explorer.dll C:\WINDOWS\system32\fjgtloqf.dll C:\WINDOWS\system32\fqoltgjf.ini C:\WINDOWS\system32\ftpdll.dll C:\WINDOWS\system32\igfxhk.dll C:\WINDOWS\system32\khfcaby.dll C:\WINDOWS\system32\lphcjhcj0ec89.exe C:\WINDOWS\system32\maxpaynow1.exe C:\WINDOWS\system32\maxpaynowti1.exe C:\WINDOWS\system32\mssrv32.exe C:\WINDOWS\system32\phcjhcj0ec89.bmp C:\WINDOWS\system32\qqtss.ini C:\WINDOWS\system32\qqtss.ini2 C:\WINDOWS\system32\sstqq.dll C:\WINDOWS\system32\tuvwtsp.dll C:\WINDOWS\system32\winds32.exe C:\WINDOWS\system32\winhoo32.dll C:\WINDOWS\system32\wvvwa.ini C:\WINDOWS\system32\wvvwa.ini2 . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_ASC3550P -------\Legacy_msupdate -------\Legacy_pya41 -------\Service_asc3550p -------\Service_pya41 ((((((((((((((((((((((( Dateien erstellt von 2008-06-06 bis 2008-07-06 )))))))))))))))))))))))))))))) . 2008-07-06 11:03 . 2008-07-06 11:03 <DIR> d-------- C:\_OTMoveIt 2008-07-05 20:06 . 2008-07-05 20:06 <DIR> d-------- C:\Programme\Trend Micro 2008-07-05 18:52 . 2008-07-05 18:52 <DIR> d-------- C:\Programme\CCleaner 2008-07-04 21:31 . 2005-03-16 19:22 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2008-07-04 21:31 . 2005-03-16 19:22 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2008-07-04 21:31 . 2005-03-16 23:41 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten 2008-07-04 21:31 . 2005-03-23 00:19 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien 2008-07-04 21:31 . 2005-03-16 19:22 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung 2008-07-04 21:31 . 2005-03-23 00:19 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Bluetooth Software 2008-07-04 21:31 . 2005-03-16 23:13 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\You've Got Pictures Screensaver 2008-07-04 21:31 . 2007-09-04 00:06 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AOL 2008-07-04 21:31 . 2005-03-16 23:13 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2008-07-04 21:30 . 2005-03-16 19:26 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2008-07-04 21:30 . 2005-03-16 21:00 <DIR> d---s---- C:\Dokumente und Einstellungen\Administrator\UserData 2008-07-04 21:30 . 2005-03-16 19:22 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen 2008-07-04 21:30 . 2008-07-04 22:37 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator 2008-07-04 21:23 . 2008-07-05 19:01 3,696 --a------ C:\WINDOWS\system32\tmp.reg 2008-07-04 21:21 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-07-04 21:21 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-07-04 21:21 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe 2008-07-04 21:21 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-07-04 21:21 . 2008-06-23 23:34 82,432 --a------ C:\WINDOWS\system32\IEDFix.C.exe 2008-07-04 21:21 . 2008-05-23 18:21 81,920 --a------ C:\WINDOWS\system32\404Fix.exe 2008-07-04 21:21 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-07-04 21:21 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-07-04 21:21 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2008-07-03 21:09 . 2008-07-03 21:09 30,208 --a------ C:\WINDOWS\system32\drivers\Jry32.sys 2008-07-03 21:00 . 2008-07-03 21:00 29 --a------ C:\WINDOWS\system32\sreiwpof.tmp 2008-07-03 20:59 . 2008-07-03 20:59 235,189 --a------ C:\d1.exe 2008-07-03 20:59 . 2008-07-03 20:59 5,120 --a------ C:\drvrfw.exe 2008-07-03 20:59 . 2008-07-03 20:59 2 --a------ C:\-797566696 2008-07-03 20:50 . 2008-07-06 11:28 65,970 --a------ C:\WINDOWS\system32\drivers\b9438b61.sys 2008-07-03 20:50 . 2008-07-03 20:50 46,592 --a------ C:\adgjig.exe 2008-07-03 20:50 . 2008-07-03 20:50 25,600 --a------ C:\WINDOWS\system32\winrge32.dll 2008-07-02 18:20 . 2008-07-02 18:20 <DIR> d-------- C:\Programme\SopCast 2008-07-02 18:15 . 2008-07-02 18:15 <DIR> d-------- C:\Dokumente und Einstellungen\Manuel\Anwendungsdaten\vlc 2008-07-02 18:13 . 2008-07-02 18:13 <DIR> d-------- C:\Programme\VideoLAN 2008-06-07 23:39 . 2008-07-03 23:00 312 --a------ C:\WINDOWS\wininit.ini 2008-06-07 18:32 . 2008-06-07 18:32 691,545 --a------ C:\WINDOWS\unins000.exe 2008-06-07 18:32 . 2008-06-07 18:32 2,555 --a------ C:\WINDOWS\unins000.dat . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-06 09:17 --------- d-----w C:\Dokumente und Einstellungen\Manuel\Anwendungsdaten\Skype 2008-07-06 08:55 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-07-03 21:11 --------- d-----w C:\Programme\Launch Manager 2008-07-03 18:42 --------- d-----w C:\Programme\eMule.de 0.48a v18 2008-06-14 17:57 273,024 ----a-w C:\WINDOWS\system32\drivers\bthport.sys 2008-06-07 16:34 --------- d-----w C:\Programme\Spybot - Search & Destroy 2008-05-17 11:23 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys 2007-10-12 15:58 68,736 ----a-w C:\Dokumente und Einstellungen\Manuel\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2007-04-16 15:53 4,608 ----a-w C:\Dokumente und Einstellungen\Manuel\explorer.dll 2007-04-16 15:53 23,552 ----a-w C:\Dokumente und Einstellungen\Manuel\ms_tcp.dll 2005-03-16 21:49 8 --sh--r C:\WINDOWS\system32\BBBA7A3527.sys 2005-03-16 21:49 4,704 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-09-06 19:41 68856] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.I420"= vdrcodec.dll "VIDC.MJPG"= Pvmjpg30.dll "VIDC.PIM1"= pclepim1.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\jry32.sys] @="Driver" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%ProgramFiles%\\Messenger\\msmsgs.exe"= "%ProgramFiles%\\AOL 9.0\\AOL.exe"= "%ProgramFiles%\\AOL 9.0\\WAOL.exe"= "%CommonProgramFiles%\\AOL\\ACS\\AOLACSD.exe"= "%CommonProgramFiles%\\AOL\\ACS\\AOLDIAL.exe"= "%WinDir%\\system32\\fxsclnt.exe"= "%ProgramFiles%\\CA\\eTrust Antivirus\\InocIT.exe"= "%ProgramFiles%\\CA\\eTrust Antivirus\\Realmon.exe"= "%ProgramFiles%\\CA\\eTrust Antivirus\\InoRpc.exe"= "%ProgramFiles%\\WIDCOMM\\Bluetooth Software\\BTTray.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\Home Cinema\\PowerCinema\\PowerCinema.exe"= "C:\\Programme\\Real\\RealPlayer\\realplay.exe"= "C:\\Programme\\eMule.de 0.48a v18\\emule.exe"= "C:\\Programme\\Pinnacle\\Studio 10\\programs\\RM.exe"= "C:\\Programme\\Pinnacle\\Studio 10\\programs\\Studio.exe"= "C:\\Programme\\Pinnacle\\Studio 10\\programs\\PMSRegisterFile.exe"= "C:\\Programme\\Pinnacle\\Studio 10\\programs\\umi.exe"= "C:\\Programme\\Internet Explorer\\iexplore.exe"= "C:\\kav\\kav7.0\\german\\setup.exe"= "C:\\Programme\\SopCast\\SopCast.exe"= "C:\\Programme\\SopCast\\adv\\SopAdver.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= R0 jry32;jry32;C:\WINDOWS\system32\Drivers\Jry32.sys [2008-07-03 21:09] R1 Hotkey;Hotkey;C:\WINDOWS\system32\drivers\Hotkey.sys [2003-04-28 12:27] S1 Wbutton;Wbutton;C:\WINDOWS\system32\drivers\Wbutton.sys [] S3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2005-02-09 18:02] S3 KEYBOARDWDFilter;KEYBOARDWDFilter;C:\WINDOWS\System32\Drivers\KEYBOARDWD.SYS [2006-08-08 20:57] S3 se59bus;Sony Ericsson Device 089 driver (WDM);C:\WINDOWS\system32\DRIVERS\se59bus.sys [2006-09-05 20:07] S3 se59mdfl;Sony Ericsson Device 089 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\se59mdfl.sys [2006-09-05 20:07] S3 se59mdm;Sony Ericsson Device 089 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\se59mdm.sys [2006-09-05 20:07] S3 se59mgmt;Sony Ericsson Device 089 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\se59mgmt.sys [2006-09-05 20:08] S3 se59nd5;Sony Ericsson Device 089 USB Ethernet Emulation SEMC59 (NDIS);C:\WINDOWS\system32\DRIVERS\se59nd5.sys [2006-09-05 20:06] S3 se59obex;Sony Ericsson Device 089 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\se59obex.sys [2006-09-05 20:09] S3 se59unic;Sony Ericsson Device 089 USB Ethernet Emulation SEMC59 (WDM);C:\WINDOWS\system32\DRIVERS\se59unic.sys [2006-09-05 20:06] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4fbe024e-6784-11dc-a881-000ae4a92883}] \Shell\AutoRun\command - F:\setupSNK.exe . - - - - ORPHANS REMOVED - - - - HKCU-Run-[system] - C:\WINDOWS\system32\drivers\services.exe HKLM-Run-[system] - C:\WINDOWS\system32\drivers\services.exe Notify-winrge32 - (no file) ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-06 11:28:21 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\RWTH Aachen\Cisco VPN Client\cvpnd.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Windows Media Player\wmpnetwk.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\Programme\Stardock\ObjectDock\ObjectDock.exe C:\Programme\WIDCOMM\Bluetooth Software\BTStackServer.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-07-06 11:31:05 - machine was rebooted ComboFix-quarantined-files.txt 2008-07-06 09:31:01 12 Verzeichnis(se), 106,509,041,664 Bytes frei 15 Verzeichnis(se), 106,457,026,560 Bytes frei 223 --- E O F --- 2008-06-21 10:49:44 Wie geht's nun weiter oder ist mein PC wieder gesund? Gruß und Danke ;Manuel |
|
|
||
06.07.2008, 12:46
Ehrenmitglied
Beiträge: 29434 |
#38
Hallo, mod85
1. versteckte Systemdateien Programme und Ordner anzeigen http://virus-protect.org/invisible.html 2. Virustotal http://www.virustotal.com/flash/index_en.html C:\WINDOWS\system32\drivers\b9438b61.sys C:\Dokumente und Einstellungen\Manuel\explorer.dll C:\Dokumente und Einstellungen\Manuel\ms_tcp.dll Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> HIER kopieren «« Avenger http://virus-protect.org/artikel/tools/avenger.html -setze ein Häkchen in: "Automatically disable any rootkits found" -Das Häkchen "Scan for Rootkits" sollte angehakt sein. kopiere in das weisse Feld: (ohne "Zitat" ) Zitat Drivers to disable:schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten) Klicke: Execute bestätige, dass der Rechner neu gestartet wird - klicke "yes" nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.07.2008, 13:14
...neu hier
Beiträge: 10 |
#39
Hallo,
C:\WINDOWS\system32\drivers\b9438b61.sys Diese Datei kann ich nicht finden obwohl ich alle versteckten Dateien angezeigt bekomme. So hier die Ergebnisse: Scan explorer.dll ergab: Die Datei wurde bereits analysiert: MD5: d0d05ca0eace3bbc3337a8cc0e8d614c First received: 2008.06.24 23:39:58 (CET) Datum 2008.07.03 03:38:14 (CET) [>3D] Ergebnisse 16/33 Permalink: analisis/0430e801c4620bfadc74c8a9edc33471 Scan ms_tcp.dll ergab: Die Datei wurde bereits analysiert: MD5: cda9cc420a7ed12f5ca34d2191fae33e First received: 2008.06.30 03:26:02 (CET) Datum 2008.06.30 03:26:02 (CET) [>6D] Ergebnisse 6/33 Permalink: analisis/57dddae2fa85dca5664ca2fb897f9d03 Avenger ergab: Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Driver "jry32" disabled successfully. Driver "b9438b61" disabled successfully. Driver "jry32" deleted successfully. Driver "b9438b61" deleted successfully. Registry key "HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\jry32.sys" deleted successfully. File "C:\WINDOWS\system32\drivers\Jry32.sys" deleted successfully. File "C:\WINDOWS\system32\sreiwpof.tmp" deleted successfully. File "C:\d1.exe" deleted successfully. File "C:\drvrfw.exe" deleted successfully. File "C:\-797566696" deleted successfully. File "C:\WINDOWS\system32\drivers\b9438b61.sys" deleted successfully. File "C:\adgjig.exe" deleted successfully. File "C:\WINDOWS\system32\winrge32.dll" deleted successfully. Completed script processing. ******************* Finished! Terminate. Dieser Beitrag wurde am 06.07.2008 um 13:35 Uhr von mod85 editiert.
|
|
|
||
06.07.2008, 13:39
Ehrenmitglied
Beiträge: 29434 |
#40
««
Zitat Ergebnisse 6/33schade, dass du nicht alles abkopiert hat.... so weiss ich nicht, welche Scanner das erkennen kommst du noch auf die Seite ...such sie mal und kopiere ALLES ab «« http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) jry32 in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.07.2008, 13:50
...neu hier
Beiträge: 10 |
#41
Ups da habe ich den Link gar nicht gesehen
Also hier nochmal alles: Scan explorer.dll ergab: Die Datei wurde bereits analysiert: MD5: d0d05ca0eace3bbc3337a8cc0e8d614c First received: 2008.06.24 23:39:58 (CET) Datum 2008.07.03 03:38:14 (CET) [>3D] Ergebnisse 16/33 Permalink: analisis/0430e801c4620bfadc74c8a9edc33471 Datei explorer.dll empfangen 2008.07.03 03:37:25 (CET) Status: Beendet Ergebnis: 16/33 (48.48%) Filter Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.7.2.0 2008.07.02 - AntiVir 7.8.0.64 2008.07.02 TR/Spy.Gen Authentium 5.1.0.4 2008.07.02 - Avast 4.8.1195.0 2008.07.02 Win32:Spyware-gen AVG 7.5.0.516 2008.07.02 PSW.Agent.TRM BitDefender 7.2 2008.07.03 Trojan.Generic.322446 CAT-QuickHeal 9.50 2008.07.02 - ClamAV 0.93.1 2008.07.03 - DrWeb 4.44.0.09170 2008.07.02 Trojan.DownLoader.origin eSafe 7.0.17.0 2008.07.02 Suspicious File eTrust-Vet 31.6.5922 2008.07.02 - Ewido 4.0 2008.07.02 - F-Prot 4.4.4.56 2008.07.02 - F-Secure 7.60.13501.0 2008.07.01 - Fortinet 3.14.0.0 2008.07.02 W32/Small.XPI!tr.dldr GData 2.0.7306.1023 2008.07.03 Win32:Spyware-gen Ikarus T3.1.1.26.0 2008.07.03 Trojan-Spy Kaspersky 7.0.0.125 2008.07.03 - McAfee 5330 2008.07.02 Generic PWS.o Microsoft 1.3704 2008.07.03 - NOD32v2 3237 2008.07.03 probably a variant of Win32/PSW.Agent.NHG Norman 5.80.02 2008.07.02 - Panda 9.0.0.4 2008.07.02 - Prevx1 V2 2008.07.03 Malicious Software Rising 20.51.22.00 2008.07.02 - Sophos 4.30.0 2008.07.03 Mal/Generic-A Sunbelt 3.1.1509.1 2008.07.03 Trojan.Spy.Gen Symantec 10 2008.07.03 - TheHacker 6.2.96.367 2008.07.03 - TrendMicro 8.700.0.1004 2008.07.02 PAK_Generic.001 VBA32 3.12.6.8 2008.07.02 - VirusBuster 4.5.11.0 2008.07.02 - Webwasher-Gateway 6.6.2 2008.07.02 Trojan.Spy.Gen weitere Informationen File size: 4608 bytes MD5...: d0d05ca0eace3bbc3337a8cc0e8d614c SHA1..: 2e8c361f9a042d2084366347d020aeceb14b978e SHA256: 944df0f903bb8c5ab82e2af3b433ef9c2e3aed2064fc39f0c5cd9a73e686e2b4 SHA512: fde5524eb0a69848be15965e40a3777bb165caab4a4d14544e1d4169c08a6946 c39d77a15ba7a83a0a571b1a40398bb7e9ebfbbd4dc4dfe67cc29ef764d9c57a PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x100159b0 timedatestamp.....: 0x485f7c26 (Mon Jun 23 10:34:14 2008) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 UPX0 0x1000 0x14000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e UPX1 0x15000 0x1000 0xc00 7.48 a695c54bcb6522a3f318f34fc56d1361 UPX2 0x16000 0x1000 0x200 2.71 5c240c2a3a237982c79e50a3c381ca8e ( 4 imports ) > KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree > MSVCRT.dll: free > USER32.dll: CallNextHookEx > WS2_32.dll: - ( 0 exports ) Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=D729FA6600B4F2981247003A792A470012AEC81A packers (Kaspersky): PE_Patch.UPX, UPX packers (F-Prot): UPX Scan ms_tcp.dll ergab: Die Datei wurde bereits analysiert: MD5: cda9cc420a7ed12f5ca34d2191fae33e First received: 2008.06.30 03:26:02 (CET) Datum 2008.06.30 03:26:02 (CET) [>6D] Ergebnisse 6/33 Permalink: analisis/57dddae2fa85dca5664ca2fb897f9d03 Datei ms_tcp.dll empfangen 2008.06.30 03:26:02 (CET) Status: Beendet Ergebnis: 6/33 (18.18%) Filter Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 - - - AntiVir - - HEUR/Malware Authentium - - - Avast - - - AVG - - - BitDefender - - Generic.PWS.Games.3.3353885D CAT-QuickHeal - - - ClamAV - - - DrWeb - - - eSafe - - Suspicious File eTrust-Vet - - - Ewido - - - F-Prot - - W32/Virtumonde.Q.gen!Eldorado F-Secure - - - Fortinet - - - GData - - - Ikarus - - - Kaspersky - - - McAfee - - - Microsoft - - - NOD32v2 - - - Norman - - - Panda - - - Prevx1 - - - Rising - - - Sophos - - - Sunbelt - - - Symantec - - - TheHacker - - - TrendMicro - - PAK_Generic.001 VBA32 - - - VirusBuster - - - Webwasher-Gateway - - Heuristic.Malware weitere Informationen MD5: cda9cc420a7ed12f5ca34d2191fae33e SHA1: 44dcb921d08eb6fa3fbd0211786d30925edbbd70 SHA256: a8fbceb00284ec91c8422e2bcc5a3714b2b9ff6a6d55d30a64f8407be252d411 SHA512: 82ad7af4ee0aa8aeffd7866745d865ec68df9183e613f36fc6696ebfaaed72890e2a54 e154a32e4ca698f3a85d8edeb605b271e7695ad0cd5f6b96f34a2fdde8 Registry Tool Ergebnis: Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.5.0 ; Results at 06.07.2008 13:59:22 for strings: ; 'jry32' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\jry32.sys] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\legacy_jry32] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\legacy_jry32\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\legacy_jry32\0000] "Service"="Jry32" "DeviceDesc"="Jry32" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\legacy_jry32\0000\logconf] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\legacy_jry32\0000\Control] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\jry32.sys] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\legacy_jry32] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\legacy_jry32\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\legacy_jry32\0000] "Service"="Jry32" "DeviceDesc"="Jry32" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\legacy_jry32\0000\logconf] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\jry32.sys] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\legacy_jry32] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\legacy_jry32\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\legacy_jry32\0000] "Service"="Jry32" "DeviceDesc"="Jry32" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\legacy_jry32\0000\logconf] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\legacy_jry32\0000\Control] ; End Of The Log... Dieser Beitrag wurde am 06.07.2008 um 14:01 Uhr von mod85 editiert.
|
|
|
||
06.07.2008, 14:12
Ehrenmitglied
Beiträge: 29434 |
#42
««
kopiere in den Avenger, + Avenger anwenden + das Log nach neustart posten Zitat Registry keys to delete: __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.07.2008, 14:18
...neu hier
Beiträge: 10 |
#43
Avenger Bericht:
Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\jry32.sys" deleted successfully. Registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\legacy_jry32" deleted successfully. Registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\jry32.sys" deleted successfully. Registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\legacy_jry32" deleted successfully. Error: registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\jry32.sys" not found! Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\jry32.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\legacy_jry32" not found! Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\legacy_jry32" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist File "C:\WINDOWS\wininit.ini" deleted successfully. File "C:\WINDOWS\unins000.exe" deleted successfully. File "C:\WINDOWS\unins000.dat" deleted successfully. Completed script processing. ******************* Finished! Terminate. |
|
|
||
06.07.2008, 14:46
Ehrenmitglied
Beiträge: 29434 |
#44
1.
wende navilog an, Option 1 und dann Option 2 poste hier den report von Option2 http://virus-protect.org/artikel/tools/navilog.html 2. ComboFix entfernen Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" 3. alls OTMoveIt2 auf dem Rechner nicht startet, kann man zum Entfernen der verwendeten Programme benutzen: OTCleanIt (löscht sich nach Anwendung von selbst) http://download.bleepingcomputer.com/oldtimer/OTCleanIt.exe 4. lösche C:\Avenger + leere den Papierkorb 5. http://virus-protect.org/artikel/tools/sdfix.html unter C:\ findet man nun den SDFix-Ordner boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet) gehe in den Ordner C:\SDFix RunThis.bat doppelt klicken folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag, __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.07.2008, 16:06
...neu hier
Beiträge: 10 |
#45
Es wird immer besser jetzt werden sogar wieder Bilder auf den Websiten im Internet angezeigt, hier also weitere Reports: Und nun?
Navipromo Removal version 3.6.0 started on 06.07.2008 at 15:02:09,46 Fix running from C:\Programme\navilog1 Actual User Account : "Manuel" Updated on 27.06.2008 at 23h00 by IL-MAFIOSO Microsoft Windows XP [Version 5.1.2600] Internet Explorer : 7.0.5730.11 Filesystem type : NTFS Automatic removal with Catchme and GNS results Cleanning stage done on Reboot *** fsbl1.txt not found *** (Check that Catchme found nothing in Search Mode) *** Deleting with Backups GenericNaviSearch results *** * Deletion in "C:\WINDOWS\System32" * * Deletion in "C:\Dokumente und Einstellungen\Manuel\lokale~1\anwend~1" * * Deletion in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" * *** Deleting folders in "C:\WINDOWS" *** *** Deleting folders in "C:\Programme" *** *** Deleting folders in "c:\dokume~1\alluse~1\anwend~1" *** *** Deleting folders in "c:\dokume~1\alluse~1\startm~1\progra~1" *** *** Deleting folders in "C:\Dokumente und Einstellungen\Manuel\anwend~1" *** *** Deleting folders in "C:\DOKUME~1\ADMINI~1\anwend~1" *** *** Deleting folders in "C:\DOKUME~1\Besitzer\anwend~1" *** *** Deleting folders in "C:\Dokumente und Einstellungen\Manuel\lokale~1\anwend~1" *** *** Deleting folders in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *** *** Deleting folders in "C:\Dokumente und Einstellungen\Manuel\startm~1\progra~1" *** *** Deleting folders in "C:\DOKUME~1\ADMINI~1\startm~1\progra~1" *** *** Deleting files *** *** Deleting temporary files *** Cleaning of C:\WINDOWS\Temp done ! Cleaning of C:\Dokumente und Einstellungen\Manuel\lokale~1\Temp done ! *** Complementary Search *** (Search specific files) 1)Deletion with backups new Instant Access files: 2)Heuristic search and deletion with backups : * In "C:\WINDOWS\system32" * * In "C:\Dokumente und Einstellungen\Manuel\lokale~1\anwend~1" * * In "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" * *** Copy Registry to Safebackup folder *** Backing up Registry done ! *** Cleaning Registry *** Registry cleaned *** Certificates *** Egroup Certificate not found ! Electronic-Group Certificate not found ! OOO-Favorit Certificate not found ! Sunny-Day-Design-Ltd Certificate not found ! *** Cleaning stage complete on 06.07.2008 at 15:04:43,10 *** Zweiter Report: SDFix: Version 1.201 Run by Manuel on 06.07.2008 at 15:48 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Checking Services : Restoring Default Security Values Restoring Default Hosts File Rebooting Checking Files : Trojan Files Found: C:\Dokumente und Einstellungen\Manuel\Eigene Dateien\My Documents.url - Deleted C:\Dokumente und Einstellungen\Manuel\Eigene Dateien\Eigene Musik\My Music.url - Deleted C:\Dokumente und Einstellungen\Manuel\Eigene Dateien\Eigene Bilder\My Pictures.url - Deleted C:\Dokumente und Einstellungen\Manuel\Eigene Dateien\Eigene Videos\My Video.url - Deleted Removing Temp Files ADS Check : Final Check : catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-06 15:57:06 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden services & system hive ... [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0010c67bc0aa] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0010c67bc0aa] scanning hidden registry entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services : Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:Enabled:Remoteuntersttzung" "%ProgramFiles%\\Messenger\\msmsgs.exe"="%ProgramFiles%\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger" "%ProgramFiles%\\AOL 9.0\\AOL.exe"="%ProgramFiles%\\AOL 9.0\\AOL.exe:*:enabled:AOL 9.0" "%ProgramFiles%\\AOL 9.0\\WAOL.exe"="%ProgramFiles%\\AOL 9.0\\WAOL.exe:*:enabled:AOL 9.0" "%CommonProgramFiles%\\AOL\\ACS\\AOLACSD.exe"="%CommonProgramFiles%\\AOL\\ACS\\AOLACSD.exe:*:enabled:AOL 9.0 (Connectivity Service)" "%CommonProgramFiles%\\AOL\\ACS\\AOLDIAL.exe"="%CommonProgramFiles%\\AOL\\ACS\\AOLDIAL.exe:*:enabled:AOL 9.0 (Connectivity Service Dialer)" "%WinDir%\\system32\\fxsclnt.exe"="%WinDir%\\system32\\fxsclnt.exe:*:enabled:Microsoft Fax Console" "%ProgramFiles%\\CA\\eTrust Antivirus\\InocIT.exe"="%ProgramFiles%\\CA\\eTrust Antivirus\\InocIT.exe:*:enabled:eTrust Antivirus - Local Scanner" "%ProgramFiles%\\CA\\eTrust Antivirus\\Realmon.exe"="%ProgramFiles%\\CA\\eTrust Antivirus\\Realmon.exe:*:enabled:eTrust Antivirus - Realtime monitor" "%ProgramFiles%\\CA\\eTrust Antivirus\\InoRpc.exe"="%ProgramFiles%\\CA\\eTrust Antivirus\\InoRpc.exe:*:enabled:eTrust Antivirus - RPC Server" "%ProgramFiles%\\WIDCOMM\\Bluetooth Software\\BTTray.exe"="%ProgramFiles%\\WIDCOMM\\Bluetooth Software\\BTTray.exe:*:enabled:BTTray" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\\Programme\\Home Cinema\\PowerCinema\\PowerCinema.exe"="C:\\Programme\\Home Cinema\\PowerCinema\\PowerCinema.exe:*:EnabledowerCinema" "C:\\Programme\\Real\\RealPlayer\\realplay.exe"="C:\\Programme\\Real\\RealPlayer\\realplay.exe:*:Enabled:RealPlayer" "C:\\Programme\\eMule.de 0.48a v18\\emule.exe"="C:\\Programme\\eMule.de 0.48a v18\\emule.exe:*:Enabled:eMule" "C:\\Programme\\Pinnacle\\Studio 10\\programs\\RM.exe"="C:\\Programme\\Pinnacle\\Studio 10\\programs\\RM.exe:*:Enabled:Render Manager" "C:\\Programme\\Pinnacle\\Studio 10\\programs\\Studio.exe"="C:\\Programme\\Pinnacle\\Studio 10\\programs\\Studio.exe:*:Enabled:Studio" "C:\\Programme\\Pinnacle\\Studio 10\\programs\\PMSRegisterFile.exe"="C:\\Programme\\Pinnacle\\Studio 10\\programs\\PMSRegisterFile.exe:*:EnabledMSRegisterFile" "C:\\Programme\\Pinnacle\\Studio 10\\programs\\umi.exe"="C:\\Programme\\Pinnacle\\Studio 10\\programs\\umi.exe:*:Enabled:umi" "C:\\Programme\\Internet Explorer\\iexplore.exe"="C:\\Programme\\Internet Explorer\\iexplore.exe:*:Enabled:Internet Explorer" "C:\\kav\\kav7.0\\german\\setup.exe"="C:\\kav\\kav7.0\\german\\setup.exe:*isabled:Installationsprogramm fr Kaspersky Anti-Virus 7.0" "C:\\Programme\\SopCast\\SopCast.exe"="C:\\Programme\\SopCast\\SopCast.exe:*:Enabled:SopCast Main Application" "C:\\Programme\\SopCast\\adv\\SopAdver.exe"="C:\\Programme\\SopCast\\adv\\SopAdver.exe:*:Enabled:SopCast Adver" "C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype. Take a deep breath " [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:Enabled:Remoteuntersttzung" "%ProgramFiles%\\Messenger\\msmsgs.exe"="%ProgramFiles%\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger" "%ProgramFiles%\\AOL 9.0\\AOL.exe"="%ProgramFiles%\\AOL 9.0\\AOL.exe:*:enabled:AOL 9.0" "%ProgramFiles%\\AOL 9.0\\WAOL.exe"="%ProgramFiles%\\AOL 9.0\\WAOL.exe:*:enabled:AOL 9.0" "%CommonProgramFiles%\\AOL\\ACS\\AOLACSD.exe"="%CommonProgramFiles%\\AOL\\ACS\\AOLACSD.exe:*:enabled:AOL 9.0 (Connectivity Service)" "%CommonProgramFiles%\\AOL\\ACS\\AOLDIAL.exe"="%CommonProgramFiles%\\AOL\\ACS\\AOLDIAL.exe:*:enabled:AOL 9.0 (Connectivity Service Dialer)" "%WinDir%\\system32\\fxsclnt.exe"="%WinDir%\\system32\\fxsclnt.exe:*:enabled:Microsoft Fax Console" "%ProgramFiles%\\CA\\eTrust Antivirus\\InocIT.exe"="%ProgramFiles%\\CA\\eTrust Antivirus\\InocIT.exe:*:enabled:eTrust Antivirus - Local Scanner" "%ProgramFiles%\\CA\\eTrust Antivirus\\Realmon.exe"="%ProgramFiles%\\CA\\eTrust Antivirus\\Realmon.exe:*:enabled:eTrust Antivirus - Realtime monitor" "%ProgramFiles%\\CA\\eTrust Antivirus\\InoRpc.exe"="%ProgramFiles%\\CA\\eTrust Antivirus\\InoRpc.exe:*:enabled:eTrust Antivirus - RPC Server" "%ProgramFiles%\\WIDCOMM\\Bluetooth Software\\BTTray.exe"="%ProgramFiles%\\WIDCOMM\\Bluetooth Software\\BTTray.exe:*:enabled:BTTray" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" Remaining Files : File Backups: - C:\SDFix\backups\backups.zip Files with Hidden Attributes : Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDUpdate.exe" Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" Mon 28 Jan 2008 2,097,488 A.SHR --- "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" Wed 16 Mar 2005 8 ..SHR --- "C:\WINDOWS\system32\BBBA7A3527.sys" Wed 16 Mar 2005 4,704 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys" Fri 21 Sep 2007 4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak" Mon 17 Sep 2007 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp" Sun 6 Jul 2008 72 A..H. --- "C:\Programme\Common Files\X10\Common\x10prod.sys" Tue 4 Sep 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\4a882309d56e564894505aaa60eac9b1\BIT1E.tmp" Sat 6 Aug 2005 188,799 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\d8a45f7d1722b2ca0c1767339aa1e49b\download\BIT40.tmp" Finished! MFG Manu |
|
|
||
Vielen lieben Dank für deine Hilfe bislang!!! Du hast mir echt geholfen :-)))
LG