"Virus Alert" rechts unten neben der UhrThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
29.05.2008, 17:08
...neu hier
Beiträge: 2 |
||
|
||
29.05.2008, 17:37
Moderator
Beiträge: 5694 |
#2
Hallo oskar17
>> lösche mit cleaner die temp-Dateien http://www.ccleaner.de/?protecus.de >> Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor dem genannten Eintrag bei Zitat R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLLund wähle fix checked. + starte den Rechner neu. «« arbeite rvaxo ab + poste den report http://virus-protect.org/artikel/tools/rvaxo.html «« arbeite fixwareout ab und poste nach neustart den report http://virus-protect.org/artikel/tools/fixwareout.html >> scanne mit Malwarebytes- lasse alles entfernen + poste den report http://virus-protect.org/artikel/tools/malwarebytes.html >> lade combofix, klicke die Warnmeldung weg, lasse scannen + poste hier den report http://virus-protect.org/artikel/tools/combofix.html Gruss Swiss |
|
|
||
29.05.2008, 18:17
Ehrenmitglied
Beiträge: 29434 |
#3
oskar17
entfernen von: Scan saved at 17:06: VIRUS ALERT!, on 29.05.2008 wenn das erledigt ist, arbeite das hier ab + berichte http://board.protecus.de/t33739.htm wenn du was nicht verstehst in der anleitung...frag __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
29.05.2008, 18:58
...neu hier
Themenstarter Beiträge: 2 |
#4
no.1
Malwarebytes' Anti-Malware 1.12 Datenbank Version: 799 Scan Art: Komplett Scan (C:\|) Objekte gescannt: 86783 Scan Dauer: 26 minute(s), 18 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 10 Infizierte Registrierungswerte: 0 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 16 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\gktxaspm.bvwm (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\gktxaspm.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{0983040a-984f-4bef-bebe-d3d3342d3954} (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{392d96eb-4548-4f7d-b204-e0ed139c88a2} (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{cd36f5bd-425f-4e81-99b9-bd527f658277} (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Typelib\{1e742aba-eca7-454c-8037-395f4c916876} (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{00a6faf6-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\atfxqogp.blfx (Trojan.FakeAlert) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine Malware Objekte gefunden) Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: C:\Programme\Trend Micro\HijackThis\backups\backup-20080529-180109-467.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Programme\Trend Micro\HijackThis\backups\backup-20080529-180109-474.dll (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\WINDOWS\gnowmebk.dll.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\WINDOWS\vadokmxt.dll.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\WINDOWS\wdpoefan.dll.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{7FD0DCBA-3DC6-4EDC-8B3F-2F58FCF2DDFD}\RP57\A0036716.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{7FD0DCBA-3DC6-4EDC-8B3F-2F58FCF2DDFD}\RP57\A0036726.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{7FD0DCBA-3DC6-4EDC-8B3F-2F58FCF2DDFD}\RP83\A0048153.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{7FD0DCBA-3DC6-4EDC-8B3F-2F58FCF2DDFD}\RP83\A0048160.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{7FD0DCBA-3DC6-4EDC-8B3F-2F58FCF2DDFD}\RP84\A0051372.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{7FD0DCBA-3DC6-4EDC-8B3F-2F58FCF2DDFD}\RP84\A0051373.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{7FD0DCBA-3DC6-4EDC-8B3F-2F58FCF2DDFD}\RP85\A0052507.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{7FD0DCBA-3DC6-4EDC-8B3F-2F58FCF2DDFD}\RP85\A0052510.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{7FD0DCBA-3DC6-4EDC-8B3F-2F58FCF2DDFD}\RP86\A0052555.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{7FD0DCBA-3DC6-4EDC-8B3F-2F58FCF2DDFD}\RP86\A0052556.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{7FD0DCBA-3DC6-4EDC-8B3F-2F58FCF2DDFD}\RP86\A0052557.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully. no.2 ComboFix 08-05-28.8 - Matzat 2008-05-29 18:13:34.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.667 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Matzat\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Programme\MyWebSearch C:\WINDOWS\gnowmebk.dll C:\WINDOWS\system32\mcrh.tmp C:\WINDOWS\system32\mouvbxhe.ini C:\WINDOWS\system32\NCTTAudioFile.dll C:\WINDOWS\system32\PVDLkUvw.ini C:\WINDOWS\system32\PVDLkUvw.ini2 C:\WINDOWS\system32\SYJSDcfe.ini C:\WINDOWS\system32\SYJSDcfe.ini2 C:\WINDOWS\vadokmxt.dll C:\WINDOWS\vltdfabw.dll C:\WINDOWS\vregfwlx.dll C:\WINDOWS\wdpoefan.dll . ((((((((((((((((((((((( Dateien erstellt von 2008-04-28 bis 2008-05-29 )))))))))))))))))))))))))))))) . 2008-05-29 17:48 . 2008-05-29 17:48 <DIR> d-------- C:\Programme\CCleaner 2008-05-29 17:05 . 2008-05-29 17:05 <DIR> d-------- C:\Programme\Trend Micro 2008-05-29 16:50 . 2008-05-29 18:17 <DIR> d-------- C:\Programme\CleanUp XP 2008-05-29 16:50 . 2003-12-14 17:47 692,224 --a------ C:\WINDOWS\system32\ciaResSvr20.dll 2008-05-28 15:01 . 2008-05-28 11:46 94,208 --a------ C:\WINDOWS\eesg.exe 2008-05-27 20:05 . 2008-05-27 20:05 <DIR> d--h----- C:\WINDOWS\Icons 2008-05-26 21:45 . 2008-05-26 15:23 94,208 --a------ C:\WINDOWS\edma.exe 2008-05-25 08:57 . 2008-05-25 08:57 <DIR> d-------- C:\Programme\MSXML 4.0 2008-05-24 10:01 . 2008-05-29 18:17 <DIR> d-------- C:\Programme\PC Tools AntiVirus 2008-05-24 10:01 . 2008-05-24 10:01 <DIR> d-------- C:\Programme\Gemeinsame Dateien\PC Tools 2008-05-24 10:01 . 2008-05-24 10:03 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Tools 2008-05-24 10:01 . 2006-11-24 10:19 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll 2008-05-24 10:01 . 2006-11-24 10:19 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll 2008-05-24 10:01 . 2007-12-06 15:51 28,568 --a------ C:\WINDOWS\system32\drivers\AVHook.sys 2008-05-24 10:01 . 2007-12-06 15:51 21,912 --a------ C:\WINDOWS\system32\drivers\AVRec.sys 2008-05-24 10:01 . 2008-02-12 10:44 21,904 --a------ C:\WINDOWS\system32\drivers\AVFilter.sys 2008-05-24 09:45 . 2008-05-24 14:40 <DIR> d-------- C:\Programme\Spyware Doctor 2008-05-24 09:45 . 2008-05-24 10:03 <DIR> d-------- C:\Dokumente und Einstellungen\Matzat\Anwendungsdaten\PC Tools 2008-05-24 09:45 . 2007-12-10 13:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys 2008-05-24 09:45 . 2007-12-10 13:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys 2008-05-24 09:45 . 2008-02-01 11:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys 2008-05-24 09:45 . 2007-12-10 13:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys 2008-05-24 09:37 . 2008-05-24 09:38 <DIR> d-------- C:\WINDOWS\DED53B0BB67C4244AE6AD6FD3C28D1EF.TMP 2008-05-24 09:06 . 2008-05-28 15:01 <DIR> d-------- C:\Dokumente und Einstellungen\Matzat\Anwendungsdaten\TmpRecentIcons 2008-05-23 19:20 . 2008-05-23 19:20 <DIR> d-------- C:\Dokumente und Einstellungen\Matzat\Anwendungsdaten\AVS4YOU 2008-05-23 19:20 . 2008-05-23 19:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVS4YOU 2008-05-23 19:19 . 2008-05-24 09:10 <DIR> d-------- C:\Programme\Gemeinsame Dateien\AVSMedia 2008-05-23 19:19 . 2008-05-24 09:10 <DIR> d-------- C:\Programme\AVS4YOU 2008-05-23 19:19 . 2007-10-25 11:20 974,848 --a------ C:\WINDOWS\system32\mfc70.dll 2008-05-23 16:22 . 2008-05-23 16:22 <DIR> d-------- C:\Programme\NeroInstall.bak 2008-05-23 16:22 . 2008-05-29 17:52 69 --a------ C:\WINDOWS\NeroDigital.ini 2008-05-23 16:21 . 2008-05-23 16:21 <DIR> d-------- C:\Dokumente und Einstellungen\Matzat\Anwendungsdaten\Nero 2008-05-23 16:19 . 2008-05-23 16:19 <DIR> d-------- C:\Programme\Nero 2008-05-23 16:19 . 2008-05-23 16:20 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nero 2008-05-23 16:19 . 2008-05-23 16:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero 2008-05-23 14:50 . 2008-05-23 19:16 <DIR> d-------- C:\Programme\Movie Splitter 2008-05-23 13:19 . 2008-05-23 14:22 <DIR> d-------- C:\Programme\Agogo AVI MPEG WMV RM MOV Converter 2008-05-22 18:04 . 2008-05-22 18:04 <DIR> d-------- C:\Programme\Passware 2008-05-22 17:58 . 2008-05-22 17:58 <DIR> d-------- C:\Programme\Intelore 2008-05-16 20:25 . 2008-05-16 20:25 118 --a------ C:\WINDOWS\system32\MRT.INI 2008-05-15 14:24 . 2008-05-15 14:25 <DIR> d-------- C:\Programme\MTA San Andreas 2008-05-06 13:51 . 2008-05-06 13:53 <DIR> d-------- C:\Savage 2008-05-06 11:09 . 2008-05-06 11:09 <DIR> d-------- C:\Dokumente und Einstellungen\Matzat\Anwendungsdaten\InstallShield 2008-05-05 21:08 . 2008-05-05 21:39 <DIR> d-------- C:\Programme\Wolfenstein - Enemy Territory 2008-05-05 15:52 . 2008-05-05 15:52 <DIR> d-------- C:\Programme\Hamachi 2008-05-05 15:52 . 2008-05-29 18:17 <DIR> d-------- C:\Dokumente und Einstellungen\Matzat\Anwendungsdaten\Hamachi 2008-05-05 15:52 . 2008-05-05 15:52 25,280 --a------ C:\WINDOWS\system32\drivers\hamachi.sys 2008-05-05 15:24 . 2008-05-05 18:58 <DIR> d-------- C:\Programme\PANZERS - Phase1 2008-04-29 13:09 . 2008-04-29 13:09 34 --a------ C:\WINDOWS\cdplayer.ini . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-05-29 16:18 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-05-29 16:06 --------- d-----w C:\Dokumente und Einstellungen\Matzat\Anwendungsdaten\skypePM 2008-05-29 16:05 --------- d-----w C:\Dokumente und Einstellungen\Matzat\Anwendungsdaten\Skype 2008-05-29 13:55 --------- d-----w C:\Dokumente und Einstellungen\Matzat\Anwendungsdaten\teamspeak2 2008-05-29 12:08 23,352 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys 2008-05-29 12:07 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe 2008-05-27 13:40 --------- d-----w C:\Programme\Steam 2008-05-27 11:32 --------- d-----w C:\Programme\Evil Player 2008-05-24 07:26 --------- d-----w C:\Programme\WarRock 2008-05-24 07:26 --------- d-----w C:\Dokumente und Einstellungen\Matzat\Anwendungsdaten\LimeWire 2008-05-15 11:26 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-05-15 11:26 --------- d-----w C:\Programme\Rockstar Games 2008-05-13 12:38 --------- d-----w C:\Programme\Windows Media Connect 2 2008-05-06 09:11 --------- d-----w C:\Programme\OpenArena 2008-05-06 09:08 --------- d-----w C:\Programme\Valve 2008-04-24 15:10 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat 2008-04-24 15:08 --------- d-----w C:\Programme\Skype 2008-04-24 15:08 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype 2008-04-24 15:08 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype 2008-04-24 11:58 --------- d-----w C:\Programme\Avira 2008-04-24 11:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-04-24 11:51 --------- d-----w C:\Programme\Teamspeak2_RC2 2008-04-23 15:02 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-04-23 15:01 --------- d-----w C:\Programme\Lavasoft 2008-04-23 15:00 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-04-22 16:34 --------- d-----w C:\Programme\VirtualDJ 2008-04-17 10:07 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll 2008-04-17 10:07 --------- d--h--r C:\Dokumente und Einstellungen\Matzat\Anwendungsdaten\SecuROM 2008-04-17 09:52 --------- d-----w C:\Programme\Ubisoft 2008-04-17 09:51 --------- d-----w C:\Programme\DAEMON Tools Lite 2008-04-17 09:48 --------- d-----w C:\Dokumente und Einstellungen\Matzat\Anwendungsdaten\DAEMON Tools 2008-04-17 09:45 717,296 ----a-w C:\WINDOWS\system32\drivers\sptd.sys 2008-04-17 09:18 --------- d-----w C:\Dokumente und Einstellungen\Matzat\Anwendungsdaten\OpenArena 2008-04-17 08:49 --------- d-----w C:\Programme\Serious Sam 2 2008-04-16 19:58 --------- d-----w C:\Programme\BurnIn 2008-04-16 19:23 --------- d-----w C:\Programme\Flagship Studios 2008-04-16 18:42 --------- d-----w C:\Programme\GetData 2008-04-16 10:40 --------- d-----w C:\Programme\Gemeinsame Dateien\Real 2008-04-14 10:04 --------- d-----w C:\Dokumente und Einstellungen\Matzat\Anwendungsdaten\Winamp 2008-04-09 19:26 --------- d--h--w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ 2008-04-09 19:25 --------- d--h--w C:\Programme\CanonBJ 2008-04-09 18:51 --------- d-----w C:\Dokumente und Einstellungen\Matzat\Anwendungsdaten\WEBDE 2008-04-04 11:00 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Trymedia 2008-04-04 10:49 --------- d-----w C:\Programme\Eidos 2008-04-01 15:22 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help 2008-04-01 15:20 --------- d-----w C:\Programme\Microsoft.NET 2008-04-01 15:20 --------- d-----w C:\Programme\Microsoft Visual Studio 8 2008-04-01 15:12 74,752 ----a-w C:\WINDOWS\ST6UNST.EXE 2008-04-01 15:12 290,816 ------w C:\WINDOWS\Setup1.exe 2008-04-01 15:12 --------- d-----w C:\Programme\visual sub 2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll 2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll 2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys 2008-03-05 16:43 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360] "DAEMON Tools Lite"="C:\Programme\DAEMON Tools Lite\daemon.exe" [2008-04-01 11:39 486856] "Skype"="C:\Programme\Skype\Phone\Skype.exe" [2008-02-06 18:37 21898024] "IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" [2008-02-28 17:07 1828136] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784] "SoundMAXPnP"="C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2003-05-29 17:28 790528] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401] "NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2008-02-28 09:59 570664] "NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-02-18 16:29 2221352] "PCTAVApp"="C:\Programme\PC Tools AntiVirus\PCTAV.exe" [2008-03-05 09:37 1238928] "CleanUp XP"="C:\Programme\CleanUp XP\CleanUp.exe" [2005-06-08 17:01 1859584] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:57 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "UIHost"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\TuneUp Software\\TuneUp Utilities\\WinStyler\\tu_logonui.exe" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe "Steam"="c:\programme\steam\steam.exe" -silent "Octoshape Streaming Services"="C:\Programme\Octoshape Streaming Services\Matzat\OctoshapeClient.exe" -inv:bootrun [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" "ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" -minimize "TV Card Remote Control Device Monitor"=C:\WINDOWS\713xRMT.exe "SoundMAX"="C:\Programme\Analog Devices\SoundMAX\smax4.exe" /tray [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\ICQLite\\ICQLite.exe"= "C:\\Programme\\QIP\\qip.exe"= "C:\\Programme\\Steam\\steamapps\\stevennus\\counter-strike source\\hl2.exe"= "C:\\Programme\\Steam\\steamapps\\stevennus\\half-life\\hl.exe"= "C:\\Programme\\Steam\\steamapps\\stevennus\\counter-strike\\hl.exe"= "C:\\Programme\\Octoshape Streaming Services\\Matzat\\OctoshapeClient.exe"= "C:\\WINDOWS\\system32\\dpnsvr.exe"= "C:\\Programme\\Serious Sam 2\\Bin\\Sam2.exe"= "C:\\Programme\\Serious Sam 2\\Bin\\DedicatedServer.exe"= "C:\\Programme\\Flagship Studios\\Hellgate London\\Launcher.exe"= "C:\\WINDOWS\\system32\\dpvsetup.exe"= "C:\\Programme\\Hamachi\\hamachi.exe"= "C:\\Programme\\PANZERS - Phase1\\Run\\Panzers.exe"= "C:\\Programme\\Wolfenstein - Enemy Territory\\ET.exe"= "C:\\Savage\\silverback.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 00:58] R3 3xHybrid;SAA713x TV Card Service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2007-12-28 13:00] S3 GetDataMip;GetDataMip;C:\Programme\GetData\Mount Image Pro v2\mip32.sys [] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F] \Shell\AutoRun\command - F:\Setup.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H] \Shell\AutoRun\command - H:\Setup.exe . Inhalt des "geplante Tasks" Ordners "2008-05-29 14:29:18 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-29 18:17:25 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\system32\ati2evxx.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\system32\ati2evxx.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe C:\Programme\PC Tools AntiVirus\PCTAVSvc.exe C:\WINDOWS\system32\IoctlSvc.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-05-29 18:19:41 - machine was rebooted ComboFix-quarantined-files.txt 2008-05-29 16:19:36 13 Verzeichnis(se), 75,010,527,232 Bytes frei 15 Verzeichnis(se), 76,356,898,816 Bytes frei 227 --- E O F --- 2008-05-28 20:26:30 am ende habe ich noch mal Malwarebytes' Anti-Malware,Spyware Doctor und Avira anti Vir durchlaufen lassen...Alles sauber und keine funde:-) Ein großes danke schön ♥♥♥ mfg oskar |
|
|
||
29.05.2008, 21:05
...neu hier
Beiträge: 8 |
#5
ich habe das selbe problem wie oskar17!!! außerdem krieg ich auch noch in regelmäßigen abständen pop-ups von "spyware alert"!! soll ich einfach genau das gleiche machen was ihm empfohlen wurde oder....??
würd mich sehr über hilfe freuen!!!!! mfg valho Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:15: VIRUS ALERT!, on 29.05.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe D:\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE D:\Avira\AntiVir PersonalEdition Classic\sched.exe D:\FRITZ!DSL\IGDCTRL.EXE F:\Tobit ClipInc\Server\ClipInc-Server.exe F:\Tobit ClipInc\Server\ClipInc-Server.exe F:\Tobit ClipInc\Server\ClipInc-Server.exe C:\WINDOWS\system32\CTsvcCDA.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe C:\WINDOWS\system32\Rundll32.exe D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe D:\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe C:\WINDOWS\system32\ctfmona.exe C:\WINDOWS\system32\rundll32.exe D:\TuneUp Utilities 2008\MemOptimizer.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\PnkBstrB.exe C:\WINDOWS\system32\SLEE81.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe D:\Virtual CD v9\System\VC9SecS.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\ABC\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O3 - Toolbar: atfxqogp - {9FE5B166-BC73-48F4-8696-A66ADB1485AE} - C:\WINDOWS\atfxqogp.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CTAPR2] "C:\Programme\Creative\Sound Blaster X-Fi\Console Launcher\CTAPR2.exe" /r O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" /r O4 - HKLM\..\Run: [SPIRun] Rundll32 SPIRun.dll,RunDLLEntry O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [avgnt] "D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [amd_dc_opt] D:\AMD\Dual-Core Optimizer\amd_dc_opt.exe O4 - HKLM\..\Run: [CTCheck] D:\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe O4 - HKLM\..\Run: [ctfmona] C:\WINDOWS\system32\ctfmona.exe O4 - HKLM\..\Run: [ec406b6d] rundll32.exe "C:\WINDOWS\system32\tbmlilxh.dll",b O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [TuneUp MemOptimizer] "D:\TuneUp Utilities 2008\MemOptimizer.exe" autostart O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [SAFE7] "D:\Steganos Safe 7\SAFE7.exe" -firstboot (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [SAFE7] "D:\Steganos Safe 7\SAFE7.exe" -firstboot (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [SAFE7] "D:\Steganos Safe 7\SAFE7.exe" -firstboot (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [SAFE7] "D:\Steganos Safe 7\SAFE7.exe" -firstboot (User 'Default user') O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\Microsoft Office\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\Microsoft Office\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\Microsoft Office\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Microsoft Office\Office12\REFIEBAR.DLL O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1188142337890 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1188142310437 O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su2/CTL_V02002/ocx/15034/CTPID.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\Microsoft Office\Office12\GrooveSystemServices.dll O21 - SSODL: vregfwlx - {F9851CBA-A554-45EF-B7EA-D343C67546DF} - C:\WINDOWS\vregfwlx.dll O21 - SSODL: vltdfabw - {D55CD866-071D-4F16-AB65-001FB9AD89DA} - C:\WINDOWS\vltdfabw.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - D:\FRITZ!DSL\IGDCTRL.EXE O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - F:\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: ClipInc 002 (ClipInc002) - Unknown owner - F:\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: ClipInc 003 (ClipInc003) - Unknown owner - F:\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: Steganos Live Encryption Engine 8.1 [Service] (SLEE_81_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE81.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: Virtual CD v9 Management Service (VC9SecS) - H+H Software GmbH - D:\Virtual CD v9\System\VC9SecS.exe O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm -- End of file - 7887 bytes Dieser Beitrag wurde am 29.05.2008 um 22:18 Uhr von valho editiert.
|
|
|
||
29.05.2008, 22:32
Member
Beiträge: 11 |
#6
Bei mehreren Lösungsvorschägen habe ich diesen Satz mehrmals schon gelesen "starte Hijack This...."
Was ist das? Kann mir jemand weiterhelfen.................. |
|
|
||
29.05.2008, 23:11
Ehrenmitglied
Beiträge: 6028 |
||
|
||
30.05.2008, 01:07
Ehrenmitglied
Beiträge: 29434 |
#8
oskar17
1. Virustotal http://www.virustotal.com/flash/index_en.html C:\WINDOWS\system32\ciaResSvr20.dll Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren ------------------------------------------------------- 2. http://virus-protect.org/artikel/tools/otmoveIt.html öffne: OTMoveIt.exe OTMoveIt Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move Zitat C:\WINDOWS\eesg.exeKlicke auf den Roten MoveIt! 3. Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.05.2008, 01:11
Ehrenmitglied
Beiträge: 29434 |
#9
Hallo valho
wende cleaner an + lösche die temp-Dateien http://www.ccleaner.de/?protecus.de « mit dem HijackThis löschen ("fixen") Klicke: "Do a system scan only" Setze ein Häckchen in das Kästchen vor den genannten Eintrag und wähle fix checked. + starte den Rechner neu. Zitat R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = softwarereferral./jump.php?wmid=6010&mid=MjI6Ojg5&lid=2«« wende smitfraudfix Option 2 an http://virus-protect.org/artikel/tools/smitfrautfix.html « wende rvaxo im abgesicherten Modus (oder im normalmodus) an + poste dann den report hier http://virus-protect.org/artikel/tools/rvaxo.html « scannen + poste den report http://virus-protect.org/artikel/tools/malwarebytes.html « wende combofix an , warnmeldung wegklicken + poste hier den report http://virus-protect.org/artikel/tools/combofix.html ---------------------------------------------------------- wenn dann alles sauber ist, (nach dem log von Combofix werde ich noch ein script erstellen) arbeite das ab: http://board.protecus.de/t33739.htm __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.05.2008, 16:41
...neu hier
Beiträge: 8 |
#10
windows lässt sich im abgesicherten modus nicht richtig starten!! ich soll im abgesicherten modus ein passwort für meinen account eingeben, hab aber keins eingerichtet, kann also auch kein korrektes eingeben....
ich hab smitfraudfix dann einfach im ungesicherten modus ausgeführt... hoffe ma es geht trotzdem!! hier der RVAXO report, und vielen dank schonmal!!! : ---RVAXO.exe Updated: 2008-05-29---first run--- Uninstallers: Files found: C:\WINDOWS\system32\KRrssBeg.ini2 C:\WINDOWS\boqnrwdmwet.dll C:\WINDOWS\xmpstean.exe C:\WINDOWS\atfxqogp.dll C:\WINDOWS\vregfwlx.dll C:\WINDOWS\vltdfabw.dll C:\WINDOWS\wininit.ini C:\WINDOWS\system32\clkcnt.txt C:\WINDOWS\system32\ctfmona.exe C:\WINDOWS\system32\ctfmonb.bmp C:\WINDOWS\system32\blackster.scr C:\WINDOWS\system32\mcrh.tmp C:\Dokumente und Einstellungen\Valentin\Desktop\Error Cleaner.url C:\Dokumente und Einstellungen\Valentin\Desktop\Spyware&Malware Protection.url C:\Dokumente und Einstellungen\Valentin\Desktop\Privacy Protector.url C:\Dokumente und Einstellungen\Valentin\FAVORI~1\Error Cleaner.url C:\Dokumente und Einstellungen\Valentin\FAVORI~1\Privacy Protector.url C:\Dokumente und Einstellungen\Valentin\FAVORI~1\Spyware&Malware Protection.url Folders Found: Hosts-file was reset, If you use a custom hosts file please replace it... --------------RVAXO.exe last run--------------- Not deleted items: --------------RVAXO.exe finished---------------- |
|
|
||
30.05.2008, 16:46
Ehrenmitglied
Beiträge: 29434 |
#11
Hallo valho
« scannen + poste den report http://virus-protect.org/artikel/tools/malwarebytes.html « wende combofix an , warnmeldung wegklicken + poste hier den report http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
31.05.2008, 13:45
...neu hier
Beiträge: 8 |
#12
super!!! der virus scheint weg zu sein!!!
vielen, vielen dank für die Hilfe!!! hier noch die reports: Malwarebytes' Anti-Malware 1.12 Datenbank Version: 799 Scan Art: Komplett Scan (C:\|D:\|E:\|F:\|) Objekte gescannt: 137512 Scan Dauer: 39 minute(s), 58 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 2 Infizierte Registrierungsschlüssel: 19 Infizierte Registrierungswerte: 5 Infizierte Datei Objekte der Registrierung: 2 Infizierte Verzeichnisse: 0 Infizierte Dateien: 30 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: C:\WINDOWS\system32\geBssrRK.dll (Trojan.Vundo) -> Unloaded module successfully. C:\WINDOWS\system32\vtUooMfE.dll (Trojan.Vundo) -> Unloaded module successfully. Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8362b264-0191-42ca-87d0-84b240cca05c} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{8362b264-0191-42ca-87d0-84b240cca05c} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{0f8b0aa8-9d77-4231-91c8-368195e82551} (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Typelib\{28f85800-2969-4966-8894-eda174875e71} (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{1e80400b-dcba-4564-bc54-8c2004030da9} (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{ae6aeecd-04fa-4d6f-8ee2-006a1a5bdf49} (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Typelib\{cf7db8b4-3332-4307-a252-01ae5ffdc5f4} (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{96134abb-ad7c-4135-a927-329b735d524f} (Trojan.Vundo) -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{96134abb-ad7c-4135-a927-329b735d524f} (Trojan.Vundo) -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vtuoomfe (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\atfxqogp.bakq (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\atfxqogp.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{96134abb-ad7c-4135-a927-329b735d524f} (Trojan.Vundo) -> Delete on reboot. HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\General\Wallpaper (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\OriginalWallpaper (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\ConvertedWallpaper (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\SCRNSAVE.EXE (Trojan.FakeAlert) -> Quarantined and deleted successfully. Infizierte Datei Objekte der Registrierung: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\gebssrrk -> Delete on reboot. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\gebssrrk -> Delete on reboot. Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\ebhwutog.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\gotuwhbe.ini (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\ekxjnfta.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\atfnjxke.ini (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\geBssrRK.dll (Trojan.Vundo) -> Delete on reboot. C:\WINDOWS\system32\KRrssBeg.ini (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\KRrssBeg.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{1ECB9BA0-1920-44B5-9AF5-FBA439D4833D}\RP5\A0003950.scr (Trojan.Agent) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{1ECB9BA0-1920-44B5-9AF5-FBA439D4833D}\RP5\A0003957.scr (Trojan.Agent) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{1ECB9BA0-1920-44B5-9AF5-FBA439D4833D}\RP5\A0004002.scr (Trojan.Agent) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{1ECB9BA0-1920-44B5-9AF5-FBA439D4833D}\RP5\A0004013.scr (Trojan.Agent) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{1ECB9BA0-1920-44B5-9AF5-FBA439D4833D}\RP5\A0004024.scr (Trojan.Agent) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{1ECB9BA0-1920-44B5-9AF5-FBA439D4833D}\RP5\A0005024.scr (Trojan.Agent) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{1ECB9BA0-1920-44B5-9AF5-FBA439D4833D}\RP5\A0005041.scr (Trojan.Agent) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{1ECB9BA0-1920-44B5-9AF5-FBA439D4833D}\RP5\A0005062.scr (Trojan.Agent) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{1ECB9BA0-1920-44B5-9AF5-FBA439D4833D}\RP5\A0005064.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{1ECB9BA0-1920-44B5-9AF5-FBA439D4833D}\RP5\A0005065.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{1ECB9BA0-1920-44B5-9AF5-FBA439D4833D}\RP5\A0005066.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{1ECB9BA0-1920-44B5-9AF5-FBA439D4833D}\RP5\A0005067.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{1ECB9BA0-1920-44B5-9AF5-FBA439D4833D}\RP5\A0005068.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\esva.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\system32\vtUooMfE.dll (Trojan.Vundo) -> Delete on reboot. C:\Dokumente und Einstellungen\Georgina\Lokale Einstellungen\Temp\.tt1.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Georgina\Lokale Einstellungen\Temp\.tt2.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Georgina\Desktop\Spyware&Malware Protection.url (Rogue.Link) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Georgina\Desktop\Privacy Protector.url (Rogue.Link) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Georgina\Desktop\Error Cleaner.url (Rogue.Link) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Georgina\Favoriten\Error Cleaner.url (Rogue.Link) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Georgina\Favoriten\Privacy Protector.url (Rogue.Link) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Georgina\Favoriten\Spyware&Malware Protection.url (Rogue.Link) -> Quarantined and deleted successfully. ComboFix 08-05-29.1 - Valentin 2008-05-31 13:31:54.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1609 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Valentin\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\hxlilmbt.ini C:\WINDOWS\system32\KRrssBeg.ini . ((((((((((((((((((((((( Dateien erstellt von 2008-04-28 bis 2008-05-31 )))))))))))))))))))))))))))))) . 2008-05-30 16:35 . 2008-05-30 16:35 <DIR> d-------- C:\RVAXO 2008-05-30 16:35 . 2007-07-04 20:32 16,384 --a------ C:\WINDOWS\system32\Restart.exe 2008-05-30 16:18 . 2008-05-30 16:33 2,256 --a------ C:\WINDOWS\system32\tmp.reg 2008-05-29 23:16 . 2008-05-29 23:16 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-05-29 23:16 . 2008-05-29 23:16 <DIR> d-------- C:\Dokumente und Einstellungen\Valentin\Anwendungsdaten\Malwarebytes 2008-05-29 23:16 . 2008-05-29 23:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-05-29 23:16 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys 2008-05-29 23:16 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-05-29 23:03 . 2008-05-29 23:10 <DIR> d-------- C:\fixwareout 2008-05-29 22:57 . 2008-05-29 21:30 828,824 --a------ C:\WINDOWS\system32\RVAXO.bat 2008-05-29 22:57 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe 2008-05-29 21:52 . 2008-05-30 16:03 <DIR> d-------- C:\Programme\ABC 2008-05-29 21:09 . 2008-05-29 21:09 <DIR> d-------- C:\Programme\Trend Micro 2008-05-29 14:06 . 2008-05-29 14:06 <DIR> d-------- C:\Dokumente und Einstellungen\Georgina\Anwendungsdaten\TmpRecentIcons 2008-05-25 00:43 . 2008-05-25 00:43 <DIR> d-------- C:\Dokumente und Einstellungen\Valentin\.mp3splt-gtk 2008-05-18 13:44 . 2008-05-18 15:37 4,096 --a------ C:\WINDOWS\system32\crash 2008-05-18 13:25 . 2008-05-18 13:25 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ATI 2008-05-18 13:21 . 2008-03-28 21:05 593,920 --------- C:\WINDOWS\system32\ati2sgag.exe 2008-05-18 13:20 . 2008-05-18 13:20 <DIR> d-------- C:\ATI 2008-05-14 03:29 . 2008-05-14 03:29 41,296 --a------ C:\WINDOWS\system32\xfcodec.dll 2008-05-12 00:54 . 2008-05-12 17:03 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Metacafe 2008-05-09 16:17 . 2008-05-09 16:28 9,520 --a------ C:\CTMeasureTiming.ini 2008-05-08 21:01 . 2001-08-17 22:43 24,576 --------- C:\WINDOWS\system32\msxml3a.dll 2008-05-06 21:23 . 2008-05-06 21:23 <DIR> d-------- C:\Dokumente und Einstellungen\Valentin\Anwendungsdaten\Ubisoft 2008-05-06 18:14 . 2008-05-06 18:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ubisoft 2008-05-06 18:14 . 2007-10-12 15:14 3,734,536 --a------ C:\WINDOWS\system32\d3dx9_36.dll 2008-05-06 18:14 . 2007-10-12 15:14 1,374,232 --a------ C:\WINDOWS\system32\D3DCompiler_36.dll 2008-05-06 18:14 . 2007-10-02 09:56 444,776 --a------ C:\WINDOWS\system32\d3dx10_36.dll 2008-05-06 18:14 . 2007-10-22 03:39 267,272 --a------ C:\WINDOWS\system32\xactengine2_10.dll 2008-05-06 18:14 . 2007-07-20 00:57 267,112 --a------ C:\WINDOWS\system32\xactengine2_9.dll 2008-04-24 18:27 . 2008-04-24 18:27 <DIR> d-------- C:\Dokumente und Einstellungen\Valentin\Anwendungsdaten\Command & Conquer 3 Tiberium Wars 2008-04-24 17:31 . 2007-06-29 14:47 34,304 --a------ C:\WINDOWS\system32\drivers\AmdLLD.sys 2008-04-21 16:54 . 2008-04-21 17:09 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-05-29 19:39 --------- d-----w C:\Dokumente und Einstellungen\Valentin\Anwendungsdaten\OpenOffice.org2 2008-05-25 16:01 --------- d-----w C:\Dokumente und Einstellungen\Valentin\Anwendungsdaten\Hamachi 2008-05-25 15:19 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help 2008-05-25 14:05 --------- d-----w C:\Dokumente und Einstellungen\Valentin\Anwendungsdaten\Xfire 2008-05-25 14:03 --------- d-----w C:\Programme\Creative 2008-05-25 14:03 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Creative 2008-05-24 20:29 --------- d-----w C:\Dokumente und Einstellungen\Valentin\Anwendungsdaten\dvdcss 2008-05-18 11:22 --------- d-----w C:\Programme\ATI Technologies 2008-05-18 11:01 --------- d-----w C:\Dokumente und Einstellungen\Valentin\Anwendungsdaten\ATI 2008-05-18 10:58 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-05-10 18:56 --------- d-----w C:\Dokumente und Einstellungen\Valentin\Anwendungsdaten\Creative 2008-05-08 18:57 --------- d--h--w C:\Programme\Creative Installation Information 2008-04-28 13:16 1,541,896 ----a-w C:\WINDOWS\CISUnins.exe 2008-04-28 13:16 1,541,896 ----a-w C:\WINDOWS\CICUnins.exe 2008-04-21 16:08 22,584 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys 2008-03-29 06:21 2,873,856 ----a-w C:\WINDOWS\system32\drivers\ati2mtag.sys 2008-03-29 03:18 49,152 ----a-w C:\WINDOWS\system32\drivers\ati2erec.dll 2007-12-06 15:47 22,328 ----a-w C:\Dokumente und Einstellungen\Valentin\Anwendungsdaten\PnkBstrK.sys . ------- Sigcheck ------- 2003-04-02 14:00 13312 e5ee2f4700b6a85f0d45a18c67da500f C:\WINDOWS\$NtServicePackUninstall$\ctfmon.exe 2007-11-24 22:50 23552 cab5f4d65d49c24faa4ef0351b3755a3 C:\WINDOWS\ServicePackFiles\i386\ctfmon.exe 2007-11-24 22:50 23552 cab5f4d65d49c24faa4ef0351b3755a3 C:\WINDOWS\system32\ctfmon.exe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{355D7733-76E2-4146-9BB2-C761006CE06B}] C:\WINDOWS\boqnrwdmwet.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TuneUp MemOptimizer"="D:\TuneUp Utilities 2008\MemOptimizer.exe" [2007-12-14 14:17 414976] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648] "CTAPR2"="C:\Programme\Creative\Sound Blaster X-Fi\Console Launcher\CTAPR2.exe" [2007-02-15 17:39 57344] "VolPanel"="C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" [2007-02-28 18:50 180224] "SPIRun"="SPIRun.dll" [2006-11-29 12:35 8704 C:\WINDOWS\system32\SPIRun.dll] "avgnt"="D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-14 22:22 262401] "amd_dc_opt"="D:\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2007-07-23 11:06 77824] "CTCheck"="D:\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe" [2007-11-06 11:08 397312] "QuickTime Task"="D:\QuickTime\qttask.exe" [2008-02-01 00:13 385024] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2007-11-24 22:50 23552] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "SAFE7"="D:\Steganos Safe 7\SAFE7.exe" [2005-05-02 17:10 274432] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "SynchronousMachineGroupPolicy"= 0 (0x0) "SynchronousUserGroupPolicy"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "NoStrCmpLogical"= 1 (0x1) "NoResolveSearch"= 1 (0x1) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoSMBalloonTip"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.l3acm"= C:\WINDOWS\system32\l3codecp.acm "msacm.l3codec"= C:\WINDOWS\system32\l3codecp.acm "VIDC.XFR1"= xfcodec.dll [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "D:\\Xfire\\xfire.exe"= "D:\\ICQ6\\ICQ.exe"= "D:\\Steam\\SteamApps\\battlefighter05\\counter-strike source\\hl2.exe"= "D:\\FRITZ!DSL\\IGDCTRL.EXE"= "E:\\TrackMania Nations ESWC\\TmNationsESWC.exe"= "D:\\Steam\\Steam.exe"= "F:\\Tobit ClipInc\\Player\\ClipInc-Player.exe"= "C:\\Programme\\Tobit ClipInc\\Player\\ClipInc-Player.exe"= "C:\\WINDOWS\\system32\\PnkBstrA.exe"= "C:\\WINDOWS\\system32\\PnkBstrB.exe"= "D:\\FRITZ!DSL\\FBOXUPD.EXE"= "E:\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"= "E:\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"= "D:\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "D:\\Microsoft Office\\Office12\\GROOVE.EXE"= "D:\\Microsoft Office\\Office12\\ONENOTE.EXE"= "E:\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx9.exe"= "E:\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx10.exe"= "E:\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Launcher.exe"= "E:\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"= R0 xmasbus;xmasbus;C:\WINDOWS\system32\DRIVERS\xmasbus.sys [2003-12-21 17:24] R0 xmasscsi;xmasscsi;C:\WINDOWS\system32\Drivers\xmasscsi.sys [2003-12-20 20:03] R1 vdrv9000;vdrv9000;C:\WINDOWS\system32\DRIVERS\vdrv9000.sys [2007-01-23 11:48] R2 ClipInc001;ClipInc 001;F:\Tobit ClipInc\Server\ClipInc-Server.exe 001 [] R2 ClipInc002;ClipInc 002;F:\Tobit ClipInc\Server\ClipInc-Server.exe 002 [] R2 ClipInc003;ClipInc 003;F:\Tobit ClipInc\Server\ClipInc-Server.exe 003 [] R2 SLEE_81_DRIVER;Steganos Live Encryption Engine 8.1 [Driver];C:\WINDOWS\system32\drivers\SLEE81.sys [2005-05-02 11:02] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 09:58] R2 VC9SecS;Virtual CD v9 Management Service;D:\Virtual CD v9\System\VC9SecS.exe [2007-04-12 15:33] R3 t3;Sound Blaster X-Fi Xtreme Audio;C:\WINDOWS\system32\drivers\t3.sys [2007-03-29 10:24] R3 t3filt;t3filt;C:\WINDOWS\system32\drivers\t3filt.sys [2007-02-20 16:01] S3 HH9Help.sys;HH9Help.sys;C:\WINDOWS\system32\drivers\HH9Help.sys [2006-09-20 12:42] S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2007-12-19 01:08] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Inhalt des "geplante Tasks" Ordners "2007-12-18 23:08:15 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - D:\TuneUp Utilities 2008\OneClick.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-31 13:39:05 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... folder error: C:\DOKUME~1\Valentin\LOKALE~1\Temp\ Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\system32\ati2evxx.exe C:\WINDOWS\system32\ati2evxx.exe D:\Avira\AntiVir PersonalEdition Classic\avguard.exe D:\Avira\AntiVir PersonalEdition Classic\sched.exe D:\FRITZ!DSL\IGDCTRL.EXE F:\Tobit ClipInc\Server\ClipInc-Server.exe F:\Tobit ClipInc\Server\ClipInc-Server.exe F:\Tobit ClipInc\Server\ClipInc-Server.exe C:\WINDOWS\system32\CTSVCCDA.EXE C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\PnkBstrB.exe C:\WINDOWS\system32\slee81.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe C:\WINDOWS\system32\rundll32.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-05-31 13:40:50 - machine was rebooted ComboFix-quarantined-files.txt 2008-05-31 11:40:47 9 Verzeichnis(se), 11,762,540,544 Bytes frei 11 Verzeichnis(se), 11,767,869,440 Bytes frei 187 --- E O F --- 2008-05-25 15:19:28 |
|
|
||
31.05.2008, 16:38
Ehrenmitglied
Beiträge: 29434 |
#13
Hallo valho
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern Zitat KILLALL::Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden. cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen danach: Combofix noch einmal anwenden 2. wende windowsscan an + poste den report http://virus-protect.org/artikel/tools/windowsscan.html 3. poste ein neues Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.06.2008, 15:34
...neu hier
Beiträge: 8 |
#14
Die 30 neuesten Dateien im Ordner Windows:
***** ***** ***** ***** ***** ***** Scanning C:\WINDOWS ***** ***** ***** ***** ***** ***** 01.06.2008 system.ini 15 28:227 01.06.2008 WindowsUpdate.log 15 21:36.542 01.06.2008 bootstat.dat 15 21:2.048 30.05.2008 setupact.log 16 34:240 30.05.2008 setuperr.log 16 33:0 30.05.2008 ntbtlog.txt 16 28:397.790 25.05.2008 NeroDigital.ini 19 21:116 28.04.2008 CICUnins.exe 15 16:1.541.896 28.04.2008 CISUnins.exe 15 16:1.541.896 27.03.2008 CFSETUP.TXT 21 49:34.859 DSL, 27.03.2008 ModemLog_cFos 00 58:46.596 26.03.2008 win.ini 18 02:830 27.02.2008 game.ini 18 30:301 26.02.2008 wa.INI 18 19:83 12.02.2008 mozver.dat 19 47:1.653 06.02.2008 ativpsrm.bin 17 20:0 25.01.2008 BlendSettings.ini 19 00:23 21.01.2008 atiogl.xml 15 48:12.477 18.01.2008 ctfile.rfc 17 06:832 27.12.2007 PhotoSnapViewer.INI 12 08:151 24.11.2007 WORDPAD.INI 22 06:754 04.11.2007 Setup1.exe 16 56:249.856 04.11.2007 ST6UNST.EXE 16 56:73.216 02.10.2007 _detmp.1 12 18:72.706 17.09.2007 cdplayer.ini 19 43:34 10.09.2007 RSoftInfo.dat 16 59:40 28.08.2007 eSellerateEngine.dll 20 55:352.256 Die 50 neuesten Dateien im Ordner Windows\system32: ***** ***** ***** ***** ***** ***** Scanning C:\WINDOWS\system32 ***** ***** ***** ***** ***** ***** 01.06.2008 nmp.log 15 21:0 01.06.2008 wpa.dbl 15 02:13.646 30.05.2008 tmp.txt 16 33:0 30.05.2008 tmp.reg 16 33:2.256 29.05.2008 RVAXO.bat 21 30:828.824 29.05.2008 FNTCACHE.DAT 20 07:297.256 18.05.2008 crash 15 37:4.096 14.05.2008 xfcodec.dll 03 29:41.296 09.05.2008 MRT.exe 23 35:16.863.864 21.04.2008 PnkBstrB.exe 18 08:99.904 21.04.2008 perfc009.dat 17 27:60.932 21.04.2008 perfh009.dat 17 27:400.952 21.04.2008 perfh007.dat 17 27:415.458 21.04.2008 perfc007.dat 17 27:73.870 21.04.2008 PerfStringBackup.INI 17 27:916.856 29.03.2008 atioglx2.dll 07 19:9.801.728 29.03.2008 atiok3x2.dll 06 40:167.936 29.03.2008 ATIDEMGX.dll 06 05:372.736 29.03.2008 ati2dvag.dll 06 04:299.008 29.03.2008 atipdlxx.dll 05 56:172.032 29.03.2008 Oemdspif.dll 05 56:126.976 29.03.2008 Ati2mdxx.exe 05 55:26.112 29.03.2008 ati2edxx.dll 05 55:43.520 29.03.2008 ati2evxx.dll 05 55:126.976 29.03.2008 ati2evxx.exe 05 54:536.576 29.03.2008 ATIDDC.DLL 05 52:53.248 29.03.2008 ati3duag.dll 05 43:3.176.480 29.03.2008 atiiiexx.dll 05 39:307.200 29.03.2008 ativvaxx.dll 05 36:1.765.120 29.03.2008 ativva5x.dat 05 36:3.107.788 29.03.2008 ativva6x.dat 05 36:887.724 29.03.2008 ativvaxx.dat 05 36:3.107.788 29.03.2008 amdpcom32.dll 05 24:46.080 29.03.2008 atioglxx.dll 05 23:5.439.488 29.03.2008 atikvmag.dll 05 21:393.216 29.03.2008 atitvo32.dll 05 19:17.408 29.03.2008 ati2cqag.dll 05 12:520.192 28.03.2008 ati2sgag.exe 21 05:593.920 25.03.2008 mswstr10.dll 06 51:621.344 25.03.2008 msjint40.dll 06 51:187.168 25.03.2008 msxbde40.dll 06 50:355.104 25.03.2008 mswdat10.dll 06 50:838.432 25.03.2008 mstext40.dll 06 50:264.992 25.03.2008 msrepl40.dll 06 50:559.904 25.03.2008 msrd3x40.dll 06 50:322.336 25.03.2008 msrd2x40.dll 06 50:432.928 25.03.2008 mspbde40.dll 06 50:355.104 ***** ***** ***** ***** ***** ***** Scanning C:\WINDOWS\system32\drivers\etc\hosts ***** ***** ***** ***** ***** ***** 127.0.0.1 localhost ***** ***** ***** ***** ***** ***** Scanning Processe ***** ***** ***** ***** ***** ***** Microsoft Windows XP [Version 5.1.2600] http://www.paules-pc-forum.de ***** Malware Team ***** ***** Ende des Scans 01.06.2008 um 15:32:15,64 *** Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:33, on 01.06.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe D:\Avira\AntiVir PersonalEdition Classic\avguard.exe D:\Avira\AntiVir PersonalEdition Classic\sched.exe D:\FRITZ!DSL\IGDCTRL.EXE F:\Tobit ClipInc\Server\ClipInc-Server.exe F:\Tobit ClipInc\Server\ClipInc-Server.exe F:\Tobit ClipInc\Server\ClipInc-Server.exe C:\WINDOWS\system32\CTsvcCDA.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\PnkBstrB.exe C:\WINDOWS\system32\SLEE81.exe D:\Virtual CD v9\System\VC9SecS.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe C:\WINDOWS\system32\Rundll32.exe D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe D:\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe D:\TuneUp Utilities 2008\MemOptimizer.exe C:\WINDOWS\explorer.exe D:\MOZILL~1\FIREFOX.EXE C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CTAPR2] "C:\Programme\Creative\Sound Blaster X-Fi\Console Launcher\CTAPR2.exe" /r O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" /r O4 - HKLM\..\Run: [SPIRun] Rundll32 SPIRun.dll,RunDLLEntry O4 - HKLM\..\Run: [avgnt] "D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [amd_dc_opt] D:\AMD\Dual-Core Optimizer\amd_dc_opt.exe O4 - HKLM\..\Run: [CTCheck] D:\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [TuneUp MemOptimizer] "D:\TuneUp Utilities 2008\MemOptimizer.exe" autostart O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [SAFE7] "D:\Steganos Safe 7\SAFE7.exe" -firstboot (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [SAFE7] "D:\Steganos Safe 7\SAFE7.exe" -firstboot (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [SAFE7] "D:\Steganos Safe 7\SAFE7.exe" -firstboot (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [SAFE7] "D:\Steganos Safe 7\SAFE7.exe" -firstboot (User 'Default user') O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\Microsoft Office\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\Microsoft Office\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\Microsoft Office\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Microsoft Office\Office12\REFIEBAR.DLL O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su2/CTL_V02002/ocx/15034/CTPID.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\Microsoft Office\Office12\GrooveSystemServices.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - D:\FRITZ!DSL\IGDCTRL.EXE O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - F:\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: ClipInc 002 (ClipInc002) - Unknown owner - F:\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: ClipInc 003 (ClipInc003) - Unknown owner - F:\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: Steganos Live Encryption Engine 8.1 [Service] (SLEE_81_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE81.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: Virtual CD v9 Management Service (VC9SecS) - H+H Software GmbH - D:\Virtual CD v9\System\VC9SecS.exe -- End of file - 7309 bytes |
|
|
||
01.06.2008, 16:57
Ehrenmitglied
Beiträge: 29434 |
#15
Hallo valho
1. ich finde nix mehr, es scheint alles wieder sauber. schau, ob die Laufwerke wieder angezeigt werden. 2. boote noch mal in den abgesicherten Modus, wenn du frage nach dem Passwort kommt, klicke einfach enter (weiter) und berichte, ob man auch ohne Eingabe eines Passworts in Windows kommt. 3. es kann sein, dass die ProductID-Nummer von VIRUS ALERT" ausgelöscht wurde. überprüfe das bitte. http://virus-protect.org/artikel/spyware/virusalert-remove.html HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion] ProductId XXXX-XXX-XXXXXXX-XXXXX (die X stehen für die 20 Nummern und Buchstaben) ------------- 4. dann versuche die Windowsupdates zu machen und berichte, ob es klappt oder ob eine fehlermeldung kommt __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:06: VIRUS ALERT!, on 29.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\PC Tools AntiVirus\PCTAV.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Evil Player\Evil_Player.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\QIP\qip.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: QXK Olive - {11B771F0-C8FD-426A-B537-F9AAE4059895} - C:\WINDOWS\boqnrwdmkrs.dll
O2 - BHO: QXK Olive - {3C635E4B-AD24-4560-8219-86C85CFBF389} - C:\WINDOWS\boqnrwdmerq.dll
O2 - BHO: QXK Olive - {72976A08-625C-41C1-AD59-780F96CC2473} - C:\WINDOWS\nldfmtappdm.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: gktxaspm - {0983040A-984F-4BEF-BEBE-D3D3342D3954} - (no file)
O3 - Toolbar: atfxqogp - {636F6360-35BA-4603-B7B8-847380EAAC76} - (no file)
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMax] "C:\Programme\Analog Devices\SoundMAX\smax4.exe" /tray
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [PCTAVApp] "C:\Programme\PC Tools AntiVirus\PCTAV.exe" /MONITORSCAN
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [CleanUp XP] C:\Programme\CleanUp XP\CleanUp.exe -h
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: hamachi.lnk = C:\Programme\Hamachi\hamachi.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{68A3DFD5-E33E-48B6-868F-3C4346F30ABB}: NameServer = 89.27.130.34 89.27.130.33
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: iifExWOe - iifExWOe.dll (file missing)
O21 - SSODL: vltdfabw - {7D2A91D6-ECD0-4D77-9323-CA0335ECD156} - C:\WINDOWS\vltdfabw.dll
O21 - SSODL: vregfwlx - {267D5822-54C8-4324-B36F-4877AC088625} - C:\WINDOWS\vregfwlx.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: PC Tools AntiVirus Engine (PCTAVSvc) - PC Tools Research Pty Ltd - C:\Programme\PC Tools AntiVirus\PCTAVSvc.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
--
End of file - 7722 bytes