Virus Alert unten rechts, Festplatten c und d verschwunden! UPDATE der LOGs |
||
---|---|---|
#0
| ||
31.05.2008, 15:20
...neu hier
Beiträge: 8 |
||
|
||
31.05.2008, 15:40
Moderator
Beiträge: 5694 |
#2
Hallo Rudi79
>> http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) VIRUS ALERT! in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. >> Öffne Texteditor - Unter Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheint der Texteditor. Oder unter Start/Programme/Zubehör/Editor 2. kopiere diesen Code rein: Zitat reg query "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" >RegQuery.txt3. Speichere die Datei als fix.bat auf Desktop (abspeichern unter Dateityp "Alle Dateien") 4. Doppelklick auf die Datei fix.bat, dann wird eine RegQuery.txt Datei erstellt,den Inhalt hier posten Gruss Swiss |
|
|
||
31.05.2008, 15:46
...neu hier
Themenstarter Beiträge: 8 |
#3
wart mal da war ein fehler drin von meiner seite jetzt stimmts:
So log vom regsearch Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.5.0 ; Results at 31.05.2008 15:48:15 for strings: ; 'virus alert! ' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... und das zweite: ! REG.EXE VERSION 3.0 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer NoDriveTypeAutoRun REG_DWORD 0x91 NoDrives REG_DWORD 0x0 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run Dieser Beitrag wurde am 31.05.2008 um 15:50 Uhr von Rudi79 editiert.
|
|
|
||
31.05.2008, 15:55
Moderator
Beiträge: 5694 |
#4
>>
CCleaner anwenden http://www.virus-protect.org/ccleaner.html >> mit dem HijackThis löschen ("fixen") Klicke: "Do a system scan only" Setze ein Häckchen in das Kästchen vor den genannten Eintrag und wähle fix checked. + starte den Rechner neu. Zitat O2 - BHO: (no name) - {27796771-8D05-4EE6-B478-43CE759F2106} - C:\WINDOWS\system32\ssqOeDSi.dll (file missing)« wende smitfraudfix Option 2 an http://virus-protect.org/artikel/tools/smitfrautfix.html >> wende rvaxo im abgesicherten Modus (oder im normalmodus) an + poste dann den report hier http://virus-protect.org/artikel/tools/rvaxo.html >> scannen + poste den report http://virus-protect.org/artikel/tools/malwarebytes.html >> Und poste ein neues Log von Combofix Gruss Swiss Dieser Beitrag wurde am 31.05.2008 um 16:00 Uhr von Tonstudio editiert.
|
|
|
||
31.05.2008, 16:19
...neu hier
Themenstarter Beiträge: 8 |
#5
---RVAXO.exe Updated: 2008-05-29---first run---
Uninstallers: Files found: C:\WINDOWS\system32\clkcnt.txt Folders Found: Hosts-file was reset, If you use a custom hosts file please replace it... --------------RVAXO.exe last run--------------- Not deleted items: --------------RVAXO.exe finished---------------- Malwarebytes' Anti-Malware 1.14 Datenbank Version: 807 16:15:18 31.05.2008 mbam-log-5-31-2008 (16-15-14).txt Scan Art: Komplett Scan (C:\|D:\|) Objekte gescannt: 53100 Scan Dauer: 5 minute(s), 20 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 2 Infizierte Registrierungswerte: 0 Infizierte Datei Objekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken. Infizierte Registrierungswerte: (Keine Malware Objekte gefunden) Infizierte Datei Objekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductId (Trojan.FakeAlert) -> Bad: (VIRUS ALERT!) Good: (76416-OEM-0042697-34758) -> No action taken. Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: C:\QooBox\Quarantine\C\WINDOWS\system32\fedpujgi.dll.vir (Trojan.Vundo) -> No action taken. C:\System Volume Information\_restore{CB517B6C-0148-4629-89AC-E95A43D77CE2}\RP44\A0108858.dll (Trojan.Vundo) -> No action taken. C:\Dokumente und Einstellungen\Martin\Desktop\AdvancedCleaner Free.lnk (Rogue.Advanced.Cleaner) -> No action taken. ComboFix 08-05-29.1 - Martin 2008-05-31 16:16:11.2 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.581 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Martin\Desktop\ComboFix.exe [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . ((((((((((((((((((((((( Dateien erstellt von 2008-04-28 bis 2008-05-31 )))))))))))))))))))))))))))))) . 2008-05-31 16:08 . 2008-05-31 16:08 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-05-31 16:08 . 2008-05-31 16:08 <DIR> d-------- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\Malwarebytes 2008-05-31 16:08 . 2008-05-31 16:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-05-31 16:08 . 2008-05-30 01:06 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys 2008-05-31 16:08 . 2008-05-30 01:06 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-05-31 16:07 . 2008-05-31 16:07 <DIR> d-------- C:\RVAXO 2008-05-31 16:06 . 2008-05-29 21:30 828,824 --a------ C:\WINDOWS\system32\RVAXO.bat 2008-05-31 16:06 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe 2008-05-31 16:03 . 2008-05-31 16:03 2,316 --a------ C:\WINDOWS\system32\tmp.reg 2008-05-31 16:02 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-05-31 16:02 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-05-31 16:02 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe 2008-05-31 16:02 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-05-31 16:02 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\404Fix.exe 2008-05-31 16:02 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-05-31 16:02 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-05-31 16:02 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2008-05-31 15:27 . 2008-05-31 15:27 <DIR> d-------- C:\Programme\CCleaner 2008-05-31 15:17 . 2008-05-31 15:17 <DIR> d-------- C:\Programme\Trend Micro 2008-05-31 09:15 . 2008-05-31 09:15 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab 2008-05-31 09:15 . 2008-05-31 09:15 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2008-05-28 20:28 . 2003-03-19 08:20 1,060,864 --a------ C:\WINDOWS\system32\mfc71.dll 2008-05-28 20:28 . 2003-03-19 05:05 89,088 --a------ C:\WINDOWS\system32\atl71.dll 2008-05-02 11:29 . 2008-05-02 11:29 <DIR> d-------- C:\WINDOWS\Sun 2008-05-02 11:29 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl 2008-05-02 11:28 . 2008-05-02 11:29 <DIR> d-------- C:\Programme\Java 2008-05-02 11:28 . 2008-05-02 11:28 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-05-31 13:09 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\AVG7 2008-04-10 13:42 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe 2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll 2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll 2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys 2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll 2008-02-26 11:59 294,912 ----a-w C:\WINDOWS\system32\msctf.dll 2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll 2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll 2007-12-16 12:46 58,868,336 ----a-w C:\Programme\avg75iswt_503a1224.exe . ((((((((((((((((((((((((((((( snapshot@2008-05-31_15.33.08.79 ))))))))))))))))))))))))))))))))))))))))) . - 2008-05-31 13:32:22 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-05-31 14:07:13 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-01-15 20:12:48 296,336 ----a-w C:\WINDOWS\Downloaded Program Files\rufsi.dll - 2008-05-31 13:08:48 4,932 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\2\WpsHrc.BIN + 2008-05-31 14:07:39 4,932 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\2\WpsHrc.BIN - 2008-05-31 13:08:48 4,932 ----a-w C:\WINDOWS\WPS\WpsHrc.BIN + 2008-05-31 14:07:39 4,932 ----a-w C:\WINDOWS\WPS\WpsHrc.BIN . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-12-23 19:05 143360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-11-28 07:55 98304] "igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-11-28 07:52 77824] "igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-11-28 07:55 118784] "SkyTel"="SkyTel.EXE" [2006-05-16 12:04 2879488 C:\WINDOWS\SkyTel.exe] "RTHDCPL"="RTHDCPL.EXE" [2006-11-14 11:21 16270848 C:\WINDOWS\RTHDCPL.exe] "NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 16:40 155648] "WpsRePsw"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WpsRePsw.EXE" [2000-01-27 01:00 32256] "AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-04-17 18:56 579584] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2008-02-10 16:58 219136] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "SrvcRom"= {631789fb-3930-4d24-8901-3610a9279ef0} - C:\WINDOWS\Resources\SrvcRom.dll [ ] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\Grisoft\\AVG7\\avginet.exe"= "C:\\Programme\\Grisoft\\AVG7\\avgamsvr.exe"= "C:\\Programme\\Grisoft\\AVG7\\avgcc.exe"= "C:\\Programme\\Grisoft\\AVG7\\avgemc.exe"= "C:\\Programme\\Messenger\\msmsgs.exe"= R2 WpsPeppy;WpsPeppy;C:\WINDOWS\system32\DRIVERS\WpsPeppy.SYS [2000-01-27 01:00] *Newly Created Service* - CATCHME . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-31 16:16:58 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-05-31 16:17:19 ComboFix-quarantined-files.txt 2008-05-31 14:17:17 ComboFix2.txt 2008-05-31 13:33:22 11 Verzeichnis(se), 77,919,641,600 Bytes frei 14 Verzeichnis(se), 77,919,399,936 Bytes frei 108 --- E O F --- 2008-05-31 06:49:09 Gruss Rudi79 |
|
|
||
31.05.2008, 16:27
Moderator
Beiträge: 5694 |
#6
>>
Lade folgede Datei bei www.Virustotal.com/de hoch und poste das Ergebnis: C:\Programme\avg75iswt_503a1224.exe Könnte ein Crack sein!! >> Bei Malwarebytes musst du das gefundene löschen. No Action Taken bedeutete dass dies nicht gelöscht wurde. Gruss Swiss |
|
|
||
31.05.2008, 16:37
...neu hier
Themenstarter Beiträge: 8 |
#7
Die mit Malwarebytes gefundenen Dateien hab ich inzwischen gelöscht.
Das Hochladen der Datei wird wahrscheinlich etwas dauern, da diese 51 MB hat. Gruss Rudi |
|
|
||
31.05.2008, 16:40
Moderator
Beiträge: 5694 |
#8
Dannach mach folgendes:
http://virus-protect.org/artikel/spyware/virusalert-remove.html (Ab: "VIRUS ALERT!" entfernen ) Dies sollte auch noch weg: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "SrvcRom"= {631789fb-3930-4d24-8901-3610a9279ef0} - C:\WINDOWS\Resources\SrvcRom.dll [ ] Aber hier soll noch Sabina drüber schauen Gruss Swiss Dieser Beitrag wurde am 31.05.2008 um 16:43 Uhr von Tonstudio editiert.
|
|
|
||
31.05.2008, 16:49
Ehrenmitglied
Beiträge: 29434 |
#9
Rudi79
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern Zitat KILLALL::Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden. cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen danach: Combofix noch einmal anwenden «« falls VirusAlert! noch besteht, arbeite das ab, vor allem den Key in ProductId wieder an den richtigen Ort in der Registry bringen HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductId http://virus-protect.org/artikel/spyware/virusalert-remove.html «« Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" «« RVAXO entfernen: Öffne die Datei RVAXO auf deinem Desktop Doppleklick Uninstall.cmd um alles von RVAXO zu entfernen __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
31.05.2008, 16:55
...neu hier
Themenstarter Beiträge: 8 |
#10
Nun das Virus-alert logo unten recht ist zwar jetzt schon weg und ich kann wieder auf sämtliche Programme im Start menu zugreifen. Aber die diversen Scans finden ja noch immer wieder irgendwelche fehler und einträge.
Ich mach mal das was du mir gesagt hast sobald die Datei hochgeladen ist und poste dann wieder gruss Rudi |
|
|
||
31.05.2008, 16:57
Ehrenmitglied
Beiträge: 29434 |
#11
du musst den Key wieder in die Registry bringen, sonst ist dein XP- wertlos..kannst keine Windowsupdates mehr machen
Zitat vor allem den Key in ProductId wieder an den richtigen Ort in der Registry bringen __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
31.05.2008, 17:02
...neu hier
Themenstarter Beiträge: 8 |
#12
Kann die Datei nicht hochladen, da es kommt die Mitteilung Bigger than max permited size,
ich mach dann mal mit dem vorletzten Eintrag von dir Sabrina weiter und poste dann wieder Gruss rudi |
|
|
||
31.05.2008, 17:03
Ehrenmitglied
Beiträge: 29434 |
#13
o-k-
wende also das script an, dann versuche laut anleitung den key wieder in die productId zu bekommen.......... __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
31.05.2008, 17:15
...neu hier
Themenstarter Beiträge: 8 |
#14
Kleine Frage, ist bei mir evtl schon wieder alles ok? Denn ich hab jetzt das gemacht und regedit geöffnet.
dort zum entsprechenden Eintrag gegangen und dort ist schon ein Key eingegeben. Eigentlich sollte dort doch Virus alert stehen oder? Ist jetzt der Müll von meinem PC weg? Noch 2 kleine Zusatzfragen 1) Wie ist der auf den PC gelangt? ist der pc meiner eltern und die gehen nur mal auf google, gmx oder sonst so normale seiten 2) Gibts ein Antivirusprogramm das zu empfehlen wäre? bis jetzt hab ich avg benutzt. Gruss rudi |
|
|
||
31.05.2008, 17:32
Ehrenmitglied
Beiträge: 29434 |
#15
««
ueberpruefe, ob der productkey "XXXX-XXX-XXXXXXX-XXXXX" (die X stehen für die 20 Nummern und Buchstaben) - hier eingetragen ist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductId «« dann versuche die Windowsupdates zu machen + berichte, ob es klappt «« wie das auf den rechner gekommen ist ??? ...oder ueber einen P2P-Client oder auf der falschen seite gesurft... Dagegen gibt es schlecht einen Schutz, da es relativ neu ist... und zudem ständig variiert. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Ich habe jetzt schon mehrere Beiträge gelesen, die das selbe problem hatten wie ich aber immer wurde eine etwas andere Lösung angeboten. Kann mir jemand helfen? Hier mein Log: BESTEN DANK
So alos hier der Log fom combofix:
ComboFix 08-05-29.1 - Martin 2008-05-31 15:30:25.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.567 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Martin\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.
(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Dokumente und Einstellungen\Martin\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\Martin\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\Martin\Favoriten\Spyware&Malware Protection.url
C:\WINDOWS\cookies.ini
C:\WINDOWS\privacy_danger
C:\WINDOWS\privacy_danger\images\capt.gif
C:\WINDOWS\privacy_danger\images\danger.jpg
C:\WINDOWS\privacy_danger\images\down.gif
C:\WINDOWS\privacy_danger\images\spacer.gif
C:\WINDOWS\system32\bsjcpkit.ini
C:\WINDOWS\system32\fedpujgi.dll
C:\WINDOWS\system32\igjupdef.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\QAaHNqss.ini
C:\WINDOWS\system32\QAaHNqss.ini2
C:\WINDOWS\system32\shquevye.ini
.
((((((((((((((((((((((( Dateien erstellt von 2008-04-28 bis 2008-05-31 ))))))))))))))))))))))))))))))
.
2008-05-31 15:27 . 2008-05-31 15:27 <DIR> d-------- C:\Programme\CCleaner
2008-05-31 15:17 . 2008-05-31 15:17 <DIR> d-------- C:\Programme\Trend Micro
2008-05-31 09:15 . 2008-05-31 09:15 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-05-31 09:15 . 2008-05-31 09:15 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-05-28 20:28 . 2003-03-19 08:20 1,060,864 --a------ C:\WINDOWS\system32\mfc71.dll
2008-05-28 20:28 . 2003-03-19 05:05 89,088 --a------ C:\WINDOWS\system32\atl71.dll
2008-05-02 11:29 . 2008-05-02 11:29 <DIR> d-------- C:\WINDOWS\Sun
2008-05-02 11:29 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-05-02 11:28 . 2008-05-02 11:29 <DIR> d-------- C:\Programme\Java
2008-05-02 11:28 . 2008-05-02 11:28 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-31 13:09 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\AVG7
2008-04-10 13:42 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2007-12-16 12:46 58,868,336 ----a-w C:\Programme\avg75iswt_503a1224.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{27796771-8D05-4EE6-B478-43CE759F2106}]
C:\WINDOWS\system32\ssqOeDSi.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{355D7733-76E2-4146-9BB2-C761006CE06B}]
C:\WINDOWS\boqnrwdmwet.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{37D00CD6-4FF0-4004-9A5B-D0D777B09EEF}]
C:\WINDOWS\boqnrwdmmfv.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BF7694BE-9FE5-4213-B632-F7F5B16E7F56}]
C:\WINDOWS\system32\ssqNHaAQ.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-12-23 19:05 143360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-11-28 07:55 98304]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-11-28 07:52 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-11-28 07:55 118784]
"SkyTel"="SkyTel.EXE" [2006-05-16 12:04 2879488 C:\WINDOWS\SkyTel.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-11-14 11:21 16270848 C:\WINDOWS\RTHDCPL.exe]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 16:40 155648]
"WpsRePsw"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WpsRePsw.EXE" [2000-01-27 01:00 32256]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-04-17 18:56 579584]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2008-02-10 16:58 219136]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{27796771-8D05-4EE6-B478-43CE759F2106}"= C:\WINDOWS\system32\ssqOeDSi.dll [ ]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"SrvcRom"= {631789fb-3930-4d24-8901-3610a9279ef0} - C:\WINDOWS\Resources\SrvcRom.dll [ ]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqOeDSi]
ssqOeDSi.dll
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avginet.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avgamsvr.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avgcc.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avgemc.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
R2 WpsPeppy;WpsPeppy;C:\WINDOWS\system32\DRIVERS\WpsPeppy.SYS [2000-01-27 01:00]
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-31 15:32:35
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Eintr„ge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\system32\spool\drivers\w32x86\2\WpsC3Psw.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-31 15:33:21 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-31 13:33:18
10 Verzeichnis(se), 77,895,946,240 Bytes frei
13 Verzeichnis(se), 77,938,802,688 Bytes frei
118 --- E O F --- 2008-05-31 06:49:09
Hiijackthis log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:37, on 31.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WPSC3PSW.EXE
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\internet explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {27796771-8D05-4EE6-B478-43CE759F2106} - C:\WINDOWS\system32\ssqOeDSi.dll (file missing)
O2 - BHO: QXK Olive - {355D7733-76E2-4146-9BB2-C761006CE06B} - C:\WINDOWS\boqnrwdmwet.dll (file missing)
O2 - BHO: QXK Olive - {37D00CD6-4FF0-4004-9A5B-D0D777B09EEF} - C:\WINDOWS\boqnrwdmmfv.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {BF7694BE-9FE5-4213-B632-F7F5B16E7F56} - C:\WINDOWS\system32\ssqNHaAQ.dll (file missing)
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [WpsRePsw] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WpsRePsw.EXE
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://sdlc-esd.sun.com/ESD40/JSCDL/jre/6u5-b19/jinstall-6u5-windows-i586-jc.cab?AuthParam
=1209720591_034
215bbe544fefef704a60c10711fe2&GroupName=JSC&BHost=javadl.sun.com&FilePath=/ESD40/J
SCDL/jre/6u5-b19/jinstall-
6u5-windows-i586-jc.cab&File=jinstall-6u5-windows-i586-jc.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: ssqOeDSi - ssqOeDSi.dll (file missing)
O21 - SSODL: SrvcRom - {631789fb-3930-4d24-8901-3610a9279ef0} - C:\WINDOWS\Resources\SrvcRom.dll (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
--
End of file - 6337 bytes
Log des datfind.bat
.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 40CE-E6A3
Verzeichnis von C:\WINDOWS\system32
29.05.2008 20:40 0 clkcnt.txt
17.05.2008 16:25 13'646 wpa.dbl
09.05.2008 23:35 16'863'864 MRT.exe
02.05.2008 11:29 6'641 jupdate-1.6.0_05-b13.log
10.04.2008 15:56 113'376 FNTCACHE.DAT
30.03.2008 12:30 67'696 perfc009.dat
30.03.2008 12:30 449'248 perfh007.dat
30.03.2008 12:30 432'992 perfh009.dat
30.03.2008 12:30 80'474 perfc007.dat
30.03.2008 12:30 1'043'642 PerfStringBackup.INI
25.03.2008 06:51 187'168 msjint40.dll
25.03.2008 06:51 621'344 mswstr10.dll
25.03.2008 06:50 355'104 msxbde40.dll
25.03.2008 06:50 838'432 mswdat10.dll
25.03.2008 06:50 264'992 mstext40.dll
25.03.2008 06:50 559'904 msrepl40.dll
25.03.2008 06:50 322'336 msrd3x40.dll
25.03.2008 06:50 432'928 msrd2x40.dll
25.03.2008 06:50 355'104 mspbde40.dll
25.03.2008 06:50 219'936 msltus40.dll
25.03.2008 06:50 248'608 msjtes40.dll
25.03.2008 06:50 60'192 msjter40.dll
25.03.2008 06:50 355'112 msjetoledb40.dll
25.03.2008 06:50 1'516'568 msjet40.dll
25.03.2008 06:50 326'432 msexcl40.dll
25.03.2008 06:50 518'944 msexch40.dll
20.03.2008 10:03 1'845'376 win32k.sys
01.03.2008 18:24 3'591'680 mshtml.dll
01.03.2008 14:54 233'472 webcheck.dll
01.03.2008 14:54 826'368 wininet.dll
01.03.2008 14:54 44'544 pngfilt.dll
01.03.2008 14:54 105'984 url.dll
01.03.2008 14:54 1'159'680 urlmon.dll
01.03.2008 14:54 671'232 mstime.dll
01.03.2008 14:54 193'024 msrating.dll
01.03.2008 14:54 102'912 occache.dll
01.03.2008 14:54 478'208 mshtmled.dll
01.03.2008 14:53 52'224 msfeedsbs.dll
01.03.2008 14:53 459'264 msfeeds.dll
01.03.2008 14:53 27'648 jsproxy.dll
01.03.2008 14:53 1'831'424 inetcpl.cpl
01.03.2008 14:53 44'544 iernonce.dll
01.03.2008 14:53 267'776 iertutil.dll
01.03.2008 14:53 6'066'176 ieframe.dll
01.03.2008 14:53 384'512 iedkcs32.dll
01.03.2008 14:53 153'088 ieakeng.dll
01.03.2008 14:53 230'400 ieaksie.dll
01.03.2008 14:53 133'120 extmgr.dll
01.03.2008 14:53 214'528 dxtrans.dll
01.03.2008 14:53 63'488 icardie.dll
01.03.2008 14:53 383'488 ieapfltr.dll
01.03.2008 14:53 124'928 advpack.dll
01.03.2008 14:53 347'136 dxtmsft.dll
Danke für eure Hilfe.