Monder 332801 Trojaner |
||
---|---|---|
#0
| ||
13.06.2008, 17:43
...neu hier
Beiträge: 4 |
||
|
||
13.06.2008, 20:52
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo missi01
« wende cleaner an + lösche die temp-Dateien http://www.ccleaner.de/?protecus.de «« mit dem HijackThis löschen ("fixen") Klicke: "Do a system scan only" Setze ein Häckchen in das Kästchen vor den genannten Eintrag und wähle fix checked. + starte den Rechner neu. Zitat O2 - BHO: (no name) - {3084E233-B90D-457F-9C7A-F11DBBE5C71F} - (no file)« wende rvaxo im abgesicherten Modus (oder im normalmodus) an + poste dann den report hier http://virus-protect.org/artikel/tools/rvaxo.html « scannen + poste den report http://virus-protect.org/artikel/tools/malwarebytes.html « wende combofix an , warnmeldung wegklicken + poste hier den report http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.06.2008, 02:18
...neu hier
Themenstarter Beiträge: 4 |
#3
Hier ist die RVAXO-results.log oder muss i dir die RVAXO-Vfind.log posten?
---RVAXO.exe Updated: 2008-05-29---first run--- Uninstallers: Files found: C:\WINDOWS\BM97864d4a.xml C:\WINDOWS\BM97864d4a.txt C:\WINDOWS\system32\dLknmnpo.ini2 C:\WINDOWS\pskt.ini C:\WINDOWS\wininit.ini C:\WINDOWS\cookies.ini C:\WINDOWS\system32\clkcnt.txt C:\WINDOWS\system32\mcrh.tmp C:\WINDOWS\system32\systems.txt C:\WINDOWS\system32\taskmgr.com Folders Found: Hosts-file was reset, If you use a custom hosts file please replace it... --------------RVAXO.exe last run--------------- Not deleted items: --------------RVAXO.exe finished---------------- Denn kommt die logdatei von malewarebytes Malwarebytes' Anti-Malware 1.17 Datenbank Version: 854 01:41:56 14.06.2008 mbam-log-6-14-2008 (01-41-53).txt Scan Art: Schnell Scan Objekte gescannt: 36678 Scan Dauer: 3 minute(s), 33 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 3 Infizierte Registrierungswerte: 1 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 11 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BM97864d4a (Trojan.Agent) -> No action taken. Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\dccuajao.dll (Trojan.Vundo) -> No action taken. C:\WINDOWS\system32\oajauccd.ini (Trojan.Vundo) -> No action taken. C:\WINDOWS\system32\xuqaktuv.dll (Trojan.Vundo) -> No action taken. C:\WINDOWS\system32\vutkaqux.ini (Trojan.Vundo) -> No action taken. C:\WINDOWS\system32\ucotpkyj.dll (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\qoMdDuTL.dll (Trojan.Vundo) -> No action taken. C:\WINDOWS\system32\yayvULda.dll (Trojan.Vundo) -> No action taken. C:\WINDOWS\system32\ssqRJdEx.dll (Trojan.Vundo) -> No action taken. C:\WINDOWS\system32\ljJDTLCr.dll (Trojan.Vundo) -> No action taken. C:\WINDOWS\system32\wvUmlkIC.dll (Trojan.Vundo) -> No action taken. C:\WINDOWS\system32\fccbCuvv.dll (Trojan.Vundo) -> No action taken. und die combofix log ComboFix 08-06-12.2 - Administrator 2008-06-14 2:09:01.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.900 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\sicherheit\ComboFix.exe [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . ((((((((((((((((((((((( Dateien erstellt von 2008-05-14 bis 2008-06-14 )))))))))))))))))))))))))))))) . 2008-06-14 01:15 . 2008-06-14 01:15 0 --a------ C:\WINDOWS\BM97864d4a.xml 2008-06-13 23:21 . 2008-06-14 01:47 <DIR> d-------- C:\Programme\RVAXO 2008-06-13 23:17 . 2008-05-29 21:30 828,824 --a------ C:\WINDOWS\system32\RVAXO.bat 2008-06-13 23:17 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe 2008-06-13 23:04 . 2008-06-13 23:04 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-06-13 23:04 . 2008-06-13 23:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-06-13 23:04 . 2008-06-13 23:04 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes 2008-06-13 23:04 . 2008-06-10 19:02 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys 2008-06-13 23:04 . 2008-06-10 19:02 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-06-13 22:22 . 2008-06-13 22:22 <DIR> d-------- C:\Programme\CCleaner 2008-06-13 19:09 . 2008-06-13 19:09 0 --a------ C:\23990098.$$$ 2008-06-13 19:06 . 2008-06-13 19:06 <DIR> d-a------ C:\WINDOWS\zts2.exe 2008-06-13 19:06 . 2008-06-13 19:06 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll 2008-06-13 19:06 . 2008-06-13 19:06 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll 2008-06-13 19:06 . 2008-06-13 19:06 <DIR> d-a------ C:\WINDOWS\rundll16.exe 2008-06-13 19:06 . 2008-06-13 19:06 <DIR> d-a------ C:\WINDOWS\rundl132.dll 2008-06-13 19:06 . 2008-06-13 19:06 <DIR> d-a------ C:\WINDOWS\logo1_.exe 2008-06-13 18:58 . 2005-10-10 14:00 153,600 --a------ C:\WINDOWS\R.COM 2008-06-13 18:58 . 2005-10-10 14:00 140,800 --a------ C:\WINDOWS\system32\T.COM 2008-06-13 18:58 . 2008-06-13 19:04 50 --a------ C:\WINDOWS\Lic.xxx 2008-06-13 16:03 . 2008-06-13 16:03 <DIR> d-------- C:\Programme\Spybot - Search & Destroy 2008-06-13 15:57 . 2008-06-13 16:01 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Winamp 2008-06-13 14:28 . 2008-04-14 17:51 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys 2008-06-13 14:28 . 2008-04-14 17:51 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys 2008-06-12 23:11 . 2008-06-13 16:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-06-12 22:15 . 2008-06-12 22:15 <DIR> d-------- C:\Programme\Lavasoft 2008-06-12 22:15 . 2008-06-12 22:18 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-06-12 22:14 . 2008-06-12 22:14 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-06-06 14:05 . 2008-06-06 14:05 <DIR> d--hs---- C:\found.000 2008-06-04 22:10 . 2008-06-04 22:10 <DIR> d-------- C:\Programme\bonjour 2008-06-04 21:50 . 2008-06-04 21:50 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Macrovision Shared 2008-05-16 11:58 . 2008-05-16 11:58 12,632 --a------ C:\WINDOWS\system32\lsdelete.exe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-06-13 18:35 --------- d-----w C:\Programme\Mozilla Firefox 3 Beta 5 2008-06-13 16:43 --------- d-----w C:\Programme\eMule 2008-06-13 13:58 --------- d-----w C:\Programme\Winamp 2008-06-08 02:24 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Azureus 2008-06-07 13:58 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Image Zone Express 2008-06-04 20:10 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe 2008-05-08 15:22 --------- d-----w C:\Programme\VideoLAN 2008-05-08 14:29 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys 2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll 2008-05-04 11:58 --------- d-----w C:\Programme\Avira 2008-05-04 11:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-05-04 11:41 --------- d-----w C:\Programme\MUSICMATCH Jukebox 2008-05-04 11:41 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield 2008-04-29 09:20 15,648 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys 2008-04-29 09:19 15,648 ----a-w C:\WINDOWS\system32\drivers\Awrtrd.sys 2008-04-29 09:19 12,960 ----a-w C:\WINDOWS\system32\drivers\Awrtpd.sys 2008-04-26 20:46 --------- d-----w C:\Programme\avmwlanstick 2008-04-23 15:24 --------- d-----w C:\Programme\Azureus 2008-04-23 15:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Azureus 2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll 2008-04-22 21:22 --------- d-----w C:\Programme\SereneScreen 2008-04-21 14:28 --------- d---a-w C:\Programme\Macromedia Freehand 10 2008-04-19 19:38 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\funkitron 2008-04-18 22:14 --------- d-----w C:\Programme\HP 2008-04-18 22:14 --------- d-----w C:\Programme\Gemeinsame Dateien\HP 2008-04-18 21:44 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AdobeUM 2008-04-18 17:06 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\HP 2008-04-18 17:05 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HP 2008-04-18 16:24 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet 2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll 2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll 2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2005-10-10 14:00 15360] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 19:03 152872] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Cmaudio"="cmicnfg.cpl" [] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784] "NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 15:57 153136] "SecurDisc"="C:\Programme\Nero\Nero 7\InCD\NBHGui.exe" [2007-06-25 08:47 1629480] "InCD"="C:\Programme\Nero\Nero 7\InCD\InCD.exe" [2007-06-25 08:47 1057064] "HPHUPD08"="C:\Programme\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe" [ ] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-05-04 14:02 262401] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2005-10-10 14:00 15360] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ FRITZ!WLAN.lnk - C:\Programme\avmwlanstick\WLanGUI.exe [2008-04-08 17:35:59 1454080] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "C:\\Programme\\eMule\\emule.exe"= "C:\\Programme\\Azureus\\Azureus.exe"= "C:\\Programme\\Bonjour\\mDNSResponder.exe"= "C:\\Programme\\Internet Explorer\\iexplore.exe"= "D:\\Christopher\\Half-Life\\hl.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "64980:TCP"= 64980:TCP:azureusport "47765:TCP"= 47765:TCP:esel "22663:UDP"= 22663:UDP:esel2 R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-12-28 01:02] R3 SISNICXP;SiS PCI Fast Ethernet Adapter Driver for NDIS51;C:\WINDOWS\system32\DRIVERS\sisnicxp.sys [2005-10-10 14:00] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{63dbcdd6-2e50-11dd-8c7a-001c4af2653c}] \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe GDS_PC17.vbs [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6c68e06e-1384-11dd-8d1c-001c4af2653c}] \Shell\AutoRun\command - E:\pushinst.exe . Inhalt des "geplante Tasks" Ordners "2008-06-13 15:15:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUpUtilities2006\SystemOptimizer.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-06-14 02:10:47 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-06-14 2:11:49 ComboFix-quarantined-files.txt 2008-06-14 00:11:37 6 Verzeichnis(se), 592,621,568 Bytes frei 10 Verzeichnis(se), 587,935,744 Bytes frei 136 --- E O F --- 2008-06-13 12:40:39 So i hoffe i hab allet richtig jemacht...der monder virus ist doch recht unangenehm wenn ihm ausgeliefert ist. i hab heute 8 Proggs installiert um ihn zu jagen. Avira AV hab i gleich am ersten Tag des Befalls deaktiviert, so wie dit reagiert hat, bräuchte man n sekundäres Anti-Avira Prog. naja, ersteinmal vielen dank für deine schnelle hilfe...mal sehen ob mein system morgen noch läuft. ciao Dieser Beitrag wurde am 14.06.2008 um 02:42 Uhr von missi01 editiert.
|
|
|
||
14.06.2008, 12:16
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo missi01
ich hoffe, du hast nach Abkopieren des Scanreports (Malwarebytes) ...alles entfernen lassen (Trojan.Vundo) -> No action taken. --------------- 1. dein USB-Stick ist verseucht: wende Flash_Disinfector an - der Stick muss eingestöpselt sein - infizierten Stick mit FlashDis. "behandeln" http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe 2. lade von dieser Seite: http://virus-protect.org/artikel/spyware/vbs-remove.html antivbs.zip - laden - entzippen + anwenden 3. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern Zitat KILLALL::Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden. cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen danach: Combofix noch einmal anwenden PC neustarten 4. Dr.Web Cureit http://virus-protect.org/cureit.html scanne mit Dr.Web erst im Normalmodus, dann im abgesicherten Modus __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.06.2008, 21:23
...neu hier
Themenstarter Beiträge: 4 |
#5
So, bevor i meine externe festplatte gescannt habe, habe i noch einmal den gesamten prozess wiederholt u. jetzt setzt dir nochmal die logs rein. merkwürdig war aber, dass als i mit dem dr.web prog im abgesicherten u. im normalen modus gescannt hatte, es infizierte dateien in archiven von combofix u rvaxo anzeigte. wegen diesem welchem SPR/Tool.Hardoff.A...da i die progs eh net mehr brauch, hab i rvaxo gelöscht.
Dann schau dir bitte das hier nocheinmal an u. sag bescheid. Ich glaube aber das der Monder gröbstens entfernt wurde. die RVAXO-results.log als erstes ---RVAXO.exe Updated: 2008-05-29---first run--- Uninstallers: Files found: C:\WINDOWS\BM97864d4a.xml C:\WINDOWS\BM97864d4a.txt Folders Found: Hosts-file was reset, If you use a custom hosts file please replace it... --------------RVAXO.exe last run--------------- Not deleted items: --------------RVAXO.exe finished---------------- die logdatei von malewarebytes Malwarebytes' Anti-Malware 1.17 Datenbank Version: 854 16:56:42 14.06.2008 mbam-log-6-14-2008 (16-56-42).txt Scan Art: Komplett Scan (C:\|) Objekte gescannt: 99927 Scan Dauer: 20 minute(s), 57 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine Malware Objekte gefunden) Infizierte Registrierungswerte: (Keine Malware Objekte gefunden) Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: (Keine Malware Objekte gefunden) und die combofix log ComboFix 08-06-12.2 - Administrator 2008-06-14 16:57:52.3 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.875 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\sicherheit\ComboFix.exe [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . ((((((((((((((((((((((( Dateien erstellt von 2008-05-14 bis 2008-06-14 )))))))))))))))))))))))))))))) . 2008-06-14 15:52 . 2008-06-14 15:53 <DIR> d-------- C:\RVAXO 2008-06-14 15:37 . 2008-06-14 15:37 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-06-13 23:21 . 2008-06-14 01:47 <DIR> d-------- C:\Programme\RVAXO 2008-06-13 23:17 . 2008-05-29 21:30 828,824 --a------ C:\WINDOWS\system32\RVAXO.bat 2008-06-13 23:17 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe 2008-06-13 23:04 . 2008-06-13 23:04 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-06-13 23:04 . 2008-06-13 23:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-06-13 23:04 . 2008-06-13 23:04 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes 2008-06-13 23:04 . 2008-06-10 19:02 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys 2008-06-13 23:04 . 2008-06-10 19:02 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-06-13 22:22 . 2008-06-13 22:22 <DIR> d-------- C:\Programme\CCleaner 2008-06-13 19:09 . 2008-06-13 19:09 0 --a------ C:\23990098.$$$ 2008-06-13 19:06 . 2008-06-13 19:06 <DIR> d-a------ C:\WINDOWS\zts2.exe 2008-06-13 19:06 . 2008-06-13 19:06 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll 2008-06-13 19:06 . 2008-06-13 19:06 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll 2008-06-13 19:06 . 2008-06-13 19:06 <DIR> d-a------ C:\WINDOWS\rundll16.exe 2008-06-13 19:06 . 2008-06-13 19:06 <DIR> d-a------ C:\WINDOWS\rundl132.dll 2008-06-13 19:06 . 2008-06-13 19:06 <DIR> d-a------ C:\WINDOWS\logo1_.exe 2008-06-13 18:58 . 2005-10-10 14:00 153,600 --a------ C:\WINDOWS\R.COM 2008-06-13 18:58 . 2005-10-10 14:00 140,800 --a------ C:\WINDOWS\system32\T.COM 2008-06-13 18:58 . 2008-06-13 19:04 50 --a------ C:\WINDOWS\Lic.xxx 2008-06-13 16:03 . 2008-06-13 16:03 <DIR> d-------- C:\Programme\Spybot - Search & Destroy 2008-06-13 15:57 . 2008-06-13 16:01 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Winamp 2008-06-13 14:28 . 2008-04-14 17:51 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys 2008-06-13 14:28 . 2008-04-14 17:51 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys 2008-06-12 23:11 . 2008-06-13 16:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-06-12 22:15 . 2008-06-12 22:15 <DIR> d-------- C:\Programme\Lavasoft 2008-06-12 22:15 . 2008-06-12 22:18 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-06-06 14:05 . 2008-06-06 14:05 <DIR> d--hs---- C:\found.000 2008-06-04 22:10 . 2008-06-04 22:10 <DIR> d-------- C:\Programme\bonjour 2008-06-04 21:50 . 2008-06-04 21:50 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Macrovision Shared 2008-05-16 11:58 . 2008-05-16 11:58 12,632 --a------ C:\WINDOWS\system32\lsdelete.exe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-06-13 18:35 --------- d-----w C:\Programme\Mozilla Firefox 3 Beta 5 2008-06-13 16:43 --------- d-----w C:\Programme\eMule 2008-06-13 13:58 --------- d-----w C:\Programme\Winamp 2008-06-08 02:24 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Azureus 2008-06-07 13:58 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Image Zone Express 2008-06-04 20:10 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe 2008-05-08 15:22 --------- d-----w C:\Programme\VideoLAN 2008-05-08 14:29 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys 2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll 2008-05-04 11:58 --------- d-----w C:\Programme\Avira 2008-05-04 11:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-05-04 11:41 --------- d-----w C:\Programme\MUSICMATCH Jukebox 2008-05-04 11:41 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield 2008-04-29 09:20 15,648 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys 2008-04-29 09:19 15,648 ----a-w C:\WINDOWS\system32\drivers\Awrtrd.sys 2008-04-29 09:19 12,960 ----a-w C:\WINDOWS\system32\drivers\Awrtpd.sys 2008-04-26 20:46 --------- d-----w C:\Programme\avmwlanstick 2008-04-23 15:24 --------- d-----w C:\Programme\Azureus 2008-04-23 15:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Azureus 2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll 2008-04-22 21:22 --------- d-----w C:\Programme\SereneScreen 2008-04-21 14:28 --------- d---a-w C:\Programme\Macromedia Freehand 10 2008-04-19 19:38 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\funkitron 2008-04-18 22:14 --------- d-----w C:\Programme\HP 2008-04-18 22:14 --------- d-----w C:\Programme\Gemeinsame Dateien\HP 2008-04-18 21:44 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AdobeUM 2008-04-18 17:06 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\HP 2008-04-18 17:05 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HP 2008-04-18 16:24 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet 2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll 2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll 2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys . ((((((((((((((((((((((((((((( snapshot@2008-06-14_ 2.11.27.48 ))))))))))))))))))))))))))))))))))))))))) . - 2008-06-13 23:58:14 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-06-14 13:52:48 2,048 --s-a-w C:\WINDOWS\bootstat.dat . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2005-10-10 14:00 15360] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 19:03 152872] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Cmaudio"="cmicnfg.cpl" [] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784] "NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 15:57 153136] "SecurDisc"="C:\Programme\Nero\Nero 7\InCD\NBHGui.exe" [2007-06-25 08:47 1629480] "InCD"="C:\Programme\Nero\Nero 7\InCD\InCD.exe" [2007-06-25 08:47 1057064] "HPHUPD08"="C:\Programme\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe" [ ] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-05-04 14:02 262401] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2005-10-10 14:00 15360] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ FRITZ!WLAN.lnk - C:\Programme\avmwlanstick\WLanGUI.exe [2008-04-08 17:35:59 1454080] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "C:\\Programme\\eMule\\emule.exe"= "C:\\Programme\\Azureus\\Azureus.exe"= "C:\\Programme\\Bonjour\\mDNSResponder.exe"= "C:\\Programme\\Internet Explorer\\iexplore.exe"= "D:\\Christopher\\Half-Life\\hl.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "64980:TCP"= 64980:TCP:azureusport "47765:TCP"= 47765:TCP:esel "22663:UDP"= 22663:UDP:esel2 R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-12-28 01:02] R3 SISNICXP;SiS PCI Fast Ethernet Adapter Driver for NDIS51;C:\WINDOWS\system32\DRIVERS\sisnicxp.sys [2005-10-10 14:00] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{63dbcdd6-2e50-11dd-8c7a-001c4af2653c}] \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe GDS_PC17.vbs [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6c68e06e-1384-11dd-8d1c-001c4af2653c}] \Shell\AutoRun\command - E:\pushinst.exe . Inhalt des "geplante Tasks" Ordners "2008-06-13 15:15:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUpUtilities2006\SystemOptimizer.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-06-14 16:59:28 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-06-14 17:00:33 ComboFix-quarantined-files.txt 2008-06-14 15:00:21 ComboFix2.txt 2008-06-14 00:11:50 7 Verzeichnis(se), 476,311,552 Bytes frei 11 Verzeichnis(se), 467,415,040 Bytes frei 142 --- E O F --- 2008-06-13 12:40:39 und nochmal vielen vielen dank |
|
|
||
14.06.2008, 23:37
Ehrenmitglied
Beiträge: 29434 |
#6
nein, du hast das script von combofix nicht korrekt angewendet, denn das hier solle raus sein:
Zitat [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{63dbcdd6-2e50-11dd-8c7a-001c4af2653c}]also noch mal das script erstellen, dann die txt-Datei auf das Symbol von Combofix ziehen. und Combofix neu anwenden. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.06.2008, 03:35
...neu hier
Themenstarter Beiträge: 4 |
#7
ah i hab aus reflex die .txt mit der linken maustaste auf die combofix.exe gezogen u. hinzu kommt, dass mein rechner nicht auf die combo console klar kommt. während des vorgangs ist er hängen gebliegen. naja, passiert. dieser registry eintrag hat sich auch verändert, jetzt lautet er:
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6c68e06e-1384-11dd-8d1c-001c4af2653c}] \Shell\AutoRun\command - E:\pushinst.exe ComboFix 08-06-12.2 - Administrator 2008-06-15 3:13:04.6 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.923 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\sicherheit\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\Administrator\Desktop\sicherheit\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] FILE :: C:\WINDOWS\BM97864d4a.xml . /wow section - STAGE 41 Der Befehl "L”sche" ist entweder falsch geschrieben oder konnte nicht gefunden werden. Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. ((((((((((((((((((((((( Dateien erstellt von 2008-05-15 bis 2008-06-15 )))))))))))))))))))))))))))))) . 2008-06-15 02:52 . 2008-06-15 03:03 <DIR> d-------- C:\Programme\ComboFix 2008-06-14 23:39 . 2008-06-14 23:39 <DIR> d-------- C:\Programme\Avira 2008-06-14 21:12 . 2008-06-14 21:12 <DIR> d--h----- C:\WINDOWS\PIF 2008-06-14 17:24 . 2008-06-14 17:46 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\DoctorWeb 2008-06-14 15:37 . 2008-06-14 15:37 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-06-13 23:17 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe 2008-06-13 23:04 . 2008-06-13 23:04 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-06-13 23:04 . 2008-06-13 23:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-06-13 23:04 . 2008-06-13 23:04 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes 2008-06-13 23:04 . 2008-06-10 19:02 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys 2008-06-13 23:04 . 2008-06-10 19:02 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-06-13 22:22 . 2008-06-13 22:22 <DIR> d-------- C:\Programme\CCleaner 2008-06-13 19:09 . 2008-06-13 19:09 0 --a------ C:\23990098.$$$ 2008-06-13 19:06 . 2008-06-13 19:06 <DIR> d-a------ C:\WINDOWS\zts2.exe 2008-06-13 19:06 . 2008-06-13 19:06 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll 2008-06-13 19:06 . 2008-06-13 19:06 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll 2008-06-13 19:06 . 2008-06-13 19:06 <DIR> d-a------ C:\WINDOWS\rundll16.exe 2008-06-13 19:06 . 2008-06-13 19:06 <DIR> d-a------ C:\WINDOWS\rundl132.dll 2008-06-13 19:06 . 2008-06-13 19:06 <DIR> d-a------ C:\WINDOWS\logo1_.exe 2008-06-13 18:58 . 2005-10-10 14:00 153,600 --a------ C:\WINDOWS\R.COM 2008-06-13 18:58 . 2005-10-10 14:00 140,800 --a------ C:\WINDOWS\system32\T.COM 2008-06-13 18:58 . 2008-06-13 19:04 50 --a------ C:\WINDOWS\Lic.xxx 2008-06-13 16:03 . 2008-06-13 16:03 <DIR> d-------- C:\Programme\Spybot - Search & Destroy 2008-06-13 15:57 . 2008-06-13 16:01 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Winamp 2008-06-13 14:28 . 2008-04-14 17:51 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys 2008-06-13 14:28 . 2008-04-14 17:51 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys 2008-06-12 23:11 . 2008-06-13 16:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-06-12 22:15 . 2008-06-12 22:15 <DIR> d-------- C:\Programme\Lavasoft 2008-06-12 22:15 . 2008-06-12 22:18 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-06-06 14:05 . 2008-06-06 14:05 <DIR> d--hs---- C:\found.000 2008-06-04 22:10 . 2008-06-04 22:10 <DIR> d-------- C:\Programme\bonjour 2008-06-04 21:50 . 2008-06-04 21:50 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Macrovision Shared 2008-05-16 11:58 . 2008-05-16 11:58 12,632 --a------ C:\WINDOWS\system32\lsdelete.exe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-06-14 21:39 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-06-13 18:35 --------- d-----w C:\Programme\Mozilla Firefox 3 Beta 5 2008-06-13 16:43 --------- d-----w C:\Programme\eMule 2008-06-13 13:58 --------- d-----w C:\Programme\Winamp 2008-06-08 02:24 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Azureus 2008-06-07 13:58 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Image Zone Express 2008-06-04 20:10 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe 2008-05-08 15:22 --------- d-----w C:\Programme\VideoLAN 2008-05-08 14:29 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys 2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll 2008-05-04 11:41 --------- d-----w C:\Programme\MUSICMATCH Jukebox 2008-05-04 11:41 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield 2008-04-29 09:20 15,648 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys 2008-04-29 09:19 15,648 ----a-w C:\WINDOWS\system32\drivers\Awrtrd.sys 2008-04-29 09:19 12,960 ----a-w C:\WINDOWS\system32\drivers\Awrtpd.sys 2008-04-26 20:46 --------- d-----w C:\Programme\avmwlanstick 2008-04-23 15:24 --------- d-----w C:\Programme\Azureus 2008-04-23 15:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Azureus 2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll 2008-04-22 21:22 --------- d-----w C:\Programme\SereneScreen 2008-04-21 14:28 --------- d---a-w C:\Programme\Macromedia Freehand 10 2008-04-19 19:38 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\funkitron 2008-04-18 22:14 --------- d-----w C:\Programme\HP 2008-04-18 22:14 --------- d-----w C:\Programme\Gemeinsame Dateien\HP 2008-04-18 21:44 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AdobeUM 2008-04-18 17:06 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\HP 2008-04-18 17:05 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HP 2008-04-18 16:24 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet 2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll 2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll 2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys . ((((((((((((((((((((((((((((( snapshot@2008-06-14_ 2.11.27.48 ))))))))))))))))))))))))))))))))))))))))) . - 2008-06-13 23:58:14 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-06-15 01:16:04 2,048 --s-a-w C:\WINDOWS\bootstat.dat - 2007-08-09 11:04:05 40,768 ----a-w C:\WINDOWS\system32\drivers\avgntdd.sys + 2008-01-21 16:12:52 41,792 ----a-w C:\WINDOWS\system32\drivers\avgntdd.sys - 2007-07-18 12:22:13 21,312 ----a-w C:\WINDOWS\system32\drivers\avgntmgr.sys + 2008-01-21 16:11:28 22,336 ----a-w C:\WINDOWS\system32\drivers\avgntmgr.sys - 2008-05-04 12:02:31 79,424 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys + 2008-03-04 11:28:49 79,424 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys - 2008-04-23 17:32:42 21,248 ----a-w C:\WINDOWS\system32\drivers\ssmdrv.sys + 2007-11-08 17:03:26 21,248 ----a-w C:\WINDOWS\system32\drivers\ssmdrv.sys . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2005-10-10 14:00 15360] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 19:03 152872] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Cmaudio"="cmicnfg.cpl" [] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784] "NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 15:57 153136] "SecurDisc"="C:\Programme\Nero\Nero 7\InCD\NBHGui.exe" [2007-06-25 08:47 1629480] "InCD"="C:\Programme\Nero\Nero 7\InCD\InCD.exe" [2007-06-25 08:47 1057064] "HPHUPD08"="C:\Programme\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe" [ ] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2005-10-10 14:00 15360] [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "C:\\Programme\\eMule\\emule.exe"= "C:\\Programme\\Azureus\\Azureus.exe"= "C:\\Programme\\Bonjour\\mDNSResponder.exe"= "C:\\Programme\\Internet Explorer\\iexplore.exe"= "D:\\Christopher\\Half-Life\\hl.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "64980:TCP"= 64980:TCP:azureusport "47765:TCP"= 47765:TCP:esel "22663:UDP"= 22663:UDP:esel2 R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-12-28 01:02] R3 SISNICXP;SiS PCI Fast Ethernet Adapter Driver for NDIS51;C:\WINDOWS\system32\DRIVERS\sisnicxp.sys [2005-10-10 14:00] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6c68e06e-1384-11dd-8d1c-001c4af2653c}] \Shell\AutoRun\command - E:\pushinst.exe . Inhalt des "geplante Tasks" Ordners "2008-06-13 15:15:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUpUtilities2006\SystemOptimizer.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-06-15 03:16:46 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\avmwlanstick\WLanNetService.exe C:\Programme\bonjour\mDNSResponder.exe C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe C:\WINDOWS\system32\HPZipm12.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe C:\Programme\avmwlanstick\WLanGUI.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\WINDOWS\system32\verclsid.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-06-15 3:21:15 - machine was rebooted [Administrator] ComboFix-quarantined-files.txt 2008-06-15 01:20:56 6 Verzeichnis(se), 791,740,416 Bytes frei 11 Verzeichnis(se), 784,105,472 Bytes frei 175 --- E O F --- 2008-06-13 12:40:39 wichtig ist doch auch, dass der monder virus ersteinmal nicht mehr vorhanden ist oder wie? ach ja, als i meine externe festplatte mit den empfohlenen progs (u. den anderen) gescannt hatte, hatten diese keine infizierten dateien gefunden... |
|
|
||
15.06.2008, 10:14
Ehrenmitglied
Beiträge: 29434 |
#8
Hallo,
« Gehe in die Registry Start - Ausführen - regedit [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 - in 0 ändern « Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" (oder, wenn es nicht funktioniert: C:\QooBox löschen) «« RVAXO entfernen: Öffne die Datei RVAXO auf deinem Desktop Doppleklick Uninstall.cmd um alles von RVAXO zu entfernen ------------------------------------------------------------------- E:\pushinst.exe ist sauber. der andere Reg-Eintrag ist raus, trotz Fehlermeldung nun sollte wieder alles i.o. sein __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Logfile of HijackThis v1.99.1
Scan saved at 17:30:28, on 13.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Nero\Nero 7\InCD\NBHGui.exe
C:\Programme\Nero\Nero 7\InCD\InCD.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\avmwlanstick\WLanGUI.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programme\Hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: (no name) - {3084E233-B90D-457F-9C7A-F11DBBE5C71F} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {70CBFCAE-4CB6-4AC9-BA0B-32ED5E2E64F3} - C:\WINDOWS\system32\opnmnkLd.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: {7678941b-d168-0fcb-61f4-23bb786f715c} - {c517f687-bb32-4f16-bcf0-861db1498767} - C:\WINDOWS\system32\ttgjlkgc.dll
O2 - BHO: (no name) - {C5B8495C-20BC-493C-8613-E4F6E5790B88} - C:\WINDOWS\system32\khfDwwxV.dll (file missing)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SecurDisc] C:\Programme\Nero\Nero 7\InCD\NBHGui.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [HPHUPD08] C:\Programme\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [Winamp Media Player] winamp.exe
O4 - HKLM\..\Run: [94b57ed6] rundll32.exe "C:\WINDOWS\system32\dccuajao.dll",b
O4 - HKLM\..\Run: [BM97864d4a] Rundll32.exe "C:\WINDOWS\system32\ucotpkyj.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: FRITZ!WLAN.lnk = C:\Programme\avmwlanstick\WLanGUI.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1207673825390
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O20 - Winlogon Notify: khfDwwxV - khfDwwxV.dll (file missing)
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe