IExplorer startet ungefragt, diverse wiederholt auftretende Popups... |
||
---|---|---|
#0
| ||
27.06.2008, 10:18
...neu hier
Beiträge: 4 |
||
|
||
27.06.2008, 13:17
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo Mista_HB
1. http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) WinUpdate in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. ----------------------------------------------------- 2. http://virus-protect.org/artikel/tools/agentransack.html gib ein in Suche: SysKontroller poste alles, was erscheint ----------------------------------------------------------------- 3. Gehe in die Registry Start - Ausführen - regedit klicke dich durch zum Schlüssel: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] diesen Eintrag rauslöschen: WinUpdate REG_SZ C:\WINDOWS\system32\12520850b.exe --------------- 4. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern Zitat KILLALL::Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden. cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen danach: Combofix noch einmal anwenden 5. poste das neue Log von Combofix __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
27.06.2008, 14:34
...neu hier
Themenstarter Beiträge: 4 |
#3
Hallo Sabina,
ich danke dir für deine Zeit! zu 1) RegSearch log-file: Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.5.0 ; Results at 27.06.2008 13:36:23 for strings: ; 'winupdate' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole] "WinUpdate"="C:\\WINDOWS\\system32\\12520850b.exe" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa] "WinUpdate"="C:\\WINDOWS\\system32\\12520850b.exe" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Lsa] "WinUpdate"="C:\\WINDOWS\\system32\\12520850b.exe" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "WinUpdate"="C:\\WINDOWS\\system32\\12520850b.exe" [HKEY_CURRENT_USER\Software\Microsoft\OLE] "WinUpdate"="C:\\WINDOWS\\system32\\12520850b.exe" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices] "WinUpdate"="C:\\WINDOWS\\system32\\12520850b.exe" [HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa] "WinUpdate"="C:\\WINDOWS\\system32\\12520850b.exe" ; End Of The Log... zu 2) ...Suche SysKontroller: C:\Dokumente und Einstellungen\All Users\Application Data\SysKontroller (23.06.2008 15:33:22) C:\Dokumente und Einstellungen\All Users\Application Data\SysKontroller\Data\SysKontroller.exe.cer (1956 KB, 23.06.2008 16:03:07) C:\Dokumente und Einstellungen\Anja\Cookies\anja@syskontroller[2].txt (1 KB, 23.06.2008 16:14:03) C:\Programme\SysKontroller (24.06.2008 20:55:35) zu 3) Eintrag gelöscht! zu 4) und 5) ComboFix log-file: ComboFix 08-06-20.4 - Micha 2008-06-27 14:15:31.5 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1694 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Micha\Desktop\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\Micha\Desktop\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] FILE :: C:\WINDOWS\system32\12520850b.exe C:\WINDOWS\system32\htsfxplb.dll C:\WINDOWS\system32\mnoplmok.dll C:\WINDOWS\system32\ujktuxpq.dll . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Programme\SysKontroller C:\Programme\SysKontroller\License.rtf C:\Programme\SysKontroller\Readme.rtf C:\Programme\SysKontroller\rm.url C:\Programme\SysKontroller\sr.log C:\Programme\SysKontroller\swupd.log C:\Programme\SysKontroller\SysRep.exe.Log C:\Programme\SysKontroller\SysRep.exe.xml C:\Programme\SysKontroller\SysRep.url C:\Programme\SysKontroller\unins000.dat C:\WINDOWS\system32\htsfxplb.dll C:\WINDOWS\system32\mnoplmok.dll C:\WINDOWS\system32\ujktuxpq.dll . ((((((((((((((((((((((( Dateien erstellt von 2008-05-27 bis 2008-06-27 )))))))))))))))))))))))))))))) . 2008-06-27 12:04 . 2008-06-27 12:04 <DIR> d-------- C:\Programme\Ipswitch 2008-06-27 12:04 . 2008-06-27 12:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ipswitch 2008-06-27 12:04 . 2007-08-09 12:50 606,293 --a------ C:\WINDOWS\system32\wbocx.ocx 2008-06-27 12:04 . 2007-08-09 12:50 50,688 --a------ C:\WINDOWS\system32\wbhelp2.dll 2008-06-25 20:48 . 2008-06-25 20:48 <DIR> d-------- C:\Programme\CCleaner 2008-06-25 20:01 . 2008-06-25 20:01 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-06-25 20:01 . 2008-06-25 20:01 <DIR> d-------- C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\Malwarebytes 2008-06-25 20:01 . 2008-06-25 20:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-06-25 20:01 . 2008-06-19 17:48 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys 2008-06-25 20:01 . 2008-06-19 17:47 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-06-23 21:21 . 2008-06-24 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2008-06-23 21:21 . 2008-06-24 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\UserData 2008-06-23 21:21 . 2008-06-27 09:23 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2008-06-23 21:21 . 2008-06-24 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten 2008-06-23 21:21 . 2008-06-24 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien 2008-06-23 21:21 . 2008-06-24 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Skype 2008-06-23 21:21 . 2008-06-24 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\CyberLink 2008-06-23 21:21 . 2008-06-24 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2008-06-23 21:21 . 2008-06-24 20:55 <DIR> d---s---- C:\Dokumente und Einstellungen\Administrator 2008-06-22 10:15 . 2008-06-22 10:15 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SlySoft 2008-06-22 10:12 . 2008-06-22 10:12 <DIR> d-------- C:\Programme\SlySoft 2008-06-22 10:05 . 2008-06-22 10:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Elaborate Bytes 2008-06-22 10:03 . 2008-06-22 10:15 72 ---hs---- C:\WINDOWS\S72B4CEC2.tmp 2008-06-17 15:59 . 2008-06-17 15:59 99,648 --a------ C:\WINDOWS\system32\drivers\AnyDVD.sys 2008-06-15 18:23 . 2005-01-06 18:33 119,152 --a------ C:\WINDOWS\system32\redmon.hlp 2008-06-15 18:23 . 2005-01-06 18:33 116,224 --a------ C:\WINDOWS\system32\redmonnt.dll 2008-06-06 22:52 . 2008-06-06 22:52 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\CyberLink 2008-06-06 21:19 . 2008-06-06 21:19 0 --a------ C:\WINDOWS\PhotoNow.INI 2008-06-03 16:35 . 2008-06-15 14:13 <DIR> d-------- C:\Programme\McDonaldsFairies 2008-06-03 16:26 . 2008-06-16 15:58 <DIR> d-------- C:\Programme\McDonaldsDragons 2008-05-29 14:19 . 2008-05-29 14:19 73,728 --a------ C:\WINDOWS\ALCFDRTM.EXE 2008-05-29 14:17 . 2007-11-14 15:18 553 --a------ C:\WINDOWS\USetup.iss 2008-05-29 14:16 . 2007-11-20 18:15 1,826,816 --a------ C:\WINDOWS\SkyTel.exe 2008-05-29 14:16 . 2008-05-29 14:16 315,392 --a------ C:\WINDOWS\HideWin.exe 2008-05-29 14:16 . 2005-05-03 18:43 69,632 --a------ C:\WINDOWS\Alcmtr.exe 2008-05-29 13:57 . 2008-05-29 13:57 <DIR> d-------- C:\Programme\Skype 2008-05-29 13:57 . 2008-05-29 13:57 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype 2008-05-29 13:57 . 2008-05-29 13:57 <DIR> d-------- C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\skypePM 2008-05-29 13:57 . 2008-05-29 13:57 56 --ah----- C:\WINDOWS\system32\ezsidmv.dat 2008-05-29 13:47 . 2008-06-22 21:45 <DIR> d-------- C:\Programme\TuneUp Utilities 2008 2008-05-29 13:47 . 2008-05-29 13:47 <DIR> d-------- C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\TuneUp Software 2008-05-29 13:47 . 2008-05-29 13:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software 2008-05-29 13:47 . 2008-05-29 13:47 355,584 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe 2008-05-29 13:47 . 2008-05-17 14:56 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll 2008-05-29 13:05 . 2004-06-26 13:22 6,016 --a------ C:\WINDOWS\system32\drivers\vnccom.SYS 2008-05-29 13:05 . 2008-05-29 13:05 17 --a------ C:\WINDOWS\system32\' 2008-05-29 13:04 . 2008-06-25 15:08 <DIR> d-------- C:\Programme\UltraVNC 2008-05-29 13:04 . 2005-06-10 22:02 12,800 --a------ C:\WINDOWS\system32\vncdrv.dll 2008-05-29 13:04 . 2004-06-26 13:21 5,760 --a------ C:\WINDOWS\system32\vnchelp.dll 2008-05-29 13:04 . 2004-06-26 13:22 4,736 --a------ C:\WINDOWS\system32\drivers\vncdrv.sys 2008-05-27 17:55 . 2008-05-27 17:55 <DIR> d-------- C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\FinalBurner AudioCD Ripper 2008-05-27 17:54 . 2008-05-27 17:54 <DIR> d-------- C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\FinalBurner Audio CD . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-06-27 12:19 7,911,712 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat 2008-06-27 12:19 186,400 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat 2008-06-27 12:17 18,476 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx 2008-06-27 12:17 109,076 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2008-06-27 12:13 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2008-06-27 10:04 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-06-27 06:52 --------- d-----w C:\Programme\CloneDVD 2008-06-26 17:17 48,738 ----a-w C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\wklnhst.dat 2008-06-25 13:08 --------- d-----w C:\Programme\MatheTiger 2008-06-25 13:08 --------- d-----w C:\Programme\Gemeinsame Dateien\aol 2008-06-25 13:08 --------- d-----w C:\Programme\ElsterFormular2005 2008-06-25 13:08 --------- d-----w C:\Programme\CyberLink 2008-06-22 17:39 10,632 ----a-w C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\wklnhst.dat 2008-06-22 08:53 --------- d-----w C:\Programme\Azureus 2008-06-22 08:53 --------- d-----w C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\Azureus 2008-06-22 08:01 --------- d-----w C:\Programme\Elaborate Bytes 2008-06-22 07:03 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink 2008-06-15 16:23 --------- d-----w C:\Programme\FreePDF_XP 2008-06-15 10:04 --------- d-----w C:\Programme\IKEA HomePlanner 2008-06-15 10:04 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-06-06 13:47 --------- d-----w C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\Canon 2008-06-04 17:11 --------- d-----w C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\teamspeak2 2008-05-29 18:02 88,774 ----a-w C:\WINDOWS\system32\drivers\klick.dat 2008-05-29 13:08 --------- d-----w C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\Skype 2008-05-29 12:16 --------- d-----w C:\Programme\Realtek 2008-05-29 11:57 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype 2008-05-28 14:44 96,966 ----a-w C:\WINDOWS\system32\drivers\klin.dat 2008-05-24 10:35 --------- d-----w C:\Programme\Seagate 2008-05-20 15:53 4,800,000 ----a-w C:\WINDOWS\system32\drivers\RtkHDAud.sys 2008-05-16 12:39 16,862,720 ----a-w C:\WINDOWS\RTHDCPL.exe 2008-05-10 06:40 --------- d-----w C:\Programme\Kaspersky Lab 2008-05-07 12:39 --------- d-----w C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\AdobeUM 2008-04-02 07:27 1,196,032 ----a-w C:\WINDOWS\RtlUpd.exe 2007-08-16 08:48 0 ----a-w C:\Dokumente und Einstellungen\Laura Lena Lia\Anwendungsdaten\wklnhst.dat 2005-03-07 10:29 81,920 ----a-w C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\ezpinst.exe 2005-03-07 10:29 47,360 ----a-w C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\pcouffin.sys 2005-10-09 10:25 8 --sh--r C:\WINDOWS\system32\A3DA537E26.sys 2005-10-09 10:25 4,704 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys . ((((((((((((((((((((((((((((( snapshot@2008-06-25_23.39.54,78 ))))))))))))))))))))))))))))))))))))))))) . - 2008-06-25 21:30:04 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-06-27 12:18:46 2,048 --s-a-w C:\WINDOWS\bootstat.dat - 2008-06-25 04:12:56 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat + 2008-06-26 12:21:18 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat - 2008-06-25 04:12:56 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat + 2008-06-26 12:21:18 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-28 14:58 68856] "WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 09:56 204288] "H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" [2003-09-01 19:40 376912] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480] "RTHDCPL"="RTHDCPL.EXE" [2008-05-16 14:39 16862720 C:\WINDOWS\RTHDCPL.exe] "PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 14:00 455168] "PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 14:00 455168] "nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 C:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 12:22 86016] "MedionVFD"="C:\Programme\Medion Info Display\MdionLCM.exe" [2006-01-27 13:00 176128] "ISUSPM"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" [2006-05-16 17:58 213936] "FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2005-05-27 11:24 310272] "CHotkey"="mHotkey.exe" [2004-12-08 18:57 550912 C:\WINDOWS\mHotkey.exe] "CloneCDElbyCDFL"="C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" [2002-11-02 08:33 45056] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{93994DE8-8239-4655-B1D1-5F4E91300429}"= C:\PROGRA~1\DVDREG~1\DVDShell.dll [2004-10-09 15:18 49152] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.I420"= i420vfw.dll "MSACM.CEGSM"= mobilev.acm "vidc.yv12"= yv12vfw.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "WMPNetworkSvc"=2 (0x2) "Fax"=2 (0x2) "CLSched"=2 (0x2) "CLCapSvc"=2 (0x2) [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime "CmUCRRun"=C:\WINDOWS\system32\CmUCReye.exe "ledpointer"=CNYHKey.exe "PCMService"="C:\Programme\Home Cinema\PowerCinema\PCMService.exe" "MSPY2002"=C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC "IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 "OpwareSE2"="C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [HKEY_LOCAL_MACHINE\software\microsoft\security center] "UpdatesDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde II\\game.dat"= "C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"= "C:\\Programme\\Microsoft ActiveSync\\WcesMgr.exe"= "C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde II\\patchget.dat"= "C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde I\\game.dat"= "C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde I\\patchget.dat"= "C:\\Programme\\Codemasters\\Der Herr der Ringe Online\\lotroclient.exe"= "C:\\WINDOWS\\system32\\dpvsetup.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= "C:\\Programme\\Azureus\\Azureus.exe"= "C:\\Programme\\Home Cinema\\PowerCinema\\PowerCinema.exe"= "C:\\Programme\\Home Cinema\\PowerCinema\\PCMService.exe"= "C:\\WINDOWS\\system32\\fxsclnt.exe"= "C:\\Programme\\MSN Messenger\\msnmsgr.exe"= R0 ElbyVCD;ElbyVCD;C:\WINDOWS\system32\DRIVERS\ElbyVCD.sys [2002-11-28 12:43] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14:00] R2 vnccom;vnccom;C:\WINDOWS\system32\Drivers\vnccom.SYS [2004-06-26 13:22] R3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2005-12-06 12:16] R3 CMISTOR;CMIUCR.SYS CM220 Card Reader Driver;C:\WINDOWS\system32\DRIVERS\cmiucr.SYS [2005-10-04 19:37] S3 adiusbae;Teledat 300 USB;C:\WINDOWS\system32\DRIVERS\adiusbae.sys [] S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-05-29 13:47] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Inhalt des "geplante Tasks" Ordners "2008-06-25 20:00:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-06-27 14:19:17 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\PROGRA~1\COMMON~1\X10\Common\X10nets.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\WINDOWS\ALCFDRTM.EXE . ************************************************************************** . Zeit der Fertigstellung: 2008-06-27 14:22:10 - machine was rebooted ComboFix-quarantined-files.txt 2008-06-27 12:22:06 ComboFix2.txt 2008-06-27 07:23:34 ComboFix3.txt 2008-06-25 21:40:20 ComboFix4.txt 2008-06-25 21:03:36 11 Verzeichnis(se), 51,295,608,832 Bytes frei 14 Verzeichnis(se), 51,284,021,248 Bytes frei 245 Viele Grüße Mista |
|
|
||
27.06.2008, 14:48
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo,
erstelle eine neue cfscript.txt (Aenderung der erst erstellten zulassen - wieder auf combofix ziehen + poste das neue log von Combofix Zitat KILLALL:: __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
27.06.2008, 15:17
...neu hier
Themenstarter Beiträge: 4 |
#5
Hallo Sabina,
hier das neue log-file von ComboFix: ComboFix 08-06-20.4 - Micha 2008-06-27 15:00:15.6 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1671 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Micha\Desktop\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\Micha\Desktop\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] FILE :: C:\WINDOWS\system32\12520850b.exe . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\All Users\Application Data\SysKontroller C:\Dokumente und Einstellungen\All Users\Application Data\SysKontroller\Data\ac C:\Dokumente und Einstellungen\All Users\Application Data\SysKontroller\Data\ActivationDomain C:\Dokumente und Einstellungen\All Users\Application Data\SysKontroller\Data\em C:\Dokumente und Einstellungen\All Users\Application Data\SysKontroller\Data\oid C:\Dokumente und Einstellungen\All Users\Application Data\SysKontroller\Data\save2.db C:\Dokumente und Einstellungen\All Users\Application Data\SysKontroller\Data\SysKontroller.exe.cer C:\Dokumente und Einstellungen\All Users\Application Data\SysKontroller\Data\user . ((((((((((((((((((((((( Dateien erstellt von 2008-05-27 bis 2008-06-27 )))))))))))))))))))))))))))))) . 2008-06-27 12:04 . 2008-06-27 12:04 <DIR> d-------- C:\Programme\Ipswitch 2008-06-27 12:04 . 2008-06-27 12:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ipswitch 2008-06-27 12:04 . 2007-08-09 12:50 606,293 --a------ C:\WINDOWS\system32\wbocx.ocx 2008-06-27 12:04 . 2007-08-09 12:50 50,688 --a------ C:\WINDOWS\system32\wbhelp2.dll 2008-06-25 20:48 . 2008-06-25 20:48 <DIR> d-------- C:\Programme\CCleaner 2008-06-25 20:01 . 2008-06-25 20:01 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-06-25 20:01 . 2008-06-25 20:01 <DIR> d-------- C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\Malwarebytes 2008-06-25 20:01 . 2008-06-25 20:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-06-25 20:01 . 2008-06-19 17:48 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys 2008-06-25 20:01 . 2008-06-19 17:47 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-06-23 21:21 . 2008-06-24 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2008-06-23 21:21 . 2008-06-24 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\UserData 2008-06-23 21:21 . 2008-06-27 14:22 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2008-06-23 21:21 . 2008-06-24 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten 2008-06-23 21:21 . 2008-06-24 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien 2008-06-23 21:21 . 2008-06-24 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Skype 2008-06-23 21:21 . 2008-06-24 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\CyberLink 2008-06-23 21:21 . 2008-06-24 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2008-06-23 21:21 . 2008-06-24 20:55 <DIR> d---s---- C:\Dokumente und Einstellungen\Administrator 2008-06-22 10:15 . 2008-06-22 10:15 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SlySoft 2008-06-22 10:12 . 2008-06-22 10:12 <DIR> d-------- C:\Programme\SlySoft 2008-06-22 10:05 . 2008-06-22 10:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Elaborate Bytes 2008-06-22 10:03 . 2008-06-22 10:15 72 ---hs---- C:\WINDOWS\S72B4CEC2.tmp 2008-06-17 15:59 . 2008-06-17 15:59 99,648 --a------ C:\WINDOWS\system32\drivers\AnyDVD.sys 2008-06-15 18:23 . 2005-01-06 18:33 119,152 --a------ C:\WINDOWS\system32\redmon.hlp 2008-06-15 18:23 . 2005-01-06 18:33 116,224 --a------ C:\WINDOWS\system32\redmonnt.dll 2008-06-06 22:52 . 2008-06-06 22:52 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\CyberLink 2008-06-06 21:19 . 2008-06-06 21:19 0 --a------ C:\WINDOWS\PhotoNow.INI 2008-06-03 16:35 . 2008-06-15 14:13 <DIR> d-------- C:\Programme\McDonaldsFairies 2008-06-03 16:26 . 2008-06-16 15:58 <DIR> d-------- C:\Programme\McDonaldsDragons 2008-05-29 14:19 . 2008-05-29 14:19 73,728 --a------ C:\WINDOWS\ALCFDRTM.EXE 2008-05-29 14:17 . 2007-11-14 15:18 553 --a------ C:\WINDOWS\USetup.iss 2008-05-29 14:16 . 2007-11-20 18:15 1,826,816 --a------ C:\WINDOWS\SkyTel.exe 2008-05-29 14:16 . 2008-05-29 14:16 315,392 --a------ C:\WINDOWS\HideWin.exe 2008-05-29 14:16 . 2005-05-03 18:43 69,632 --a------ C:\WINDOWS\Alcmtr.exe 2008-05-29 13:57 . 2008-05-29 13:57 <DIR> d-------- C:\Programme\Skype 2008-05-29 13:57 . 2008-05-29 13:57 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype 2008-05-29 13:57 . 2008-05-29 13:57 <DIR> d-------- C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\skypePM 2008-05-29 13:57 . 2008-05-29 13:57 56 --ah----- C:\WINDOWS\system32\ezsidmv.dat 2008-05-29 13:47 . 2008-06-22 21:45 <DIR> d-------- C:\Programme\TuneUp Utilities 2008 2008-05-29 13:47 . 2008-05-29 13:47 <DIR> d-------- C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\TuneUp Software 2008-05-29 13:47 . 2008-05-29 13:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software 2008-05-29 13:47 . 2008-05-29 13:47 355,584 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe 2008-05-29 13:47 . 2008-05-17 14:56 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll 2008-05-29 13:05 . 2004-06-26 13:22 6,016 --a------ C:\WINDOWS\system32\drivers\vnccom.SYS 2008-05-29 13:05 . 2008-05-29 13:05 17 --a------ C:\WINDOWS\system32\' 2008-05-29 13:04 . 2008-06-25 15:08 <DIR> d-------- C:\Programme\UltraVNC 2008-05-29 13:04 . 2005-06-10 22:02 12,800 --a------ C:\WINDOWS\system32\vncdrv.dll 2008-05-29 13:04 . 2004-06-26 13:21 5,760 --a------ C:\WINDOWS\system32\vnchelp.dll 2008-05-29 13:04 . 2004-06-26 13:22 4,736 --a------ C:\WINDOWS\system32\drivers\vncdrv.sys 2008-05-27 17:55 . 2008-05-27 17:55 <DIR> d-------- C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\FinalBurner AudioCD Ripper 2008-05-27 17:54 . 2008-05-27 17:54 <DIR> d-------- C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\FinalBurner Audio CD . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-06-27 13:03 7,947,552 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat 2008-06-27 13:02 189,216 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat 2008-06-27 13:01 18,740 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx 2008-06-27 13:01 109,556 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2008-06-27 12:23 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2008-06-27 10:04 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-06-27 06:52 --------- d-----w C:\Programme\CloneDVD 2008-06-26 17:17 48,738 ----a-w C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\wklnhst.dat 2008-06-25 13:08 --------- d-----w C:\Programme\MatheTiger 2008-06-25 13:08 --------- d-----w C:\Programme\Gemeinsame Dateien\aol 2008-06-25 13:08 --------- d-----w C:\Programme\ElsterFormular2005 2008-06-25 13:08 --------- d-----w C:\Programme\CyberLink 2008-06-22 17:39 10,632 ----a-w C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\wklnhst.dat 2008-06-22 08:53 --------- d-----w C:\Programme\Azureus 2008-06-22 08:53 --------- d-----w C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\Azureus 2008-06-22 08:01 --------- d-----w C:\Programme\Elaborate Bytes 2008-06-22 07:03 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink 2008-06-15 16:23 --------- d-----w C:\Programme\FreePDF_XP 2008-06-15 10:04 --------- d-----w C:\Programme\IKEA HomePlanner 2008-06-15 10:04 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-06-06 13:47 --------- d-----w C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\Canon 2008-06-04 17:11 --------- d-----w C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\teamspeak2 2008-05-29 18:02 88,774 ----a-w C:\WINDOWS\system32\drivers\klick.dat 2008-05-29 13:08 --------- d-----w C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\Skype 2008-05-29 12:16 --------- d-----w C:\Programme\Realtek 2008-05-29 11:57 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype 2008-05-28 14:44 96,966 ----a-w C:\WINDOWS\system32\drivers\klin.dat 2008-05-24 10:35 --------- d-----w C:\Programme\Seagate 2008-05-20 15:53 4,800,000 ----a-w C:\WINDOWS\system32\drivers\RtkHDAud.sys 2008-05-16 12:39 16,862,720 ----a-w C:\WINDOWS\RTHDCPL.exe 2008-05-10 06:40 --------- d-----w C:\Programme\Kaspersky Lab 2008-05-07 12:39 --------- d-----w C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\AdobeUM 2008-04-02 07:27 1,196,032 ----a-w C:\WINDOWS\RtlUpd.exe 2007-08-16 08:48 0 ----a-w C:\Dokumente und Einstellungen\Laura Lena Lia\Anwendungsdaten\wklnhst.dat 2005-03-07 10:29 81,920 ----a-w C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\ezpinst.exe 2005-03-07 10:29 47,360 ----a-w C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\pcouffin.sys 2005-10-09 10:25 8 --sh--r C:\WINDOWS\system32\A3DA537E26.sys 2005-10-09 10:25 4,704 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys . ((((((((((((((((((((((((((((( snapshot@2008-06-25_23.39.54,78 ))))))))))))))))))))))))))))))))))))))))) . - 2008-06-25 21:30:04 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-06-27 13:02:50 2,048 --s-a-w C:\WINDOWS\bootstat.dat - 2008-06-25 04:12:56 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat + 2008-06-27 13:02:54 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat + 2008-06-27 13:03:04 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat - 2008-06-25 04:12:56 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat + 2008-06-27 13:02:54 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-28 14:58 68856] "WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 09:56 204288] "H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" [2003-09-01 19:40 376912] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480] "RTHDCPL"="RTHDCPL.EXE" [2008-05-16 14:39 16862720 C:\WINDOWS\RTHDCPL.exe] "PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 14:00 455168] "PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 14:00 455168] "nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 C:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 12:22 86016] "MedionVFD"="C:\Programme\Medion Info Display\MdionLCM.exe" [2006-01-27 13:00 176128] "ISUSPM"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" [2006-05-16 17:58 213936] "FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2005-05-27 11:24 310272] "CHotkey"="mHotkey.exe" [2004-12-08 18:57 550912 C:\WINDOWS\mHotkey.exe] "CloneCDElbyCDFL"="C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" [2002-11-02 08:33 45056] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{93994DE8-8239-4655-B1D1-5F4E91300429}"= C:\PROGRA~1\DVDREG~1\DVDShell.dll [2004-10-09 15:18 49152] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.I420"= i420vfw.dll "MSACM.CEGSM"= mobilev.acm "vidc.yv12"= yv12vfw.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "WMPNetworkSvc"=2 (0x2) "Fax"=2 (0x2) "CLSched"=2 (0x2) "CLCapSvc"=2 (0x2) [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime "CmUCRRun"=C:\WINDOWS\system32\CmUCReye.exe "ledpointer"=CNYHKey.exe "PCMService"="C:\Programme\Home Cinema\PowerCinema\PCMService.exe" "MSPY2002"=C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC "IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 "OpwareSE2"="C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [HKEY_LOCAL_MACHINE\software\microsoft\security center] "UpdatesDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde II\\game.dat"= "C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"= "C:\\Programme\\Microsoft ActiveSync\\WcesMgr.exe"= "C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde II\\patchget.dat"= "C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde I\\game.dat"= "C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde I\\patchget.dat"= "C:\\Programme\\Codemasters\\Der Herr der Ringe Online\\lotroclient.exe"= "C:\\WINDOWS\\system32\\dpvsetup.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= "C:\\Programme\\Azureus\\Azureus.exe"= "C:\\Programme\\Home Cinema\\PowerCinema\\PowerCinema.exe"= "C:\\Programme\\Home Cinema\\PowerCinema\\PCMService.exe"= "C:\\WINDOWS\\system32\\fxsclnt.exe"= "C:\\Programme\\MSN Messenger\\msnmsgr.exe"= R0 ElbyVCD;ElbyVCD;C:\WINDOWS\system32\DRIVERS\ElbyVCD.sys [2002-11-28 12:43] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14:00] R2 vnccom;vnccom;C:\WINDOWS\system32\Drivers\vnccom.SYS [2004-06-26 13:22] R3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2005-12-06 12:16] R3 CMISTOR;CMIUCR.SYS CM220 Card Reader Driver;C:\WINDOWS\system32\DRIVERS\cmiucr.SYS [2005-10-04 19:37] S3 adiusbae;Teledat 300 USB;C:\WINDOWS\system32\DRIVERS\adiusbae.sys [] S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-05-29 13:47] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Inhalt des "geplante Tasks" Ordners "2008-06-25 20:00:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-06-27 15:03:26 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\PROGRA~1\COMMON~1\X10\Common\X10nets.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\WINDOWS\ALCFDRTM.EXE . ************************************************************************** . Zeit der Fertigstellung: 2008-06-27 15:06:16 - machine was rebooted ComboFix-quarantined-files.txt 2008-06-27 13:06:12 ComboFix2.txt 2008-06-27 12:22:11 ComboFix3.txt 2008-06-27 07:23:34 ComboFix4.txt 2008-06-25 21:40:20 ComboFix5.txt 2008-06-25 21:03:36 11 Verzeichnis(se), 51,266,211,840 Bytes frei 13 Verzeichnis(se), 51,251,789,824 Bytes frei 239 Viele Grüße Mista |
|
|
||
27.06.2008, 16:03
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo,
es sollte wieder alles i.o. sein. 0. ComboFix entfernen Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" 1. poste dieses log http://virus-protect.org/registry_stuff.html 2. scanne mit malwarebytes - update das Programm vor Anwendung - + poste den report http://virus-protect.org/artikel/tools/malwarebytes.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
27.06.2008, 16:54
...neu hier
Themenstarter Beiträge: 4 |
#7
Hallo Sabina,
zu 0) erledigt. zu 1) findstuff file: doesn't exist HKEY_LOCAL_MACHINE\SSYSTEM\CurrentControlSet\Services\windowsnetwork doesn't exist HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters doesn't exist HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry doesn't exist HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr ----------------------- ----------------------- REGEDIT4 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess] "DependOnGroup"=hex(7):00 "DependOnService"=hex(7):4e,65,74,6d,61,6e,00,57,69,6e,4d,67,6d,74,00,00 "Description"="Bietet allen Computern in Heim- und kleinen Firmennetzwerken Dienste für die Netzwerkadressübersetzung, Adressierung, Namensauflösung und Eindringsschutz." "DisplayName"="Windows-Firewall/Gemeinsame Nutzung der Internetverbindung" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,\ 32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00 "ObjectName"="LocalSystem" "Start"=dword:00000002 "Type"=dword:00000020 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch] "Epoch"=dword:00002ce5 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters] "ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\ 33,32,5c,69,70,6e,61,74,68,6c,70,2e,64,6c,6c,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:Enabled:Remoteunterstützung" "%ProgramFiles%\\Messenger\\msmsgs.exe"="%ProgramFiles%\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger" "%ProgramFiles%\\AOL 9.0\\AOL.exe"="%ProgramFiles%\\AOL 9.0\\AOL.exe:*:enabled:AOL 9.0" "%WinDir%\\system32\\fxsclnt.exe"="%WinDir%\\system32\\fxsclnt.exe:*:enabled:Microsoft Fax Console" "%ProgramFiles%\\Skype\\Phone\\Skype.exe"="%ProgramFiles%\\Skype\\Phone\\Skype.exe:*:enabled:Skype" "%ProgramFiles%\\CA\\eTrust Antivirus\\InocIT.exe"="%ProgramFiles%\\CA\\eTrust Antivirus\\InocIT.exe:*:enabled:eTrust Antivirus - Local Scanner" "%ProgramFiles%\\CA\\eTrust Antivirus\\Realmon.exe"="%ProgramFiles%\\CA\\eTrust Antivirus\\Realmon.exe:*:enabled:eTrust Antivirus - Realtime monitor" "%ProgramFiles%\\CA\\eTrust Antivirus\\InoRpc.exe"="%ProgramFiles%\\CA\\eTrust Antivirus\\InoRpc.exe:*:enabled:eTrust Antivirus - RPC Server" "C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDial.exe"="C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDial.exe:*:Enabled:AOL" "C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLAcsd.exe"="C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLAcsd.exe:*:Enabled:AOL" "C:\\Programme\\AOL 9.0\\waol.exe"="C:\\Programme\\AOL 9.0\\waol.exe:*:Enabled:AOL 9.0" "C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] "1900:UDP"="1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007" "2869:TCP"="2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008" "10243:TCP"="10243:TCP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst" "10280:UDP"="10280:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst" "10281:UDP"="10281:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst" "10282:UDP"="10282:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst" "10283:UDP"="10283:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst" "10284:UDP"="10284:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall"=dword:00000001 "DoNotAllowExceptions"=dword:00000000 "DisableNotifications"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:Enabled:Remoteunterstützung" "C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde II\\game.dat"="C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde II\\game.dat:*:Enabledie Schlacht um Mittelerde™ II" "C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe:*:Enabled:Connection Manager" "C:\\Programme\\Microsoft ActiveSync\\WcesMgr.exe"="C:\\Programme\\Microsoft ActiveSync\\WcesMgr.exe:*:Enabled:ActiveSync Application" "C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde II\\patchget.dat"="C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde II\\patchget.dat:*:Enabledatchgrabber" "C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde I\\game.dat"="C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde I\\game.dat:*:Enabledie Schlacht um Mittelerde (tm)" "C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde I\\patchget.dat"="C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde I\\patchget.dat:*:Enabledatchgrabber" "C:\\Programme\\Codemasters\\Der Herr der Ringe Online\\lotroclient.exe"="C:\\Programme\\Codemasters\\Der Herr der Ringe Online\\lotroclient.exe:*:Enabled:lotroclient.exe" "C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\WINDOWS\\system32\\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test" "C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype" "C:\\Programme\\Azureus\\Azureus.exe"="C:\\Programme\\Azureus\\Azureus.exe:*:Enabled:Azureus" "C:\\Programme\\Home Cinema\\PowerCinema\\PowerCinema.exe"="C:\\Programme\\Home Cinema\\PowerCinema\\PowerCinema.exe:*isabled:CyberLink PowerCinema" "C:\\Programme\\Home Cinema\\PowerCinema\\PCMService.exe"="C:\\Programme\\Home Cinema\\PowerCinema\\PCMService.exe:*isabled:CyberLink PowerCinema Resident Program" "C:\\WINDOWS\\system32\\fxsclnt.exe"="C:\\WINDOWS\\system32\\fxsclnt.exe:*isabled:Microsoft Fax Console" "C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*isabled:MSN Messenger 7.5" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "1900:UDP"="1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007" "2869:TCP"="2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008" "10243:TCP"="10243:TCP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst" "10280:UDP"="10280:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst" "10281:UDP"="10281:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst" "10282:UDP"="10282:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst" "10283:UDP"="10283:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst" "10284:UDP"="10284:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup] "ServiceUpgrade"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate] "All"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum] "0"="Root\\LEGACY_SHAREDACCESS\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,\ 32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00 "DisplayName"="Sicherheitscenter" "DependOnService"=hex(7):52,70,63,53,73,00,77,69,6e,6d,67,6d,74,00,00 "ObjectName"="LocalSystem" "Description"="Überwacht Systemsicherheitseinstellungen und -konfigurationen." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters] "ServiceDll"=hex(2):25,53,59,53,54,45,4d,52,4f,4f,54,25,5c,73,79,73,74,65,6d,\ 33,32,5c,77,73,63,73,76,63,2e,64,6c,6c,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum] "0"="Root\\LEGACY_WSCSVC\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters] "autodisconnect"=dword:0000000f "enableforcedlogoff"=dword:00000001 "enablesecuritysignature"=dword:00000000 "requiresecuritysignature"=dword:00000000 "NullSessionPipes"=hex(7):43,4f,4d,4e,41,50,00,43,4f,4d,4e,4f,44,45,00,53,51,\ 4c,5c,51,55,45,52,59,00,53,50,4f,4f,4c,53,53,00,4c,4c,53,52,50,43,00,62,72,\ 6f,77,73,65,72,00,00 "NullSessionShares"=hex(7):43,4f,4d,43,46,47,00,44,46,53,24,00,00 "ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\ 33,32,5c,73,72,76,73,76,63,2e,64,6c,6c,00 "Lmannounce"=dword:00000000 "Size"=dword:00000001 "Guid"=hex:c9,c3,d9,19,31,23,9b,49,88,cc,bf,42,da,fb,2f,a5 "AdjustedNullSessionPipes"=dword:00000001 [HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa] [HKEY_CURRENT_USER\Software\Microsoft\OLE] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger] "ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,\ 32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\Parameters] "ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\ 33,32,5c,6d,73,67,73,76,63,2e,64,6c,6c,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate] [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole] "DefaultLaunchPermission"=hex:01,00,04,80,5c,00,00,00,6c,00,00,00,00,00,00,00,\ 14,00,00,00,02,00,48,00,03,00,00,00,00,00,18,00,1f,00,00,00,01,02,00,00,00,\ 00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,0b,00,00,00,01,01,00,00,00,00,\ 00,05,04,00,00,00,00,00,14,00,0b,00,00,00,01,01,00,00,00,00,00,05,12,00,00,\ 00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,05,\ 20,00,00,00,20,02,00,00 "MachineLaunchRestriction"=hex:01,00,04,80,48,00,00,00,58,00,00,00,00,00,00,00,\ 14,00,00,00,02,00,34,00,02,00,00,00,00,00,18,00,1f,00,00,00,01,02,00,00,00,\ 00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,0b,00,00,00,01,01,00,00,00,00,\ 00,01,00,00,00,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,\ 00,00,00,00,05,20,00,00,00,20,02,00,00 "MachineAccessRestriction"=hex:01,00,04,80,44,00,00,00,54,00,00,00,00,00,00,00,\ 14,00,00,00,02,00,30,00,02,00,00,00,00,00,14,00,03,00,00,00,01,01,00,00,00,\ 00,00,05,07,00,00,00,00,00,14,00,07,00,00,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00 "EnableDCOM"="Y" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat\ActivationSecurityCheckExemptionList] "{A50398B8-9075-4FBF-A7A1-456BF21937AD}"="1" "{AD65A69D-3831-40D7-9629-9B0B50A93843}"="1" "{0040D221-54A1-11D1-9DE0-006097042D69}"="1" "{2A6D72F1-6E7E-4702-B99C-E40D3DED33C3}"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\NONREDIST] "System.EnterpriseServices.Thunk.dll"="" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "Authentication Packages"=hex(7):6d,73,76,31,5f,30,00,00 "Bounds"=hex:00,30,00,00,00,20,00,00 "Security Packages"=hex(7):6b,65,72,62,65,72,6f,73,00,6d,73,76,31,5f,30,00,73,\ 63,68,61,6e,6e,65,6c,00,77,64,69,67,65,73,74,00,00 "ImpersonatePrivilegeUpgradeToolHasRun"=dword:00000001 "LsaPid"=dword:000002c0 "SecureBoot"=dword:00000001 "auditbaseobjects"=dword:00000000 "crashonauditfail"=dword:00000000 "disabledomaincreds"=dword:00000000 "everyoneincludesanonymous"=dword:00000000 "fipsalgorithmpolicy"=dword:00000000 "forceguest"=dword:00000001 "fullprivilegeauditing"=hex:00 "limitblankpassworduse"=dword:00000001 "lmcompatibilitylevel"=dword:00000000 "nodefaultadminowner"=dword:00000001 "nolmhash"=dword:00000000 "restrictanonymous"=dword:00000000 "restrictanonymoussam"=dword:00000001 "Notification Packages"=hex(7):73,63,65,63,6c,69,00,00 "enabledcom"="y" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\AccessProviders] "ProviderOrder"=hex(7):57,69,6e,64,6f,77,73,20,4e,54,20,41,63,63,65,73,73,20,\ 50,72,6f,76,69,64,65,72,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\AccessProviders\Windows NT Access Provider] "ProviderPath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,\ 33,32,5c,6e,74,6d,61,72,74,61,2e,64,6c,6c,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit\PerUserAuditing] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit\PerUserAuditing\System] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Data] "Pattern"=hex:f0,43,cf,3f,58,b0,46,65,b7,01,45,ee,fe,e8,89,b9,33,32,62,65,65,\ 35,30,38,00,00,00,00,f8,70,00,00,18,ca,06,00,99,d0,b7,71,04,ca,06,00,10,00,\ 00,00,00,00,00,00,ea,83,35,bb,3f,90,be,7d,20,88,03,32 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\GBG] "GrafBlumGroup"=hex:dd,c2,d4,a5,6e,d5,92,54,7d [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\JD] "Lookup"=hex:aa,47,c2,91,12,d6 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Domains] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\SidCache] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\msv1_0] "ntlmminclientsec"=dword:00000000 "ntlmminserversec"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Skew1] "SkewMatrix"=hex:07,e5,f8,43,a2,e9,65,8b,3f,3b,d2,1b,e2,b8,2f,57 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SSO] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SSO\Passport1.4] "SSOURL"="http://www.passport.com" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache] "Time"=hex:96,55,4d,af,4d,d7,c8,01 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\digest.dll] "Name"="Digest" "Comment"="Digest SSPI Authentication Package" "Capabilities"=dword:00004050 "RpcId"=dword:0000ffff "Version"=dword:00000001 "TokenSize"=dword:0000ffff "Time"=hex:00,e0,60,91,1a,7a,c4,01 "Type"=dword:00000031 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\msapsspc.dll] "Name"="DPA" "Comment"="DPA Security Package" "Capabilities"=dword:00000037 "RpcId"=dword:00000011 "Version"=dword:00000001 "TokenSize"=dword:00000300 "Time"=hex:00,e0,60,91,1a,7a,c4,01 "Type"=dword:00000031 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\msnsspc.dll] "Name"="MSN" "Comment"="MSN Security Package" "Capabilities"=dword:00000037 "RpcId"=dword:00000012 "Version"=dword:00000001 "TokenSize"=dword:00000300 "Time"=hex:00,e0,60,91,1a,7a,c4,01 "Type"=dword:00000031 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "FirstRunDisabled"=dword:00000001 "AntiVirusDisableNotify"=dword:00000000 "FirewallDisableNotify"=dword:00000000 "UpdatesDisableNotify"=dword:00000001 "AntiVirusOverride"=dword:00000000 "FirewallOverride"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 @="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile] zu 1) malwarebytes log: Malwarebytes' Anti-Malware 1.18 Datenbank Version: 891 16:41:30 27.06.2008 mbam-log-6-27-2008 (16-41-30).txt Scan Art: Komplett Scan (C:\|D:\|E:\|) Objekte gescannt: 145231 Scan Dauer: 27 minute(s), 52 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine Malware Objekte gefunden) Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: (Keine Malware Objekte gefunden) Seit Stunden ist hier nichts mehr "aufgepoppt". Ich bedanke mich recht herzlich! Wie kann man sowas zukünftig verhindern? Oder kann man das garnicht? Ist es besser eine andere Firewall/Virussoftware einzusetzen? Viele Grüße Mista |
|
|
||
27.06.2008, 23:00
Ehrenmitglied
Beiträge: 29434 |
#8
Hallo, Mista_HB
du hast das selbst geladen, also wahrscheinlich ein verseuchter Codec + SysKontroller. Da hilft auch die beste Firewall nichts. versuche es mit Sandboxie, oder meide gewisse Seiten/Software... http://virus-protect.org/artikel/tools/sandboxie.html wenn es noch Probleme gibt, melde dich.... __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.07.2008, 10:39
...neu hier
Beiträge: 6 |
#9
Hallo allerseits!
Ich habe "denke ich" das gleiche Problem mir minem Rechner. Tagelang ging kein I-net mehr und mein Kaspersky zeigt jetzt immernoch bei jedem Start i-welche Viren-Dateien an. Trojan Downloader.Win32.VB.eyc war das letzte und immer wieder lese ich etwas von C:\WINDOWS\System32\... ich habe diese Dateien immer gelöscht, wenn es ging, aber manchmal sagt er auch, dass er diese dateien nicht findet und dann muss ich es "überspringen". Dieses "desinfizieren" bringt meiner meinung nach nichts, weil es immer wieder auftaucht. letztens habe ich einen VirenScan gemacht und Kaspersky hat 14 "verseuchte" Dateien gefunden. Zum teil auch diese: Infiziert: trojanisches Programm Trojan.Win32.Monder.gen C:\System Volume Information\_restore{1DC5C6C9-B1B3-4C3D-8085-C696201F5A13}\RP171\A0023849.dll 89.5 KB Infiziert: trojanisches Programm Trojan-Downloader.WMA.Wimad.n C:\Programme\Incomplete\T-3545425-achmet der tote terrorist.mp3 3.4 MB Infiziert: trojanisches Programm Trojan.Win32.Monder.gen c:\windows\system32\iifcvwtt.dll 30.5 KB Infiziert: trojanisches Programm Trojan.Win32.Monder.gen c:\windows\system32\pmnmkcri.dll 31 KB Infiziert: trojanisches Programm Trojan.Win32.Monder.gen c:\dokumente und einstellungen\!stacey!\lokale einstellungen\temporary internet files\content.ie5\ik5aubvq\kb767887[1] 100 KB Infiziert: trojanisches Programm Trojan.Win32.Monder.gen c:\windows\system32\gebqqixo.dll 31 KB Infiziert: trojanisches Programm Trojan.Win32.Monder.gen C:\System Volume Information\_restore{1DC5C6C9-B1B3-4C3D-8085-C696201F5A13}\RP171\A0023850.dll 30.5 KB Infiziert: trojanisches Programm Trojan.Win32.Monder.gen c:\dokumente und einstellungen\!stacey!\lokale einstellungen\temporary internet files\content.ie5\nu3pt1bn\kb671231[1] 89.5 KB Infiziert: trojanisches Programm Trojan.Win32.Monder.gen C:\System Volume Information\_restore{1DC5C6C9-B1B3-4C3D-8085-C696201F5A13}\RP171\A0023851.dll 31 KB Infiziert: trojanisches Programm Trojan.Win32.Monder.gen c:\dokumente und einstellungen\!stacey!\lokale einstellungen\temporary internet files\content.ie5\iu4zgc6q\kb456456[1] 79 KB Infiziert: trojanisches Programm Trojan.Win32.Monder.gen C:\WINDOWS\system32\kuyryxjv.dll 79 KB Infiziert: trojanisches Programm Trojan.Win32.Monder.gen C:\WINDOWS\SYSTEM32\UBQLROIL.DLL 90 KB Infiziert: trojanisches Programm Trojan.Win32.Monder.gen c:\windows\system32\efcyasmn.dll 31 KB Infiziert: trojanisches Programm Trojan.Win32.Monder.gen C:\WINDOWS\system32\pmnKCttt.dll 31 KB Infiziert: trojanisches Programm Trojan.Win32.Monder.gen C:\WINDOWS\SYSTEM32\VTULLEWQ.DLL 30.5 KB Infiziert: trojanisches Programm Trojan.Win32.Monder.gen C:\WINDOWS\system32\mlJCUOEX.dll 275 KB Infiziert: trojanisches Programm Trojan.Win32.Monder.gen C:\System Volume Information\_restore{1DC5C6C9-B1B3-4C3D-8085-C696201F5A13}\RP171\A0023852.dll 275 KB Infiziert: trojanisches Programm Trojan.Win32.Monder.gen C:\WINDOWS\SYSTEM32\TUVTKJKB.DLL 30.5 KB Infiziert: trojanisches Programm Trojan.Win32.Monder.gen C:\WINDOWS\SYSTEM32\ZTAISU.DLL 99.5 KB Infiziert: trojanisches Programm Trojan.Win32.Monder.gen c:\windows\system32\jqdpdnmm.dll 99 KB Infiziert: trojanisches Programm Trojan-Downloader.WMA.Wimad.n C:\Programme\Incomplete\T-3545425-bassmann admirals.mp3 3.4 MB Infiziert: trojanisches Programm Trojan.Win32.Monder.gen c:\dokumente und einstellungen\!stacey!\lokale einstellungen\temporary internet files\content.ie5\ik5aubvq\css4[1] 274.9 KB Infiziert: trojanisches Programm Trojan-Downloader.Win32.VB.eyc C:\WINDOWS\system32\olixds18\olixds182328.exe 32 KB Infiziert: trojanisches Programm Trojan.Win32.Monder.gen C:\WINDOWS\system32\tuvSiHwx.dll 30.5 KB Infiziert: trojanisches Programm Trojan.Win32.Monder.gen C:\WINDOWS\SYSTEM32\PBICAGYU.DLL 89.5 KB Infiziert: trojanisches Programm Trojan.Win32.Monder.gen C:\WINDOWS\system32\gmusqxih.dll 89.5 KB Infiziert: trojanisches Programm Trojan.Win32.Monder.gen C:\WINDOWS\system32\dutzsk.dll 99 KB Infiziert: trojanisches Programm Trojan.Win32.Monder.gen c:\windows\system32\qkalbggs.dll 100 KB Infiziert: trojanisches Programm Trojan.Win32.Monder.gen C:\WINDOWS\system32\bkujxf.dll 100 KB Infiziert: trojanisches Programm Trojan.Win32.Monder.gen c:\windows\system32\tgdwgjox.dll 99.5 KB Bitte helft mir und meinem Computer... |
|
|
||
16.07.2008, 11:25
Ehrenmitglied
Beiträge: 29434 |
#10
Hallo, Lani
« wende cleaner an + lösche die temp-Dateien http://www.ccleaner.de/?protecus.de « wende combofix an , warnmeldung wegklicken + poste hier den report http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.07.2008, 12:08
...neu hier
Beiträge: 6 |
#11
ComboFix 08-07-14.2 - !Stacey! 2008-07-16 12:03:46.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.150 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\!Stacey!\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Programme\AntiSpywareExpert C:\Programme\FunWebProducts C:\Programme\FunWebProducts\ScreenSaver\Images\00D8C5C6.urr C:\Programme\FunWebProducts\Shared\Cache\CursorManiaBtn.html C:\Programme\FunWebProducts\Shared\Cache\MailStampBtn.html C:\Programme\FunWebProducts\Shared\Cache\MyStationeryBtn.html C:\Programme\FunWebProducts\Shared\Cache\SmileyCentralBtn.html C:\Programme\internet explorer\msimg32.dll C:\Programme\MyWebSearch C:\Programme\MyWebSearch\bar\1.bin\F3BKGERR.JPG C:\Programme\MyWebSearch\bar\1.bin\F3BROVLY.DLL C:\Programme\MyWebSearch\bar\1.bin\F3CJPEG.DLL C:\Programme\MyWebSearch\bar\1.bin\F3DTACTL.DLL C:\Programme\MyWebSearch\bar\1.bin\F3HISTSW.DLL C:\Programme\MyWebSearch\bar\1.bin\F3HTMLMU.DLL C:\Programme\MyWebSearch\bar\1.bin\F3HTTPCT.DLL C:\Programme\MyWebSearch\bar\1.bin\F3IMSTUB.DLL C:\Programme\MyWebSearch\bar\1.bin\F3POPSWT.DLL C:\Programme\MyWebSearch\bar\1.bin\F3PSSAVR.SCR C:\Programme\MyWebSearch\bar\1.bin\F3REPROX.DLL C:\Programme\MyWebSearch\bar\1.bin\F3RESTUB.DLL C:\Programme\MyWebSearch\bar\1.bin\F3SCHMON.EXE C:\Programme\MyWebSearch\bar\1.bin\F3SCRCTR.DLL C:\Programme\MyWebSearch\bar\1.bin\F3SHLLVW.DLL C:\Programme\MyWebSearch\bar\1.bin\F3SPACER.WMV C:\Programme\MyWebSearch\bar\1.bin\F3WALLPP.DAT C:\Programme\MyWebSearch\bar\1.bin\F3WPHOOK.DLL C:\Programme\MyWebSearch\bar\1.bin\M3FFXTBR.JAR C:\Programme\MyWebSearch\bar\1.bin\M3FFXTBR.MANIFEST C:\Programme\MyWebSearch\bar\1.bin\M3HTML.DLL C:\Programme\MyWebSearch\bar\1.bin\M3IDLE.DLL C:\Programme\MyWebSearch\bar\1.bin\M3IMPIPE.EXE C:\Programme\MyWebSearch\bar\1.bin\M3MSG.DLL C:\Programme\MyWebSearch\bar\1.bin\M3NTSTBR.JAR C:\Programme\MyWebSearch\bar\1.bin\M3NTSTBR.MANIFEST C:\Programme\MyWebSearch\bar\1.bin\M3OUTLCN.DLL C:\Programme\MyWebSearch\bar\1.bin\M3PLUGIN.DLL C:\Programme\MyWebSearch\bar\1.bin\M3SKIN.DLL C:\Programme\MyWebSearch\bar\1.bin\M3SKPLAY.EXE C:\Programme\MyWebSearch\bar\1.bin\M3SLSRCH.EXE C:\Programme\MyWebSearch\bar\1.bin\M3SRCHMN.EXE C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE C:\Programme\MyWebSearch\bar\1.bin\MWSOEPLG.DLL C:\Programme\MyWebSearch\bar\1.bin\MWSOESTB.DLL C:\Programme\MyWebSearch\bar\1.bin\NPMYWEBS.DLL C:\Programme\MyWebSearch\bar\Avatar\COMMON.F3S C:\Programme\MyWebSearch\bar\Cache\000269CC.bin C:\Programme\MyWebSearch\bar\Cache\00026B52.bin C:\Programme\MyWebSearch\bar\Cache\00026CAA.bin C:\Programme\MyWebSearch\bar\Cache\00026DA4.bin C:\Programme\MyWebSearch\bar\Cache\0027AC20 C:\Programme\MyWebSearch\bar\Cache\00D74BE7 C:\Programme\MyWebSearch\bar\Cache\00D7622F.bin C:\Programme\MyWebSearch\bar\Cache\00D76B47.bin C:\Programme\MyWebSearch\bar\Cache\00D77DE4.bin C:\Programme\MyWebSearch\bar\Cache\00D78353.bin C:\Programme\MyWebSearch\bar\Cache\files.ini C:\Programme\MyWebSearch\bar\Game\CHECKERS.F3S C:\Programme\MyWebSearch\bar\Game\CHESS.F3S C:\Programme\MyWebSearch\bar\Game\REVERSI.F3S C:\Programme\MyWebSearch\bar\History\search2 C:\Programme\MyWebSearch\bar\icons\CM.ICO C:\Programme\MyWebSearch\bar\icons\MFC.ICO C:\Programme\MyWebSearch\bar\icons\PSS.ICO C:\Programme\MyWebSearch\bar\icons\SMILEY.ICO C:\Programme\MyWebSearch\bar\icons\WB.ICO C:\Programme\MyWebSearch\bar\icons\ZWINKY.ICO C:\Programme\MyWebSearch\bar\Message\COMMON.F3S C:\Programme\MyWebSearch\bar\Notifier\COMMON.F3S C:\Programme\MyWebSearch\bar\Notifier\DOG.F3S C:\Programme\MyWebSearch\bar\Notifier\FISH.F3S C:\Programme\MyWebSearch\bar\Notifier\KUNGFU.F3S C:\Programme\MyWebSearch\bar\Notifier\LIFEGARD.F3S C:\Programme\MyWebSearch\bar\Notifier\MAID.F3S C:\Programme\MyWebSearch\bar\Notifier\MAILBOX.F3S C:\Programme\MyWebSearch\bar\Notifier\OPERA.F3S C:\Programme\MyWebSearch\bar\Notifier\ROBOT.F3S C:\Programme\MyWebSearch\bar\Notifier\SEDUCT.F3S C:\Programme\MyWebSearch\bar\Notifier\SURFER.F3S C:\Programme\MyWebSearch\bar\Settings\prevcfg2.htm C:\Programme\MyWebSearch\bar\Settings\s_pid.dat C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL C:\WINDOWS\cookies.ini C:\WINDOWS\pskt.ini C:\WINDOWS\system32\f3PSSavr.scr C:\WINDOWS\system32\jhqlkovl.ini C:\WINDOWS\system32\MSINET.oca C:\WINDOWS\system32\pac.txt C:\WINDOWS\system32\qirltqmt.ini C:\WINDOWS\system32\tjwbwoog.ini C:\WINDOWS\system32\vjxyryuk.ini C:\WINDOWS\system32\XEOUCJlm.ini C:\WINDOWS\system32\XEOUCJlm.ini2 G:\Autorun.inf . ((((((((((((((((((((((( Dateien erstellt von 2008-06-16 bis 2008-07-16 )))))))))))))))))))))))))))))) . 2008-07-16 12:03 . 2008-07-16 12:03 <DIR> d-------- C:\Dokumente und Einstellungen\!Stacey!\Start Menu 2008-07-16 11:58 . 2008-07-16 11:58 <DIR> dr-h----- C:\Dokumente und Einstellungen\!Stacey!\Recent 2008-07-16 11:56 . 2008-07-16 11:56 <DIR> d-------- C:\Programme\CCleaner 2008-07-15 08:42 . 1998-05-07 10:57 143,872 --a------ C:\WINDOWS\system32\iacenc.dll 2008-07-15 08:38 . 2008-07-15 08:38 <DIR> d-------- C:\Dokumente und Einstellungen\!Stacey!\WINDOWS 2008-07-15 08:38 . 1998-01-23 12:20 305,664 --a------ C:\WINDOWS\IsUn0407.exe 2008-07-13 10:45 . 2008-07-13 10:45 278,728 --a------ C:\WINDOWS\system32\drivers\atksgt.sys 2008-07-13 10:45 . 2008-07-13 10:45 25,416 --a------ C:\WINDOWS\system32\drivers\lirsgt.sys 2008-07-12 13:11 . 2008-07-14 18:41 110,464 --a------ C:\WINDOWS\BMabca5bab.xml 2008-07-11 19:25 . 2008-07-11 19:37 <DIR> d-------- C:\Programme\ABC Amber Audio Converter 2008-07-11 18:28 . 2008-07-16 10:05 <DIR> d-------- C:\WINDOWS\system32\olixds18 2008-07-11 18:28 . 2008-07-11 18:28 <DIR> d-------- C:\Temp\stmpv4 2008-07-11 18:28 . 2008-06-27 18:38 53,248 ---hs---- C:\Dokumente und Einstellungen\!Stacey!\winlogon.exe 2008-07-11 12:38 . 2008-07-11 12:38 4,096 --a------ C:\WINDOWS\d3dx.dat 2008-07-11 00:00 . 2008-07-11 00:00 522 --a------ C:\WINDOWS\eReg.dat 2008-07-08 16:53 . 2008-07-08 16:53 1,025 --a------ C:\WINDOWS\system32\sysprs7.tgz 2008-07-08 16:53 . 2008-07-08 16:53 1,025 --a------ C:\WINDOWS\system32\sysprs7.dll 2008-07-08 16:53 . 2008-07-08 16:53 1,025 --a------ C:\WINDOWS\system32\clauth2.dll 2008-07-08 16:53 . 2008-07-08 16:53 1,025 --a------ C:\WINDOWS\system32\clauth1.dll 2008-07-08 16:53 . 2008-07-08 17:01 351 --a------ C:\WINDOWS\system32\lsprst7.tgz 2008-07-08 16:53 . 2008-07-08 17:01 337 --a------ C:\WINDOWS\system32\lsprst7.dll 2008-07-08 16:53 . 2008-07-08 17:01 87 --a------ C:\WINDOWS\system32\ssprs.tgz 2008-07-08 16:53 . 2008-07-08 17:01 73 --a------ C:\WINDOWS\system32\ssprs.dll 2008-07-08 16:50 . 2008-07-08 16:50 <DIR> d-------- C:\Programme\PacketVideo 2008-07-08 12:22 . 2008-07-08 12:22 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe 2008-06-18 19:52 . 2008-06-18 19:52 161,096 --a------ C:\WINDOWS\system32\DivXCodecVersionChecker.exe 2008-06-18 18:44 . 2008-06-18 18:44 <DIR> d-------- C:\Dokumente und Einstellungen\!Stacey!\Anwendungsdaten\Mozilla 2008-06-18 15:50 . 2008-06-18 15:51 <DIR> d-------- C:\WINDOWS\system32\Adobe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-16 10:05 404,000 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat 2008-07-16 10:05 12,791,328 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat 2008-07-16 08:03 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2008-07-15 21:20 39,608 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx 2008-07-15 21:20 173,828 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2008-07-13 08:20 --------- d-----w C:\Programme\LimeWire 2008-07-12 23:56 --------- d-----w C:\Programme\Incomplete 2008-07-12 20:36 --------- d-----w C:\Dokumente und Einstellungen\!Stacey!\Anwendungsdaten\LimeWire 2008-07-10 21:55 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-07-09 07:19 --------- d-----w C:\Programme\DivX 2008-07-08 10:24 --------- d-----w C:\Dokumente und Einstellungen\!Stacey!\Anwendungsdaten\AdobeUM 2008-06-18 19:41 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX 2008-06-18 19:40 --------- d-----w C:\Programme\MAGIX 2008-06-15 15:56 35,024 ----a-w C:\Dokumente und Einstellungen\!Stacey!\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2008-06-11 00:07 9,464 ------w C:\WINDOWS\system32\drivers\cdralw2k.sys 2008-06-11 00:07 9,336 ------w C:\WINDOWS\system32\drivers\cdr4_xp.sys 2008-06-11 00:07 43,528 ------w C:\WINDOWS\system32\drivers\PxHelp20.sys 2008-06-11 00:07 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll 2008-06-11 00:07 129,784 ------w C:\WINDOWS\system32\pxafs.dll 2008-06-11 00:07 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe 2008-06-11 00:07 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe 2008-06-11 00:04 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll 2008-06-11 00:04 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll 2008-06-11 00:03 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll 2008-06-11 00:03 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll 2008-06-11 00:03 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll 2008-06-11 00:03 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll 2008-06-11 00:03 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll 2008-06-11 00:03 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll 2008-06-11 00:03 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll 2008-06-11 00:03 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll 2008-06-10 13:05 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer 2008-06-09 11:23 86,016 ----a-w C:\WINDOWS\system32\OpenAL32.dll 2008-06-09 11:17 36,864 ----a-w C:\WINDOWS\unslive.exe 2008-06-09 11:17 --------- d-----w C:\Programme\Sclive 2008-06-05 07:41 --------- d-----w C:\Programme\Java 2008-06-04 15:00 --------- d-----w C:\Dokumente und Einstellungen\!Stacey!\Anwendungsdaten\BitTorrent 2008-06-04 13:31 --------- d-----w C:\Dokumente und Einstellungen\!Stacey!\Anwendungsdaten\.wyzo 2008-06-02 15:27 --------- d-----w C:\Programme\Google 2008-06-02 13:51 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Trymedia 2008-05-31 14:49 88,774 ----a-w C:\WINDOWS\system32\drivers\klick.dat 2008-05-30 04:33 --------- d-----w C:\Dokumente und Einstellungen\!Stacey!\Anwendungsdaten\MAGIX 2008-05-30 04:29 --------- d-----w C:\Programme\Gemeinsame Dateien\MAGIX Shared 2008-05-29 14:50 96,966 ----a-w C:\WINDOWS\system32\drivers\klin.dat 2008-05-23 13:12 --------- d-----w C:\Dokumente und Einstellungen\!Stacey!\Anwendungsdaten\ICQ 2008-05-17 12:52 --------- d-----w C:\Programme\Windows Media Connect 2 2008-05-16 16:19 20,100 ----a-w C:\bittersweet.zip 2008-05-14 16:23 4,495,072 ----a-w C:\LimeWireWin416.exe 2008-01-07 18:50 24,192 ----a-w C:\Dokumente und Einstellungen\!Stacey!\usbsermptxp.sys 2008-01-07 18:50 22,768 ----a-w C:\Dokumente und Einstellungen\!Stacey!\usbsermpt.sys 2007-12-24 12:02 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012007122420071225\index.dat . ------- Sigcheck ------- 2004-08-04 14:00 579584 78785eff8cb90cec1862a4ccfd9a3c3a C:\WINDOWS\system32\user32.dll 2004-08-04 14:00 822784 be43d00d802c92f01c8cc952c6f483f8 C:\WINDOWS\system32\wininet.dll 2004-08-04 14:00 360576 b2220c618b42a2212a59d91ebd6fc4b4 C:\WINDOWS\system32\drivers\tcpip.sys 2004-08-04 14:00 2019840 5aa6fe8b36d7d4074542925c38c142be C:\WINDOWS\system32\ntkrnlpa.exe 2004-08-04 14:00 2140160 fd51b755255e963b1e78b010b575fa7c C:\WINDOWS\system32\ntoskrnl.exe 2004-08-04 14:00 1035264 64322e8399b205b7281ff883737a9b03 C:\WINDOWS\explorer.exe 2004-08-04 14:00 57856 ad3d9d191aea7b5445fe1d82ffbb4788 C:\WINDOWS\system32\spoolsv.exe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 13:35 90112] "DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-08-29 17:09 171464] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360] "swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-01-27 15:52 68856] "ICQ"="G:\ICQ\ICQ6\ICQ.exe" [2008-04-01 12:40 172280] "updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AVMWlanClient"="C:\Programme\avmwlanstick\wlangui.exe" [2006-12-28 01:02 1454080] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784] "Windows Logon Applicationedc"="C:\Dokumente und Einstellungen\!Stacey!\winlogon.exe" [2008-06-27 18:38 53248] "RTHDCPL"="RTHDCPL.EXE" [2007-03-21 08:49 16126464 C:\WINDOWS\RTHDCPL.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "nltide_2"="shell32" [X] "TSClientMSIUninstaller"="C:\WINDOWS\Installer\TSClientMsiTrans\tscuinst.vbs" [2004-08-04 14:00 12451] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Reader Speed Launch.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 03:38:16 29696] Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 02:01:04 83360] WLUSB Stick 11V3.lnk - C:\Programme\corega\Wireless LAN USB Stick 11 V3\WlanCU.exe [2004-09-14 13:55:10 471040] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.I420"= i263_32.drv "vidc.iv31"= C:\WINDOWS\system32\ir32_32.dll "vidc.iv32"= C:\WINDOWS\system32\ir32_32.dll "vidc.I263"= i263_32.drv [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "G:\\ICQ\\ICQ6\\ICQ.exe"= "C:\\Programme\\kis7.0\\setup.exe"= "C:\\Programme\\LimeWire\\LimeWire.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "52525:TCP"= 52525:TCP:utorrent R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-12-28 01:02] S3 avmeject;AVM Eject;C:\WINDOWS\system32\drivers\avmeject.sys [2006-12-28 01:02] S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Programme\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 14:18] *Newly Created Service* - CATCHME [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\ccc-core-static] msiexec /fums {A75BF1D0-C7C3-CB55-EE17-3225387FD154} /qb . - - - - ORPHANS REMOVED - - - - BHO-{7768234D-E494-424D-96E6-4819A1E16325} - C:\WINDOWS\system32\tuvSiHwx.dll BHO-{8CB37016-DCE5-49F6-8854-7E2F12C491A0} - C:\WINDOWS\system32\mlJCUOEX.dll HKLM-Run-My Web Search Bar Search Scope Monitor - C:\PROGRA~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe HKLM-Run-TrayServer - C:\Programme\MAGIX\Video_deluxe_2008_e-version\TrayServer.exe HKLM-Run-BMabca5bab - C:\WINDOWS\system32\gmusqxih.dll ShellExecuteHooks-{7768234D-E494-424D-96E6-4819A1E16325} - C:\WINDOWS\system32\tuvSiHwx.dll Notify-tuvSiHwx - tuvSiHwx.dll ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-16 12:05:28 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\system32\winlogon.exe -> C:\Dokumente und Einstellungen\!Stacey!\winlogon.exe . Zeit der Fertigstellung: 2008-07-16 12:06:05 ComboFix-quarantined-files.txt 2008-07-16 10:06:00 7 Verzeichnis(se), 10,769,436,672 Bytes frei 10 Verzeichnis(se), 10,743,742,464 Bytes frei 274 |
|
|
||
16.07.2008, 12:31
Ehrenmitglied
Beiträge: 29434 |
#12
Hallo, Lani
0. wende cleaner an + leere alle temp-Folder http://www.ccleaner.de/?protecus.de 1. Virustotal http://www.virustotal.com/flash/index_en.html C:\Dokumente und Einstellungen\!Stacey!\winlogon.exe Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> TEXT KOMPLETT kopieren ------------------------------------------------------------ 2. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern Zitat KILLALL::Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden. cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen ---------------------------------- 3. scanne + poste den report (nur den Teil. wo Viren angezeigt werden) http://virus-protect.org/artikel/tools/kaspersky.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.07.2008, 13:45
...neu hier
Beiträge: 6 |
#13
Also, 0: getan,
Bei 1: Diese ...\winlogon.exe datei existiert nicht?! ..mache einfach mal mit kopieren und einf. Dann steht da: Die Datei wurde bereits analysiert: MD5: 4de5b3e711ff0de62a5a48af66214b7d First received: 2008.06.28 18:35:43 (CET) Datum 2008.07.16 01:05:11 (CET) [<1D] Ergebnisse 10/33 Permalink: analisis/7575f1ca2f90be797af81f64fa063dbd und bei nummer 2 hab ich eine frage: Mit rechter Maustaste auf Combofix ziehen. Dann erscheint ein "öffnen mit" und ein "abbrechen". Aber wenn ich auf das erste klicke dann startet Combofix erneut. soll ich die daten dann auch posten?? |
|
|
||
16.07.2008, 15:21
Ehrenmitglied
Beiträge: 29434 |
#14
Zitat Die Datei wurde bereits analysiert:ich hatte geschrieben : ALLES ABKOPIEREN ich will sehen, welche scanner das erkennen ---------- ein "öffnen mit" : ist o.k. ---Combofix startet neu + löscht, __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.07.2008, 15:30
...neu hier
Beiträge: 6 |
#15
nr 1:
Datei winlogon.exe empfangen 2008.07.16 15:26:34 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 9/32 (28.13%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 2. Geschätzte Startzeit is zwischen 42 und 60 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.7.16.0 2008.07.16 Win-Trojan/Agent.53248.JK AntiVir 7.8.0.68 2008.07.16 TR/Crypt.CFI.Gen Authentium 5.1.0.4 2008.07.15 - Avast 4.8.1195.0 2008.07.15 Win32:Trojan-gen {Other} AVG 7.5.0.516 2008.07.16 - BitDefender 7.2 2008.07.16 Backdoor.Agent.VB.S CAT-QuickHeal 9.50 2008.07.15 - ClamAV 0.93.1 2008.07.16 - DrWeb 4.44.0.09170 2008.07.16 - eSafe 7.0.17.0 2008.07.15 - eTrust-Vet 31.6.5959 2008.07.16 - Ewido 4.0 2008.07.16 - F-Prot 4.4.4.56 2008.07.15 - F-Secure 7.60.13501.0 2008.07.16 - Fortinet 3.14.0.0 2008.07.16 - GData 2.0.7306.1023 2008.07.16 Win32:Trojan-gen Ikarus T3.1.1.26.0 2008.07.16 Backdoor.Win32.VB.cco Kaspersky 7.0.0.125 2008.07.16 - McAfee 5339 2008.07.15 - Microsoft 1.3704 2008.07.16 Backdoor:Win32/VB.CCO NOD32v2 3272 2008.07.16 - Norman 5.80.02 2008.07.16 - Panda 9.0.0.4 2008.07.16 - Rising 20.53.22.00 2008.07.16 - Sophos 4.31.0 2008.07.16 - Sunbelt 3.1.1536.1 2008.07.15 Backdoor.Agent.VB.S Symantec 10 2008.07.16 - TheHacker 6.2.96.381 2008.07.16 - TrendMicro 8.700.0.1004 2008.07.16 - VBA32 3.12.8.0 2008.07.16 - VirusBuster 4.5.11.0 2008.07.15 - Webwasher-Gateway 6.6.2 2008.07.16 Trojan.Crypt.CFI.Gen weitere Informationen File size: 53248 bytes MD5...: 4de5b3e711ff0de62a5a48af66214b7d SHA1..: 2b442cbfe8d4ca31118df703103c6a5c9d5cfdff SHA256: b3bde27c86d1145ac2bbb07f6ec9f1e2149a8b70430848b0f228d15c072e641d SHA512: 11ed621d8c073995112c74699be17d971c52a75832a53993b171fba2d92cd7b5 39a2c5c9fa3a50a116425164f6467877858004947f7f025bd5e29f9eef469e27 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x11001d90 timedatestamp.....: 0x445c3d11 (Sat May 06 06:07:13 2006) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x88dc 0x9000 5.40 32cc4cc0e5de2d329288f4a10a28e91c .data 0xa000 0xcdc 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110 text 0xb000 0x43 0x1000 0.17 50a05317b896c66bcd78cd2ec2af3992 .rsrc 0xc000 0x960 0x1000 2.49 49a0a2f1e6b81b757cbd068d8042cecd ( 1 imports ) > MSVBVM60.DLL: __vbaVarSub, __vbaStrI2, -, _CIcos, _adj_fptan, __vbaVarMove, __vbaFreeVar, __vbaLenBstr, __vbaStrVarMove, __vbaEnd, __vbaFreeVarList, _adj_fdiv_m64, -, _adj_fprem1, __vbaRecAnsiToUni, -, -, __vbaStrCat, __vbaError, __vbaLsetFixstr, __vbaSetSystemError, __vbaHresultCheckObj, _adj_fdiv_m32, __vbaAryVar, __vbaAryDestruct, __vbaVarIndexLoadRefLock, __vbaExitProc, -, -, __vbaStrLike, __vbaOnError, __vbaObjSet, _adj_fdiv_m16i, _adj_fdivr_m16i, -, __vbaVarIndexLoad, __vbaStrFixstr, -, __vbaBoolVarNull, _CIsin, -, -, -, __vbaChkstk, -, __vbaFileClose, EVENT_SINK_AddRef, __vbaGenerateBoundsError, __vbaStrCmp, __vbaAryConstruct2, __vbaPutOwner3, __vbaI2I4, __vbaVarLikeVar, DllFunctionCall, _adj_fpatan, __vbaFixstrConstruct, __vbaRedim, __vbaRecUniToAnsi, EVENT_SINK_Release, _CIsqrt, EVENT_SINK_QueryInterface, __vbaVarMul, __vbaExceptHandler, -, __vbaStrToUnicode, -, _adj_fprem, _adj_fdivr_m64, -, -, __vbaFPException, __vbaInStrVar, -, __vbaStrVarVal, __vbaVarCat, -, _CIlog, __vbaErrorOverflow, __vbaFileOpen, -, __vbaNew2, __vbaInStr, __vbaVarInt, _adj_fdiv_m32i, _adj_fdivr_m32i, __vbaStrCopy, __vbaI4Str, __vbaFreeStrList, -, _adj_fdivr_m32, _adj_fdiv_r, -, __vbaVarTstNe, __vbaI4Var, -, __vbaAryLock, __vbaVarAdd, __vbaStrToAnsi, __vbaVarDup, __vbaFpI4, -, -, _CIatan, __vbaStrMove, __vbaAryCopy, _allmul, _CItan, __vbaAryUnlock, _CIexp, __vbaFreeObj, -, __vbaFreeStr ( 0 exports ) ACHTUNG ACHTUNG: VirusTotal ist ein kostenloser Dienst bereitgestellt von Hispasec Sistemas. Es gibt keine Garantie zur Verfügbarkeit sowie Fortbestehen der Dienstleistung. Obwohl die Erkennungsrate meherer Antivirus-Engines besser ist als nur durch ein Produkt, garantieren die Ergebnisse des Scans nicht die Harmlosigkeit einer Datei. Gegenwärtig gibt es keine Lösung, welche eine Erkennungsrate aller Viren und Malware zu 100% bietet. Sry nochmal^^ hab was falsch verstanden Nr2 ComboFix 08-07-14.2 - !Stacey! 2008-07-16 15:31:38.3 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.182 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\!Stacey!\Desktop\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\!Stacey!\Desktop\CFscript.txt * Neuer Wiederherstellungspunkt wurde erstellt [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] FILE :: C:\Dokumente und Einstellungen\!Stacey!\winlogon.exe C:\WINDOWS\BMabca5bab.xml . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\!Stacey!\winlogon.exe C:\Programme\Incomplete C:\Programme\Incomplete\downloads.bak C:\Programme\Incomplete\downloads.dat C:\Programme\Incomplete\T-2592212-Jeff Dunham - Achmed the Dead Terrorist.mp3 C:\Programme\Incomplete\YQVXADGWCQU4HXUKR5NTQRGIXPFUR6OU\.datwww.big-torrent.to...Jack.Keane.GERMAN-SKIDROW C:\Programme\Incomplete\YQVXADGWCQU4HXUKR5NTQRGIXPFUR6OU\www.big-torrent.to...Jack.Keane.GERMAN-SKIDROW\!!!MIT 25Mbits DOWNLOADEN UND JETZT KOSTENLOS TESTEN.url C:\Programme\Incomplete\YQVXADGWCQU4HXUKR5NTQRGIXPFUR6OU\www.big-torrent.to...Jack.Keane.GERMAN-SKIDROW\Big-Torrent.to.url C:\Programme\Incomplete\YQVXADGWCQU4HXUKR5NTQRGIXPFUR6OU\www.big-torrent.to...Jack.Keane.GERMAN-SKIDROW\skidrow.nfo C:\Programme\Incomplete\YQVXADGWCQU4HXUKR5NTQRGIXPFUR6OU\www.big-torrent.to...Jack.Keane.GERMAN-SKIDROW\sr-jakkg.r00 C:\Programme\Incomplete\YQVXADGWCQU4HXUKR5NTQRGIXPFUR6OU\www.big-torrent.to...Jack.Keane.GERMAN-SKIDROW\sr-jakkg.r01 C:\Programme\Incomplete\YQVXADGWCQU4HXUKR5NTQRGIXPFUR6OU\www.big-torrent.to...Jack.Keane.GERMAN-SKIDROW\sr-jakkg.r02 C:\Programme\Incomplete\YQVXADGWCQU4HXUKR5NTQRGIXPFUR6OU\www.big-torrent.to...Jack.Keane.GERMAN-SKIDROW\sr-jakkg.r03 C:\Programme\Incomplete\YQVXADGWCQU4HXUKR5NTQRGIXPFUR6OU\www.big-torrent.to...Jack.Keane.GERMAN-SKIDROW\sr-jakkg.r04 C:\Programme\Incomplete\YQVXADGWCQU4HXUKR5NTQRGIXPFUR6OU\www.big-torrent.to...Jack.Keane.GERMAN-SKIDROW\sr-jakkg.r05 C:\Programme\Incomplete\YQVXADGWCQU4HXUKR5NTQRGIXPFUR6OU\www.big-torrent.to...Jack.Keane.GERMAN-SKIDROW\sr-jakkg.r06 C:\Programme\Incomplete\YQVXADGWCQU4HXUKR5NTQRGIXPFUR6OU\www.big-torrent.to...Jack.Keane.GERMAN-SKIDROW\sr-jakkg.r07 C:\Programme\Incomplete\YQVXADGWCQU4HXUKR5NTQRGIXPFUR6OU\www.big-torrent.to...Jack.Keane.GERMAN-SKIDROW\sr-jakkg.r08 C:\Programme\Incomplete\YQVXADGWCQU4HXUKR5NTQRGIXPFUR6OU\www.big-torrent.to...Jack.Keane.GERMAN-SKIDROW\sr-jakkg.r09 C:\Programme\Incomplete\YQVXADGWCQU4HXUKR5NTQRGIXPFUR6OU\www.big-torrent.to...Jack.Keane.GERMAN-SKIDROW\sr-jakkg.r10 C:\Programme\Incomplete\YQVXADGWCQU4HXUKR5NTQRGIXPFUR6OU\www.big-torrent.to...Jack.Keane.GERMAN-SKIDROW\sr-jakkg.r11 C:\Programme\Incomplete\YQVXADGWCQU4HXUKR5NTQRGIXPFUR6OU\www.big-torrent.to...Jack.Keane.GERMAN-SKIDROW\sr-jakkg.r12 C:\Programme\Incomplete\YQVXADGWCQU4HXUKR5NTQRGIXPFUR6OU\www.big-torrent.to...Jack.Keane.GERMAN-SKIDROW\sr-jakkg.r13 C:\Programme\Incomplete\YQVXADGWCQU4HXUKR5NTQRGIXPFUR6OU\www.big-torrent.to...Jack.Keane.GERMAN-SKIDROW\sr-jakkg.r14 C:\Programme\Incomplete\YQVXADGWCQU4HXUKR5NTQRGIXPFUR6OU\www.big-torrent.to...Jack.Keane.GERMAN-SKIDROW\sr-jakkg.r15 C:\Programme\Incomplete\YQVXADGWCQU4HXUKR5NTQRGIXPFUR6OU\www.big-torrent.to...Jack.Keane.GERMAN-SKIDROW\sr-jakkg.r16 C:\Programme\Incomplete\YQVXADGWCQU4HXUKR5NTQRGIXPFUR6OU\www.big-torrent.to...Jack.Keane.GERMAN-SKIDROW\sr-jakkg.r17 C:\Programme\Incomplete\YQVXADGWCQU4HXUKR5NTQRGIXPFUR6OU\www.big-torrent.to...Jack.Keane.GERMAN-SKIDROW\sr-jakkg.rar C:\Programme\Incomplete\YQVXADGWCQU4HXUKR5NTQRGIXPFUR6OU\www.big-torrent.to...Jack.Keane.GERMAN-SKIDROW\sr-jakkg.sfv C:\Programme\Incomplete\YQVXADGWCQU4HXUKR5NTQRGIXPFUR6OU\www.big-torrent.to...Jack.Keane.GERMAN-SKIDROW\TiP.txt C:\Temp\stmpv4 C:\WINDOWS\BMabca5bab.xml C:\WINDOWS\system32\olixds18 . ((((((((((((((((((((((( Dateien erstellt von 2008-06-16 bis 2008-07-16 )))))))))))))))))))))))))))))) . 2008-07-16 13:34 . 2008-07-16 13:34 <DIR> d-------- C:\WINDOWS\system32\xircom 2008-07-16 13:34 . 2008-07-16 13:34 <DIR> d-------- C:\Programme\microsoft frontpage 2008-07-16 12:03 . 2008-07-16 12:03 <DIR> d-------- C:\Dokumente und Einstellungen\!Stacey!\Start Menu 2008-07-16 11:58 . 2008-07-16 13:48 <DIR> dr-h----- C:\Dokumente und Einstellungen\!Stacey!\Recent 2008-07-16 11:56 . 2008-07-16 11:56 <DIR> d-------- C:\Programme\CCleaner 2008-07-15 08:42 . 1998-05-07 10:57 143,872 --a------ C:\WINDOWS\system32\iacenc.dll 2008-07-15 08:38 . 2008-07-15 08:38 <DIR> d-------- C:\Dokumente und Einstellungen\!Stacey!\WINDOWS 2008-07-15 08:38 . 1998-01-23 12:20 305,664 --a------ C:\WINDOWS\IsUn0407.exe 2008-07-13 10:45 . 2008-07-13 10:45 278,728 --a------ C:\WINDOWS\system32\drivers\atksgt.sys 2008-07-13 10:45 . 2008-07-13 10:45 25,416 --a------ C:\WINDOWS\system32\drivers\lirsgt.sys 2008-07-11 19:25 . 2008-07-11 19:37 <DIR> d-------- C:\Programme\ABC Amber Audio Converter 2008-07-11 12:38 . 2008-07-11 12:38 4,096 --a------ C:\WINDOWS\d3dx.dat 2008-07-11 00:00 . 2008-07-11 00:00 522 --a------ C:\WINDOWS\eReg.dat 2008-07-08 16:53 . 2008-07-08 16:53 1,025 --a------ C:\WINDOWS\system32\sysprs7.tgz 2008-07-08 16:53 . 2008-07-08 16:53 1,025 --a------ C:\WINDOWS\system32\sysprs7.dll 2008-07-08 16:53 . 2008-07-08 16:53 1,025 --a------ C:\WINDOWS\system32\clauth2.dll 2008-07-08 16:53 . 2008-07-08 16:53 1,025 --a------ C:\WINDOWS\system32\clauth1.dll 2008-07-08 16:53 . 2008-07-08 17:01 351 --a------ C:\WINDOWS\system32\lsprst7.tgz 2008-07-08 16:53 . 2008-07-08 17:01 337 --a------ C:\WINDOWS\system32\lsprst7.dll 2008-07-08 16:53 . 2008-07-08 17:01 87 --a------ C:\WINDOWS\system32\ssprs.tgz 2008-07-08 16:53 . 2008-07-08 17:01 73 --a------ C:\WINDOWS\system32\ssprs.dll 2008-07-08 16:50 . 2008-07-08 16:50 <DIR> d-------- C:\Programme\PacketVideo 2008-07-08 12:22 . 2008-07-08 12:22 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe 2008-06-18 19:52 . 2008-06-18 19:52 161,096 --a------ C:\WINDOWS\system32\DivXCodecVersionChecker.exe 2008-06-18 18:44 . 2008-06-18 18:44 <DIR> d-------- C:\Dokumente und Einstellungen\!Stacey!\Anwendungsdaten\Mozilla 2008-06-18 15:50 . 2008-06-18 15:51 <DIR> d-------- C:\WINDOWS\system32\Adobe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-16 13:35 12,929,312 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat 2008-07-16 13:33 411,168 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat 2008-07-16 13:33 40,616 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx 2008-07-16 13:33 178,364 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2008-07-16 12:31 --------- d-----w C:\Dokumente und Einstellungen\!Stacey!\Anwendungsdaten\LimeWire 2008-07-16 11:35 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2008-07-13 08:20 --------- d-----w C:\Programme\LimeWire 2008-07-10 21:55 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-07-09 07:19 --------- d-----w C:\Programme\DivX 2008-07-08 10:24 --------- d-----w C:\Dokumente und Einstellungen\!Stacey!\Anwendungsdaten\AdobeUM 2008-06-18 19:41 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX 2008-06-18 19:40 --------- d-----w C:\Programme\MAGIX 2008-06-15 15:56 35,024 ----a-w C:\Dokumente und Einstellungen\!Stacey!\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2008-06-11 00:07 9,464 ------w C:\WINDOWS\system32\drivers\cdralw2k.sys 2008-06-11 00:07 9,336 ------w C:\WINDOWS\system32\drivers\cdr4_xp.sys 2008-06-11 00:07 43,528 ------w C:\WINDOWS\system32\drivers\PxHelp20.sys 2008-06-10 13:05 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer 2008-06-09 11:17 36,864 ----a-w C:\WINDOWS\unslive.exe 2008-06-09 11:17 --------- d-----w C:\Programme\Sclive 2008-06-05 07:41 --------- d-----w C:\Programme\Java 2008-06-04 15:00 --------- d-----w C:\Dokumente und Einstellungen\!Stacey!\Anwendungsdaten\BitTorrent 2008-06-04 13:31 --------- d-----w C:\Dokumente und Einstellungen\!Stacey!\Anwendungsdaten\.wyzo 2008-06-02 15:27 --------- d-----w C:\Programme\Google 2008-06-02 13:51 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Trymedia 2008-05-31 14:49 88,774 ----a-w C:\WINDOWS\system32\drivers\klick.dat 2008-05-30 04:33 --------- d-----w C:\Dokumente und Einstellungen\!Stacey!\Anwendungsdaten\MAGIX 2008-05-30 04:29 --------- d-----w C:\Programme\Gemeinsame Dateien\MAGIX Shared 2008-05-29 14:50 96,966 ----a-w C:\WINDOWS\system32\drivers\klin.dat 2008-05-23 13:12 --------- d-----w C:\Dokumente und Einstellungen\!Stacey!\Anwendungsdaten\ICQ 2008-05-17 12:52 --------- d-----w C:\Programme\Windows Media Connect 2 2008-05-16 16:19 20,100 ----a-w C:\bittersweet.zip 2008-05-14 16:23 4,495,072 ----a-w C:\LimeWireWin416.exe 2008-01-07 18:50 24,192 ----a-w C:\Dokumente und Einstellungen\!Stacey!\usbsermptxp.sys 2008-01-07 18:50 22,768 ----a-w C:\Dokumente und Einstellungen\!Stacey!\usbsermpt.sys 2007-12-24 12:02 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012007122420071225\index.dat . ------- Sigcheck ------- 2004-08-04 14:00 579584 78785eff8cb90cec1862a4ccfd9a3c3a C:\WINDOWS\system32\user32.dll 2004-08-04 14:00 822784 be43d00d802c92f01c8cc952c6f483f8 C:\WINDOWS\system32\wininet.dll 2004-08-04 14:00 360576 b2220c618b42a2212a59d91ebd6fc4b4 C:\WINDOWS\system32\drivers\tcpip.sys 2004-08-04 14:00 2019840 5aa6fe8b36d7d4074542925c38c142be C:\WINDOWS\system32\ntkrnlpa.exe 2004-08-04 14:00 2140160 fd51b755255e963b1e78b010b575fa7c C:\WINDOWS\system32\ntoskrnl.exe 2004-08-04 14:00 1035264 64322e8399b205b7281ff883737a9b03 C:\WINDOWS\explorer.exe 2004-08-04 14:00 57856 ad3d9d191aea7b5445fe1d82ffbb4788 C:\WINDOWS\system32\spoolsv.exe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 13:35 90112] "DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-08-29 17:09 171464] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360] "swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-01-27 15:52 68856] "ICQ"="G:\ICQ\ICQ6\ICQ.exe" [2008-04-01 12:40 172280] "updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AVMWlanClient"="C:\Programme\avmwlanstick\wlangui.exe" [2006-12-28 01:02 1454080] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784] "RTHDCPL"="RTHDCPL.EXE" [2007-03-21 08:49 16126464 C:\WINDOWS\RTHDCPL.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "nltide_2"="shell32" [X] "TSClientMSIUninstaller"="C:\WINDOWS\Installer\TSClientMsiTrans\tscuinst.vbs" [2004-08-04 14:00 12451] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.I420"= i263_32.drv "vidc.iv31"= C:\WINDOWS\system32\ir32_32.dll "vidc.iv32"= C:\WINDOWS\system32\ir32_32.dll "vidc.I263"= i263_32.drv [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "G:\\ICQ\\ICQ6\\ICQ.exe"= "C:\\Programme\\kis7.0\\setup.exe"= "C:\\Programme\\LimeWire\\LimeWire.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "52525:TCP"= 52525:TCP:utorrent S3 avmeject;AVM Eject;C:\WINDOWS\system32\drivers\avmeject.sys [2006-12-28 01:02] S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Programme\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 14:18] S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-12-28 01:02] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\ccc-core-static] msiexec /fums {A75BF1D0-C7C3-CB55-EE17-3225387FD154} /qb . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-16 15:34:47 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\system32\ati2evxx.exe C:\WINDOWS\system32\ati2evxx.exe C:\Programme\avmwlanstick\WLanNetService.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-07-16 15:39:55 - machine was rebooted ComboFix-quarantined-files.txt 2008-07-16 13:39:03 ComboFix2.txt 2008-07-16 10:55:04 ComboFix3.txt 2008-07-16 10:06:06 7 Verzeichnis(se), 12,210,446,336 Bytes frei 10 Verzeichnis(se), 12,195,860,480 Bytes frei 194 Und hier nummer 3: Infected: Trojan program Trojan.Win32.Agent.uvi c:\qoobox\quarantine\c\dokumente und einstellungen\!stacey!\winlogon.exe.vir 52 KB Infected: riskware not-a-virus:AdTool.Win32.MyWebSearch c:\qoobox\quarantine\c\programme\mywebsearch\bar\1.bin\mwsoemon.exe.vir 28 KB Infected: riskware not-a-virus:AdTool.Win32.MyWebSearch c:\qoobox\quarantine\c\programme\mywebsearch\bar\1.bin\mwsoestb.dll.vir 40 KB Infected: Trojan program Trojan.Win32.Agent.uvi c:\dokumente und einstellungen\!stacey!\eigene dateien\magix downloads\backpacker 1.zip 14,9 KB Infected: riskware not-a-virus:AdTool.Win32.MyWebSearch.au c:\qoobox\quarantine\c\programme\mywebsearch\bar\1.bin\m3srchmn.exe.vir 24 KB Dieser Beitrag wurde am 16.07.2008 um 20:57 Uhr von Lani editiert.
|
|
|
||
schön das es dich/euch gibt!
Das Problem:
Seit ca. einer Woche gibt es Probleme mit diesem Rechner. Anfänglich funktionierte beim "Surfen" so gut wie garnichts mehr..., Suchanfragen bei z.B. Google hatten unheimlich lange Ladezeiten (wenn überhaupt etwas passiert ist) und es "poppten" diverse neue Fenster (celldorado, zedo....) auf.
Des weiteren "poppt" beim Arbeiten/Spielen "ungefragt" manchmal der IE mit diesen tollen Fensterchen auf, der Rechner läuft wie ein "Sack Nüsse" und im Hintergrund rödelt dann ständig irgendwas...
Nach diversen Virenscans (Kaspersky Personal Security Suite V), Benutzung von TuneUp Utilities, Malwarebytes und dem fixen der jeweils angegebenen Probleme kann man zumindest wieder einigermaßen "Surfen" bzw. auch dieses Forum besuchen :-)
Die nervigen Popups erscheinen aber weiterhin!
Dieses System (Titanium MD8800, Aldi) wird von verschiedenen Usern genutzt,
niemand weiß (angeblich) wie trotz Firewall (Windows) und Kaspersky diese Unglück passiert ist!?
Hier nun wie im Forum beschrieben diverse "Log-Files" (CCleaner angewendet):
ComboFix:
ComboFix 08-06-20.4 - Micha 2008-06-27 9:21:11.4 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1506 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Micha\Eigene Dateien\Downloads\AntiVir\ComboFix.exe
[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.
((((((((((((((((((((((( Dateien erstellt von 2008-05-27 bis 2008-06-27 ))))))))))))))))))))))))))))))
.
2008-06-25 20:48 . 2008-06-25 20:48 <DIR> d-------- C:\Programme\CCleaner
2008-06-25 20:01 . 2008-06-25 20:01 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-06-25 20:01 . 2008-06-25 20:01 <DIR> d-------- C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\Malwarebytes
2008-06-25 20:01 . 2008-06-25 20:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-06-25 20:01 . 2008-06-19 17:48 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-25 20:01 . 2008-06-19 17:47 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-24 21:11 . 2008-06-24 21:11 99,328 --a------ C:\WINDOWS\system32\ujktuxpq.dll
2008-06-24 21:09 . 2008-06-25 20:44 81,408 --------- C:\WINDOWS\system32\mnoplmok.dll
2008-06-24 21:08 . 2008-06-25 20:44 91,648 --------- C:\WINDOWS\system32\htsfxplb.dll
2008-06-23 21:21 . 2008-06-24 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-06-23 21:21 . 2008-06-24 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\UserData
2008-06-23 21:21 . 2008-06-27 09:22 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-06-23 21:21 . 2008-06-24 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-06-23 21:21 . 2008-06-24 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-06-23 21:21 . 2008-06-24 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Skype
2008-06-23 21:21 . 2008-06-24 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\CyberLink
2008-06-23 21:21 . 2008-06-24 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-06-23 21:21 . 2008-06-24 20:55 <DIR> d---s---- C:\Dokumente und Einstellungen\Administrator
2008-06-23 15:33 . 2008-06-24 20:55 <DIR> d-------- C:\Programme\SysKontroller
2008-06-22 10:15 . 2008-06-22 10:15 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SlySoft
2008-06-22 10:12 . 2008-06-22 10:12 <DIR> d-------- C:\Programme\SlySoft
2008-06-22 10:05 . 2008-06-22 10:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Elaborate Bytes
2008-06-22 10:03 . 2008-06-22 10:15 72 ---hs---- C:\WINDOWS\S72B4CEC2.tmp
2008-06-17 15:59 . 2008-06-17 15:59 99,648 --a------ C:\WINDOWS\system32\drivers\AnyDVD.sys
2008-06-15 18:23 . 2005-01-06 18:33 119,152 --a------ C:\WINDOWS\system32\redmon.hlp
2008-06-15 18:23 . 2005-01-06 18:33 116,224 --a------ C:\WINDOWS\system32\redmonnt.dll
2008-06-06 22:52 . 2008-06-06 22:52 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\CyberLink
2008-06-06 21:19 . 2008-06-06 21:19 0 --a------ C:\WINDOWS\PhotoNow.INI
2008-06-03 16:35 . 2008-06-15 14:13 <DIR> d-------- C:\Programme\McDonaldsFairies
2008-06-03 16:26 . 2008-06-16 15:58 <DIR> d-------- C:\Programme\McDonaldsDragons
2008-05-29 14:19 . 2008-05-29 14:19 73,728 --a------ C:\WINDOWS\ALCFDRTM.EXE
2008-05-29 14:17 . 2007-11-14 15:18 553 --a------ C:\WINDOWS\USetup.iss
2008-05-29 14:16 . 2007-11-20 18:15 1,826,816 --a------ C:\WINDOWS\SkyTel.exe
2008-05-29 14:16 . 2008-05-29 14:16 315,392 --a------ C:\WINDOWS\HideWin.exe
2008-05-29 14:16 . 2005-05-03 18:43 69,632 --a------ C:\WINDOWS\Alcmtr.exe
2008-05-29 13:57 . 2008-05-29 13:57 <DIR> d-------- C:\Programme\Skype
2008-05-29 13:57 . 2008-05-29 13:57 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2008-05-29 13:57 . 2008-05-29 13:57 <DIR> d-------- C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\skypePM
2008-05-29 13:57 . 2008-05-29 13:57 56 --ah----- C:\WINDOWS\system32\ezsidmv.dat
2008-05-29 13:47 . 2008-06-22 21:45 <DIR> d-------- C:\Programme\TuneUp Utilities 2008
2008-05-29 13:47 . 2008-05-29 13:47 <DIR> d-------- C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\TuneUp Software
2008-05-29 13:47 . 2008-05-29 13:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-05-29 13:47 . 2008-05-29 13:47 355,584 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-05-29 13:47 . 2008-05-17 14:56 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-05-29 13:05 . 2004-06-26 13:22 6,016 --a------ C:\WINDOWS\system32\drivers\vnccom.SYS
2008-05-29 13:05 . 2008-05-29 13:05 17 --a------ C:\WINDOWS\system32\'
2008-05-29 13:04 . 2008-06-25 15:08 <DIR> d-------- C:\Programme\UltraVNC
2008-05-29 13:04 . 2005-06-10 22:02 12,800 --a------ C:\WINDOWS\system32\vncdrv.dll
2008-05-29 13:04 . 2004-06-26 13:21 5,760 --a------ C:\WINDOWS\system32\vnchelp.dll
2008-05-29 13:04 . 2004-06-26 13:22 4,736 --a------ C:\WINDOWS\system32\drivers\vncdrv.sys
2008-05-27 17:55 . 2008-05-27 17:55 <DIR> d-------- C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\FinalBurner AudioCD Ripper
2008-05-27 17:54 . 2008-05-27 17:54 <DIR> d-------- C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\FinalBurner Audio CD
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-27 07:22 7,784,480 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-06-27 07:22 177,696 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-06-27 06:52 --------- d-----w C:\Programme\CloneDVD
2008-06-27 06:51 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-06-26 20:05 17,564 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-06-26 20:05 106,940 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-06-26 17:17 48,738 ----a-w C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\wklnhst.dat
2008-06-25 13:08 --------- d-----w C:\Programme\MatheTiger
2008-06-25 13:08 --------- d-----w C:\Programme\Gemeinsame Dateien\aol
2008-06-25 13:08 --------- d-----w C:\Programme\ElsterFormular2005
2008-06-25 13:08 --------- d-----w C:\Programme\CyberLink
2008-06-22 17:39 10,632 ----a-w C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\wklnhst.dat
2008-06-22 08:53 --------- d-----w C:\Programme\Azureus
2008-06-22 08:53 --------- d-----w C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\Azureus
2008-06-22 08:01 --------- d-----w C:\Programme\Elaborate Bytes
2008-06-22 07:03 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-06-15 16:23 --------- d-----w C:\Programme\FreePDF_XP
2008-06-15 10:04 --------- d-----w C:\Programme\IKEA HomePlanner
2008-06-15 10:04 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-06 13:47 --------- d-----w C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\Canon
2008-06-04 17:11 --------- d-----w C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\teamspeak2
2008-05-29 18:02 88,774 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2008-05-29 13:08 --------- d-----w C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\Skype
2008-05-29 12:16 --------- d-----w C:\Programme\Realtek
2008-05-29 11:57 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-05-28 14:44 96,966 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2008-05-24 10:35 --------- d-----w C:\Programme\Seagate
2008-05-20 15:53 4,800,000 ----a-w C:\WINDOWS\system32\drivers\RtkHDAud.sys
2008-05-16 12:39 16,862,720 ----a-w C:\WINDOWS\RTHDCPL.exe
2008-05-10 06:40 --------- d-----w C:\Programme\Kaspersky Lab
2008-05-07 12:39 --------- d-----w C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\AdobeUM
2008-04-02 07:27 1,196,032 ----a-w C:\WINDOWS\RtlUpd.exe
2007-08-16 08:48 0 ----a-w C:\Dokumente und Einstellungen\Laura Lena Lia\Anwendungsdaten\wklnhst.dat
2005-03-07 10:29 81,920 ----a-w C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\ezpinst.exe
2005-03-07 10:29 47,360 ----a-w C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\pcouffin.sys
2005-10-09 10:25 8 --sh--r C:\WINDOWS\system32\A3DA537E26.sys
2005-10-09 10:25 4,704 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.
((((((((((((((((((((((((((((( snapshot@2008-06-25_23.39.54,78 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-25 21:30:04 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-27 06:51:08 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-06-25 04:12:56 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-06-26 12:21:18 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-06-25 04:12:56 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2008-06-26 12:21:18 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{c6cc8f5b-871b-4632-81f9-1f12aee0bb8f}]
2008-06-24 21:11 99328 --a------ C:\WINDOWS\system32\ujktuxpq.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-28 14:58 68856]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 09:56 204288]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" [2003-09-01 19:40 376912]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"WinUpdate"="C:\WINDOWS\system32\12520850b.exe" [ ]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480]
"RTHDCPL"="RTHDCPL.EXE" [2008-05-16 14:39 16862720 C:\WINDOWS\RTHDCPL.exe]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 14:00 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 14:00 455168]
"nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 12:22 86016]
"MedionVFD"="C:\Programme\Medion Info Display\MdionLCM.exe" [2006-01-27 13:00 176128]
"ISUSPM"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" [2006-05-16 17:58 213936]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2005-05-27 11:24 310272]
"CHotkey"="mHotkey.exe" [2004-12-08 18:57 550912 C:\WINDOWS\mHotkey.exe]
"CloneCDElbyCDFL"="C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" [2002-11-02 08:33 45056]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]
C:\Dokumente und Einstellungen\Anja\Startmen\Programme\Autostart\
Corel Registration.lnk - C:\Programme\Corel\Graphics9\Register\Remind32.exe [2006-11-11 16:57:08 67584]
WISO Urteilsmonitor.lnk - C:\Programme\WISO\Sparbuch 2007\rswisoservice.exe [2007-05-01 09:31:24 327680]
C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 23:05:26 29696]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 22:05:56 65588]
WISO Urteilsmonitor.lnk - C:\Programme\WISO\Sparbuch 2008\urteilsmonitor.exe [2008-02-26 19:58:04 946176]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{93994DE8-8239-4655-B1D1-5F4E91300429}"= C:\PROGRA~1\DVDREG~1\DVDShell.dll [2004-10-09 15:18 49152]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"MSACM.CEGSM"= mobilev.acm
"vidc.yv12"= yv12vfw.dll
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
WinUpdate REG_SZ C:\WINDOWS\system32\12520850b.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WMPNetworkSvc"=2 (0x2)
"Fax"=2 (0x2)
"CLSched"=2 (0x2)
"CLCapSvc"=2 (0x2)
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"CmUCRRun"=C:\WINDOWS\system32\CmUCReye.exe
"ledpointer"=CNYHKey.exe
"PCMService"="C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
"MSPY2002"=C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
"OpwareSE2"="C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde II\\game.dat"=
"C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"=
"C:\\Programme\\Microsoft ActiveSync\\WcesMgr.exe"=
"C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde II\\patchget.dat"=
"C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde I\\game.dat"=
"C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde I\\patchget.dat"=
"C:\\Programme\\Codemasters\\Der Herr der Ringe Online\\lotroclient.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\Azureus\\Azureus.exe"=
"C:\\Programme\\Home Cinema\\PowerCinema\\PowerCinema.exe"=
"C:\\Programme\\Home Cinema\\PowerCinema\\PCMService.exe"=
"C:\\WINDOWS\\system32\\fxsclnt.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
R0 ElbyVCD;ElbyVCD;C:\WINDOWS\system32\DRIVERS\ElbyVCD.sys [2002-11-28 12:43]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14:00]
R2 vnccom;vnccom;C:\WINDOWS\system32\Drivers\vnccom.SYS [2004-06-26 13:22]
R3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2005-12-06 12:16]
R3 CMISTOR;CMIUCR.SYS CM220 Card Reader Driver;C:\WINDOWS\system32\DRIVERS\cmiucr.SYS [2005-10-04 19:37]
S3 adiusbae;Teledat 300 USB;C:\WINDOWS\system32\DRIVERS\adiusbae.sys []
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-05-29 13:47]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners
"2008-06-25 20:00:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-27 09:22:30
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Einträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-27 9:23:33
ComboFix-quarantined-files.txt 2008-06-27 07:23:11
ComboFix2.txt 2008-06-25 21:40:20
ComboFix3.txt 2008-06-25 21:03:36
11 Verzeichnis(se), 51,405,877,248 Bytes frei
14 Verzeichnis(se), 51,414,441,984 Bytes frei
218
und hier HTJ:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:36:54, on 27.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Medion Info Display\MdionLCM.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\ALCFDRTM.EXE
C:\WINDOWS\explorer.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\DVDREG~1\DVDRegionFree.exe
C:\Dokumente und Einstellungen\Micha\Eigene Dateien\Downloads\AntiVir\HJT\HJT.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: {f8bb0eea-21f1-9f18-2364-b178b5f8cc6c} - {c6cc8f5b-871b-4632-81f9-1f12aee0bb8f} - C:\WINDOWS\system32\ujktuxpq.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MedionVFD] "C:\Programme\Medion Info Display\MdionLCM.exe"
O4 - HKLM\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -scheduler
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\RunServices: [WinUpdate] C:\WINDOWS\system32\12520850b.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WISO Urteilsmonitor.lnk = C:\Programme\WISO\Sparbuch 2008\urteilsmonitor.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {512DEEB2-CF73-4AE4-8FAF-CF8C06415054} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {512DEEB2-CF73-4AE4-8FAF-CF8C06415054} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra button: MedionShop - {A461BF3E-96B0-488F-9ACA-202335DDCC4B} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128778405937
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1208364730593
O16 - DPF: {BF3CD111-6278-11D2-9EA3-00A0C9251384} (O2C-Player Version 1.x) - http://www.o2c.de/download/O2CPlayer.CAB
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Kaspersky Personal Security Suite V (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
--
End of file - 8395 bytes
und die mit datfind.bat erstellte Datei:
.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F845-9504
Verzeichnis von C:\WINDOWS\system32
27.06.2008 08:51 87.724 nvapps.xml
25.06.2008 20:44 91.648 htsfxplb.dll
25.06.2008 20:44 81.408 mnoplmok.dll
24.06.2008 21:11 99.328 ujktuxpq.dll
24.06.2008 20:58 2.206 wpa.dbl
29.05.2008 13:57 56 ezsidmv.dat
29.05.2008 13:47 355.584 TuneUpDefragService.exe
29.05.2008 13:05 17 '
17.05.2008 14:56 28.416 uxtuneup.dll
10.05.2008 08:35 60.920 perfc009.dat
10.05.2008 08:35 396.256 perfh009.dat
10.05.2008 08:35 410.528 perfh007.dat
10.05.2008 08:35 73.582 perfc007.dat
30.03.2008 12:43 955.264 PerfStringBackup.INI
15.03.2008 00:24 93.128 ElbyCDIO.dll
13.03.2008 14:52 266.240 RTSndMgr.cpl
149 Datei(en) 66.361.774 Bytes
0 Verzeichnis(se), 51.430.146.048 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F845-9504
Verzeichnis von C:\WINDOWS\temp
27.06.2008 08:51 2.048 sqlite_sm0wKnCFpZUqbhf
27.06.2008 08:51 0 CLML_AGENT_LOG1.txt
2 Datei(en) 2.048 Bytes
0 Verzeichnis(se), 51.430.154.240 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F845-9504
Verzeichnis von C:\WINDOWS\Downloaded Program Files
08.02.2008 20:02 670 O2CPlayer.inf
30.07.2007 19:24 295 muweb.inf
16.05.2006 17:58 196.608 dwusplay.exe
16.05.2006 17:58 484.272 isusweb.dll
16.05.2006 17:58 24.576 dwusplay.dll
08.10.2005 22:56 65 desktop.ini
27.08.2005 14:30 5.065 swflash.inf
26.08.2005 15:57 495 LegitCheckControl.inf
26.05.2005 04:19 291 wuweb.inf
09.02.2005 16:54 1.271 erma.inf
10 Datei(en) 713.608 Bytes
0 Verzeichnis(se), 51.430.154.240 Bytes frei
.
.
.
und das hier war was der Virenscanner gefunden hatte:
Code
Wie findet man in diesem ganzen Zeug überhaupt irgendwas :-)Ich hoffe ihr könnt mir helfen und bedanke mich schonmal im Voraus!
Viele Grüße
Michael