Virus 2008 pro mit VIRUS ALERT neben Uhrzeit |
||
---|---|---|
#0
| ||
08.07.2008, 00:02
Member
Beiträge: 325 |
||
|
||
08.07.2008, 00:37
Ehrenmitglied
Beiträge: 29434 |
#17
wosein!
«« mit dem HijackThis löschen ("fixen") Klicke: "Do a system scan only" Setze ein Häckchen in das Kästchen vor den genannten Eintrag und wähle fix checked. + starte den Rechner neu. Zitat O3 - Toolbar: My Search Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLLstarte den Rechner neu. «« mit dem HijackThis löschen ("fixen") Klicke: "Do a system scan only" Setze ein Häckchen in das Kästchen vor den genannten Eintrag und wähle fix checked. nicht neustarten, sondern Fixwareout laden Zitat O17 - HKLM\System\CCS\Services\Tcpip\..\{020D013B-95AD-47BC-A30C-F79BF817799C}: NameServer = 85.255.115.100,85.255.112.100«« lade fixwareout, anwenden + poste nach NEUSTART den Report http://virus-protect.org/artikel/tools/fixwareout.html « Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere in das weisse Feld: Zitat Files to delete:schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten) Klicke: Execute bestätige, dass der Rechner neu gestartet wird - klicke "yes" ------------------------------------------------------------------ «« scanne mit Malwarebytes, lasse alles entfernen, was gefunden wird http://virus-protect.org/artikel/tools/malwarebytes.html «« lade combofix + poste den report hier http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.07.2008, 23:22
Member
Beiträge: 11 |
#18
Guten Abend liebe Helfer,
habe bisher die letzten sachen noch nicht abarbeiten können. Ich versuche mir morgen mal die Zeit zu nehmen. Dann werde ich versuchen, genannte Reports einzustellen. vielen DAnk und LG mario |
|
|
||
09.07.2008, 23:24
Ehrenmitglied
Beiträge: 29434 |
||
|
||
14.07.2008, 22:55
Member
Beiträge: 11 |
#20
Guten Abend liebe Helfer,
nach einem virusfreien WE ohne Lappi im strömenden Regen bin ich nun wieder, mit meinem Problem, da. Habe mir aber noch kein neues Gerät gekauft und auch nicht neu aufgelegt. Aber, ich habe die Fixwareout logfile geschafft. Habe auch das mit avenger gemacht. bin jetzt an Malwarebytes und combo dran. Hier aber erst mal die log: Username "baudienst" - 10/07/2008 15:23:55 [Fixwareout edited 9/01/2007] ~~~~~ Prerun check HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{029001E0-2BE4-4F56-88FA-08419DE3A737} "DhcpNameServer"="85.255.115.100,85.255.112.100" <Value cleared. HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{4E38DB5B-1175-44E7-9CBA-243552FAFA58} "DhcpNameServer"="85.255.115.100,85.255.112.100" <Value cleared. HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{61C49928-CCA3-4898-A245-CC2D28877108} "DhcpNameServer"="85.255.115.100,85.255.112.100" <Value cleared. HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{6A574BCE-EC38-43BF-BFBF-EEDDF5987AEC} "DhcpNameServer"="85.255.115.100,85.255.112.100" <Value cleared. HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{8FE67626-0C90-4454-8C63-34547AC76881} "DhcpNameServer"="85.255.115.100,85.255.112.100" <Value cleared. PC crashed or was not allowed to reboot. ~~~~~ Postrun check HKLM\SOFTWARE\~\Winlogon\ "System"="" .... .... ~~~~~ Misc files. C:\Programme\Microsoft Security Adviser Deleted .... ~~~~~ Checking for older varients. .... ~~~~~ Current runs (hklm hkcu "run" Keys Only) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\"" "QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime" "SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_08\\bin\\jusched.exe\"" "WatcherHelper"="\"C:\\Programme\\Sierra Wireless Inc\\3G Watcher\\WaHelper.exe\"" "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "ALDI_NORD_FotoSuite_Download"="\"C:\\Programme\\ALDI Foto Service Nord\\ALDI_Foto_Service\\FotoSuite.exe\" /autorun" "REWI Terminüberwachung"="C:\\Programme\\rewi Bausoftware\\rewi-Zentrale\\rewi_termine.exe start" "WatchDog"="C:\\Programme\\mobile PhoneTools\\WatchDog.exe" "TrackPointSrv"="tp4mon.exe" "TMController"="C:\\WINDOWS\\system32\\TMController.exe" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe" "MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background" "m2Update"="C:\\Programme\\sunrise\\m2Update\\m2Update.exe /tray" "updateMgr"="\"C:\\Programme\\Adobe\\Acrobat 7.0\\Reader\\AdobeUpdateManager.exe\" AcRdB7_0_8 -reboot 1" "SparVoip"="\"C:\\Programme\\SparVoip\\SparVoip.exe\" -nosplash -minimized" "Nokia.PCSync"="\"C:\\Programme\\Nokia\\Nokia PC Suite 6\\PCSync2.exe\" /NoDialog" "PC Suite Tray"="\"C:\\Programme\\Nokia\\Nokia PC Suite 6\\PCSuite.exe\" -onlytray" "ICQ"="\"C:\\Programme\\ICQ6\\ICQ.exe\" silent" .... Hosts file was reset, If you use a custom hosts file please replace it... ~~~~~ End report ~~~~~ |
|
|
||
14.07.2008, 23:11
Ehrenmitglied
Beiträge: 29434 |
#21
«
Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere in das weisse Feld: Zitat Files to delete:schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten) Klicke: Execute bestätige, dass der Rechner neu gestartet wird - klicke "yes" ------------------------------------------------------------------ «« scanne mit Malwarebytes, lasse alles entfernen, was gefunden wird http://virus-protect.org/artikel/tools/malwarebytes.html «« lade combofix + poste den report hier http://virus-protect.org/artikel/tools/combofix.html + poste dann auch ein neues log vom HijackTHis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.07.2008, 22:58
Member
Beiträge: 11 |
#22
Hallo und Guten Abend,
ich glaube fast, dass ich ein Schritt weiter bin. Habe jetzt das mit dem Malewarebytes gemacht und hab das mit combo.. geschaft. Stelle diese hier ein. Glaube auch schon fast, das das system wieder geht. Es geht zumindestens nicht aus und VIRUS ALERT (neben der Uhr) ist weg. Aber hier Report von combofix: ComboFix 08-07-14.2 - reichsbaudienst 2008-07-15 7:33:58.1 - NTFSx86 ausgeführt von:: E:\Software\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\Downloaded Program Files\UERSU_0001_N68M1402NetInstaller.exe C:\WINDOWS\system32\components C:\WINDOWS\system32\msn.dll C:\WINDOWS\winhelp.ini . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_MICROSOFT_WINDOWS_TCP_PROTOCOL -------\Service_Microsoft Windows TCP Protocol ((((((((((((((((((((((( Dateien erstellt von 2008-06-15 bis 2008-07-15 )))))))))))))))))))))))))))))) . 2008-07-15 00:03 . 2008-07-15 00:03 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-07-15 00:03 . 2008-07-15 00:03 <DIR> d-------- C:\Dokumente und Einstellungen\reichsbaudienst\Anwendungsdaten\Malwarebytes 2008-07-15 00:03 . 2008-07-15 00:03 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-07-15 00:03 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys 2008-07-15 00:03 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-07-10 15:23 . 2008-07-14 22:24 <DIR> d-------- C:\fixwareout 2008-07-08 00:07 . 2008-07-08 00:07 <DIR> d-------- C:\Programme\Yahoo! 2008-07-08 00:06 . 2008-07-08 00:06 <DIR> d-------- C:\Programme\CCleaner 2008-07-07 22:46 . 2008-07-07 22:48 6,832,128 --a------ C:\out archive 07-07-08.pst 2008-07-07 01:01 . 2008-07-07 01:01 23,392 --a------ C:\WINDOWS\system32\nscompat.tlb 2008-07-07 01:01 . 2008-07-07 01:01 16,832 --a------ C:\WINDOWS\system32\amcompat.tlb 2008-07-07 00:53 . 2008-07-07 00:53 488 -rah----- C:\WINDOWS\system32\logonui.exe.manifest 2008-07-07 00:52 . 2008-07-07 00:52 749 -rah----- C:\WINDOWS\WindowsShell.Manifest 2008-07-07 00:52 . 2008-07-07 00:52 749 -rah----- C:\WINDOWS\system32\wuaucpl.cpl.manifest 2008-07-07 00:52 . 2008-07-07 00:52 749 -rah----- C:\WINDOWS\system32\sapi.cpl.manifest 2008-07-07 00:52 . 2008-07-07 00:52 749 -rah----- C:\WINDOWS\system32\nwc.cpl.manifest 2008-07-07 00:52 . 2008-07-07 00:52 749 -rah----- C:\WINDOWS\system32\ncpa.cpl.manifest 2008-07-07 00:44 . 2004-08-04 01:58 154,112 --a------ C:\WINDOWS\system32\irftp.exe 2008-07-07 00:44 . 2004-08-04 00:00 87,424 --a------ C:\WINDOWS\system32\drivers\irda.sys 2008-07-07 00:44 . 2004-08-04 01:57 27,136 --a------ C:\WINDOWS\system32\irmon.dll 2008-07-07 00:44 . 2004-08-04 01:57 8,192 --a------ C:\WINDOWS\system32\wshirda.dll 2008-07-07 00:37 . 2001-08-17 13:19 111,872 --a------ C:\WINDOWS\system32\drivers\cwcspud.sys 2008-07-07 00:36 . 2001-08-17 14:51 19,584 --a------ C:\WINDOWS\system32\drivers\rasirda.sys 2008-07-07 00:25 . 2002-12-31 15:00 14,043 -ra------ C:\WINDOWS\SET67.tmp 2008-07-07 00:24 . 2002-12-31 15:00 1,086,058 -ra------ C:\WINDOWS\SET58.tmp 2008-07-07 00:24 . 2002-12-31 15:00 1,014,663 -ra------ C:\WINDOWS\SET55.tmp 2008-07-06 23:50 . 2002-12-31 15:00 1,086,058 -ra------ C:\WINDOWS\SET54.tmp 2008-07-06 23:50 . 2002-12-31 15:00 1,014,663 -ra------ C:\WINDOWS\SET51.tmp 2008-07-06 23:50 . 2002-12-31 15:00 24,661 --a------ C:\WINDOWS\system32\spxcoins.dll 2008-07-06 23:50 . 2002-12-31 15:00 14,043 -ra------ C:\WINDOWS\SET60.tmp 2008-07-06 23:50 . 2002-12-31 15:00 13,824 --a------ C:\WINDOWS\system32\irclass.dll 2008-07-05 20:05 . 2002-12-31 15:00 14,043 -ra------ C:\WINDOWS\SET5E.tmp 2008-07-05 20:04 . 2002-12-31 15:00 1,086,058 -ra------ C:\WINDOWS\SET52.tmp 2008-07-05 20:04 . 2002-12-31 15:00 1,014,663 -ra------ C:\WINDOWS\SET4F.tmp 2008-07-05 17:50 . 2002-12-31 15:00 1,014,663 -ra------ C:\WINDOWS\SET50.tmp 2008-07-03 08:03 . 2008-06-27 16:57 32,256 --a------ C:\WINDOWS\SysF95.exe 2008-07-03 07:52 . 2004-08-04 01:47 607,196 --a------ C:\WINDOWS\system32\drivers\ltmdmnt.sys 2008-07-03 01:41 . 2008-06-27 16:57 32,256 --a------ C:\WINDOWS\SysFB8.exe 2008-07-02 00:17 . 2008-07-02 00:17 <DIR> d-------- C:\Programme\DriveCrypt Plus Pack 2008-07-02 00:17 . 2002-02-02 15:02 770,496 --a------ C:\WINDOWS\system32\drivers\dcpp2k.sys 2008-07-02 00:00 . 2008-07-02 00:00 <DIR> d-------- C:\Programme\ICQ6Toolbar 2008-07-02 00:00 . 2008-07-02 00:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ 2008-07-01 23:48 . 2008-07-02 00:07 <DIR> d-------- C:\Programme\ICQ6 2008-07-01 18:47 . 2008-07-01 18:47 <DIR> d-------- C:\Programme\Gemeinsame Dateien\PCSuite 2008-07-01 18:38 . 2007-09-17 16:53 21,632 --a------ C:\WINDOWS\system32\drivers\pccsmcfd.sys 2008-07-01 18:37 . 2008-07-01 18:38 <DIR> d-------- C:\Programme\PC Connectivity Solution 2008-07-01 17:02 . 2003-09-08 15:43 89,728 --a------ C:\WINDOWS\system32\drivers\usbvsp.sys 2008-06-15 16:10 . 2008-06-15 16:11 <DIR> d-------- C:\Dokumente und Einstellungen\reichsbaudienst\Anwendungsdaten\ArcSoft 2008-06-15 16:10 . 2005-02-23 15:58 11,776 --a------ C:\WINDOWS\system32\drivers\afc.sys 2008-06-15 16:08 . 1995-08-01 05:44 212,480 --a------ C:\WINDOWS\PCDLIB32.DLL 2008-06-15 16:07 . 2006-09-28 12:47 283,776 --a------ C:\WINDOWS\system32\AF15BDA.sys 2008-06-15 16:07 . 2005-10-26 07:05 192,512 -ra------ C:\WINDOWS\system32\GTVendor.dll 2008-06-15 16:07 . 2006-08-24 13:42 184,396 -ra------ C:\WINDOWS\system32\TMController.exe 2008-06-15 16:07 . 2006-08-24 12:11 139,264 -ra------ C:\WINDOWS\system32\RmCard.dll 2008-06-15 16:07 . 2006-09-18 12:28 28,672 --a------ C:\WINDOWS\system32\AF15BDAEX.dll 2008-06-15 16:07 . 2006-07-07 11:43 6,301 -ra------ C:\WINDOWS\system32\TMController.xml 2008-06-15 16:07 . 2006-09-28 16:03 245 --a------ C:\WINDOWS\system32\AF15IRTBL.bin 2008-06-15 16:05 . 2006-09-28 06:47 283,776 -ra------ C:\WINDOWS\system32\drivers\AF15BDA.sys 2008-06-15 16:05 . 2004-08-04 01:57 54,272 --a------ C:\WINDOWS\system32\vfwwdm32.dll 2008-06-15 16:05 . 2004-08-04 01:58 28,672 --a------ C:\WINDOWS\system32\vidcap.ax . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-02 23:11 --------- d-----w C:\Programme\FlashGet 2008-07-02 23:11 --------- d-----w C:\Dokumente und Einstellungen\reichsbaudienst\Anwendungsdaten\uTorrent 2008-07-02 22:47 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-07-02 20:46 --------- d-----w C:\Programme\SparVoip 2008-07-01 21:05 --------- d-----w C:\Programme\ICQLite 2008-07-01 18:34 --------- d-----w C:\Dokumente und Einstellungen\reichsbaudienst\Anwendungsdaten\Skype 2008-07-01 16:07 --------- d-----w C:\Dokumente und Einstellungen\reichsbaudienst\Anwendungsdaten\Nokia 2008-07-01 15:46 --------- d-----w C:\Programme\Nokia 2008-07-01 15:45 --------- d-----w C:\Programme\Gemeinsame Dateien\Nokia 2008-07-01 15:00 --------- d-----w C:\Programme\cablecom 2008-07-01 14:59 --------- d-----w C:\Programme\Cablecom Assistant 2008-07-01 14:33 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations 2008-07-01 14:06 --------- d-----w C:\Dokumente und Einstellungen\reichsbaudienst\Anwendungsdaten\skypePM 2008-06-28 20:45 --------- d-----w C:\Programme\eMule.de 2008-06-13 05:59 --------- d-----w C:\Programme\EnEV-Rechner 2008-06-11 19:49 --------- d-----w C:\Dokumente und Einstellungen\reichsbaudienst\Anwendungsdaten\SparVoip 2008-06-09 07:26 --------- d-----w C:\Programme\Skype 2008-06-09 07:26 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype 2008-06-09 07:25 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype 2008-06-07 15:08 --------- d-----w C:\Programme\Zattoo 2008-06-02 21:43 --------- d-----w C:\Programme\Routenplaner 2003 professional 2005-08-22 16:11 266 --sh--w C:\Programme\desktop.ini 2005-08-22 16:11 11,253 ---ha-w C:\Programme\folder.htt . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2002-12-31 15:00 15360] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-08-04 02:11 1667584] "m2Update"="C:\Programme\sunrise\m2Update\m2Update.exe" [2005-08-02 17:17 4002816] "updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 17:45 313472] "SparVoip"="C:\Programme\SparVoip\SparVoip.exe" [2008-01-02 11:50 8889648] "Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 6\PCSync2.exe" [2008-03-26 19:41 1232896] "PC Suite Tray"="C:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe" [2008-04-16 13:53 1079808] "ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-05-18 19:30 172280] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2005-12-20 22:54 278528] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-01-21 21:19 155648] "SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_08\bin\jusched.exe" [2006-07-26 04:03 49263] "WatcherHelper"="C:\Programme\Sierra Wireless Inc\3G Watcher\WaHelper.exe" [2006-06-08 17:13 90112] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-21 10:25 262401] "ALDI_NORD_FotoSuite_Download"="C:\Programme\ALDI Foto Service Nord\ALDI_Foto_Service\FotoSuite.exe" [2006-06-09 11:56 417792] "REWI Terminüberwachung"="C:\Programme\rewi Bausoftware\rewi-Zentrale\rewi_termine.exe" [2006-09-13 09:35 1548288] "WatchDog"="C:\Programme\mobile PhoneTools\WatchDog.exe" [2004-08-14 05:42 36864] "TMController"="C:\WINDOWS\system32\TMController.exe" [2006-08-24 13:42 184396] "TrackPointSrv"="tp4mon.exe" [2004-08-04 01:58 82432 C:\WINDOWS\system32\tp4mon.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-12-31 15:00 15360] "PcSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2008-03-26 19:41 1232896] [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] SecurityProviders msapsspc.dll, schannel.dll, msnsspc.dll, digest.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mmx19g.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\xmm13g.sys] @="Driver" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "<NO NAME>"= "C:\\Programme\\Sierra Wireless Inc\\3G Watcher\\SwiApiMux.exe"= "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Messenger\\msmsgs.exe"= "C:\\Programme\\eMule.de\\emule.exe"= "C:\\Programme\\uTorrent\\utorrent.exe"= "C:\\Programme\\Zattoo\\Zattoo2.exe"= "C:\\Programme\\Zattoo\\zattood.exe"= "C:\\Programme\\SparVoip\\SparVoip.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= "C:\\Programme\\ICQ6\\ICQ.exe"= R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-21 10:26] R0 dcpp2k;dcpp2k;C:\WINDOWS\system32\drivers\dcpp2k.sys [2002-02-02 15:02] R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-21 10:26] R1 mmx19g;MMX virtualization service;C:\WINDOWS\System32\mmx19g.sys [2001-08-18 14:00] R2 DCPP2Svc;SecurStar DCPP 3.81+ Service;C:\Programme\DriveCrypt Plus Pack\DCPP2Svc.exe [2002-02-02 15:02] R3 swivsp;AC8xx Virtual Serial Port;C:\WINDOWS\system32\DRIVERS\swivspnt.sys [2006-02-15 11:06] S2 Microsoft Windows DNS Manager;Microsoft Windows DNS Manager;C:\WINDOWS\System32\dllcache\windmns.exe [] S2 Microsoft Windows TCP Ack Timing;Microsoft Windows TCP Ack Timing;C:\WINDOWS\System32\dllcache\wintcpack.exe [] S2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2002-12-31 15:00] S2 xmm13g;MMX2 virtualization service;C:\WINDOWS\System32\mmx19g.sys [2001-08-18 14:00] S3 ACGPRS;Sierra Wireless 3G Adapter;C:\WINDOWS\system32\DRIVERS\acgprs.sys [2006-07-12 17:59] S3 AF15BDA;AF9015 BDA Filter;C:\WINDOWS\system32\Drivers\AF15BDA.sys [2006-09-28 06:47] S3 USBVSP;USBVSP;C:\WINDOWS\system32\drivers\Usbvsp.sys [2003-09-08 15:43] . Inhalt des "geplante Tasks" Ordners "2008-06-27 15:18:18 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe . - - - - ORPHANS REMOVED - - - - HKU-Default-Run-MSKAGENTEXE - C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe Notify-xmm13g - xmm13g.dll ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-15 07:47:43 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... C:\WINDOWS\system32\aszzxewaqo.vb 0 bytes C:\WINDOWS\system32\mmx19g.sys 21824 bytes executable C:\WINDOWS\system32\wa114.ini 320 bytes C:\WINDOWS\system32\qz.dll 41317 bytes executable C:\WINDOWS\system32\qz.sys 21824 bytes executable Scan erfolgreich abgeschlossen versteckte Dateien: 5 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\PC Connectivity Solution\ServiceLayer.exe C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe C:\WINDOWS\system32\msiexec.exe C:\Programme\Java\jre1.5.0_08\bin\jucheck.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-07-15 8:00:19 - machine was rebooted ComboFix-quarantined-files.txt 2008-07-15 04:59:59 23 Verzeichnis(se), 1,767,515,136 Bytes frei 26 Verzeichnis(se), 1,703,212,032 Bytes frei 206 --------------------- schöne Grüße MArio |
|
|
||
16.07.2008, 23:58
Ehrenmitglied
Beiträge: 29434 |
#23
wosein
Info: http://www.sophos.com/security/analyses/viruses-and-spyware/trojhaxdoordm.html <System>\aszzxewaqo.vb <System>\mmx19g.sys <System>\qz.dll <System>\qz.sys <System>\wa114.ini <System>\xmm13g.dll The files mmx19g.sys and qz.sys are detected as Troj/Haxdor-Gen and the files qz.dll and xmm13g.dll are detected as Troj/Haxdor-Fam. ------------------------------------------------------------------------- 1. Avenger http://virus-protect.org/artikel/tools/avenger.html - setze ein Häkchen in: "Automatically disable any rootkits found" - Das Häkchen "Scan for Rootkits" muss angehakt sein. kopiere in das weisse Feld: Zitat Drivers to disable:schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten - eventuell 2 Mal) Klicke: Execute bestätige, dass der Rechner neu gestartet wird - klicke "yes" nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen --------------------------------------- 2. http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) xmm13g in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. das gleiche bitte mit: mmx19g Microsoft Windows DNS Manager Microsoft Windows TCP Ack Timing __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
17.07.2008, 01:03
Member
Beiträge: 11 |
#24
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Driver "xmm13g" disabled successfully. Driver "mmx19g" disabled successfully. Error: could not open driver "qz" Disablement of driver "qz" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Driver "xmm13g" deleted successfully. Driver "mmx19g" deleted successfully. Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\qz" not found! Deletion of driver "qz" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mmx19g.sys" deleted successfully. Registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\xmm13g.sys" deleted successfully. File "C:\WINDOWS\system32\aszzxewaqo.vb" deleted successfully. File "C:\WINDOWS\system32\mmx19g.sys" deleted successfully. File "C:\WINDOWS\system32\wa114.ini" deleted successfully. File "C:\WINDOWS\system32\qz.dll" deleted successfully. File "C:\WINDOWS\system32\qz.sys" deleted successfully. File "C:\WINDOWS\SysF95.exe" deleted successfully. File "C:\WINDOWS\SysFB8.exe" deleted successfully. Completed script processing. ******************* Finished! Terminate. ----------------------------------------------------------- Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.5.0 ; Results at 17/07/2008 12:43:25 AM for strings: ; ' xmm13g' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... -------------------------------------------------------------- Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.5.0 ; Results at 17/07/2008 12:49:53 AM for strings: ; ' xmm19g' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... ________________________________ was sol ich mit diesen machen? Das sagt mir nichts? Microsoft Windows DNS Manager Microsoft Windows TCP Ack Timing LG mario |
|
|
||
17.07.2008, 01:18
Ehrenmitglied
Beiträge: 29434 |
||
|
||
17.07.2008, 09:34
Member
Beiträge: 11 |
#26
Microsoft Windows DNS Manager
________________________________________________ Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.5.0 ; Results at 17/07/2008 8:37:51 AM for strings: ; 'microsoft windows dns manager microsoft windows dns manager' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... ----------------------------------------------------------------- Microsoft Windows TCP Ack Timing ___________________________________________ Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.5.0 ; Results at 17/07/2008 8:48:23 AM for strings: ; 'microsoft windows tcp ack timing microsoft windows tcp ack timing microsoft windows tcp ack timing' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... |
|
|
||
17.07.2008, 10:22
Ehrenmitglied
Beiträge: 29434 |
#27
wosein
1. lade sdfix http://virus-protect.org/artikel/tools/sdfix.html unter C:\ findet man nun den SDFix-Ordner boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet) gehe in den Ordner C:\SDFix RunThis.bat doppelt klicken folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag, 2. ComboFix entfernen Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" 3. lade combofix neu + poste den report http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.07.2008, 21:04
...neu hier
Themenstarter Beiträge: 4 |
#28
Hallo,
sorry war die letzten Wochen im Urlaub, habe combofix und malwarebytes nochmal über meinen rechner laufen lassen, hier sind die logs: combofix: ComboFix 08-07-20.A0 - Administrator 2008-07-21 20:44:36.3 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.1.1252.1.1031.18.345 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\Administrator\Desktop\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt [color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color] FILE :: C:\WINDOWS\System32\ciadminh.dll C:\WINDOWS\System32\ddcArSMC.dll C:\WINDOWS\system32\rcqnqbvi.dll . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\rcqnqbvi.dll . ((((((((((((((((((((((( Dateien erstellt von 2008-06-21 bis 2008-07-21 )))))))))))))))))))))))))))))) . 2008-07-06 21:37 . 2008-07-06 21:37 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-07-06 21:37 . 2008-07-06 21:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-07-06 21:37 . 2008-07-06 21:37 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes 2008-07-06 21:37 . 2008-06-28 14:16 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys 2008-07-06 21:37 . 2008-06-28 14:16 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-07-06 21:22 . 2008-07-06 21:22 12,862 --a------ C:\WINDOWS\EPISMG00.SWB 2008-07-05 18:21 . 2008-07-05 18:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo! Companion 2008-07-05 17:47 . 2008-07-05 17:47 <DIR> d-------- C:\Programme\Yahoo! 2008-07-05 17:47 . 2008-07-05 17:47 <DIR> d-------- C:\Programme\CCleaner 2008-07-05 17:21 . 2008-07-05 17:21 <DIR> d-------- C:\AntiVir PersonalEdition Classic . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-03 19:21 --------- d-----w C:\Programme\Gemeinsame Dateien\Acronis 2008-06-05 20:29 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2001-11-23 04:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL 2004-04-30 15:21 848 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys . ((((((((((((((((((((((((((((( snapshot@2008-07-05_18.09.02.23 ))))))))))))))))))))))))))))))))))))))))) . - 2008-07-05 16:00:45 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat + 2008-07-21 18:32:10 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat - 2008-07-05 16:00:45 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat + 2008-07-21 18:32:10 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat - 2008-07-05 16:00:45 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat + 2008-07-21 18:32:10 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat - 2008-04-19 20:11:12 41,792 ----a-w C:\WINDOWS\system32\drivers\avgntdd.sys + 2008-07-20 14:52:11 45,376 ----a-w C:\WINDOWS\system32\drivers\avgntdd.sys - 2008-04-19 20:11:12 79,424 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys + 2008-07-20 14:52:11 75,072 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys - 2008-03-30 09:21:49 48,156 ----a-w C:\WINDOWS\system32\perfc007.dat + 2008-07-05 16:08:18 48,156 ----a-w C:\WINDOWS\system32\perfc007.dat - 2008-03-30 09:21:49 39,992 ----a-w C:\WINDOWS\system32\perfc009.dat + 2008-07-05 16:08:18 39,992 ----a-w C:\WINDOWS\system32\perfc009.dat - 2008-03-30 09:21:49 316,594 ----a-w C:\WINDOWS\system32\perfh007.dat + 2008-07-05 16:08:18 316,594 ----a-w C:\WINDOWS\system32\perfh007.dat - 2008-03-30 09:21:49 311,604 ----a-w C:\WINDOWS\system32\perfh009.dat + 2008-07-05 16:08:18 311,604 ----a-w C:\WINDOWS\system32\perfh009.dat . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{915B0C35-5DD9-4DF5-8025-54B2483C57D8}] C:\WINDOWS\System32\ddcArSMC.dll [BU] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2004-03-24 10:04 3309568] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648] "EPSON Stylus C84 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE" [2003-05-27 05:08 99840] "WinampAgent"="C:\Programme\Winamp\winampa.exe" [2003-12-13 02:50 33792] "NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2004-03-24 10:04 46080] "AWatch"="C:\Programme\FRITZ!DSL\Awatch.exe" [2001-11-16 15:31 548864] "CloneCDTray"="C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" [2005-05-19 15:47 57344] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-20 16:52 266497] "Ulead AutoDetector v2"="C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" [2004-08-27 20:22 90112] "nwiz"="nwiz.exe" [2004-03-24 10:04 782336 C:\WINDOWS\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 12:43 13312] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "MSACM.CEGSM"= mobilev.acm R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\drivers\avgntmgr.sys [2008-04-19 22:11] R0 c2scsi;c2scsi;C:\WINDOWS\System32\DRIVERS\c2scsi.sys [2002-09-26 23:16] R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-07-20 16:52] R2 AVMPORT;AVMPORT;C:\WINDOWS\System32\drivers\avmport.sys [2001-10-23 01:00] R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;C:\WINDOWS\System32\DRIVERS\avmndsl.sys [2001-12-06 02:00] R3 AVMWAN;AVM NDIS WAN CAPI Treiber;C:\WINDOWS\System32\DRIVERS\avmwan.sys [2001-12-06 02:00] R3 FDSLBASE;AVM FRITZ!Card DSL (WinXP/2000);C:\WINDOWS\System32\DRIVERS\fdslbase.sys [2001-12-06 02:00] R3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\System32\DRIVERS\NETFWDSL.SYS [2001-12-05 11:52] S3 Ip6FwHlp;IPv6-Internetverbindungsfirewall;C:\WINDOWS\System32\svchost.exe [2001-08-18 12:00] S3 NETFRITZ;AVM FRITZ!web PPP over ISDN;C:\WINDOWS\System32\DRIVERS\NETFRITZ.SYS [2001-11-09 14:51] . - - - - Entfernte verwaiste Registrierungseintr„ge - - - - Toolbar-ID - (no file) ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-21 20:47:30 Windows 5.1.2600 Service Pack 1 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Programme\FRITZ!\IWatch.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\nvsvc32.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-07-21 20:49:46 - machine was rebooted ComboFix-quarantined-files.txt 2008-07-21 18:49:43 ComboFix2.txt 2008-07-06 19:33:13 ComboFix3.txt 2008-07-05 16:09:23 Pre-Run: 8 Verzeichnis(se), 15,536,685,056 Bytes frei Post-Run: 10 Verzeichnis(se), 16,019,460,096 Bytes frei 118 Hoffe mal, dass log-file zeigt nicht's mehr Verdächtiges. Malwarebytes hatte nicht's mehr gefunden. Gruß Jens |
|
|
||
22.07.2008, 13:05
Ehrenmitglied
Beiträge: 29434 |
#29
Hallo kochi71
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern Zitat Registry::Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden. cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen Dann erscheint ein "öffnen mit" -bestätigen - und Combofix startet neu ------- ComboFix entfernen Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.07.2008, 14:51
...neu hier
Themenstarter Beiträge: 4 |
#30
Hi Sabina,
anbei nochmal das log von combofix: ComboFix 08-07-20.A0 - Administrator 2008-07-25 14:41:35.4 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.1.1252.1.1031.18.313 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\Administrator\Desktop\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt [color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color] . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\blphca65j0ec9v.scr C:\WINDOWS\system32\lphca65j0ec9v.exe C:\WINDOWS\system32\phca65j0ec9v.bmp . ((((((((((((((((((((((( Dateien erstellt von 2008-06-25 bis 2008-07-25 )))))))))))))))))))))))))))))) . 2008-07-22 22:18 . 2008-07-22 22:18 2,589 --a------ C:\oyf7l9.exe 2008-07-06 21:37 . 2008-07-06 21:37 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-07-06 21:37 . 2008-07-06 21:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-07-06 21:37 . 2008-07-06 21:37 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes 2008-07-06 21:37 . 2008-06-28 14:16 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys 2008-07-06 21:37 . 2008-06-28 14:16 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-07-06 21:22 . 2008-07-06 21:22 12,862 --a------ C:\WINDOWS\EPISMG00.SWB 2008-07-05 18:21 . 2008-07-05 18:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo! Companion 2008-07-05 17:47 . 2008-07-05 17:47 <DIR> d-------- C:\Programme\Yahoo! 2008-07-05 17:47 . 2008-07-05 17:47 <DIR> d-------- C:\Programme\CCleaner 2008-07-05 17:21 . 2008-07-05 17:21 <DIR> d-------- C:\AntiVir PersonalEdition Classic . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-03 19:21 --------- d-----w C:\Programme\Gemeinsame Dateien\Acronis 2008-06-05 20:29 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2001-11-23 04:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL 2004-04-30 15:21 848 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys . ((((((((((((((((((((((((((((( snapshot@2008-07-05_18.09.02.23 ))))))))))))))))))))))))))))))))))))))))) . - 2008-07-05 16:00:45 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat + 2008-07-25 12:33:53 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat - 2008-07-05 16:00:45 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat + 2008-07-25 12:33:53 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat - 2008-07-05 16:00:45 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat + 2008-07-25 12:33:53 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat - 2008-04-19 20:11:12 41,792 ----a-w C:\WINDOWS\system32\drivers\avgntdd.sys + 2008-07-20 14:52:11 45,376 ----a-w C:\WINDOWS\system32\drivers\avgntdd.sys - 2008-04-19 20:11:12 79,424 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys + 2008-07-20 14:52:11 75,072 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys - 2008-03-30 09:21:49 48,156 ----a-w C:\WINDOWS\system32\perfc007.dat + 2008-07-05 16:08:18 48,156 ----a-w C:\WINDOWS\system32\perfc007.dat - 2008-03-30 09:21:49 39,992 ----a-w C:\WINDOWS\system32\perfc009.dat + 2008-07-05 16:08:18 39,992 ----a-w C:\WINDOWS\system32\perfc009.dat - 2008-03-30 09:21:49 316,594 ----a-w C:\WINDOWS\system32\perfh007.dat + 2008-07-05 16:08:18 316,594 ----a-w C:\WINDOWS\system32\perfh007.dat - 2008-03-30 09:21:49 311,604 ----a-w C:\WINDOWS\system32\perfh009.dat + 2008-07-05 16:08:18 311,604 ----a-w C:\WINDOWS\system32\perfh009.dat . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2004-03-24 10:04 3309568] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648] "EPSON Stylus C84 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE" [2003-05-27 05:08 99840] "WinampAgent"="C:\Programme\Winamp\winampa.exe" [2003-12-13 02:50 33792] "NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2004-03-24 10:04 46080] "AWatch"="C:\Programme\FRITZ!DSL\Awatch.exe" [2001-11-16 15:31 548864] "CloneCDTray"="C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" [2005-05-19 15:47 57344] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-20 16:52 266497] "Ulead AutoDetector v2"="C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" [2004-08-27 20:22 90112] "nwiz"="nwiz.exe" [2004-03-24 10:04 782336 C:\WINDOWS\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 12:43 13312] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2004-04-30 16:59:51 110592] ISDNWatch.lnk - C:\Programme\FRITZ!\IWatch.exe [2004-08-22 14:47:07 335872] Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04 83360] Mountit.lnk - C:\Programme\Roxio\WinOnCD 6 DVD\MountIt.exe [2003-05-08 14:40:04 1159232] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "MSACM.CEGSM"= mobilev.acm R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\drivers\avgntmgr.sys [2008-04-19 22:11] R0 c2scsi;c2scsi;C:\WINDOWS\System32\DRIVERS\c2scsi.sys [2002-09-26 23:16] R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-07-20 16:52] R2 AVMPORT;AVMPORT;C:\WINDOWS\System32\drivers\avmport.sys [2001-10-23 01:00] R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;C:\WINDOWS\System32\DRIVERS\avmndsl.sys [2001-12-06 02:00] R3 AVMWAN;AVM NDIS WAN CAPI Treiber;C:\WINDOWS\System32\DRIVERS\avmwan.sys [2001-12-06 02:00] R3 FDSLBASE;AVM FRITZ!Card DSL (WinXP/2000);C:\WINDOWS\System32\DRIVERS\fdslbase.sys [2001-12-06 02:00] R3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\System32\DRIVERS\NETFWDSL.SYS [2001-12-05 11:52] S3 Ip6FwHlp;IPv6-Internetverbindungsfirewall;C:\WINDOWS\System32\svchost.exe [2001-08-18 12:00] S3 NETFRITZ;AVM FRITZ!web PPP over ISDN;C:\WINDOWS\System32\DRIVERS\NETFRITZ.SYS [2001-11-09 14:51] *Newly Created Service* - CATCHME . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKLM-Run-lphca65j0ec9v - C:\WINDOWS\System32\lphca65j0ec9v.exe ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-25 14:43:12 Windows 5.1.2600 Service Pack 1 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-07-25 14:44:14 ComboFix-quarantined-files.txt 2008-07-25 12:44:09 ComboFix2.txt 2008-07-21 18:49:46 ComboFix3.txt 2008-07-06 19:33:13 ComboFix4.txt 2008-07-05 16:09:23 Pre-Run: 8 Verzeichnis(se), 16,033,062,912 Bytes frei Post-Run: 10 Verzeichnis(se), 16,134,533,120 Bytes frei 112 Komischerweise habe ich jetzt auf meinem desktop wieder ein warn-windows mit der message: "warning! spyware dectected on your computer! Install an antivirus or spyware remover to clean your computer!" , ist aber kein Link. Scheint, dass ich noch irgend etwas auf meinem System habe, oder? Gruß und Danke Jens |
|
|
||
Du kannst ja die Zeit inzwischen mal nutzen,um Dich mit dem Hjackthis vertraut zu machen, an Deinem Zweit-PC wie das funktioniert mit dem Fixen, aber Vorsicht, nur alles durchchecken und nichts anhaken, damit die intakte Maschine nicht noch abgewürgt wird, für den Fall dass Du bei dem infizierten PC wieder nur 12 sec Zeit hast
..hat wahrscheinlich niemand mehr damit gerechnet, dass Du doch noch 'nen Logfile postest !