Virus 2008 pro mit VIRUS ALERT neben Uhrzeit

#0
08.07.2008, 00:02
Member

Beiträge: 325
#16 @ wosein!
Du kannst ja die Zeit inzwischen mal nutzen,um Dich mit dem Hjackthis vertraut zu machen, an Deinem Zweit-PC wie das funktioniert mit dem Fixen, aber Vorsicht, nur alles durchchecken und nichts anhaken, damit die intakte Maschine nicht noch abgewürgt wird, für den Fall dass Du bei dem infizierten PC wieder nur 12 sec Zeit hast ;)
..hat wahrscheinlich niemand mehr damit gerechnet, dass Du doch noch 'nen Logfile postest !
Dieser Beitrag wurde am 08.07.2008 um 00:06 Uhr von Provisitor editiert.
Seitenanfang Seitenende
08.07.2008, 00:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#17 wosein!

««
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked. + starte den Rechner neu.

Zitat

O3 - Toolbar: My Search Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL

O3 - Toolbar: nqgpedlr - {CAE4B16A-4FF4-44D9-8D85-39A4F7E576FA} - C:\WINDOWS\nqgpedlr.dll

O4 - HKLM\..\Run: [Antivirus] C:\Programme\VAV\vav.exe

O4 - HKCU\..\Run: [Antivirus] C:\Programme\VAV\vav.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O21 - SSODL: axrfgvek - {15D058C2-581F-4387-A706-0C936405448E} - C:\WINDOWS\axrfgvek.dll

O21 - SSODL: okmdepgb - {99658ABB-A53D-478A-AF53-F557BF1969DE} - C:\WINDOWS\okmdepgb.dll

starte den Rechner neu.

««
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked.

nicht neustarten, sondern Fixwareout laden

Zitat

O17 - HKLM\System\CCS\Services\Tcpip\..\{020D013B-95AD-47BC-A30C-F79BF817799C}: NameServer = 85.255.115.100,85.255.112.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{029001E0-2BE4-4F56-88FA-08419DE3A737}: NameServer = 85.255.115.100,85.255.112.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{06FD24CF-4BA4-4E8D-B952-D4ABB173CD82}: NameServer = 85.255.115.100,85.255.112.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A12024C-6B00-4F45-A5A1-B01247CAED87}: NameServer = 85.255.115.100,85.255.112.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{4E38DB5B-1175-44E7-9CBA-243552FAFA58}: NameServer = 85.255.115.100,85.255.112.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{61C49928-CCA3-4898-A245-CC2D28877108}: NameServer = 85.255.115.100,85.255.112.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{6313F109-FC35-45FC-9788-A34264C2FBDE}: NameServer = 85.255.115.100,85.255.112.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{6A574BCE-EC38-43BF-BFBF-EEDDF5987AEC}: NameServer = 85.255.115.100,85.255.112.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{8FE67626-0C90-4454-8C63-34547AC76881}: NameServer = 85.255.115.100,85.255.112.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1CA4AF5-5956-46E1-9585-C7FD18E6246B}: NameServer = 85.255.115.100,85.255.112.100
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.100 85.255.112.100
O17 - HKLM\System\CS1\Services\Tcpip\..\{020D013B-95AD-47BC-A30C-F79BF817799C}: NameServer = 85.255.115.100,85.255.112.100
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.100 85.255.112.100
O17 - HKLM\System\CS2\Services\Tcpip\..\{020D013B-95AD-47BC-A30C-F79BF817799C}: NameServer = 85.255.115.100,85.255.112.100
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.100 85.255.112.100
««
lade fixwareout, anwenden + poste nach NEUSTART den Report
http://virus-protect.org/artikel/tools/fixwareout.html

«
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere in das weisse Feld:

Zitat

Files to delete:
C:\Windows\Downloaded Program Files\setup.dll
C:\Windows\Downloaded Program Files\setup.inf
C:\WINDOWS\system32\vav.cpl
C:\WINDOWS\nqgpedlr.dll
C:\WINDOWS\okmdepgb.dll
C:\WINDOWS\axrfgvek.dll
Folders to delete:
C:\Programme\VAV
C:\Programme\MySearch
C:\Programme\PCHealthCenter

schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)
Klicke: Execute
bestätige, dass der Rechner neu gestartet wird - klicke "yes"

------------------------------------------------------------------

««
scanne mit Malwarebytes, lasse alles entfernen, was gefunden wird
http://virus-protect.org/artikel/tools/malwarebytes.html

««
lade combofix + poste den report hier
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.07.2008, 23:22
Member

Beiträge: 11
#18 Guten Abend liebe Helfer,
habe bisher die letzten sachen noch nicht abarbeiten können. Ich versuche mir morgen mal die Zeit zu nehmen. Dann werde ich versuchen, genannte Reports einzustellen. vielen DAnk und LG mario
Seitenanfang Seitenende
09.07.2008, 23:24
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#19 dann mach mal ;)
bis morgen....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.07.2008, 22:55
Member

Beiträge: 11
#20 Guten Abend liebe Helfer,
nach einem virusfreien WE ohne Lappi im strömenden Regen bin ich nun wieder, mit meinem Problem, da. Habe mir aber noch kein neues Gerät gekauft und auch nicht neu aufgelegt. Aber, ich habe die Fixwareout logfile geschafft.
Habe auch das mit avenger gemacht. bin jetzt an Malwarebytes und combo dran. Hier aber erst mal die log:


Username "baudienst" - 10/07/2008 15:23:55 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{029001E0-2BE4-4F56-88FA-08419DE3A737}
"DhcpNameServer"="85.255.115.100,85.255.112.100" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{4E38DB5B-1175-44E7-9CBA-243552FAFA58}
"DhcpNameServer"="85.255.115.100,85.255.112.100" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{61C49928-CCA3-4898-A245-CC2D28877108}
"DhcpNameServer"="85.255.115.100,85.255.112.100" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{6A574BCE-EC38-43BF-BFBF-EEDDF5987AEC}
"DhcpNameServer"="85.255.115.100,85.255.112.100" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{8FE67626-0C90-4454-8C63-34547AC76881}
"DhcpNameServer"="85.255.115.100,85.255.112.100" <Value cleared.


PC crashed or was not allowed to reboot.

~~~~~ Postrun check
HKLM\SOFTWARE\~\Winlogon\ "System"=""
....
....
~~~~~ Misc files.
C:\Programme\Microsoft Security Adviser Deleted
....
~~~~~ Checking for older varients.
....

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_08\\bin\\jusched.exe\""
"WatcherHelper"="\"C:\\Programme\\Sierra Wireless Inc\\3G Watcher\\WaHelper.exe\""
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"ALDI_NORD_FotoSuite_Download"="\"C:\\Programme\\ALDI Foto Service Nord\\ALDI_Foto_Service\\FotoSuite.exe\" /autorun"
"REWI Terminüberwachung"="C:\\Programme\\rewi Bausoftware\\rewi-Zentrale\\rewi_termine.exe start"
"WatchDog"="C:\\Programme\\mobile PhoneTools\\WatchDog.exe"
"TrackPointSrv"="tp4mon.exe"
"TMController"="C:\\WINDOWS\\system32\\TMController.exe"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"m2Update"="C:\\Programme\\sunrise\\m2Update\\m2Update.exe /tray"
"updateMgr"="\"C:\\Programme\\Adobe\\Acrobat 7.0\\Reader\\AdobeUpdateManager.exe\" AcRdB7_0_8 -reboot 1"
"SparVoip"="\"C:\\Programme\\SparVoip\\SparVoip.exe\" -nosplash -minimized"
"Nokia.PCSync"="\"C:\\Programme\\Nokia\\Nokia PC Suite 6\\PCSync2.exe\" /NoDialog"
"PC Suite Tray"="\"C:\\Programme\\Nokia\\Nokia PC Suite 6\\PCSuite.exe\" -onlytray"
"ICQ"="\"C:\\Programme\\ICQ6\\ICQ.exe\" silent"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~
Seitenanfang Seitenende
14.07.2008, 23:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#21 «
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere in das weisse Feld:

Zitat

Files to delete:
C:\Windows\Downloaded Program Files\setup.dll
C:\Windows\Downloaded Program Files\setup.inf
C:\WINDOWS\system32\vav.cpl
C:\WINDOWS\nqgpedlr.dll
C:\WINDOWS\okmdepgb.dll
C:\WINDOWS\axrfgvek.dll
Folders to delete:
C:\Programme\VAV
C:\Programme\MySearch
C:\Programme\PCHealthCenter
schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)
Klicke: Execute
bestätige, dass der Rechner neu gestartet wird - klicke "yes"

------------------------------------------------------------------

««
scanne mit Malwarebytes, lasse alles entfernen, was gefunden wird
http://virus-protect.org/artikel/tools/malwarebytes.html

««
lade combofix + poste den report hier
http://virus-protect.org/artikel/tools/combofix.html

+
poste dann auch ein neues log vom HijackTHis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.07.2008, 22:58
Member

Beiträge: 11
#22 Hallo und Guten Abend,
ich glaube fast, dass ich ein Schritt weiter bin. Habe jetzt das mit dem Malewarebytes gemacht und hab das mit combo.. geschaft. Stelle diese hier ein. Glaube auch schon fast, das das system wieder geht. Es geht zumindestens nicht aus und VIRUS ALERT (neben der Uhr) ist weg. Aber hier Report von combofix:
ComboFix 08-07-14.2 - reichsbaudienst 2008-07-15 7:33:58.1 - NTFSx86
ausgeführt von:: E:\Software\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\Downloaded Program Files\UERSU_0001_N68M1402NetInstaller.exe
C:\WINDOWS\system32\components
C:\WINDOWS\system32\msn.dll
C:\WINDOWS\winhelp.ini

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_MICROSOFT_WINDOWS_TCP_PROTOCOL
-------\Service_Microsoft Windows TCP Protocol


((((((((((((((((((((((( Dateien erstellt von 2008-06-15 bis 2008-07-15 ))))))))))))))))))))))))))))))
.

2008-07-15 00:03 . 2008-07-15 00:03 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-15 00:03 . 2008-07-15 00:03 <DIR> d-------- C:\Dokumente und Einstellungen\reichsbaudienst\Anwendungsdaten\Malwarebytes
2008-07-15 00:03 . 2008-07-15 00:03 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-15 00:03 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-15 00:03 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-10 15:23 . 2008-07-14 22:24 <DIR> d-------- C:\fixwareout
2008-07-08 00:07 . 2008-07-08 00:07 <DIR> d-------- C:\Programme\Yahoo!
2008-07-08 00:06 . 2008-07-08 00:06 <DIR> d-------- C:\Programme\CCleaner
2008-07-07 22:46 . 2008-07-07 22:48 6,832,128 --a------ C:\out archive 07-07-08.pst
2008-07-07 01:01 . 2008-07-07 01:01 23,392 --a------ C:\WINDOWS\system32\nscompat.tlb
2008-07-07 01:01 . 2008-07-07 01:01 16,832 --a------ C:\WINDOWS\system32\amcompat.tlb
2008-07-07 00:53 . 2008-07-07 00:53 488 -rah----- C:\WINDOWS\system32\logonui.exe.manifest
2008-07-07 00:52 . 2008-07-07 00:52 749 -rah----- C:\WINDOWS\WindowsShell.Manifest
2008-07-07 00:52 . 2008-07-07 00:52 749 -rah----- C:\WINDOWS\system32\wuaucpl.cpl.manifest
2008-07-07 00:52 . 2008-07-07 00:52 749 -rah----- C:\WINDOWS\system32\sapi.cpl.manifest
2008-07-07 00:52 . 2008-07-07 00:52 749 -rah----- C:\WINDOWS\system32\nwc.cpl.manifest
2008-07-07 00:52 . 2008-07-07 00:52 749 -rah----- C:\WINDOWS\system32\ncpa.cpl.manifest
2008-07-07 00:44 . 2004-08-04 01:58 154,112 --a------ C:\WINDOWS\system32\irftp.exe
2008-07-07 00:44 . 2004-08-04 00:00 87,424 --a------ C:\WINDOWS\system32\drivers\irda.sys
2008-07-07 00:44 . 2004-08-04 01:57 27,136 --a------ C:\WINDOWS\system32\irmon.dll
2008-07-07 00:44 . 2004-08-04 01:57 8,192 --a------ C:\WINDOWS\system32\wshirda.dll
2008-07-07 00:37 . 2001-08-17 13:19 111,872 --a------ C:\WINDOWS\system32\drivers\cwcspud.sys
2008-07-07 00:36 . 2001-08-17 14:51 19,584 --a------ C:\WINDOWS\system32\drivers\rasirda.sys
2008-07-07 00:25 . 2002-12-31 15:00 14,043 -ra------ C:\WINDOWS\SET67.tmp
2008-07-07 00:24 . 2002-12-31 15:00 1,086,058 -ra------ C:\WINDOWS\SET58.tmp
2008-07-07 00:24 . 2002-12-31 15:00 1,014,663 -ra------ C:\WINDOWS\SET55.tmp
2008-07-06 23:50 . 2002-12-31 15:00 1,086,058 -ra------ C:\WINDOWS\SET54.tmp
2008-07-06 23:50 . 2002-12-31 15:00 1,014,663 -ra------ C:\WINDOWS\SET51.tmp
2008-07-06 23:50 . 2002-12-31 15:00 24,661 --a------ C:\WINDOWS\system32\spxcoins.dll
2008-07-06 23:50 . 2002-12-31 15:00 14,043 -ra------ C:\WINDOWS\SET60.tmp
2008-07-06 23:50 . 2002-12-31 15:00 13,824 --a------ C:\WINDOWS\system32\irclass.dll
2008-07-05 20:05 . 2002-12-31 15:00 14,043 -ra------ C:\WINDOWS\SET5E.tmp
2008-07-05 20:04 . 2002-12-31 15:00 1,086,058 -ra------ C:\WINDOWS\SET52.tmp
2008-07-05 20:04 . 2002-12-31 15:00 1,014,663 -ra------ C:\WINDOWS\SET4F.tmp
2008-07-05 17:50 . 2002-12-31 15:00 1,014,663 -ra------ C:\WINDOWS\SET50.tmp
2008-07-03 08:03 . 2008-06-27 16:57 32,256 --a------ C:\WINDOWS\SysF95.exe
2008-07-03 07:52 . 2004-08-04 01:47 607,196 --a------ C:\WINDOWS\system32\drivers\ltmdmnt.sys
2008-07-03 01:41 . 2008-06-27 16:57 32,256 --a------ C:\WINDOWS\SysFB8.exe
2008-07-02 00:17 . 2008-07-02 00:17 <DIR> d-------- C:\Programme\DriveCrypt Plus Pack
2008-07-02 00:17 . 2002-02-02 15:02 770,496 --a------ C:\WINDOWS\system32\drivers\dcpp2k.sys
2008-07-02 00:00 . 2008-07-02 00:00 <DIR> d-------- C:\Programme\ICQ6Toolbar
2008-07-02 00:00 . 2008-07-02 00:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ
2008-07-01 23:48 . 2008-07-02 00:07 <DIR> d-------- C:\Programme\ICQ6
2008-07-01 18:47 . 2008-07-01 18:47 <DIR> d-------- C:\Programme\Gemeinsame Dateien\PCSuite
2008-07-01 18:38 . 2007-09-17 16:53 21,632 --a------ C:\WINDOWS\system32\drivers\pccsmcfd.sys
2008-07-01 18:37 . 2008-07-01 18:38 <DIR> d-------- C:\Programme\PC Connectivity Solution
2008-07-01 17:02 . 2003-09-08 15:43 89,728 --a------ C:\WINDOWS\system32\drivers\usbvsp.sys
2008-06-15 16:10 . 2008-06-15 16:11 <DIR> d-------- C:\Dokumente und Einstellungen\reichsbaudienst\Anwendungsdaten\ArcSoft
2008-06-15 16:10 . 2005-02-23 15:58 11,776 --a------ C:\WINDOWS\system32\drivers\afc.sys
2008-06-15 16:08 . 1995-08-01 05:44 212,480 --a------ C:\WINDOWS\PCDLIB32.DLL
2008-06-15 16:07 . 2006-09-28 12:47 283,776 --a------ C:\WINDOWS\system32\AF15BDA.sys
2008-06-15 16:07 . 2005-10-26 07:05 192,512 -ra------ C:\WINDOWS\system32\GTVendor.dll
2008-06-15 16:07 . 2006-08-24 13:42 184,396 -ra------ C:\WINDOWS\system32\TMController.exe
2008-06-15 16:07 . 2006-08-24 12:11 139,264 -ra------ C:\WINDOWS\system32\RmCard.dll
2008-06-15 16:07 . 2006-09-18 12:28 28,672 --a------ C:\WINDOWS\system32\AF15BDAEX.dll
2008-06-15 16:07 . 2006-07-07 11:43 6,301 -ra------ C:\WINDOWS\system32\TMController.xml
2008-06-15 16:07 . 2006-09-28 16:03 245 --a------ C:\WINDOWS\system32\AF15IRTBL.bin
2008-06-15 16:05 . 2006-09-28 06:47 283,776 -ra------ C:\WINDOWS\system32\drivers\AF15BDA.sys
2008-06-15 16:05 . 2004-08-04 01:57 54,272 --a------ C:\WINDOWS\system32\vfwwdm32.dll
2008-06-15 16:05 . 2004-08-04 01:58 28,672 --a------ C:\WINDOWS\system32\vidcap.ax

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-02 23:11 --------- d-----w C:\Programme\FlashGet
2008-07-02 23:11 --------- d-----w C:\Dokumente und Einstellungen\reichsbaudienst\Anwendungsdaten\uTorrent
2008-07-02 22:47 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-07-02 20:46 --------- d-----w C:\Programme\SparVoip
2008-07-01 21:05 --------- d-----w C:\Programme\ICQLite
2008-07-01 18:34 --------- d-----w C:\Dokumente und Einstellungen\reichsbaudienst\Anwendungsdaten\Skype
2008-07-01 16:07 --------- d-----w C:\Dokumente und Einstellungen\reichsbaudienst\Anwendungsdaten\Nokia
2008-07-01 15:46 --------- d-----w C:\Programme\Nokia
2008-07-01 15:45 --------- d-----w C:\Programme\Gemeinsame Dateien\Nokia
2008-07-01 15:00 --------- d-----w C:\Programme\cablecom
2008-07-01 14:59 --------- d-----w C:\Programme\Cablecom Assistant
2008-07-01 14:33 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
2008-07-01 14:06 --------- d-----w C:\Dokumente und Einstellungen\reichsbaudienst\Anwendungsdaten\skypePM
2008-06-28 20:45 --------- d-----w C:\Programme\eMule.de
2008-06-13 05:59 --------- d-----w C:\Programme\EnEV-Rechner
2008-06-11 19:49 --------- d-----w C:\Dokumente und Einstellungen\reichsbaudienst\Anwendungsdaten\SparVoip
2008-06-09 07:26 --------- d-----w C:\Programme\Skype
2008-06-09 07:26 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-06-09 07:25 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype
2008-06-07 15:08 --------- d-----w C:\Programme\Zattoo
2008-06-02 21:43 --------- d-----w C:\Programme\Routenplaner 2003 professional
2005-08-22 16:11 266 --sh--w C:\Programme\desktop.ini
2005-08-22 16:11 11,253 ---ha-w C:\Programme\folder.htt
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2002-12-31 15:00 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-08-04 02:11 1667584]
"m2Update"="C:\Programme\sunrise\m2Update\m2Update.exe" [2005-08-02 17:17 4002816]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 17:45 313472]
"SparVoip"="C:\Programme\SparVoip\SparVoip.exe" [2008-01-02 11:50 8889648]
"Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 6\PCSync2.exe" [2008-03-26 19:41 1232896]
"PC Suite Tray"="C:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe" [2008-04-16 13:53 1079808]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-05-18 19:30 172280]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2005-12-20 22:54 278528]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-01-21 21:19 155648]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_08\bin\jusched.exe" [2006-07-26 04:03 49263]
"WatcherHelper"="C:\Programme\Sierra Wireless Inc\3G Watcher\WaHelper.exe" [2006-06-08 17:13 90112]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-21 10:25 262401]
"ALDI_NORD_FotoSuite_Download"="C:\Programme\ALDI Foto Service Nord\ALDI_Foto_Service\FotoSuite.exe" [2006-06-09 11:56 417792]
"REWI Terminüberwachung"="C:\Programme\rewi Bausoftware\rewi-Zentrale\rewi_termine.exe" [2006-09-13 09:35 1548288]
"WatchDog"="C:\Programme\mobile PhoneTools\WatchDog.exe" [2004-08-14 05:42 36864]
"TMController"="C:\WINDOWS\system32\TMController.exe" [2006-08-24 13:42 184396]
"TrackPointSrv"="tp4mon.exe" [2004-08-04 01:58 82432 C:\WINDOWS\system32\tp4mon.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-12-31 15:00 15360]
"PcSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2008-03-26 19:41 1232896]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, msnsspc.dll, digest.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mmx19g.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\xmm13g.sys]
@="Driver"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"<NO NAME>"=
"C:\\Programme\\Sierra Wireless Inc\\3G Watcher\\SwiApiMux.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\eMule.de\\emule.exe"=
"C:\\Programme\\uTorrent\\utorrent.exe"=
"C:\\Programme\\Zattoo\\Zattoo2.exe"=
"C:\\Programme\\Zattoo\\zattood.exe"=
"C:\\Programme\\SparVoip\\SparVoip.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-21 10:26]
R0 dcpp2k;dcpp2k;C:\WINDOWS\system32\drivers\dcpp2k.sys [2002-02-02 15:02]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-21 10:26]
R1 mmx19g;MMX virtualization service;C:\WINDOWS\System32\mmx19g.sys [2001-08-18 14:00]
R2 DCPP2Svc;SecurStar DCPP 3.81+ Service;C:\Programme\DriveCrypt Plus Pack\DCPP2Svc.exe [2002-02-02 15:02]
R3 swivsp;AC8xx Virtual Serial Port;C:\WINDOWS\system32\DRIVERS\swivspnt.sys [2006-02-15 11:06]
S2 Microsoft Windows DNS Manager;Microsoft Windows DNS Manager;C:\WINDOWS\System32\dllcache\windmns.exe []
S2 Microsoft Windows TCP Ack Timing;Microsoft Windows TCP Ack Timing;C:\WINDOWS\System32\dllcache\wintcpack.exe []
S2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2002-12-31 15:00]
S2 xmm13g;MMX2 virtualization service;C:\WINDOWS\System32\mmx19g.sys [2001-08-18 14:00]
S3 ACGPRS;Sierra Wireless 3G Adapter;C:\WINDOWS\system32\DRIVERS\acgprs.sys [2006-07-12 17:59]
S3 AF15BDA;AF9015 BDA Filter;C:\WINDOWS\system32\Drivers\AF15BDA.sys [2006-09-28 06:47]
S3 USBVSP;USBVSP;C:\WINDOWS\system32\drivers\Usbvsp.sys [2003-09-08 15:43]

.
Inhalt des "geplante Tasks" Ordners
"2008-06-27 15:18:18 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe
.
- - - - ORPHANS REMOVED - - - -

HKU-Default-Run-MSKAGENTEXE - C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe
Notify-xmm13g - xmm13g.dll


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-15 07:47:43
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


C:\WINDOWS\system32\aszzxewaqo.vb 0 bytes
C:\WINDOWS\system32\mmx19g.sys 21824 bytes executable
C:\WINDOWS\system32\wa114.ini 320 bytes
C:\WINDOWS\system32\qz.dll 41317 bytes executable
C:\WINDOWS\system32\qz.sys 21824 bytes executable

Scan erfolgreich abgeschlossen
versteckte Dateien: 5

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Java\jre1.5.0_08\bin\jucheck.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-15 8:00:19 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-15 04:59:59

23 Verzeichnis(se), 1,767,515,136 Bytes frei
26 Verzeichnis(se), 1,703,212,032 Bytes frei

206
---------------------
schöne Grüße MArio
Seitenanfang Seitenende
16.07.2008, 23:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#23 wosein

Info:
http://www.sophos.com/security/analyses/viruses-and-spyware/trojhaxdoordm.html

<System>\aszzxewaqo.vb
<System>\mmx19g.sys
<System>\qz.dll
<System>\qz.sys
<System>\wa114.ini
<System>\xmm13g.dll

The files mmx19g.sys and qz.sys are detected as Troj/Haxdor-Gen and the files qz.dll and xmm13g.dll are detected as Troj/Haxdor-Fam.

-------------------------------------------------------------------------

1.
Avenger
http://virus-protect.org/artikel/tools/avenger.html

- setze ein Häkchen in: "Automatically disable any rootkits found"
- Das Häkchen "Scan for Rootkits" muss angehakt sein.

kopiere in das weisse Feld:

Zitat

Drivers to disable:
xmm13g
mmx19g
qz
Drivers to delete:
xmm13g
mmx19g
qz
Registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mmx19g.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\xmm13g.sys
Files to delete:
C:\WINDOWS\system32\aszzxewaqo.vb
C:\WINDOWS\system32\mmx19g.sys
C:\WINDOWS\system32\wa114.ini
C:\WINDOWS\system32\qz.dll
C:\WINDOWS\system32\qz.sys
C:\WINDOWS\SysF95.exe
C:\WINDOWS\SysFB8.exe

schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten - eventuell 2 Mal)
Klicke: Execute
bestätige, dass der Rechner neu gestartet wird - klicke "yes"

nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen

---------------------------------------

2.
http://virus-protect.org/artikel/tools/regsearch.html

und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

xmm13g

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

das gleiche bitte mit:

mmx19g

Microsoft Windows DNS Manager

Microsoft Windows TCP Ack Timing
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.07.2008, 01:03
Member

Beiträge: 11
#24 Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************
Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************
Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "xmm13g" disabled successfully.
Driver "mmx19g" disabled successfully.

Error: could not open driver "qz"
Disablement of driver "qz" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Driver "xmm13g" deleted successfully.
Driver "mmx19g" deleted successfully.

Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\qz" not found!
Deletion of driver "qz" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mmx19g.sys" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\xmm13g.sys" deleted successfully.
File "C:\WINDOWS\system32\aszzxewaqo.vb" deleted successfully.
File "C:\WINDOWS\system32\mmx19g.sys" deleted successfully.
File "C:\WINDOWS\system32\wa114.ini" deleted successfully.
File "C:\WINDOWS\system32\qz.dll" deleted successfully.
File "C:\WINDOWS\system32\qz.sys" deleted successfully.
File "C:\WINDOWS\SysF95.exe" deleted successfully.
File "C:\WINDOWS\SysFB8.exe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
-----------------------------------------------------------
Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 17/07/2008 12:43:25 AM for strings:
; '
xmm13g'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...
--------------------------------------------------------------
Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 17/07/2008 12:49:53 AM for strings:
; '
xmm19g'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...
________________________________
was sol ich mit diesen machen? Das sagt mir nichts?

Microsoft Windows DNS Manager

Microsoft Windows TCP Ack Timing

LG mario
Seitenanfang Seitenende
17.07.2008, 01:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#25 die sollst du auch in regsearch reinkopieren
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.07.2008, 09:34
Member

Beiträge: 11
#26 Microsoft Windows DNS Manager
________________________________________________
Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 17/07/2008 8:37:51 AM for strings:
; 'microsoft windows dns manager
microsoft windows dns manager'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...
-----------------------------------------------------------------

Microsoft Windows TCP Ack Timing
___________________________________________
Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 17/07/2008 8:48:23 AM for strings:
; 'microsoft windows tcp ack timing
microsoft windows tcp ack timing
microsoft windows tcp ack timing'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...
Seitenanfang Seitenende
17.07.2008, 10:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#27 wosein

1.
lade sdfix
http://virus-protect.org/artikel/tools/sdfix.html
unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken
folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag,


2.
ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

3.
lade combofix neu + poste den report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.07.2008, 21:04
...neu hier

Themenstarter

Beiträge: 4
#28 Hallo,

sorry war die letzten Wochen im Urlaub, habe combofix und
malwarebytes nochmal über meinen rechner laufen lassen, hier sind die
logs:

combofix:

ComboFix 08-07-20.A0 - Administrator 2008-07-21 20:44:36.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.1.1252.1.1031.18.345 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Administrator\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]

FILE ::
C:\WINDOWS\System32\ciadminh.dll
C:\WINDOWS\System32\ddcArSMC.dll
C:\WINDOWS\system32\rcqnqbvi.dll
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\rcqnqbvi.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-21 bis 2008-07-21 ))))))))))))))))))))))))))))))
.

2008-07-06 21:37 . 2008-07-06 21:37 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-06 21:37 . 2008-07-06 21:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-06 21:37 . 2008-07-06 21:37 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-07-06 21:37 . 2008-06-28 14:16 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-06 21:37 . 2008-06-28 14:16 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-06 21:22 . 2008-07-06 21:22 12,862 --a------ C:\WINDOWS\EPISMG00.SWB
2008-07-05 18:21 . 2008-07-05 18:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2008-07-05 17:47 . 2008-07-05 17:47 <DIR> d-------- C:\Programme\Yahoo!
2008-07-05 17:47 . 2008-07-05 17:47 <DIR> d-------- C:\Programme\CCleaner
2008-07-05 17:21 . 2008-07-05 17:21 <DIR> d-------- C:\AntiVir PersonalEdition Classic

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-03 19:21 --------- d-----w C:\Programme\Gemeinsame Dateien\Acronis
2008-06-05 20:29 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2001-11-23 04:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
2004-04-30 15:21 848 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( snapshot@2008-07-05_18.09.02.23 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-07-05 16:00:45 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-07-21 18:32:10 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-07-05 16:00:45 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
+ 2008-07-21 18:32:10 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
- 2008-07-05 16:00:45 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2008-07-21 18:32:10 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
- 2008-04-19 20:11:12 41,792 ----a-w C:\WINDOWS\system32\drivers\avgntdd.sys
+ 2008-07-20 14:52:11 45,376 ----a-w C:\WINDOWS\system32\drivers\avgntdd.sys
- 2008-04-19 20:11:12 79,424 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys
+ 2008-07-20 14:52:11 75,072 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys
- 2008-03-30 09:21:49 48,156 ----a-w C:\WINDOWS\system32\perfc007.dat
+ 2008-07-05 16:08:18 48,156 ----a-w C:\WINDOWS\system32\perfc007.dat
- 2008-03-30 09:21:49 39,992 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-07-05 16:08:18 39,992 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-03-30 09:21:49 316,594 ----a-w C:\WINDOWS\system32\perfh007.dat
+ 2008-07-05 16:08:18 316,594 ----a-w C:\WINDOWS\system32\perfh007.dat
- 2008-03-30 09:21:49 311,604 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-07-05 16:08:18 311,604 ----a-w C:\WINDOWS\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{915B0C35-5DD9-4DF5-8025-54B2483C57D8}]
C:\WINDOWS\System32\ddcArSMC.dll [BU]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2004-03-24 10:04 3309568]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"EPSON Stylus C84 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE" [2003-05-27 05:08 99840]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2003-12-13 02:50 33792]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2004-03-24 10:04 46080]
"AWatch"="C:\Programme\FRITZ!DSL\Awatch.exe" [2001-11-16 15:31 548864]
"CloneCDTray"="C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" [2005-05-19 15:47 57344]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-20 16:52 266497]
"Ulead AutoDetector v2"="C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" [2004-08-27 20:22 90112]
"nwiz"="nwiz.exe" [2004-03-24 10:04 782336 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 12:43 13312]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSACM.CEGSM"= mobilev.acm

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\drivers\avgntmgr.sys [2008-04-19 22:11]
R0 c2scsi;c2scsi;C:\WINDOWS\System32\DRIVERS\c2scsi.sys [2002-09-26 23:16]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-07-20 16:52]
R2 AVMPORT;AVMPORT;C:\WINDOWS\System32\drivers\avmport.sys [2001-10-23 01:00]
R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;C:\WINDOWS\System32\DRIVERS\avmndsl.sys [2001-12-06 02:00]
R3 AVMWAN;AVM NDIS WAN CAPI Treiber;C:\WINDOWS\System32\DRIVERS\avmwan.sys [2001-12-06 02:00]
R3 FDSLBASE;AVM FRITZ!Card DSL (WinXP/2000);C:\WINDOWS\System32\DRIVERS\fdslbase.sys [2001-12-06 02:00]
R3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\System32\DRIVERS\NETFWDSL.SYS [2001-12-05 11:52]
S3 Ip6FwHlp;IPv6-Internetverbindungsfirewall;C:\WINDOWS\System32\svchost.exe [2001-08-18 12:00]
S3 NETFRITZ;AVM FRITZ!web PPP over ISDN;C:\WINDOWS\System32\DRIVERS\NETFRITZ.SYS [2001-11-09 14:51]
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

Toolbar-ID - (no file)


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-21 20:47:30
Windows 5.1.2600 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-21 20:49:46 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-21 18:49:43
ComboFix2.txt 2008-07-06 19:33:13
ComboFix3.txt 2008-07-05 16:09:23

Pre-Run: 8 Verzeichnis(se), 15,536,685,056 Bytes frei
Post-Run: 10 Verzeichnis(se), 16,019,460,096 Bytes frei

118

Hoffe mal, dass log-file zeigt nicht's mehr Verdächtiges.

Malwarebytes hatte nicht's mehr gefunden.

Gruß
Jens
Seitenanfang Seitenende
22.07.2008, 13:05
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#29 Hallo kochi71

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{915B0C35-5DD9-4DF5-8025-54B2483C57D8}]
Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen
Dann erscheint ein "öffnen mit" -bestätigen - und Combofix startet neu

-------

ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.07.2008, 14:51
...neu hier

Themenstarter

Beiträge: 4
#30 Hi Sabina,

anbei nochmal das log von combofix:

ComboFix 08-07-20.A0 - Administrator 2008-07-25 14:41:35.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.1.1252.1.1031.18.313 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Administrator\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\blphca65j0ec9v.scr
C:\WINDOWS\system32\lphca65j0ec9v.exe
C:\WINDOWS\system32\phca65j0ec9v.bmp

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-25 bis 2008-07-25 ))))))))))))))))))))))))))))))
.

2008-07-22 22:18 . 2008-07-22 22:18 2,589 --a------ C:\oyf7l9.exe
2008-07-06 21:37 . 2008-07-06 21:37 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-06 21:37 . 2008-07-06 21:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-06 21:37 . 2008-07-06 21:37 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-07-06 21:37 . 2008-06-28 14:16 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-06 21:37 . 2008-06-28 14:16 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-06 21:22 . 2008-07-06 21:22 12,862 --a------ C:\WINDOWS\EPISMG00.SWB
2008-07-05 18:21 . 2008-07-05 18:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2008-07-05 17:47 . 2008-07-05 17:47 <DIR> d-------- C:\Programme\Yahoo!
2008-07-05 17:47 . 2008-07-05 17:47 <DIR> d-------- C:\Programme\CCleaner
2008-07-05 17:21 . 2008-07-05 17:21 <DIR> d-------- C:\AntiVir PersonalEdition Classic

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-03 19:21 --------- d-----w C:\Programme\Gemeinsame Dateien\Acronis
2008-06-05 20:29 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2001-11-23 04:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
2004-04-30 15:21 848 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( snapshot@2008-07-05_18.09.02.23 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-07-05 16:00:45 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-07-25 12:33:53 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-07-05 16:00:45 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
+ 2008-07-25 12:33:53 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
- 2008-07-05 16:00:45 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2008-07-25 12:33:53 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
- 2008-04-19 20:11:12 41,792 ----a-w C:\WINDOWS\system32\drivers\avgntdd.sys
+ 2008-07-20 14:52:11 45,376 ----a-w C:\WINDOWS\system32\drivers\avgntdd.sys
- 2008-04-19 20:11:12 79,424 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys
+ 2008-07-20 14:52:11 75,072 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys
- 2008-03-30 09:21:49 48,156 ----a-w C:\WINDOWS\system32\perfc007.dat
+ 2008-07-05 16:08:18 48,156 ----a-w C:\WINDOWS\system32\perfc007.dat
- 2008-03-30 09:21:49 39,992 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-07-05 16:08:18 39,992 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-03-30 09:21:49 316,594 ----a-w C:\WINDOWS\system32\perfh007.dat
+ 2008-07-05 16:08:18 316,594 ----a-w C:\WINDOWS\system32\perfh007.dat
- 2008-03-30 09:21:49 311,604 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-07-05 16:08:18 311,604 ----a-w C:\WINDOWS\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2004-03-24 10:04 3309568]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"EPSON Stylus C84 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE" [2003-05-27 05:08 99840]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2003-12-13 02:50 33792]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2004-03-24 10:04 46080]
"AWatch"="C:\Programme\FRITZ!DSL\Awatch.exe" [2001-11-16 15:31 548864]
"CloneCDTray"="C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" [2005-05-19 15:47 57344]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-20 16:52 266497]
"Ulead AutoDetector v2"="C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" [2004-08-27 20:22 90112]
"nwiz"="nwiz.exe" [2004-03-24 10:04 782336 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 12:43 13312]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2004-04-30 16:59:51 110592]
ISDNWatch.lnk - C:\Programme\FRITZ!\IWatch.exe [2004-08-22 14:47:07 335872]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04 83360]
Mountit.lnk - C:\Programme\Roxio\WinOnCD 6 DVD\MountIt.exe [2003-05-08 14:40:04 1159232]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSACM.CEGSM"= mobilev.acm

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\drivers\avgntmgr.sys [2008-04-19 22:11]
R0 c2scsi;c2scsi;C:\WINDOWS\System32\DRIVERS\c2scsi.sys [2002-09-26 23:16]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-07-20 16:52]
R2 AVMPORT;AVMPORT;C:\WINDOWS\System32\drivers\avmport.sys [2001-10-23 01:00]
R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;C:\WINDOWS\System32\DRIVERS\avmndsl.sys [2001-12-06 02:00]
R3 AVMWAN;AVM NDIS WAN CAPI Treiber;C:\WINDOWS\System32\DRIVERS\avmwan.sys [2001-12-06 02:00]
R3 FDSLBASE;AVM FRITZ!Card DSL (WinXP/2000);C:\WINDOWS\System32\DRIVERS\fdslbase.sys [2001-12-06 02:00]
R3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\System32\DRIVERS\NETFWDSL.SYS [2001-12-05 11:52]
S3 Ip6FwHlp;IPv6-Internetverbindungsfirewall;C:\WINDOWS\System32\svchost.exe [2001-08-18 12:00]
S3 NETFRITZ;AVM FRITZ!web PPP over ISDN;C:\WINDOWS\System32\DRIVERS\NETFRITZ.SYS [2001-11-09 14:51]

*Newly Created Service* - CATCHME
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-lphca65j0ec9v - C:\WINDOWS\System32\lphca65j0ec9v.exe


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-25 14:43:12
Windows 5.1.2600 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-07-25 14:44:14
ComboFix-quarantined-files.txt 2008-07-25 12:44:09
ComboFix2.txt 2008-07-21 18:49:46
ComboFix3.txt 2008-07-06 19:33:13
ComboFix4.txt 2008-07-05 16:09:23

Pre-Run: 8 Verzeichnis(se), 16,033,062,912 Bytes frei
Post-Run: 10 Verzeichnis(se), 16,134,533,120 Bytes frei

112



Komischerweise habe ich jetzt auf meinem desktop wieder ein warn-windows
mit der message: "warning! spyware dectected on your computer! Install an
antivirus or spyware remover to clean your computer!" , ist aber kein Link.

Scheint, dass ich noch irgend etwas auf meinem System habe, oder?

Gruß und Danke
Jens
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: