Virus 2008 pro mit VIRUS ALERT neben Uhrzeit |
||
---|---|---|
#0
| ||
05.07.2008, 17:35
...neu hier
Beiträge: 4 |
||
|
||
05.07.2008, 18:13
Member
Beiträge: 325 |
#2
Dein Angegebener Foren-Link ist (war) tod , Du hast (hattest) "protectus" geschrieben. ---> Danke für die Korrektur !
Der Hijackthis-Log zeigt noch einige gefährliche bzw. fragliche Einträge ! Ansonsten meldet sich bestimmt sicher gleich ein Moderator zur Hilfe! Dieser Beitrag wurde am 05.07.2008 um 20:20 Uhr von Provisitor editiert.
|
|
|
||
05.07.2008, 19:15
Ehrenmitglied
Beiträge: 29434 |
#3
Hallo kochi71
1. mit dem HijackThis löschen ("fixen") Klicke: "Do a system scan only" Setze ein Häckchen in das Kästchen vor den genannten Eintrag und wähle fix checked. + starte den Rechner neu. Zitat R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = //softwarereferral./jump.php?wmid=6010&mid=MjI6Ojg5&lid=22. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern Zitat KILLALL::Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden. cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen danach: Combofix noch einmal anwenden «« poste das neue Log von Combofix ------------------------------------ 3. ComboFix entfernen Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" 4. scanne mit Malwarebytes, lasse alles entfernen, was gefunden wird http://virus-protect.org/artikel/tools/malwarebytes.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.07.2008, 21:55
...neu hier
Themenstarter Beiträge: 4 |
#4
Hi,
habe combofix nochmals ausgeführt mit dem angenlegten script-file. Das log sieht jetzt so aus: ComboFix 08-07-04.6 - Administrator 2008-07-06 21:28:10.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.1.1252.1.1031.18.280 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\Administrator\Desktop\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] FILE :: C:\Dokumente und Einstellungen\Administrator\schosst.exe C:\WINDOWS\axrfgvek.dll C:\WINDOWS\kgqfweltbnk.dll C:\WINDOWS\mrvtdpqe.exe C:\WINDOWS\nqgpedlr.dll C:\WINDOWS\okmdepgb.dll C:\WINDOWS\system32\ljJCsttr.dll C:\WINDOWS\system32\qsppnvvq.dll C:\WINDOWS\system32\qvvnppsq.ini . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\Administrator\schosst.exe C:\WINDOWS\axrfgvek.dll C:\WINDOWS\kgqfweltbnk.dll C:\WINDOWS\mrvtdpqe.exe C:\WINDOWS\nqgpedlr.dll C:\WINDOWS\okmdepgb.dll C:\WINDOWS\system32\CMSrAcdd.ini C:\WINDOWS\system32\CMSrAcdd.ini2 C:\WINDOWS\system32\ddcArSMC.dll C:\WINDOWS\system32\ivbqnqcr.ini C:\WINDOWS\system32\ljJCsttr.dll C:\WINDOWS\system32\mcrh.tmp C:\WINDOWS\system32\olsbvgmg.ini C:\WINDOWS\system32\qvvnppsq.ini . ((((((((((((((((((((((( Dateien erstellt von 2008-06-06 bis 2008-07-06 )))))))))))))))))))))))))))))) . 2008-07-06 21:22 . 2008-07-06 21:22 89,088 --a------ C:\WINDOWS\system32\rcqnqbvi.dll 2008-07-06 21:22 . 2008-07-06 21:22 12,862 --a------ C:\WINDOWS\EPISMG00.SWB 2008-07-05 18:21 . 2008-07-05 18:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo! Companion 2008-07-05 17:47 . 2008-07-05 17:47 <DIR> d-------- C:\Programme\Yahoo! 2008-07-05 17:47 . 2008-07-05 17:47 <DIR> d-------- C:\Programme\CCleaner 2008-07-05 17:21 . 2008-07-05 17:21 <DIR> d-------- C:\AntiVir PersonalEdition Classic . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-03 19:21 --------- d-----w C:\Programme\Gemeinsame Dateien\Acronis 2008-06-05 20:29 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2001-11-23 04:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL 2004-04-30 15:21 848 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys . ((((((((((((((((((((((((((((( snapshot@2008-07-05_18.09.02.23 ))))))))))))))))))))))))))))))))))))))))) . - 2008-07-05 16:00:45 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat + 2008-07-06 20:20:20 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat - 2008-07-05 16:00:45 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat + 2008-07-06 20:20:20 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat - 2008-07-05 16:00:45 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat + 2008-07-06 20:20:20 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat - 2008-03-30 09:21:49 48,156 ----a-w C:\WINDOWS\system32\perfc007.dat + 2008-07-05 16:08:18 48,156 ----a-w C:\WINDOWS\system32\perfc007.dat - 2008-03-30 09:21:49 39,992 ----a-w C:\WINDOWS\system32\perfc009.dat + 2008-07-05 16:08:18 39,992 ----a-w C:\WINDOWS\system32\perfc009.dat - 2008-03-30 09:21:49 316,594 ----a-w C:\WINDOWS\system32\perfh007.dat + 2008-07-05 16:08:18 316,594 ----a-w C:\WINDOWS\system32\perfh007.dat - 2008-03-30 09:21:49 311,604 ----a-w C:\WINDOWS\system32\perfh009.dat + 2008-07-05 16:08:18 311,604 ----a-w C:\WINDOWS\system32\perfh009.dat . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D184B1A9-9657-4675-BC56-531C646B155D}] C:\WINDOWS\System32\ciadminh.dll [BU] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FE25B053-8FC8-4771-8EC8-F1F500216339}] C:\WINDOWS\System32\opnkjjKe.dll [BU] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2004-03-24 10:04 3309568] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648] "EPSON Stylus C84 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE" [2003-05-27 05:08 99840] "WinampAgent"="C:\Programme\Winamp\winampa.exe" [2003-12-13 02:50 33792] "NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2004-03-24 10:04 46080] "AWatch"="C:\Programme\FRITZ!DSL\Awatch.exe" [2001-11-16 15:31 548864] "CloneCDTray"="C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" [2005-05-19 15:47 57344] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-19 22:11 262401] "Ulead AutoDetector v2"="C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" [2004-08-27 20:22 90112] "nwiz"="nwiz.exe" [2004-03-24 10:04 782336 C:\WINDOWS\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 12:43 13312] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "MSACM.CEGSM"= mobilev.acm R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\drivers\avgntmgr.sys [2008-04-19 22:11] R0 c2scsi;c2scsi;C:\WINDOWS\System32\DRIVERS\c2scsi.sys [2002-09-26 23:16] R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-04-19 22:11] R2 AVMPORT;AVMPORT;C:\WINDOWS\System32\drivers\avmport.sys [2001-10-23 01:00] R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;C:\WINDOWS\System32\DRIVERS\avmndsl.sys [2001-12-06 02:00] R3 AVMWAN;AVM NDIS WAN CAPI Treiber;C:\WINDOWS\System32\DRIVERS\avmwan.sys [2001-12-06 02:00] R3 FDSLBASE;AVM FRITZ!Card DSL (WinXP/2000);C:\WINDOWS\System32\DRIVERS\fdslbase.sys [2001-12-06 02:00] R3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\System32\DRIVERS\NETFWDSL.SYS [2001-12-05 11:52] S3 Ip6FwHlp;IPv6-Internetverbindungsfirewall;C:\WINDOWS\System32\svchost.exe [2001-08-18 12:00] S3 NETFRITZ;AVM FRITZ!web PPP over ISDN;C:\WINDOWS\System32\DRIVERS\NETFRITZ.SYS [2001-11-09 14:51] . - - - - ORPHANS REMOVED - - - - BHO-{915B0C35-5DD9-4DF5-8025-54B2483C57D8} - C:\WINDOWS\System32\ddcArSMC.dll Toolbar-ID - (no file) ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-06 21:31:01 Windows 5.1.2600 Service Pack 1 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Programme\FRITZ!\IWatch.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\nvsvc32.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-07-06 21:33:11 - machine was rebooted [Administrator] ComboFix-quarantined-files.txt 2008-07-06 19:33:09 ComboFix2.txt 2008-07-05 16:09:23 8 Verzeichnis(se), 16,162,185,216 Bytes frei 10 Verzeichnis(se), 16,156,135,424 Bytes frei 131 Besten Dank, Gruß Jens |
|
|
||
06.07.2008, 22:29
Member
Beiträge: 11 |
#5
Guten Abend allen noch anwesenden.
Hat jemand schon mal das problem mit dem Virus alert gehabt, dass nach ca 12 sekunden nichts mehr zu schalten und walten geht? Wie kann man da etwas installieren bzw. irgendwelche programme starten? Gibt es da jemand, der mir mal ein Trick veraten könnte? Habe selbst schon den ganzen Sonntag damit verbracht, um in diversen Foren zu lesen. Mein Problem gab es aber bei keinem? Vielen Dank im voraus, falls ich doch noch unerwartet Hilfe bekomme. |
|
|
||
06.07.2008, 23:00
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo kochi71
1. erstelle eine neue cfscript.txt, dann wieder auf Combofix ziehen Zitat KILLALL::«« scanne mit Malwarebytes, lasse alles entfernen, was gefunden wird http://virus-protect.org/artikel/tools/malwarebytes.html __________ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.07.2008, 23:03
Ehrenmitglied
Beiträge: 29434 |
#7
Hallo wosein
Zitat Hat jemand schon mal das problem mit dem Virus alert gehabt, dass nach ca 12 sekunden nichts mehr zu schalten und walten geht?mache eine Systemwiederherstellung (am besten im abgesicherten Modus) - da müsste es klappen « <oder , auch im abgesicherten Modus Cleaner anwenden + die temp-Dateien alle löschen http://www.ccleaner.de/?protecus.de rvaxo anwenden http://virus-protect.org/artikel/tools/rvaxo.html Combofix anwenden , das Log abspeichern und dann hier posten http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.07.2008, 23:42
Member
Beiträge: 11 |
#8
Vielen Dank für die flotte Antwort Sabina,
Systemwiederherstellung im abg. Modus geht nicht und die anderen Programme kann ich nicht installieren. Das Notebook (IBM ThinkPad T22) was betroffen ist, ist nicht online. Wenn ich das Teil hochfahre kann ich nur kurz etwas machen. Dann ist vom desktop alles weg und ich kann nichts mehr bewegen. Später kommt dann noch diese komische Vista scann, der mir sagt wieviel Infizierte sachen ich haben und soll nach einen Aktivierungscode online gehen. Zwischenzeitlich habe ich versucht, XP neu zu installieren. Das konnte aber auch nichts ändern. Ob das dann von mir richtig war. Oder gib es eine andere möglichkeit, um von der Platte noch paar daten zu retten? Dannach kann man ja bestimmt formatieren. Schöne Grüße mario |
|
|
||
07.07.2008, 00:54
Member
Beiträge: 325 |
#9
Hallo wosein!
Funktioniert der abgesicherte Modus überhaupt ?? Wenn bei Dir im abgesicherten Modus nichts mehr zu installieren geht, versuche mal Dir die "alte" Version von Hijackthis (V1.99) zu besorgen, das ist noch eine "nur" -exe Version und keine "Install"-exe -Version. Vielleicht kannst Du mit der, im abgesicherten Modus Dir erstmal ein Logfile erstellen, was Du hier posten kannst, damit die Moderatoren vielleicht mal einen Ansatzpunkt haben. Download HJT 1.99: http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip |
|
|
||
07.07.2008, 11:08
Ehrenmitglied
Beiträge: 29434 |
#10
Hallo wosein
laden, entpacken + der Registry zufügen + PC neustarten in den abgesicherten modus, dort alle anderen Proggies anwenden: http://users.telenet.be/bluepatchy/miekiemoes/tools/VArestorepolicies.zip der tip mit dem hijackthis ist gut, versuche es mal poste dann hier den Report http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip « windowsscan laden, falls du XP hast, vistascan laden, falls du vista installiert hast http://www.paules-pc-infothek.de/grafiken/mopao/WindowsScan.zip http://www.paules-pc-infothek.de/grafiken/mopao/VistaScan.zip http://virus-protect.org/artikel/tools/windowsscan.html « andere Möglichkeit: Comboscan (ergibt 2 logs) http://deckard.geekstogo.com/dss.exe http://virus-protect.org/artikel/tools/comboscan.html » oder: systemscan + log hier posten http://www.suspectfile.com/systemscan/ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.07.2008, 20:21
Member
Beiträge: 11 |
#11
HAllo liebe Helfer, ihr habt euch sehr viel mühe mit mir gegeben. dafür möcht ich mich recht herzlich bedanken. Das ganze war mir dann doch noch ein wenig kopliziert und aufwendig. Ich konnte in der kurzen Zeit die mir das System lies (ca. 12 sek), das TuneUp starten. Als es offen war, konnte man mitr dem arbeiten. Der Destop war dann schon leer. So konnte ich über den Shredder doch auf die Festplatte zugreifen und die Daten, die für mich wichtig waren auf extern kopieren. Also beim TuneUp Shredder auf Dateien und dann hinzufügen gehen. So kommt man dann auf die Festplatte. Beim Outlook war es das gleiche. Jetzt soll es mit Formatieren von Grund auf Neu gearbeitet werden. Wenn ich das System neu formatiere, wird wohl alles weg sein. Das hoffe ich .
Nochmals vielen Dank mario |
|
|
||
07.07.2008, 20:37
Member
Beiträge: 325 |
#12
...versuch doch trotzdem nochmal mit dem Hijackthis ein Log zu erstellen,bevor Du die Flinte in's Korn wirfst (habe Dir PN's geschickt), vielleicht kann damit nicht nur Dir sondern auch anderen Usern geholfen werden,-und Du erfährst obendrein warum Dein PC abgeschmiert ist-Das geht hier manchmal schneller als man denkt, dass einem geholfen wird !-Aber das mußt letztendlich Du selber wissen !
|
|
|
||
07.07.2008, 21:10
Member
Beiträge: 11 |
#13
HAllo ihr vielen helfer.
also ich hab es doch noch mal versucht, so ein log zu erstellen. Ich hoffe, dass es richtig gemacht wurde. Logfile of HijackThis v1.99.1 Scan saved at 21:58: VIRUS ALERT!, on 07/07/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\DriveCrypt Plus Pack\DCPP2Svc.exe C:\WINDOWS\System32\HPZipm12.exe C:\WINDOWS\system32\svchost.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Java\jre1.5.0_08\bin\jusched.exe C:\Programme\Sierra Wireless Inc\3G Watcher\WaHelper.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\rewi Bausoftware\rewi-Zentrale\rewi_termine.exe C:\Programme\mobile PhoneTools\WatchDog.exe C:\WINDOWS\system32\tp4mon.exe C:\WINDOWS\system32\TMController.exe C:\Programme\VAV\vav.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\alg.exe C:\Programme\sunrise\m2Update\m2Update.exe C:\Programme\TuneUp Utilities 2006\Integrator.exe C:\Programme\SparVoip\SparVoip.exe C:\Programme\Nokia\Nokia PC Suite 6\PCSync2.exe C:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe C:\Programme\ICQ6\ICQ.exe C:\Programme\SURECOM\SURECOM 802.11g WLAN USB Adapter\Installer\WINXP\EP9001-g-3A.exe C:\Programme\PC Connectivity Solution\ServiceLayer.exe C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe C:\Programme\Gemeinsame Dateien\Nokia\MPAPI\MPAPI3s.exe C:\Programme\TuneUp Utilities 2006\Undelete.exe C:\Programme\TuneUp Utilities 2006\Shredder.exe E:\06 Software\Sicherheit\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = : R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1;eumex.ip R3 - URLSearchHook: (no name) - - (no file) O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: My Search Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL O3 - Toolbar: nqgpedlr - {CAE4B16A-4FF4-44D9-8D85-39A4F7E576FA} - C:\WINDOWS\nqgpedlr.dll O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe" O4 - HKLM\..\Run: [WatcherHelper] "C:\Programme\Sierra Wireless Inc\3G Watcher\WaHelper.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ALDI_NORD_FotoSuite_Download] "C:\Programme\ALDI Foto Service Nord\ALDI_Foto_Service\FotoSuite.exe" /autorun O4 - HKLM\..\Run: [REWI Terminüberwachung] C:\Programme\rewi Bausoftware\rewi-Zentrale\rewi_termine.exe start O4 - HKLM\..\Run: [WatchDog] C:\Programme\mobile PhoneTools\WatchDog.exe O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe O4 - HKLM\..\Run: [TMController] C:\WINDOWS\system32\TMController.exe O4 - HKLM\..\Run: [Antivirus] C:\Programme\VAV\vav.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [m2Update] C:\Programme\sunrise\m2Update\m2Update.exe /tray O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1 O4 - HKCU\..\Run: [SparVoip] "C:\Programme\SparVoip\SparVoip.exe" -nosplash -minimized O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Programme\Nokia\Nokia PC Suite 6\PCSync2.exe" /NoDialog O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKCU\..\Run: [Antivirus] C:\Programme\VAV\vav.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: EP9001-g.lnk = C:\Programme\SURECOM\SURECOM 802.11g WLAN USB Adapter\Installer\WINXP\EP9001-g-3A.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Buero\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\npjpi150_08.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\npjpi150_08.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: ThinkPad-Software - Aktualisierung - {D1A4DEBD-C2EE-449f-B9FB-E8409F9A0BC5} - C:\Programme\Lenovo\PkgMgr\\PkgMgr.exe O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0713E8D2-850A-101B-AFC0-4210102A8DA7} (Microsoft ProgressBar Control, version 5.0 (SP2)) - http://download.mcafee.com/molbin/Shared/ComCtl32/6,0,80,22/ComCtl32.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.johannrain-softwareentwicklung.de/DE/scan8/oscan8.cab O16 - DPF: {9522589E-57B9-46C5-9A77-1F1C1CCBE550} (F-Secure Online Scanner 2.1 (CD version)) - file://D:\ols\connect\fscax.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {9B17FE0E-51F2-4692-8B32-8EFB805FC0E7} (HPObjectInstaller Class) - http://h30155.www3.hp.com/ediags/dd/install/guidedsolutions.cab O16 - DPF: {D2982A7F-489A-47F5-A319-FC1F14EBC245} (Navigator Class) - http://www.nutzwerk.de/control/NutzNavi.cab O16 - DPF: {E4CF4E86-D0DC-4864-8F0E-4F6EA2526334} (UI File Upload Control) - https://img.web.de/v/smartdrive/activex/v2/web_de_osupload_2002.cab O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - http://www.flatcast.com/obj/NpFv415.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{020D013B-95AD-47BC-A30C-F79BF817799C}: NameServer = 85.255.115.100,85.255.112.100 O17 - HKLM\System\CCS\Services\Tcpip\..\{029001E0-2BE4-4F56-88FA-08419DE3A737}: NameServer = 85.255.115.100,85.255.112.100 O17 - HKLM\System\CCS\Services\Tcpip\..\{06FD24CF-4BA4-4E8D-B952-D4ABB173CD82}: NameServer = 85.255.115.100,85.255.112.100 O17 - HKLM\System\CCS\Services\Tcpip\..\{3A12024C-6B00-4F45-A5A1-B01247CAED87}: NameServer = 85.255.115.100,85.255.112.100 O17 - HKLM\System\CCS\Services\Tcpip\..\{4E38DB5B-1175-44E7-9CBA-243552FAFA58}: NameServer = 85.255.115.100,85.255.112.100 O17 - HKLM\System\CCS\Services\Tcpip\..\{61C49928-CCA3-4898-A245-CC2D28877108}: NameServer = 85.255.115.100,85.255.112.100 O17 - HKLM\System\CCS\Services\Tcpip\..\{6313F109-FC35-45FC-9788-A34264C2FBDE}: NameServer = 85.255.115.100,85.255.112.100 O17 - HKLM\System\CCS\Services\Tcpip\..\{6A574BCE-EC38-43BF-BFBF-EEDDF5987AEC}: NameServer = 85.255.115.100,85.255.112.100 O17 - HKLM\System\CCS\Services\Tcpip\..\{8FE67626-0C90-4454-8C63-34547AC76881}: NameServer = 85.255.115.100,85.255.112.100 O17 - HKLM\System\CCS\Services\Tcpip\..\{E1CA4AF5-5956-46E1-9585-C7FD18E6246B}: NameServer = 85.255.115.100,85.255.112.100 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.100 85.255.112.100 O17 - HKLM\System\CS1\Services\Tcpip\..\{020D013B-95AD-47BC-A30C-F79BF817799C}: NameServer = 85.255.115.100,85.255.112.100 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.100 85.255.112.100 O17 - HKLM\System\CS2\Services\Tcpip\..\{020D013B-95AD-47BC-A30C-F79BF817799C}: NameServer = 85.255.115.100,85.255.112.100 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.100 85.255.112.100 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O21 - SSODL: axrfgvek - {15D058C2-581F-4387-A706-0C936405448E} - C:\WINDOWS\axrfgvek.dll O21 - SSODL: okmdepgb - {99658ABB-A53D-478A-AF53-F557BF1969DE} - C:\WINDOWS\okmdepgb.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: SecurStar DCPP 3.81+ Service (DCPP2Svc) - Unknown owner - C:\Programme\DriveCrypt Plus Pack\DCPP2Svc.exe O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: McAfee WSC Integration (McDetect.exe) - Unknown owner - c:\programme\mcafee.com\agent\mcdetect.exe (file missing) O23 - Service: McAfee Task Scheduler (McTskshd.exe) - Unknown owner - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe (file missing) O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - Unknown owner - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe (file missing) O23 - Service: Microsoft Windows DNS Manager - Unknown owner - C:\WINDOWS\System32\dllcache\windmns.exe (file missing) O23 - Service: Microsoft Windows TCP Ack Timing - Unknown owner - C:\WINDOWS\System32\dllcache\wintcpack.exe (file missing) O23 - Service: Microsoft Windows TCP Protocol - Unknown owner - C:\WINDOWS\System32\dllcache\wintcps.exe (file missing) O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe |
|
|
||
07.07.2008, 21:19
Member
Beiträge: 325 |
#14
...na bitte prima gemacht, die VAV.exe und vieles andere ist im Spiel, warten, die Chancen stehen nicht schlecht dass Dir geholfen wird, die Moderatoren sagen Dir gleich was genau zu fixen oder (zu machen) ist.Ich 'hab schon einiges endeckt!
|
|
|
||
07.07.2008, 21:29
Member
Beiträge: 11 |
#15
Klingt ja gannzzzzz einfach. Ich warte dann natürlich.
|
|
|
||
habe mir den schon in anderen threads beschriebenen Virus mit
VIRUS ALERT neben der Systemuhrzeit und keinen Zugang mehr zur
Registry und dem Taskmanager auf meinem Rechner eingefangen. Hab die
im thread http://board.protecus.de/t23187.htm beschriebenen Schritte
soweit durchgeführt und poste jetzt die beiden logs vom combofix- und
hijackthistool für eine Analyse. Der Rechner sieht soweit wieder gut aus,
aber vielleicht ist ja noch etwas wieteres aus den logs erkennbar.
Besten Dank im voraus
Gruß Jens
combofix.txt:
ComboFix 08-07-04.6 - Administrator 2008-07-05 18:03:25.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.1.1252.1.1031.18.277 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.
(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Install.dat
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus-2008pro.lnk
C:\Dokumente und Einstellungen\Administrator\Desktop\antivirus-2008pro.lnk
C:\Dokumente und Einstellungen\Administrator\Desktop\Error Cleaner.url
C:\Dokumente und Einstellungen\Administrator\Desktop\Privacy Protector.url
C:\Dokumente und Einstellungen\Administrator\Desktop\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\Administrator\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\Administrator\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\Administrator\Favoriten\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Antivirus 2008 PRO
C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Antivirus 2008 PRO\antivirus-2008pro.lnk
C:\Programme\Antivirus 2008 PRO
C:\Programme\Antivirus 2008 PRO\antivirus-2008pro.exe
C:\Programme\Antivirus 2008 PRO\vscan.tsi
C:\Programme\Antivirus 2008 PRO\zlib.dll
C:\Programme\Microsoft Security Adviser
C:\WINDOWS\erab.exe
C:\WINDOWS\system32\appcert
C:\WINDOWS\system32\atdniyrv.ini
C:\WINDOWS\system32\eKjjknpo.ini
C:\WINDOWS\system32\eKjjknpo.ini2
C:\WINDOWS\system32\epatfjgm.ini
C:\WINDOWS\system32\MabryObj.dll
C:\WINDOWS\system32\opnkjjKe.dll
C:\WINDOWS\system32\qvvnppsq.ini
C:\WINDOWS\system32\uwedqexb.ini
C:\WINDOWS\system32\vryindta.dll
.
((((((((((((((((((((((( Dateien erstellt von 2008-06-05 bis 2008-07-05 ))))))))))))))))))))))))))))))
.
2008-07-05 18:06 . 2008-07-05 18:06 294 ---hs---- C:\WINDOWS\system32\qvvnppsq.ini
2008-07-05 17:47 . 2008-07-05 17:47 <DIR> d-------- C:\Programme\Yahoo!
2008-07-05 17:47 . 2008-07-05 17:47 <DIR> d-------- C:\Programme\CCleaner
2008-07-05 17:45 . 2008-07-05 17:45 88,576 --a------ C:\WINDOWS\system32\qsppnvvq.dll
2008-07-05 17:21 . 2008-07-05 17:21 <DIR> d-------- C:\AntiVir PersonalEdition Classic
2008-07-01 23:24 . 2008-07-01 23:24 28,288 --a------ C:\WINDOWS\system32\ljJCsttr.dll
2008-07-01 23:23 . 2008-07-01 20:17 303,104 --a------ C:\WINDOWS\kgqfweltbnk.dll
2008-07-01 23:23 . 2008-07-01 20:17 233,472 --a------ C:\WINDOWS\okmdepgb.dll
2008-07-01 23:23 . 2008-07-01 20:17 180,224 --a------ C:\WINDOWS\axrfgvek.dll
2008-07-01 23:23 . 2008-07-01 20:17 155,648 --a------ C:\WINDOWS\nqgpedlr.dll
2008-07-01 23:23 . 2008-07-01 20:17 81,920 --a------ C:\WINDOWS\mrvtdpqe.exe
2008-06-22 16:45 . 2008-06-22 16:45 345 --a------ C:\Dokumente und Einstellungen\Administrator\schosst.exe
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-03 19:21 --------- d-----w C:\Programme\Gemeinsame Dateien\Acronis
2008-06-05 20:29 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2001-11-23 04:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
2004-04-30 15:21 848 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{28220052-D9A9-44B1-AB98-EDC594D238B6}]
2008-07-01 23:24 28288 --a------ C:\WINDOWS\System32\ljJCsttr.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E859DCC4-2549-4667-9E0D-CBCB6F2FCC78}]
2008-07-01 20:17 303104 --a------ C:\WINDOWS\kgqfweltbnk.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{6374A4B4-45BA-4718-9972-E56A8912ED9E}"= "C:\WINDOWS\nqgpedlr.dll" [2008-07-01 20:17 155648]
[HKEY_CLASSES_ROOT\clsid\{6374a4b4-45ba-4718-9972-e56a8912ed9e}]
[HKEY_CLASSES_ROOT\nqgpedlr.1]
[HKEY_CLASSES_ROOT\TypeLib\{9C84F3E1-BE66-4AC6-85ED-FB0913344C5E}]
[HKEY_CLASSES_ROOT\nqgpedlr]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2004-03-24 10:04 3309568]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"EPSON Stylus C84 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE" [2003-05-27 05:08 99840]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2003-12-13 02:50 33792]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2004-03-24 10:04 46080]
"AWatch"="C:\Programme\FRITZ!DSL\Awatch.exe" [2001-11-16 15:31 548864]
"CloneCDTray"="C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" [2005-05-19 15:47 57344]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-19 22:11 262401]
"Ulead AutoDetector v2"="C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" [2004-08-27 20:22 90112]
"3c8608fb"="C:\WINDOWS\System32\qsppnvvq.dll" [2008-07-05 17:45 88576]
"nwiz"="nwiz.exe" [2004-03-24 10:04 782336 C:\WINDOWS\system32\nwiz.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 12:43 13312]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{28220052-D9A9-44B1-AB98-EDC594D238B6}"= "C:\WINDOWS\System32\ljJCsttr.dll" [2008-07-01 23:24 28288]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ljJCsttr]
2008-07-01 23:24 28288 C:\WINDOWS\system32\ljJCsttr.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSACM.CEGSM"= mobilev.acm
R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\drivers\avgntmgr.sys [2008-04-19 22:11]
R0 c2scsi;c2scsi;C:\WINDOWS\System32\DRIVERS\c2scsi.sys [2002-09-26 23:16]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-04-19 22:11]
R2 AVMPORT;AVMPORT;C:\WINDOWS\System32\drivers\avmport.sys [2001-10-23 01:00]
R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;C:\WINDOWS\System32\DRIVERS\avmndsl.sys [2001-12-06 02:00]
R3 AVMWAN;AVM NDIS WAN CAPI Treiber;C:\WINDOWS\System32\DRIVERS\avmwan.sys [2001-12-06 02:00]
R3 FDSLBASE;AVM FRITZ!Card DSL (WinXP/2000);C:\WINDOWS\System32\DRIVERS\fdslbase.sys [2001-12-06 02:00]
R3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\System32\DRIVERS\NETFWDSL.SYS [2001-12-05 11:52]
S3 Ip6FwHlp;IPv6-Internetverbindungsfirewall;C:\WINDOWS\System32\svchost.exe [2001-08-18 12:00]
S3 NETFRITZ;AVM FRITZ!web PPP over ISDN;C:\WINDOWS\System32\DRIVERS\NETFRITZ.SYS [2001-11-09 14:51]
*Newly Created Service* - ALG
*Newly Created Service* - IPNAT
.
- - - - ORPHANS REMOVED - - - -
BHO-{D184B1A9-9657-4675-BC56-531C646B155D} - C:\WINDOWS\System32\ciadminh.dll
BHO-{FE25B053-8FC8-4771-8EC8-F1F500216339} - C:\WINDOWS\System32\opnkjjKe.dll
Toolbar-ID - (no file)
HKLM-Run-Cmaudio - cmicnfg.cpl
SharedTaskScheduler-{203B1C4D9-BC71-8916-38AD-9DEA5D213614} - (no file)
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-05 18:06:44
Windows 5.1.2600 Service Pack 1 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Eintr„ge...
Scanne versteckte Dateien...
C:\WINDOWS\system32\qvvnppsq.ini 294 bytes
Scan erfolgreich abgeschlossen
versteckte Dateien: 1
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\ljJCsttr.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\FRITZ!\IWatch.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-05 18:09:22 - machine was rebooted [Administrator]
ComboFix-quarantined-files.txt 2008-07-05 16:09:18
8 Verzeichnis(se), 16,171,020,288 Bytes frei
10 Verzeichnis(se), 16,170,586,112 Bytes frei
144
hijackthislog.txt:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:12, on 05.07.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\FRITZ!\IWatch.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = //softwarereferral/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {28220052-D9A9-44B1-AB98-EDC594D238B6} - C:\WINDOWS\System32\ljJCsttr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {D184B1A9-9657-4675-BC56-531C646B155D} - C:\WINDOWS\System32\ciadminh.dll (file missing)
O2 - BHO: QXK Olive - {E859DCC4-2549-4667-9E0D-CBCB6F2FCC78} - C:\WINDOWS\kgqfweltbnk.dll
O2 - BHO: (no name) - {FE25B053-8FC8-4771-8EC8-F1F500216339} - C:\WINDOWS\System32\opnkjjKe.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: nqgpedlr - {6374A4B4-45BA-4718-9972-E56A8912ED9E} - C:\WINDOWS\nqgpedlr.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [3c8608fb] rundll32.exe "C:\WINDOWS\System32\qsppnvvq.dll",b
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Mountit.lnk = C:\Programme\Roxio\WinOnCD 6 DVD\MountIt.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O20 - Winlogon Notify: ljJCsttr - C:\WINDOWS\SYSTEM32\ljJCsttr.dll
O22 - SharedTaskScheduler: OLE Module - {203B1C4D9-BC71-8916-38AD-9DEA5D213614} - (no file)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
--
End of file - 6296 bytes