Hartnäckiger, für mich nicht identifizierbarer Browser-Hijacker |
||
---|---|---|
#0
| ||
10.07.2008, 16:35
Member
Beiträge: 12 |
||
|
||
10.07.2008, 17:00
Member
Beiträge: 325 |
#2
Es sind paar Einträge fraglich,dazu schreibt bestimmt Sabina etwas,
Das Programm "IM-History" -ist das von Dir installiert ?? Das "C:\WINDOWS\V0270Mon.exe" ---> ist mir auch nicht sympatisch, aber mal abwarten !! Dieser Beitrag wurde am 10.07.2008 um 17:04 Uhr von Provisitor editiert.
|
|
|
||
10.07.2008, 17:07
Member
Themenstarter Beiträge: 12 |
#3
Zitat Provisitor posteteJa, "IM-History" ist ein Programm dass Messenger-Einträge aller Art in einem Protokoll ablegt und online Verfügbar macht. Habe ich auch lange nach dem Befall durch den Hijacker installiert. |
|
|
||
10.07.2008, 17:22
Member
Beiträge: 325 |
#4
also ich habe folgende Einträge im Visier -Aber warte erst bis das auch Sabina abgesegnet hat, und was Du noch für evtl.Tools anwenden mußt !!!!
-: R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O4 - HKLM\..\Run: [V0270Mon.exe] C:\WINDOWS\V0270Mon.exe |
|
|
||
10.07.2008, 17:49
Moderator
Beiträge: 5694 |
#5
Hallo Revilonab
Zitat O4 - HKLM\..\Run: [V0270Mon.exe] C:\WINDOWS\V0270Mon.exedürfte von Creativ sein (WEBCAM) Zur Sicherheit kannst du die datei bei www.virustotal.com/de hochladen. C:\WINDOWS\V0270Mon.exe >> Wende Combofix an und poste das Log: http://virus-protect.org/artikel/tools/combofix.html >> Mach ein Onlinescan mit Bitdefender, lasse alles löschen und poste das Log: http://virus-protect.org/onlinescan.html >> Gibt es die Probleme mit Firefox auch? Kannst einmal testen. http://virus-protect.org/firefox.html Gruss Swiss |
|
|
||
11.07.2008, 11:36
Member
Themenstarter Beiträge: 12 |
#6
Ich habe es geschafft! Vielen Dank!
Ich habe erst die Livecam-Datei online untersuchen lassen. Er fand innerhalb der Datei eine verdächtige Datei. Habe die komplette Software plus Treiber entfernt, aber es war immer noch da. Dann habe ich combofix durchlaufen lassen. Anschließend Bitdefender. Ich glaube Bitdefender müsste es gefunden haben. Leider dauerte der Scan so lange, dass ich zweimal vergaß, dass er gerade scannt und abgebrochen habe ohne Protokoll. Aber das Protokoll vom dritten Scan habe ich. Er fand vor allem Viren in meinen älteren E-Mail-Archiven. Hoffe dass die nicht zerschossen sind. Muss mir eh überlegen wie ich die wieder herstelle. Vielen Dank für eure Hilfe! Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.7.10.0 2008.07.10 - AntiVir 7.8.0.64 2008.07.10 - Authentium 5.1.0.4 2008.07.10 - Avast 4.8.1195.0 2008.07.09 - AVG 7.5.0.516 2008.07.10 - BitDefender 7.2 2008.07.10 - CAT-QuickHeal 9.50 2008.07.10 - ClamAV 0.93.1 2008.07.10 - DrWeb 4.44.0.09170 2008.07.10 - eSafe 7.0.17.0 2008.07.09 - eTrust-Vet 31.6.5943 2008.07.10 - Ewido 4.0 2008.07.10 - F-Prot 4.4.4.56 2008.07.10 - F-Secure 7.60.13501.0 2008.07.10 - Fortinet 3.14.0.0 2008.07.10 - GData 2.0.7306.1023 2008.07.10 - Ikarus T3.1.1.26.0 2008.07.10 - Kaspersky 7.0.0.125 2008.07.10 - McAfee 5335 2008.07.09 - Microsoft 1.3704 2008.07.10 - NOD32v2 3258 2008.07.10 - Norman 5.80.02 2008.07.10 - Panda 9.0.0.4 2008.07.10 - Prevx1 V2 2008.07.10 Suspicious Rising 20.52.32.00 2008.07.10 - Sophos 4.31.0 2008.07.10 - Sunbelt 3.1.1509.1 2008.07.04 - Symantec 10 2008.07.10 - TheHacker 6.2.96.374 2008.07.07 - TrendMicro 8.700.0.1004 2008.07.10 - VBA32 3.12.6.9 2008.07.10 - VirusBuster 4.5.11.0 2008.07.10 - Webwasher-Gateway 6.6.2 2008.07.10 - weitere Informationen File size: 36864 bytes MD5...: 4f3b985cfb7e2205efd3679af1322202 SHA1..: f392131a312b39846d880a1d3478200fb8b923c0 SHA256: a2e09167f3c67cac1f9f70bfc12f1a0fdf89171d5421ec797a789363377d2ae9 SHA512: 4e44a55d1c3e6e88657f9016395357ec2417b82c18b3ee1a75fb971471a3cf7e 5d5a0bbdd3c41c6287af7ebee39cfc2464b4f23f3dd3811670832e0dcd36ad38 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x40318e timedatestamp.....: 0x45ebd128 (Mon Mar 05 08:13:28 2007) machinetype.......: 0x14c (I386) ( 6 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x23f4 0x3000 5.07 655aefff05bbae5a2571259472f91510 .rdata 0x4000 0x922 0x1000 3.37 0fda7d866b5eb1ed58e491c6fe7c2162 .data 0x5000 0x228 0x1000 1.10 933264f80b5119621fc884951120c8f3 .sxdata 0x6000 0x4 0x1000 0.00 e0f6821e0906d569a9a3e873c22c4d70 PAGECONS 0x7000 0x10 0x1000 0.05 b108dd9efebe4d7ac76987fad2d0aa36 .rsrc 0x8000 0x3b8 0x1000 0.95 1ba39b1c8af3cfb5130c60d04ad48e12 ( 7 imports ) > KERNEL32.dll: Sleep, HeapFree, CreateFileA, lstrcatA, HeapAlloc, GetProcessHeap, GetTickCount, lstrcmpiA, lstrcpyA, lstrlenA, IsBadReadPtr, OpenProcess, Process32Next, WaitForSingleObject, CreateToolhelp32Snapshot, WaitForMultipleObjects, CreateMutexA, GetWindowsDirectoryA, GetFullPathNameA, GetModuleFileNameA, GetVersionExA, GetExitCodeProcess, CreateProcessA, ResetEvent, SetEvent, CreateEventA, GetLastError, Process32First, CloseHandle, GetStartupInfoA > msvcrt.dll: _controlfp, _except_handler3, __set_app_type, __p__fmode, __p__commode, exit, _initterm, __getmainargs, _cexit, _XcptFilter, _exit, _c_exit, _beginthread, _endthread, __setusermatherr, _acmdln, _adjust_fdiv > SHLWAPI.dll: StrStrIA > SETUPAPI.dll: SetupDiEnumDeviceInterfaces, SetupDiGetDeviceRegistryPropertyA, SetupDiGetClassDevsExA, SetupDiEnumDeviceInfo, SetupDiGetClassDevsA, SetupDiDestroyDeviceInfoList, SetupDiGetDeviceInterfaceDetailA, SetupDiGetDeviceInstanceIdA > USER32.dll: SetWindowLongA, TranslateMessage, GetWindowLongA, DispatchMessageA, IsDialogMessageA, IsWindow, GetMessageA, CreateDialogParamA, BroadcastSystemMessageA, wsprintfA, PostQuitMessage, PostMessageA, RegisterWindowMessageA, DestroyWindow > ADVAPI32.dll: RegSetValueExA, RegDeleteValueA, RegOpenKeyExA, RegQueryValueExA, RegCloseKey > ksproxy.ax: KsSynchronousDeviceControl ( 0 exports ) Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=64DA8C97004AA5BF908600F8221704004207B93C ----------- ComboFix 08-07-09.5 - Oliver 2008-07-10 19:32:41.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.549 [GMT 2:00] ausgeführt von:: D:\downloads\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\Oliver\Lokale Einstellungen\Anwendungsdaten\cwmuooc.dat C:\Dokumente und Einstellungen\Oliver\Lokale Einstellungen\Anwendungsdaten\cwmuooc.exe C:\Dokumente und Einstellungen\Oliver\Lokale Einstellungen\Anwendungsdaten\cwmuooc_nav.dat C:\Dokumente und Einstellungen\Oliver\Lokale Einstellungen\Anwendungsdaten\cwmuooc_navps.dat C:\WINDOWS\regedit.com C:\WINDOWS\system32\launcher.exe C:\WINDOWS\system32\taskmgr.com . ((((((((((((((((((((((( Dateien erstellt von 2008-06-10 bis 2008-07-10 )))))))))))))))))))))))))))))) . 2008-07-09 17:04 . 2008-07-09 17:04 <DIR> d-------- C:\Programme\ClamWin 2008-07-09 17:04 . 2008-07-09 17:05 <DIR> d-------- C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\.clamwin 2008-07-09 17:04 . 2008-07-09 17:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\.clamwin 2008-07-09 11:37 . 2008-07-09 11:37 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-07-09 11:37 . 2008-07-09 11:37 <DIR> d-------- C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\Malwarebytes 2008-07-09 11:37 . 2008-07-09 11:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-07-09 11:37 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys 2008-07-09 11:37 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-07-09 11:32 . 2008-07-09 11:32 <DIR> d-------- C:\Programme\MySpace 2008-07-09 11:32 . 2008-07-09 11:32 <DIR> d-------- C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\MySpace 2008-07-09 11:31 . 2008-07-09 11:31 <DIR> d-------- C:\Programme\CCleaner 2008-07-09 07:51 . 2008-07-09 07:51 <DIR> d-------- C:\Programme\AstroNest 2008-07-07 07:33 . 2008-07-07 07:33 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype 2008-07-04 21:36 . 2008-07-04 21:40 <DIR> d-------- C:\Programme\TrueCrypt 2008-07-04 21:36 . 2008-07-04 21:41 <DIR> d-------- C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\TrueCrypt 2008-07-04 21:36 . 2008-07-04 21:36 223,424 --a------ C:\WINDOWS\system32\drivers\truecrypt.sys 2008-07-04 21:11 . 2008-07-04 21:11 <DIR> d-------- C:\Programme\aMSN 2008-06-29 22:48 . 2008-06-29 22:48 0 --a------ C:\23990098.$$$ 2008-06-29 22:37 . 2008-06-29 23:07 50 --a------ C:\WINDOWS\Lic.xxx 2008-06-29 22:36 . 2008-04-14 07:53 153,600 --a------ C:\WINDOWS\R.COM 2008-06-29 22:36 . 2008-04-14 07:53 140,800 --a------ C:\WINDOWS\system32\T.COM 2008-06-29 22:16 . 2008-06-29 22:16 <DIR> d-------- C:\Programme\Motorola 2008-06-29 22:16 . 2008-06-29 22:16 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Motorola Shared 2008-06-29 21:39 . 2008-06-29 21:39 <DIR> d-------- C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\Flock 2008-06-29 21:38 . 2008-06-29 23:11 <DIR> d-------- C:\Programme\Flock 2008-06-28 21:20 . 2008-07-10 17:24 <DIR> d-------- C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\Ladbrokes 2008-06-28 20:39 . 2008-06-28 20:41 <DIR> d-------- C:\Programme\JAP 2008-06-27 21:00 . 2008-06-27 21:00 <DIR> d-------- C:\Programme\MSXML 4.0 2008-06-27 20:49 . 2008-06-27 20:49 <DIR> d-------- C:\Programme\Microsoft SQL Server Compact Edition 2008-06-22 09:54 . 2008-06-22 09:54 48 --ah----- C:\WINDOWS\system32\ezsidmv.dat 2008-06-22 09:53 . 2008-07-10 16:07 <DIR> d-------- C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\skypePM 2008-06-21 23:24 . 2008-06-21 23:24 <DIR> d-------- C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\Songbird2 2008-06-21 23:17 . 2008-06-21 23:26 <DIR> d-------- C:\Programme\Songbird 2008-06-21 10:50 . 2008-07-10 14:51 <DIR> d-------- C:\Programme\VCamChat 2008-06-21 10:50 . 2008-06-21 10:52 <DIR> d-------- C:\Dokumente und Einstellungen\Oliver\vcamchat 2008-06-20 22:50 . 2008-06-20 22:50 <DIR> d-------- C:\Programme\Siber Systems 2008-06-20 22:50 . 2008-06-20 22:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RoboForm 2008-06-20 19:46 . 2008-06-20 19:46 247,296 -----c--- C:\WINDOWS\system32\dllcache\mswsock.dll 2008-06-20 19:46 . 2008-06-20 19:46 147,968 -----c--- C:\WINDOWS\system32\dllcache\dnsapi.dll 2008-06-20 18:22 . 2008-06-28 21:20 <DIR> d-------- C:\temp_dnld 2008-06-20 13:51 . 2008-06-20 13:51 361,600 -----c--- C:\WINDOWS\system32\dllcache\tcpip.sys 2008-06-20 13:40 . 2008-06-20 13:40 138,496 -----c--- C:\WINDOWS\system32\dllcache\afd.sys 2008-06-20 13:08 . 2008-06-20 13:08 225,856 -----c--- C:\WINDOWS\system32\dllcache\tcpip6.sys 2008-06-14 02:59 . 2008-06-14 19:32 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys 2008-06-14 02:59 . 2008-05-08 16:02 203,136 -----c--- C:\WINDOWS\system32\dllcache\rmcast.sys . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-10 17:37 --------- d-----w C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\.purple 2008-07-10 17:36 --------- d-----w C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\Skype 2008-07-10 17:25 --------- d-----w C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\OpenOffice.org2 2008-07-10 17:10 --------- d-----w C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\Free Download Manager 2008-07-10 14:53 --------- d-----w C:\Programme\Mozilla Thunderbird 2008-07-10 09:56 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-07-10 06:30 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared 2008-07-09 16:00 --------- d-----w C:\Programme\Norton Security Scan 2008-07-09 15:21 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-07-07 05:33 --------- d-----w C:\Programme\Skype 2008-07-07 05:33 --------- d-----w C:\Programme\Google 2008-07-07 05:33 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype 2008-07-06 12:56 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-07-06 12:56 --------- d-----w C:\Programme\DeerDrive_at 2008-07-04 19:02 --------- d-----w C:\Programme\Pidgin 2008-07-04 19:02 --------- d-----w C:\Programme\Aspell 2008-06-29 20:40 --------- d-----w C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\gtk-2.0 2008-06-28 20:50 --------- d-----w C:\Programme\Windows Live 2008-06-28 19:22 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-06-28 04:45 --------- d-----w C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\U3 2008-06-27 18:38 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller 2008-06-22 20:53 --------- d-----w C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\uTorrent 2008-06-22 17:36 --------- d-----w C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\XnView 2008-06-20 17:46 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll 2008-06-20 11:51 361,600 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys 2008-06-20 11:40 138,496 ----a-w C:\WINDOWS\system32\drivers\afd.sys 2008-06-20 11:08 225,856 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys 2008-06-14 21:58 --------- d-----w C:\Programme\OpenOffice.org 2.4 2008-06-14 20:36 --------- d-----w C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\flightgear.org 2008-06-14 17:32 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys 2008-06-13 18:35 --------- d-----w C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\Miranda 2008-06-07 16:20 --------- d-----w C:\Programme\PokerTH 2008-06-07 06:30 --------- d-----w C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\IM-History 2008-06-07 06:07 --------- d-----w C:\Programme\IM-History 2008-06-07 05:35 --------- d-----w C:\Programme\AstroN 2008-06-01 10:49 --------- d-----w C:\Programme\PC VGA Camera 2008-06-01 10:49 --------- d-----w C:\Programme\Gemeinsame Dateien\PCCamera 2008-06-01 10:49 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield 2008-05-23 15:52 86,016 ----a-w C:\WINDOWS\system32\OpenAL32.dll 2008-05-23 15:52 413,696 ----a-w C:\WINDOWS\system32\wrap_oal.dll 2008-05-23 15:45 --------- d-----w C:\Programme\ICQ6 2008-05-18 13:56 --------- d-----w C:\Programme\OpenAL 2008-05-16 20:21 --------- d-----w C:\Programme\IrfanView 2008-05-13 18:52 --------- d-----w C:\Programme\Java 2008-05-13 18:42 196,608 ----a-w C:\WINDOWS\system32\libssl32.dll 2008-05-13 18:42 --------- d-----w C:\Programme\OpenSSL 2008-05-13 18:39 --------- d-----w C:\Programme\Miranda IM 2008-05-09 10:54 90,112 ----a-w C:\WINDOWS\system32\wshext.dll 2008-05-09 10:54 430,080 ----a-w C:\WINDOWS\system32\vbscript.dll 2008-05-09 10:54 180,224 ----a-w C:\WINDOWS\system32\scrobj.dll 2008-05-09 10:54 172,032 ----a-w C:\WINDOWS\system32\scrrun.dll 2008-05-08 11:24 155,648 ----a-w C:\WINDOWS\system32\wscript.exe 2008-05-07 09:07 135,168 ----a-w C:\WINDOWS\system32\cscript.exe 2008-05-07 05:10 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll 2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll 2008-04-14 06:06 1,804 ----a-w C:\WINDOWS\system32\dcache.bin 2008-04-14 05:55 333,312 ----a-w C:\WINDOWS\system32\netsetup.exe 2008-04-14 05:52 99,840 ----a-w C:\WINDOWS\system32\loadperf.dll 2008-04-14 05:51 762,368 ----a-w C:\WINDOWS\system32\winntbbu.dll 2008-04-14 05:51 76,288 ----a-w C:\WINDOWS\system32\uniime.dll 2008-04-14 05:51 731,648 ----a-w C:\WINDOWS\system32\ntdll.dll 2008-04-14 05:51 57,375 ----a-w C:\WINDOWS\system32\odbcji32.dll 2008-04-14 05:51 5,632 ----a-w C:\WINDOWS\system32\wmi.dll 2008-04-14 05:51 4,126 ----a-w C:\WINDOWS\system32\msdxmlc.dll 2008-04-14 05:51 24,064 ----a-w C:\WINDOWS\system32\pidgen.dll 2008-04-14 05:30 2,191,360 ----a-w C:\WINDOWS\system32\ntoskrnl.exe 2008-04-14 05:30 2,068,224 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe 2008-04-14 05:29 4,096 ------w C:\WINDOWS\system32\dsprpres.dll 2008-04-14 05:27 93,184 ------w C:\WINDOWS\system32\msxml6r.dll 2008-04-14 05:26 81,408 ------w C:\WINDOWS\system32\msshavmsg.dll 2008-04-14 05:26 51,712 ----a-w C:\WINDOWS\system32\inetres.dll 2008-04-14 05:25 572,928 ----a-w C:\WINDOWS\system32\shdoclc.dll 2008-04-14 05:24 10,752 ----a-w C:\WINDOWS\system32\gpkrsrc.dll 2008-04-14 05:23 1,845,760 ----a-w C:\WINDOWS\system32\win32k.sys 2008-04-14 05:22 68,096 ----a-w C:\WINDOWS\system32\browselc.dll 2008-04-13 22:15 17,664 ----a-w C:\WINDOWS\system32\watchdog.sys 2008-04-13 22:13 9,728 ------w C:\WINDOWS\system32\comsdupd.exe 2008-04-13 22:13 12,800 ------w C:\WINDOWS\system32\spiisupd.exe 2008-04-13 22:10 438,784 ------w C:\WINDOWS\system32\xpob2res.dll 2008-04-13 22:06 2,981,888 ----a-w C:\WINDOWS\system32\xpsp2res.dll 2008-04-13 22:05 199,680 ------w C:\WINDOWS\system32\xpsp1res.dll 2008-04-13 22:01 7,424 ----a-w C:\WINDOWS\system32\kd1394.dll 2008-04-13 22:00 61,440 ----a-w C:\WINDOWS\system32\msvcrt40.dll 2008-04-13 21:07 208,384 ----a-w C:\WINDOWS\system32\rsaenh.dll 2008-04-13 21:07 138,752 ----a-w C:\WINDOWS\system32\dssenh.dll 2008-04-13 20:56 12,288 ----a-w C:\WINDOWS\system32\odbcp32r.dll 2008-04-13 20:56 12,288 ----a-w C:\WINDOWS\system32\mscpx32r.dll 2008-04-13 20:51 733,696 ----a-w C:\WINDOWS\system32\qedwipes.dll 2008-04-13 20:18 1,647,616 ------w C:\WINDOWS\system32\winbrand.dll 2008-04-13 20:15 216,064 ----a-w C:\WINDOWS\system32\moricons.dll 2008-04-13 19:53 48,128 ----a-w C:\WINDOWS\system32\msprivs.dll 2008-04-13 19:09 884,736 ----a-w C:\WINDOWS\system32\msimsg.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 07:52 15360] "Skype"="C:\Programme\Skype\Phone\Skype.exe" [2008-05-30 15:54 21718312] "RoboForm"="C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" [2008-06-20 22:50 160592] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-19 09:12 262401] "HD Tune"="C:\PROGRA~1\HDTUNE~1\HDTune.exe" [2007-09-03 01:37 401408] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496] "BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 07:53 110592 C:\WINDOWS\system32\bthprops.cpl] "SoundMan"="SOUNDMAN.EXE" [2004-07-27 17:01 68096 C:\WINDOWS\SOUNDMAN.EXE] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 07:52 15360] "MySpaceIM"="C:\Programme\MySpace\IM\MySpaceIM.exe" [2008-04-18 01:27 9117696] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.dvsd"= pdvcodec.dll "vidc.ffds"= ffdshow.ax [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "ClamWin"="C:\Programme\ClamWin\bin\ClamTray.exe" --logon "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [HKEY_LOCAL_MACHINE\software\microsoft\security center] "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\uTorrent\\uTorrent.exe"= "C:\\Programme\\Mozilla Firefox\\firefox.exe"= "C:\\Programme\\aMSN\\bin\\wish.exe"= "C:\\Programme\\Ekiga\\ekiga.exe"= "C:\\Programme\\KVIrc\\kvirc.exe"= "C:\\Programme\\Java\\jre1.6.0_02\\bin\\javaw.exe"= "C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"= "C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"= "C:\\Programme\\Internet Explorer\\iexplore.exe"= "C:\\Programme\\Messenger\\msmsgs.exe"= "C:\\Programme\\Free Download Manager\\fdm.exe"= "C:\\Programme\\Miranda IM\\miranda32.exe"= "C:\\Programme\\AstroN\\AstroN.exe"= "C:\\Programme\\WinSCP\\WinSCP.exe"= "G:\\System\\Apps\\23MAi238-295D-4db9-B9BC-AA3268AC7936\\Exec\\op.com"= "C:\\Programme\\ICQ6\\ICQ.exe"= "C:\\Dokumente und Einstellungen\\Oliver\\Lokale Einstellungen\\Anwendungsdaten\\Xenocode\\ApplianceCaches\\KumaClient.exe_v71B24F3E\\Native\\STUBEXE\\@PROGRAMFILES@\\Kuma Games\\KumaWar\\KumaWar.exe"= "C:\\Dokumente und Einstellungen\\Oliver\\Lokale Einstellungen\\Anwendungsdaten\\Xenocode\\ApplianceCaches\\KumaClient.exe_v71B24F3E\\Native\\STUBEXE\\@PROGRAMFILES@\\Kuma Games\\Kuma.exe"= "C:\\Programme\\Java\\jre1.6.0_03\\bin\\javaw.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\Java\\jre1.6.0_05\\bin\\javaw.exe"= "C:\\Programme\\Motorola\\Software Update\\msu.exe"= "C:\\Spiele\\AstroN\\AstroN.exe"= "C:\\Programme\\MySpace\\IM\\MySpaceIM.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "9420:TCP"= 9420:TCP:Red Swoosh "5000:UDP"= 5000:UDP:Red Swoosh R0 uliagpkx;ULi AGP Bus Filter Driver;C:\WINDOWS\system32\DRIVERS\agpkx.sys [2005-05-03 17:31] R3 EuMusDesignVirtualAudioCableWdm_sdh;Sandhills Audio Cable;C:\WINDOWS\system32\DRIVERS\vacsdhkd.sys [2008-01-05 20:20] R3 ULI5261XP;ULi M526X Ethernet NT Driver;C:\WINDOWS\system32\DRIVERS\ULILAN51.SYS [2005-03-22 20:36] S3 BRGSp50;BRGSp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\BRGSp50.sys [2005-06-08 19:44] S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-12-28 01:02] S3 PAC7311;VGA SoC PC-Camera;C:\WINDOWS\system32\DRIVERS\PA707UCM.SYS [2005-06-27 18:09] S3 ZD1211BU(ZyDAS);ZyDAS ZD1211B IEEE 802.11 b+g Wireless LAN Driver (USB)(ZyDAS);C:\WINDOWS\system32\DRIVERS\zd1211Bu.sys [2005-08-17 15:43] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F] \Shell\AutoRun\command - F:\LaunchU3.exe -a [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{346d97d2-c115-11dc-90d0-00805a460a13}] \Shell\AutoRun\command - E:\PortableApps\PortableAppsMenu\PortableAppsMenu.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{beb6bdd6-48fe-11dc-8ed4-00138f88e626}] \Shell\AutoRun\command - E:\PortableApps\PortableAppsMenu\PortableAppsMenu.exe *Newly Created Service* - CATCHME . Inhalt des "geplante Tasks" Ordners "2008-07-10 17:08:01 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job" - C:\Programme\Windows Live Toolbar\MSNTBUP.EXE "2008-07-09 18:08:00 C:\WINDOWS\Tasks\Norton Security Scan.job" - C:\Programme\Norton Security Scan\Nss.exe . - - - - ORPHANS REMOVED - - - - HKCU-Run-ProxyWay - C:\Programme\ProxyWay\proxyway.exe ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-10 19:36:03 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... C:\ComboFix\catchme.tmp [3684] 0x861C6790 Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... ************************************************************************** . Zeit der Fertigstellung: 2008-07-10 19:39:39 ComboFix-quarantined-files.txt 2008-07-10 17:38:36 14 Verzeichnis(se), 6,080,208,896 Bytes frei 18 Verzeichnis(se), 6,914,576,384 Bytes frei 252 --- E O F --- 2008-07-09 15:18:06 ------------ BitDefender Online Scanner D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 74) Infected with: Win32.Swen.H@mm D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 74) Disinfection failed D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 74) Deleted D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox Update failed D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 140) Infected with: Win32.Swen.H@mm D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 140) Disinfection failed D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 140) Deleted D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox Update failed D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 141) Infected with: Win32.Swen.H@mm D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 141) Disinfection failed D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 141) Deleted D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox Update failed D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 145) Infected with: Win32.Swen.H@mm D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 145) Disinfection failed D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 145) Deleted D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox Update failed D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 146) Infected with: Win32.Swen.H@mm D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 146) Disinfection failed D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 146) Deleted D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox Update failed D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 156) Infected with: Win32.Swen.H@mm D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 156) Disinfection failed D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 156) Deleted D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox Update failed D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 216) Infected with: Win32.Swen.H@mm D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 216) Disinfection failed D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 216) Deleted D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox Update failed D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 217) Infected with: Win32.Swen.H@mm D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 217) Disinfection failed D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 217) Deleted D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox Update failed D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 244) Infected with: Win32.Swen.H@mm D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 244) Disinfection failed D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 244) Deleted D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox Update failed D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 336) Infected with: Win32.Swen.H@mm D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 336) Disinfection failed D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 336) Deleted D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox Update failed D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 348) Infected with: Win32.Swen.H@mm D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 348) Disinfection failed D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 348) Deleted D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox Update failed D:\Backup\e-mails\Thunderbird-e-mails\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx-2.de\Inbox=>(message 904) Infected with: Win32.Swen.H@mm D:\Backup\e-mails\Thunderbird-e-mails\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx-2.de\Inbox=>(message 904) Disinfection failed D:\Backup\e-mails\Thunderbird-e-mails\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx-2.de\Inbox=>(message 904) Deleted D:\Backup\e-mails\Thunderbird-e-mails\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx-2.de\Inbox Update failed D:\Backup\e-mails\Thunderbird-e-mails\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx-2.de\Inbox=>(message 905) Infected with: Win32.Swen.H@mm D:\Backup\e-mails\Thunderbird-e-mails\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx-2.de\Inbox=>(message 905) Disinfection failed D:\Backup\e-mails\Thunderbird-e-mails\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx-2.de\Inbox=>(message 905) Deleted D:\Backup\e-mails\Thunderbird-e-mails\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx-2.de\Inbox Update failed |
|
|
||
11.07.2008, 11:52
Member
Beiträge: 325 |
#7
...trotzdem nochmal vorbeischauen ob anhand des Combofix-Log's noch was manuell oder per Zusatzsoftware raus muß.
...einige dll' & .sys' sehen komisch aus, hoffentlich wurden die durch den Bitdefender mit gecheck't & gefixt !? Dieser Beitrag wurde am 11.07.2008 um 12:04 Uhr von Provisitor editiert.
|
|
|
||
11.07.2008, 12:13
Member
Beiträge: 325 |
#8
...ich meinte:
Den letzten Combifox -log (den Du nun schon 2x pepostest hast) schaut sich nochmal ein Moderator an. ...nicht das Du schon jubelnd davonziehst, weil "alles wieder geht" |
|
|
||
11.07.2008, 12:22
Moderator
Beiträge: 5694 |
#9
Hallo Revilonab
Du hattest noch diverse gespeicherte ältere Emails im Backup auf D:, welche verseucht waren: Zitat D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\InboxEvtl hat Bitdefender alles rausgelöscht. Ansosnten schau ob du dort noch alte Emails hast. Gruss Swiss Hier wird Sabina womöglich noch ein Skript erstellen: Zitat C:\23990098.$$$ Dieser Beitrag wurde am 11.07.2008 um 12:26 Uhr von Tonstudio editiert.
|
|
|
||
11.07.2008, 13:54
Ehrenmitglied
Beiträge: 29434 |
#10
Hallo Revilonab
scanne bitte mit navilog, Option 1, dann Option 2 - poste hier den report von Option 2 http://virus-protect.org/artikel/tools/navilog.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.07.2008, 14:21
Member
Themenstarter Beiträge: 12 |
#11
Zitat Sabina posteteSearch Navipromo version 3.6.0 began on 11.07.2008 at 14:10:10,42 !!! Warning, this report may include legitimate files/programs !!! !!! Post this report on the forum you are being helped !!! !!! Don't continue with removal unless instructed by an authorized helper !!! Fix running from C:\Programme\navilog1 Actual User Account : "Oliver" Updated on 27.06.2008 at 23h00 by IL-MAFIOSO Microsoft Windows XP [Version 5.1.2600] Version Internet Explorer : 7.0.5730.13 Filesystem type : NTFS Search done in normal mode *** Searching for installed Software *** *** Search folders in "C:\WINDOWS" *** *** Search folders in "C:\Programme" *** *** Search folders in "c:\dokume~1\alluse~1\anwend~1" *** *** Search folders in "c:\dokume~1\alluse~1\startm~1\progra~1" *** *** Search folders in "C:\Dokumente und Einstellungen\Oliver\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\Oliver\lokale~1\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\Oliver\startm~1\progra~1" *** *** Search with Catchme-rootkit/stealth malware detector by gmer *** for more info : http://www.gmer.net No file found *** Search with GenericNaviSearch *** !!! Possibility of legitimate files in the result !!! !!! Must always be checked before manually deleting !!! * Scan in "C:\WINDOWS\system32" * * Scan in "C:\Dokumente und Einstellungen\Oliver\lokale~1\anwend~1" * *** Search files *** *** Search specific Registry keys *** *** Complementary Search *** (Search specific files) 1)Search new Instant Access files : 2)Heuristic Search : * In "C:\WINDOWS\system32" : * In "C:\Dokumente und Einstellungen\Oliver\lokale~1\anwend~1" : 3)Certificates Search : Egroup certificate not found ! Electronic-Group certificate found ! OOO-Favorit certificate found ! Sunny-Day-Design-Ltd certificate not found ! 4)Search known files : *** Search completed on 11.07.2008 at 14:18:21,64 *** |
|
|
||
11.07.2008, 14:31
Ehrenmitglied
Beiträge: 29434 |
#12
Hallo,
ComboFix entfernen Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" womit eigentlich alles wieder o.k. sein sollte...oder kommen noch popups ? __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.07.2008, 14:33
Moderator
Beiträge: 5694 |
#13
@ Sabina
Muss das nicht noch raus? Nur so ne doofe Frage Zitat C:\23990098.$$$gruss Swiss |
|
|
||
11.07.2008, 14:37
Ehrenmitglied
Beiträge: 29434 |
#14
nein, das kommt vom escan, den der User wahrscheinlich geladen hatte.
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.07.2008, 14:43
Moderator
Beiträge: 5694 |
||
|
||
ich habe nun schon seit längerer Zeit einen ziemlich hartnäckigen Browser-Hijacker.
Er funktioniert auf beiden Browsern und schaltet sich erst ein, wenn man eine neue Seite aufruft.
Ich habe schon Antivir, Clamav, Spybot, Adaware, Anti-Malware und natürlich den CCleaner drüberlaufen lassen. Ausserdem habe ich eine Datenträgerbereinigung mit dem Windows-Tool durchgeführt.
Dazu habe ich noch die Systemwiederherstellung für meine Laufwerke deaktiviert, neu gestartet und wieder aktiviert, damit da auch nichts hängt.
Des weiteren habe ich manuell Einträge aus dem Hijjackthis-log entfernt, die offensichtlich nicht reinpassen.
Könnt ihr mir vielleicht helfen?
Vielen Dank!
Moment, die Protokolle musss ich noch raussuchen.
--------------