Hartnäckiger, für mich nicht identifizierbarer Browser-Hijacker

#0
10.07.2008, 16:35
Member

Beiträge: 12
#1 Hallo liebes Forum,

ich habe nun schon seit längerer Zeit einen ziemlich hartnäckigen Browser-Hijacker.
Er funktioniert auf beiden Browsern und schaltet sich erst ein, wenn man eine neue Seite aufruft.
Ich habe schon Antivir, Clamav, Spybot, Adaware, Anti-Malware und natürlich den CCleaner drüberlaufen lassen. Ausserdem habe ich eine Datenträgerbereinigung mit dem Windows-Tool durchgeführt.
Dazu habe ich noch die Systemwiederherstellung für meine Laufwerke deaktiviert, neu gestartet und wieder aktiviert, damit da auch nichts hängt.
Des weiteren habe ich manuell Einträge aus dem Hijjackthis-log entfernt, die offensichtlich nicht reinpassen.

Könnt ihr mir vielleicht helfen?

Vielen Dank!


Moment, die Protokolle musss ich noch raussuchen.
--------------
Dieser Beitrag wurde am 11.07.2008 um 11:39 Uhr von Revilonab editiert.
Seitenanfang Seitenende
10.07.2008, 17:00
Member

Beiträge: 325
#2 Es sind paar Einträge fraglich,dazu schreibt bestimmt Sabina etwas,
Das Programm "IM-History" -ist das von Dir installiert ??
Das "C:\WINDOWS\V0270Mon.exe" ---> ist mir auch nicht sympatisch, aber mal abwarten !!
Dieser Beitrag wurde am 10.07.2008 um 17:04 Uhr von Provisitor editiert.
Seitenanfang Seitenende
10.07.2008, 17:07
Member

Themenstarter

Beiträge: 12
#3

Zitat

Provisitor postete
Es sind paar Einträge fraglich,dazu schreibt bestimmt Sabina etwas,
Das Programm "IM-History" -ist das von Dir installiert ??
Ja, "IM-History" ist ein Programm dass Messenger-Einträge aller Art in einem Protokoll ablegt und online Verfügbar macht. Habe ich auch lange nach dem Befall durch den Hijacker installiert.
Seitenanfang Seitenende
10.07.2008, 17:22
Member

Beiträge: 325
#4 also ich habe folgende Einträge im Visier -Aber warte erst bis das auch Sabina abgesegnet hat, und was Du noch für evtl.Tools anwenden mußt !!!!
-:
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

O4 - HKLM\..\Run: [V0270Mon.exe] C:\WINDOWS\V0270Mon.exe
Seitenanfang Seitenende
10.07.2008, 17:49
Moderator

Beiträge: 5694
#5 Hallo Revilonab

Zitat

O4 - HKLM\..\Run: [V0270Mon.exe] C:\WINDOWS\V0270Mon.exe
dürfte von Creativ sein (WEBCAM)

Zur Sicherheit kannst du die datei bei www.virustotal.com/de hochladen.
C:\WINDOWS\V0270Mon.exe

>>
Wende Combofix an und poste das Log:
http://virus-protect.org/artikel/tools/combofix.html

>>
Mach ein Onlinescan mit Bitdefender, lasse alles löschen und poste das Log:
http://virus-protect.org/onlinescan.html

>>
Gibt es die Probleme mit Firefox auch? Kannst einmal testen.
http://virus-protect.org/firefox.html

Gruss Swiss
Seitenanfang Seitenende
11.07.2008, 11:36
Member

Themenstarter

Beiträge: 12
#6 Ich habe es geschafft! Vielen Dank!

Ich habe erst die Livecam-Datei online untersuchen lassen. Er fand innerhalb der Datei eine verdächtige Datei. Habe die komplette Software plus Treiber entfernt, aber es war immer noch da.

Dann habe ich combofix durchlaufen lassen. Anschließend Bitdefender.
Ich glaube Bitdefender müsste es gefunden haben. Leider dauerte der Scan so lange, dass ich zweimal vergaß, dass er gerade scannt und abgebrochen habe ohne Protokoll. Aber das Protokoll vom dritten Scan habe ich. Er fand vor allem Viren in meinen älteren E-Mail-Archiven. Hoffe dass die nicht zerschossen sind. Muss mir eh überlegen wie ich die wieder herstelle.

Vielen Dank für eure Hilfe!

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.10.0 2008.07.10 -
AntiVir 7.8.0.64 2008.07.10 -
Authentium 5.1.0.4 2008.07.10 -
Avast 4.8.1195.0 2008.07.09 -
AVG 7.5.0.516 2008.07.10 -
BitDefender 7.2 2008.07.10 -
CAT-QuickHeal 9.50 2008.07.10 -
ClamAV 0.93.1 2008.07.10 -
DrWeb 4.44.0.09170 2008.07.10 -
eSafe 7.0.17.0 2008.07.09 -
eTrust-Vet 31.6.5943 2008.07.10 -
Ewido 4.0 2008.07.10 -
F-Prot 4.4.4.56 2008.07.10 -
F-Secure 7.60.13501.0 2008.07.10 -
Fortinet 3.14.0.0 2008.07.10 -
GData 2.0.7306.1023 2008.07.10 -
Ikarus T3.1.1.26.0 2008.07.10 -
Kaspersky 7.0.0.125 2008.07.10 -
McAfee 5335 2008.07.09 -
Microsoft 1.3704 2008.07.10 -
NOD32v2 3258 2008.07.10 -
Norman 5.80.02 2008.07.10 -
Panda 9.0.0.4 2008.07.10 -
Prevx1 V2 2008.07.10 Suspicious
Rising 20.52.32.00 2008.07.10 -
Sophos 4.31.0 2008.07.10 -
Sunbelt 3.1.1509.1 2008.07.04 -
Symantec 10 2008.07.10 -
TheHacker 6.2.96.374 2008.07.07 -
TrendMicro 8.700.0.1004 2008.07.10 -
VBA32 3.12.6.9 2008.07.10 -
VirusBuster 4.5.11.0 2008.07.10 -
Webwasher-Gateway 6.6.2 2008.07.10 -
weitere Informationen
File size: 36864 bytes
MD5...: 4f3b985cfb7e2205efd3679af1322202
SHA1..: f392131a312b39846d880a1d3478200fb8b923c0
SHA256: a2e09167f3c67cac1f9f70bfc12f1a0fdf89171d5421ec797a789363377d2ae9
SHA512: 4e44a55d1c3e6e88657f9016395357ec2417b82c18b3ee1a75fb971471a3cf7e
5d5a0bbdd3c41c6287af7ebee39cfc2464b4f23f3dd3811670832e0dcd36ad38
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40318e
timedatestamp.....: 0x45ebd128 (Mon Mar 05 08:13:28 2007)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x23f4 0x3000 5.07 655aefff05bbae5a2571259472f91510
.rdata 0x4000 0x922 0x1000 3.37 0fda7d866b5eb1ed58e491c6fe7c2162
.data 0x5000 0x228 0x1000 1.10 933264f80b5119621fc884951120c8f3
.sxdata 0x6000 0x4 0x1000 0.00 e0f6821e0906d569a9a3e873c22c4d70
PAGECONS 0x7000 0x10 0x1000 0.05 b108dd9efebe4d7ac76987fad2d0aa36
.rsrc 0x8000 0x3b8 0x1000 0.95 1ba39b1c8af3cfb5130c60d04ad48e12

( 7 imports )
> KERNEL32.dll: Sleep, HeapFree, CreateFileA, lstrcatA, HeapAlloc, GetProcessHeap, GetTickCount, lstrcmpiA, lstrcpyA, lstrlenA, IsBadReadPtr, OpenProcess, Process32Next, WaitForSingleObject, CreateToolhelp32Snapshot, WaitForMultipleObjects, CreateMutexA, GetWindowsDirectoryA, GetFullPathNameA, GetModuleFileNameA, GetVersionExA, GetExitCodeProcess, CreateProcessA, ResetEvent, SetEvent, CreateEventA, GetLastError, Process32First, CloseHandle, GetStartupInfoA
> msvcrt.dll: _controlfp, _except_handler3, __set_app_type, __p__fmode, __p__commode, exit, _initterm, __getmainargs, _cexit, _XcptFilter, _exit, _c_exit, _beginthread, _endthread, __setusermatherr, _acmdln, _adjust_fdiv
> SHLWAPI.dll: StrStrIA
> SETUPAPI.dll: SetupDiEnumDeviceInterfaces, SetupDiGetDeviceRegistryPropertyA, SetupDiGetClassDevsExA, SetupDiEnumDeviceInfo, SetupDiGetClassDevsA, SetupDiDestroyDeviceInfoList, SetupDiGetDeviceInterfaceDetailA, SetupDiGetDeviceInstanceIdA
> USER32.dll: SetWindowLongA, TranslateMessage, GetWindowLongA, DispatchMessageA, IsDialogMessageA, IsWindow, GetMessageA, CreateDialogParamA, BroadcastSystemMessageA, wsprintfA, PostQuitMessage, PostMessageA, RegisterWindowMessageA, DestroyWindow
> ADVAPI32.dll: RegSetValueExA, RegDeleteValueA, RegOpenKeyExA, RegQueryValueExA, RegCloseKey
> ksproxy.ax: KsSynchronousDeviceControl

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=64DA8C97004AA5BF908600F8221704004207B93C

-----------

ComboFix 08-07-09.5 - Oliver 2008-07-10 19:32:41.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.549 [GMT 2:00]
ausgeführt von:: D:\downloads\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Oliver\Lokale Einstellungen\Anwendungsdaten\cwmuooc.dat
C:\Dokumente und Einstellungen\Oliver\Lokale Einstellungen\Anwendungsdaten\cwmuooc.exe
C:\Dokumente und Einstellungen\Oliver\Lokale Einstellungen\Anwendungsdaten\cwmuooc_nav.dat
C:\Dokumente und Einstellungen\Oliver\Lokale Einstellungen\Anwendungsdaten\cwmuooc_navps.dat
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\launcher.exe
C:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-10 bis 2008-07-10 ))))))))))))))))))))))))))))))
.

2008-07-09 17:04 . 2008-07-09 17:04 <DIR> d-------- C:\Programme\ClamWin
2008-07-09 17:04 . 2008-07-09 17:05 <DIR> d-------- C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\.clamwin
2008-07-09 17:04 . 2008-07-09 17:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\.clamwin
2008-07-09 11:37 . 2008-07-09 11:37 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-09 11:37 . 2008-07-09 11:37 <DIR> d-------- C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\Malwarebytes
2008-07-09 11:37 . 2008-07-09 11:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-09 11:37 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-09 11:37 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-09 11:32 . 2008-07-09 11:32 <DIR> d-------- C:\Programme\MySpace
2008-07-09 11:32 . 2008-07-09 11:32 <DIR> d-------- C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\MySpace
2008-07-09 11:31 . 2008-07-09 11:31 <DIR> d-------- C:\Programme\CCleaner
2008-07-09 07:51 . 2008-07-09 07:51 <DIR> d-------- C:\Programme\AstroNest
2008-07-07 07:33 . 2008-07-07 07:33 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2008-07-04 21:36 . 2008-07-04 21:40 <DIR> d-------- C:\Programme\TrueCrypt
2008-07-04 21:36 . 2008-07-04 21:41 <DIR> d-------- C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\TrueCrypt
2008-07-04 21:36 . 2008-07-04 21:36 223,424 --a------ C:\WINDOWS\system32\drivers\truecrypt.sys
2008-07-04 21:11 . 2008-07-04 21:11 <DIR> d-------- C:\Programme\aMSN
2008-06-29 22:48 . 2008-06-29 22:48 0 --a------ C:\23990098.$$$
2008-06-29 22:37 . 2008-06-29 23:07 50 --a------ C:\WINDOWS\Lic.xxx
2008-06-29 22:36 . 2008-04-14 07:53 153,600 --a------ C:\WINDOWS\R.COM
2008-06-29 22:36 . 2008-04-14 07:53 140,800 --a------ C:\WINDOWS\system32\T.COM
2008-06-29 22:16 . 2008-06-29 22:16 <DIR> d-------- C:\Programme\Motorola
2008-06-29 22:16 . 2008-06-29 22:16 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Motorola Shared
2008-06-29 21:39 . 2008-06-29 21:39 <DIR> d-------- C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\Flock
2008-06-29 21:38 . 2008-06-29 23:11 <DIR> d-------- C:\Programme\Flock
2008-06-28 21:20 . 2008-07-10 17:24 <DIR> d-------- C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\Ladbrokes
2008-06-28 20:39 . 2008-06-28 20:41 <DIR> d-------- C:\Programme\JAP
2008-06-27 21:00 . 2008-06-27 21:00 <DIR> d-------- C:\Programme\MSXML 4.0
2008-06-27 20:49 . 2008-06-27 20:49 <DIR> d-------- C:\Programme\Microsoft SQL Server Compact Edition
2008-06-22 09:54 . 2008-06-22 09:54 48 --ah----- C:\WINDOWS\system32\ezsidmv.dat
2008-06-22 09:53 . 2008-07-10 16:07 <DIR> d-------- C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\skypePM
2008-06-21 23:24 . 2008-06-21 23:24 <DIR> d-------- C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\Songbird2
2008-06-21 23:17 . 2008-06-21 23:26 <DIR> d-------- C:\Programme\Songbird
2008-06-21 10:50 . 2008-07-10 14:51 <DIR> d-------- C:\Programme\VCamChat
2008-06-21 10:50 . 2008-06-21 10:52 <DIR> d-------- C:\Dokumente und Einstellungen\Oliver\vcamchat
2008-06-20 22:50 . 2008-06-20 22:50 <DIR> d-------- C:\Programme\Siber Systems
2008-06-20 22:50 . 2008-06-20 22:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RoboForm
2008-06-20 19:46 . 2008-06-20 19:46 247,296 -----c--- C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-20 19:46 . 2008-06-20 19:46 147,968 -----c--- C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-06-20 18:22 . 2008-06-28 21:20 <DIR> d-------- C:\temp_dnld
2008-06-20 13:51 . 2008-06-20 13:51 361,600 -----c--- C:\WINDOWS\system32\dllcache\tcpip.sys
2008-06-20 13:40 . 2008-06-20 13:40 138,496 -----c--- C:\WINDOWS\system32\dllcache\afd.sys
2008-06-20 13:08 . 2008-06-20 13:08 225,856 -----c--- C:\WINDOWS\system32\dllcache\tcpip6.sys
2008-06-14 02:59 . 2008-06-14 19:32 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-14 02:59 . 2008-05-08 16:02 203,136 -----c--- C:\WINDOWS\system32\dllcache\rmcast.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-10 17:37 --------- d-----w C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\.purple
2008-07-10 17:36 --------- d-----w C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\Skype
2008-07-10 17:25 --------- d-----w C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\OpenOffice.org2
2008-07-10 17:10 --------- d-----w C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\Free Download Manager
2008-07-10 14:53 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-07-10 09:56 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-07-10 06:30 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-07-09 16:00 --------- d-----w C:\Programme\Norton Security Scan
2008-07-09 15:21 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-07-07 05:33 --------- d-----w C:\Programme\Skype
2008-07-07 05:33 --------- d-----w C:\Programme\Google
2008-07-07 05:33 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-07-06 12:56 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-07-06 12:56 --------- d-----w C:\Programme\DeerDrive_at
2008-07-04 19:02 --------- d-----w C:\Programme\Pidgin
2008-07-04 19:02 --------- d-----w C:\Programme\Aspell
2008-06-29 20:40 --------- d-----w C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\gtk-2.0
2008-06-28 20:50 --------- d-----w C:\Programme\Windows Live
2008-06-28 19:22 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-28 04:45 --------- d-----w C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\U3
2008-06-27 18:38 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-06-22 20:53 --------- d-----w C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\uTorrent
2008-06-22 17:36 --------- d-----w C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\XnView
2008-06-20 17:46 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 11:51 361,600 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 11:40 138,496 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 11:08 225,856 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-14 21:58 --------- d-----w C:\Programme\OpenOffice.org 2.4
2008-06-14 20:36 --------- d-----w C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\flightgear.org
2008-06-14 17:32 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-13 18:35 --------- d-----w C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\Miranda
2008-06-07 16:20 --------- d-----w C:\Programme\PokerTH
2008-06-07 06:30 --------- d-----w C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\IM-History
2008-06-07 06:07 --------- d-----w C:\Programme\IM-History
2008-06-07 05:35 --------- d-----w C:\Programme\AstroN
2008-06-01 10:49 --------- d-----w C:\Programme\PC VGA Camera
2008-06-01 10:49 --------- d-----w C:\Programme\Gemeinsame Dateien\PCCamera
2008-06-01 10:49 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-05-23 15:52 86,016 ----a-w C:\WINDOWS\system32\OpenAL32.dll
2008-05-23 15:52 413,696 ----a-w C:\WINDOWS\system32\wrap_oal.dll
2008-05-23 15:45 --------- d-----w C:\Programme\ICQ6
2008-05-18 13:56 --------- d-----w C:\Programme\OpenAL
2008-05-16 20:21 --------- d-----w C:\Programme\IrfanView
2008-05-13 18:52 --------- d-----w C:\Programme\Java
2008-05-13 18:42 196,608 ----a-w C:\WINDOWS\system32\libssl32.dll
2008-05-13 18:42 --------- d-----w C:\Programme\OpenSSL
2008-05-13 18:39 --------- d-----w C:\Programme\Miranda IM
2008-05-09 10:54 90,112 ----a-w C:\WINDOWS\system32\wshext.dll
2008-05-09 10:54 430,080 ----a-w C:\WINDOWS\system32\vbscript.dll
2008-05-09 10:54 180,224 ----a-w C:\WINDOWS\system32\scrobj.dll
2008-05-09 10:54 172,032 ----a-w C:\WINDOWS\system32\scrrun.dll
2008-05-08 11:24 155,648 ----a-w C:\WINDOWS\system32\wscript.exe
2008-05-07 09:07 135,168 ----a-w C:\WINDOWS\system32\cscript.exe
2008-05-07 05:10 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-04-14 06:06 1,804 ----a-w C:\WINDOWS\system32\dcache.bin
2008-04-14 05:55 333,312 ----a-w C:\WINDOWS\system32\netsetup.exe
2008-04-14 05:52 99,840 ----a-w C:\WINDOWS\system32\loadperf.dll
2008-04-14 05:51 762,368 ----a-w C:\WINDOWS\system32\winntbbu.dll
2008-04-14 05:51 76,288 ----a-w C:\WINDOWS\system32\uniime.dll
2008-04-14 05:51 731,648 ----a-w C:\WINDOWS\system32\ntdll.dll
2008-04-14 05:51 57,375 ----a-w C:\WINDOWS\system32\odbcji32.dll
2008-04-14 05:51 5,632 ----a-w C:\WINDOWS\system32\wmi.dll
2008-04-14 05:51 4,126 ----a-w C:\WINDOWS\system32\msdxmlc.dll
2008-04-14 05:51 24,064 ----a-w C:\WINDOWS\system32\pidgen.dll
2008-04-14 05:30 2,191,360 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
2008-04-14 05:30 2,068,224 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe
2008-04-14 05:29 4,096 ------w C:\WINDOWS\system32\dsprpres.dll
2008-04-14 05:27 93,184 ------w C:\WINDOWS\system32\msxml6r.dll
2008-04-14 05:26 81,408 ------w C:\WINDOWS\system32\msshavmsg.dll
2008-04-14 05:26 51,712 ----a-w C:\WINDOWS\system32\inetres.dll
2008-04-14 05:25 572,928 ----a-w C:\WINDOWS\system32\shdoclc.dll
2008-04-14 05:24 10,752 ----a-w C:\WINDOWS\system32\gpkrsrc.dll
2008-04-14 05:23 1,845,760 ----a-w C:\WINDOWS\system32\win32k.sys
2008-04-14 05:22 68,096 ----a-w C:\WINDOWS\system32\browselc.dll
2008-04-13 22:15 17,664 ----a-w C:\WINDOWS\system32\watchdog.sys
2008-04-13 22:13 9,728 ------w C:\WINDOWS\system32\comsdupd.exe
2008-04-13 22:13 12,800 ------w C:\WINDOWS\system32\spiisupd.exe
2008-04-13 22:10 438,784 ------w C:\WINDOWS\system32\xpob2res.dll
2008-04-13 22:06 2,981,888 ----a-w C:\WINDOWS\system32\xpsp2res.dll
2008-04-13 22:05 199,680 ------w C:\WINDOWS\system32\xpsp1res.dll
2008-04-13 22:01 7,424 ----a-w C:\WINDOWS\system32\kd1394.dll
2008-04-13 22:00 61,440 ----a-w C:\WINDOWS\system32\msvcrt40.dll
2008-04-13 21:07 208,384 ----a-w C:\WINDOWS\system32\rsaenh.dll
2008-04-13 21:07 138,752 ----a-w C:\WINDOWS\system32\dssenh.dll
2008-04-13 20:56 12,288 ----a-w C:\WINDOWS\system32\odbcp32r.dll
2008-04-13 20:56 12,288 ----a-w C:\WINDOWS\system32\mscpx32r.dll
2008-04-13 20:51 733,696 ----a-w C:\WINDOWS\system32\qedwipes.dll
2008-04-13 20:18 1,647,616 ------w C:\WINDOWS\system32\winbrand.dll
2008-04-13 20:15 216,064 ----a-w C:\WINDOWS\system32\moricons.dll
2008-04-13 19:53 48,128 ----a-w C:\WINDOWS\system32\msprivs.dll
2008-04-13 19:09 884,736 ----a-w C:\WINDOWS\system32\msimsg.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 07:52 15360]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2008-05-30 15:54 21718312]
"RoboForm"="C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" [2008-06-20 22:50 160592]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-19 09:12 262401]
"HD Tune"="C:\PROGRA~1\HDTUNE~1\HDTune.exe" [2007-09-03 01:37 401408]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 07:53 110592 C:\WINDOWS\system32\bthprops.cpl]
"SoundMan"="SOUNDMAN.EXE" [2004-07-27 17:01 68096 C:\WINDOWS\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 07:52 15360]
"MySpaceIM"="C:\Programme\MySpace\IM\MySpaceIM.exe" [2008-04-18 01:27 9117696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.dvsd"= pdvcodec.dll
"vidc.ffds"= ffdshow.ax

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"ClamWin"="C:\Programme\ClamWin\bin\ClamTray.exe" --logon
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\aMSN\\bin\\wish.exe"=
"C:\\Programme\\Ekiga\\ekiga.exe"=
"C:\\Programme\\KVIrc\\kvirc.exe"=
"C:\\Programme\\Java\\jre1.6.0_02\\bin\\javaw.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\Programme\\Internet Explorer\\iexplore.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\Free Download Manager\\fdm.exe"=
"C:\\Programme\\Miranda IM\\miranda32.exe"=
"C:\\Programme\\AstroN\\AstroN.exe"=
"C:\\Programme\\WinSCP\\WinSCP.exe"=
"G:\\System\\Apps\\23MAi238-295D-4db9-B9BC-AA3268AC7936\\Exec\\op.com"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Dokumente und Einstellungen\\Oliver\\Lokale Einstellungen\\Anwendungsdaten\\Xenocode\\ApplianceCaches\\KumaClient.exe_v71B24F3E\\Native\\STUBEXE\\@PROGRAMFILES@\\Kuma Games\\KumaWar\\KumaWar.exe"=
"C:\\Dokumente und Einstellungen\\Oliver\\Lokale Einstellungen\\Anwendungsdaten\\Xenocode\\ApplianceCaches\\KumaClient.exe_v71B24F3E\\Native\\STUBEXE\\@PROGRAMFILES@\\Kuma Games\\Kuma.exe"=
"C:\\Programme\\Java\\jre1.6.0_03\\bin\\javaw.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Java\\jre1.6.0_05\\bin\\javaw.exe"=
"C:\\Programme\\Motorola\\Software Update\\msu.exe"=
"C:\\Spiele\\AstroN\\AstroN.exe"=
"C:\\Programme\\MySpace\\IM\\MySpaceIM.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"9420:TCP"= 9420:TCP:Red Swoosh
"5000:UDP"= 5000:UDP:Red Swoosh

R0 uliagpkx;ULi AGP Bus Filter Driver;C:\WINDOWS\system32\DRIVERS\agpkx.sys [2005-05-03 17:31]
R3 EuMusDesignVirtualAudioCableWdm_sdh;Sandhills Audio Cable;C:\WINDOWS\system32\DRIVERS\vacsdhkd.sys [2008-01-05 20:20]
R3 ULI5261XP;ULi M526X Ethernet NT Driver;C:\WINDOWS\system32\DRIVERS\ULILAN51.SYS [2005-03-22 20:36]
S3 BRGSp50;BRGSp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\BRGSp50.sys [2005-06-08 19:44]
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-12-28 01:02]
S3 PAC7311;VGA SoC PC-Camera;C:\WINDOWS\system32\DRIVERS\PA707UCM.SYS [2005-06-27 18:09]
S3 ZD1211BU(ZyDAS);ZyDAS ZD1211B IEEE 802.11 b+g Wireless LAN Driver (USB)(ZyDAS);C:\WINDOWS\system32\DRIVERS\zd1211Bu.sys [2005-08-17 15:43]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
\Shell\AutoRun\command - F:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{346d97d2-c115-11dc-90d0-00805a460a13}]
\Shell\AutoRun\command - E:\PortableApps\PortableAppsMenu\PortableAppsMenu.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{beb6bdd6-48fe-11dc-8ed4-00138f88e626}]
\Shell\AutoRun\command - E:\PortableApps\PortableAppsMenu\PortableAppsMenu.exe

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2008-07-10 17:08:01 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job"
- C:\Programme\Windows Live Toolbar\MSNTBUP.EXE
"2008-07-09 18:08:00 C:\WINDOWS\Tasks\Norton Security Scan.job"
- C:\Programme\Norton Security Scan\Nss.exe
.
- - - - ORPHANS REMOVED - - - -

HKCU-Run-ProxyWay - C:\Programme\ProxyWay\proxyway.exe


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-10 19:36:03
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

C:\ComboFix\catchme.tmp [3684] 0x861C6790

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...


**************************************************************************
.
Zeit der Fertigstellung: 2008-07-10 19:39:39
ComboFix-quarantined-files.txt 2008-07-10 17:38:36

14 Verzeichnis(se), 6,080,208,896 Bytes frei
18 Verzeichnis(se), 6,914,576,384 Bytes frei

252 --- E O F --- 2008-07-09 15:18:06


------------

BitDefender Online Scanner




D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 74)


Infected with: Win32.Swen.H@mm

D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 74)


Disinfection failed

D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 74)


Deleted

D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox


Update failed

D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 140)


Infected with: Win32.Swen.H@mm

D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 140)


Disinfection failed

D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 140)


Deleted

D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox


Update failed

D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 141)


Infected with: Win32.Swen.H@mm

D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 141)


Disinfection failed

D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 141)


Deleted

D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox


Update failed

D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 145)


Infected with: Win32.Swen.H@mm

D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 145)


Disinfection failed

D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 145)


Deleted

D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox


Update failed

D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 146)


Infected with: Win32.Swen.H@mm

D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 146)


Disinfection failed

D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 146)


Deleted

D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox


Update failed

D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 156)


Infected with: Win32.Swen.H@mm

D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 156)


Disinfection failed

D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 156)


Deleted

D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox


Update failed

D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 216)


Infected with: Win32.Swen.H@mm

D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 216)


Disinfection failed

D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 216)


Deleted

D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox


Update failed

D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 217)


Infected with: Win32.Swen.H@mm

D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 217)


Disinfection failed

D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 217)


Deleted

D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox


Update failed

D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 244)


Infected with: Win32.Swen.H@mm

D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 244)


Disinfection failed

D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 244)


Deleted

D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox


Update failed

D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 336)


Infected with: Win32.Swen.H@mm

D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 336)


Disinfection failed

D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 336)


Deleted

D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox


Update failed

D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 348)


Infected with: Win32.Swen.H@mm

D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 348)


Disinfection failed

D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox=>(message 348)


Deleted

D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox


Update failed

D:\Backup\e-mails\Thunderbird-e-mails\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx-2.de\Inbox=>(message 904)


Infected with: Win32.Swen.H@mm

D:\Backup\e-mails\Thunderbird-e-mails\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx-2.de\Inbox=>(message 904)


Disinfection failed

D:\Backup\e-mails\Thunderbird-e-mails\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx-2.de\Inbox=>(message 904)


Deleted

D:\Backup\e-mails\Thunderbird-e-mails\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx-2.de\Inbox


Update failed

D:\Backup\e-mails\Thunderbird-e-mails\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx-2.de\Inbox=>(message 905)


Infected with: Win32.Swen.H@mm

D:\Backup\e-mails\Thunderbird-e-mails\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx-2.de\Inbox=>(message 905)


Disinfection failed

D:\Backup\e-mails\Thunderbird-e-mails\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx-2.de\Inbox=>(message 905)


Deleted

D:\Backup\e-mails\Thunderbird-e-mails\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx-2.de\Inbox


Update failed
Seitenanfang Seitenende
11.07.2008, 11:52
Member

Beiträge: 325
#7 ...trotzdem nochmal vorbeischauen ob anhand des Combofix-Log's noch was manuell oder per Zusatzsoftware raus muß. ;)
...einige dll' & .sys' sehen komisch aus, hoffentlich wurden die durch den Bitdefender mit gecheck't & gefixt !?
Dieser Beitrag wurde am 11.07.2008 um 12:04 Uhr von Provisitor editiert.
Seitenanfang Seitenende
11.07.2008, 12:13
Member

Beiträge: 325
#8 ...ich meinte:
Den letzten Combifox -log (den Du nun schon 2x pepostest hast) schaut sich nochmal ein Moderator an. ;) ;) ;)
...nicht das Du schon jubelnd davonziehst, weil "alles wieder geht"
Seitenanfang Seitenende
11.07.2008, 12:22
Moderator

Beiträge: 5694
#9 Hallo Revilonab

Du hattest noch diverse gespeicherte ältere Emails im Backup auf D:, welche verseucht waren:

Zitat

D:\Backup\Archiv\alte Korrespondenz\alte e-mails\e-mails 2004\Thunderbird-e-mails-aktuell\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx.de\Inbox

D:\Backup\e-mails\Thunderbird-e-mails\Standard-Benutzer\vqp863c0.slt\Mail\pop.gmx-2.de\Inbox
Evtl hat Bitdefender alles rausgelöscht. Ansosnten schau ob du dort noch alte Emails hast.

Gruss Swiss




Hier wird Sabina womöglich noch ein Skript erstellen:

Zitat

C:\23990098.$$$
C:\WINDOWS\Lic.xxx
C:\WINDOWS\R.COM
C:\WINDOWS\system32\T.COM
Dieser Beitrag wurde am 11.07.2008 um 12:26 Uhr von Tonstudio editiert.
Seitenanfang Seitenende
11.07.2008, 13:54
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Hallo Revilonab

scanne bitte mit navilog, Option 1, dann Option 2 - poste hier den report von Option 2
http://virus-protect.org/artikel/tools/navilog.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.07.2008, 14:21
Member

Themenstarter

Beiträge: 12
#11

Zitat

Sabina postete
Hallo Revilonab

scanne bitte mit navilog, Option 1, dann Option 2 - poste hier den report von Option 2
http://virus-protect.org/artikel/tools/navilog.html
Search Navipromo version 3.6.0 began on 11.07.2008 at 14:10:10,42

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Actual User Account : "Oliver"

Updated on 27.06.2008 at 23h00 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 7.0.5730.13
Filesystem type : NTFS

Search done in normal mode

*** Searching for installed Software ***


*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "c:\dokume~1\alluse~1\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Oliver\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Oliver\lokale~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Oliver\startm~1\progra~1" ***

*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net

No file found


*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\Oliver\lokale~1\anwend~1" *



*** Search files ***



*** Search specific Registry keys ***


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\Oliver\lokale~1\anwend~1" :


3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate found !
OOO-Favorit certificate found !
Sunny-Day-Design-Ltd certificate not found !

4)Search known files :



*** Search completed on 11.07.2008 at 14:18:21,64 ***
Seitenanfang Seitenende
11.07.2008, 14:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 Hallo,

ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

womit eigentlich alles wieder o.k. sein sollte...oder kommen noch popups ?
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.07.2008, 14:33
Moderator

Beiträge: 5694
#13 @ Sabina

Muss das nicht noch raus?
Nur so ne doofe Frage ;)

Zitat

C:\23990098.$$$
C:\WINDOWS\Lic.xxx
C:\WINDOWS\R.COM
C:\WINDOWS\system32\T.COM
gruss Swiss
Seitenanfang Seitenende
11.07.2008, 14:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 nein, das kommt vom escan, den der User wahrscheinlich geladen hatte.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.07.2008, 14:43
Moderator

Beiträge: 5694
#15 Ok wieder was dazu gelernt ;)

Danke ;)

Gruss Swiss
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: