Spyware detected on your Computer |
||
---|---|---|
#0
| ||
10.07.2008, 19:22
...neu hier
Beiträge: 6 |
||
|
||
10.07.2008, 20:13
Member
Beiträge: 325 |
#2
Entferne mit CCleaner die Temp-Dateien.
Dann Malwarebytes anwenden und alles kritische fixen. Danach nochmal Hijackthis -log. Keine gefakten Fenster anclicken,es ist bei Dir die spools Exe die angemeckert wird. Es kann vllt. sein dass einige User momentan nicht ins Netz kommen,- bei mir im Umkreis ist Kabel Deutschland-I-Net auch momentan tod. Den Malwarebytes-log und den neuen von Hijackthis guckt sich bestimmt dann mal ein Moderator an. |
|
|
||
10.07.2008, 22:33
...neu hier
Themenstarter Beiträge: 6 |
#3
Malwarebytes' Anti-Malware 1.20
Datenbank Version: 937 Windows 5.1.2600 Service Pack 2 21:55:36 10.07.2008 mbam-log-7-10-2008 (21-55-26).txt Scan Art: Komplett Scan (C:\|) Objekte gescannt: 72322 Scan Dauer: 57 minute(s), 58 second(s) Infizierte Speicher Prozesse: 4 Infizierte Speicher Module: 6 Infizierte Registrierungsschlüssel: 4 Infizierte Registrierungswerte: 9 Infizierte Datei Objekte der Registrierung: 5 Infizierte Verzeichnisse: 24 Infizierte Dateien: 49 Infizierte Speicher Prozesse: C:\WINDOWS\system32\pphc1amj0ejj3.exe (Trojan.FakeAlert) -> No action taken. C:\Programme\rhc5amj0ejj3\rhc5amj0ejj3.exe (Rogue.Multiple) -> No action taken. C:\WINDOWS\system32\drivers\spools.exe (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\lphc1amj0ejj3.exe (Trojan.FakeAlert) -> No action taken. Infizierte Speicher Module: C:\WINDOWS\system32\ftpdll.dll (Trojan.Dropper) -> No action taken. C:\Programme\rhc5amj0ejj3\rhc5amj0ejj3Skin.Dll (Rogue.AntivirusXP2008) -> No action taken. C:\Programme\rhc5amj0ejj3\msvcp71.dll (Rogue.Multiple) -> No action taken. C:\Programme\rhc5amj0ejj3\MFC71.dll (Rogue.Multiple) -> No action taken. C:\Programme\rhc5amj0ejj3\msvcr71.dll (Rogue.Multiple) -> No action taken. C:\WINDOWS\system32\blphc1amj0ejj3.scr (Trojan.FakeAlert) -> No action taken. Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\schedule (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\schedule (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\schedule (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> No action taken. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\smrhc5amj0ejj3 (Rogue.Multiple) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autoload (Trojan.Agent) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autoload (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ntuser (Trojan.Agent) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ntuser (Trojan.Agent) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ntuser (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphc1amj0ejj3 (Trojan.FakeAlert) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\firewall auto setup (Trojan.Agent) -> No action taken. Infizierte Datei Objekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Backdoor.Bot) -> Data: c:\windows\system32\ntos.exe -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntosdetect.exe,C:\WINDOWS\system32\ntos.exe,) Good: (userinit.exe) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule\ImagePath (Hijack.Service) -> Bad: (C:\WINDOWS\system32\drivers\spools.exe) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken. Infizierte Verzeichnisse: C:\WINDOWS\system32\wsnpoem (Trojan.Agent) -> No action taken. C:\Programme\rhc5amj0ejj3 (Rogue.Multiple) -> No action taken. C:\Dokumente und Einstellungen\Dramsch\Anwendungsdaten\rhc5amj0ejj3 (Rogue.Multiple) -> No action taken. C:\Dokumente und Einstellungen\Dramsch\Anwendungsdaten\rhc5amj0ejj3\Quarantine (Rogue.Multiple) -> No action taken. C:\Dokumente und Einstellungen\Dramsch\Anwendungsdaten\rhc5amj0ejj3\Quarantine\BrowserObjects (Rogue.Multiple) -> No action taken. C:\Dokumente und Einstellungen\Dramsch\Anwendungsdaten\rhc5amj0ejj3\Quarantine\Packages (Rogue.Multiple) -> No action taken. C:\Dokumente und Einstellungen\Dramsch\Anwendungsdaten\rhc5amj0ejj3\Quarantine\Autorun (Rogue.Multiple) -> No action taken. C:\Dokumente und Einstellungen\Dramsch\Anwendungsdaten\rhc5amj0ejj3\Quarantine\Autorun\HKCU (Rogue.Multiple) -> No action taken. C:\Dokumente und Einstellungen\Dramsch\Anwendungsdaten\rhc5amj0ejj3\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> No action taken. C:\Dokumente und Einstellungen\Dramsch\Anwendungsdaten\rhc5amj0ejj3\Quarantine\Autorun\HKLM (Rogue.Multiple) -> No action taken. C:\Dokumente und Einstellungen\Dramsch\Anwendungsdaten\rhc5amj0ejj3\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> No action taken. C:\Dokumente und Einstellungen\Dramsch\Anwendungsdaten\rhc5amj0ejj3\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> No action taken. C:\Dokumente und Einstellungen\Dramsch\Anwendungsdaten\rhc5amj0ejj3\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> No action taken. C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\rhc5amj0ejj3 (Rogue.Multiple) -> No action taken. C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\rhc5amj0ejj3\Quarantine (Rogue.Multiple) -> No action taken. C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\rhc5amj0ejj3\Quarantine\BrowserObjects (Rogue.Multiple) -> No action taken. C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\rhc5amj0ejj3\Quarantine\Packages (Rogue.Multiple) -> No action taken. C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\rhc5amj0ejj3\Quarantine\Autorun (Rogue.Multiple) -> No action taken. C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\rhc5amj0ejj3\Quarantine\Autorun\HKCU (Rogue.Multiple) -> No action taken. C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\rhc5amj0ejj3\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> No action taken. C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\rhc5amj0ejj3\Quarantine\Autorun\HKLM (Rogue.Multiple) -> No action taken. C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\rhc5amj0ejj3\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> No action taken. C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\rhc5amj0ejj3\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> No action taken. C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\rhc5amj0ejj3\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> No action taken. Infizierte Dateien: C:\WINDOWS\system32\ftpdll.dll (Trojan.Dropper) -> No action taken. C:\Programme\rhc5amj0ejj3\rhc5amj0ejj3Skin.Dll (Rogue.AntivirusXP2008) -> No action taken. C:\WINDOWS\system32\pphc1amj0ejj3.exe (Trojan.FakeAlert) -> No action taken. C:\Dokumente und Einstellungen\LocalService\ftpdll.dll (Trojan.Dropper) -> No action taken. C:\Dokumente und Einstellungen\Dramsch\ftpdll.dll (Trojan.Dropper) -> No action taken. C:\WINDOWS\system32\wsnpoem\002CF9FA.uf (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\wsnpoem\002D2261.uf (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\wsnpoem\002D4B94.uf (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\wsnpoem\002D7321.uf (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\wsnpoem\002D9ACE.uf (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\wsnpoem\002DE97A.uf (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\wsnpoem\002E125F.uf (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\wsnpoem\002E39DC.uf (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\wsnpoem\002E614A.uf (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\wsnpoem\002E9097.uf (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\wsnpoem\002EBB51.uf (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\wsnpoem\002EE436.uf (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\wsnpoem\002F0C5F.uf (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\wsnpoem\002F3563.uf (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\wsnpoem\002F5EA5.uf (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\wsnpoem\audio.dll.cla (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\wsnpoem\audio.dll (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\wsnpoem\video.dll (Trojan.Agent) -> No action taken. C:\Programme\rhc5amj0ejj3\rhc5amj0ejj3.exe (Rogue.Multiple) -> No action taken. C:\Programme\rhc5amj0ejj3\database.dat (Rogue.Multiple) -> No action taken. C:\Programme\rhc5amj0ejj3\msvcp71.dll (Rogue.Multiple) -> No action taken. C:\Programme\rhc5amj0ejj3\MFC71.dll (Rogue.Multiple) -> No action taken. C:\Programme\rhc5amj0ejj3\MFC71ENU.DLL (Rogue.Multiple) -> No action taken. C:\Programme\rhc5amj0ejj3\msvcr71.dll (Rogue.Multiple) -> No action taken. C:\Programme\rhc5amj0ejj3\license.txt (Rogue.Multiple) -> No action taken. C:\Programme\rhc5amj0ejj3\rhc5amj0ejj3.exe.local (Rogue.Multiple) -> No action taken. C:\Programme\rhc5amj0ejj3\Uninstall.exe (Rogue.Multiple) -> No action taken. C:\WINDOWS\system32\drivers\spools.exe (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\phc1amj0ejj3.bmp (Trojan.FakeAlert) -> No action taken. C:\WINDOWS\system32\lphc1amj0ejj3.exe (Trojan.FakeAlert) -> No action taken. C:\WINDOWS\system32\blphc1amj0ejj3.scr (Trojan.FakeAlert) -> No action taken. C:\WINDOWS\system32\ntos.exe (Backdoor.Bot) -> No action taken. C:\Dokumente und Einstellungen\All Users\Desktop\Antivirus XP 2008.lnk (Rogue.AntivirusXP2008) -> No action taken. C:\Dokumente und Einstellungen\Dramsch\Lokale Einstellungen\Temp\.tt1.tmp (Trojan.Downloader) -> No action taken. C:\Dokumente und Einstellungen\Dramsch\Lokale Einstellungen\Temp\.tt3.tmp (Trojan.Downloader) -> No action taken. C:\Dokumente und Einstellungen\Dramsch\Lokale Einstellungen\Temp\.tt2.tmp (Trojan.Downloader) -> No action taken. C:\Dokumente und Einstellungen\Dramsch\Lokale Einstellungen\Temp\.tt5.tmp (Trojan.Downloader) -> No action taken. C:\Dokumente und Einstellungen\Dramsch\Lokale Einstellungen\Temp\.tt4.tmp (Trojan.Downloader) -> No action taken. C:\Dokumente und Einstellungen\Dramsch\Lokale Einstellungen\Temp\.tt7.tmp (Trojan.Downloader) -> No action taken. C:\Dokumente und Einstellungen\Dramsch\Lokale Einstellungen\Temp\.tt9.tmp (Trojan.Downloader) -> No action taken. C:\Dokumente und Einstellungen\Dramsch\Lokale Einstellungen\Temp\.ttB.tmp (Trojan.Downloader) -> No action taken. C:\Dokumente und Einstellungen\Dramsch\Lokale Einstellungen\Temp\.ttD.tmp (Trojan.Downloader) -> No action taken. C:\Dokumente und Einstellungen\Dramsch\Lokale Einstellungen\Temp\.ttF.tmp (Trojan.Downloader) -> No action taken. C:\WINDOWS\Temp\winlogon.exe (Trojan.Agent) -> No action taken. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:33:13, on 10.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE C:\WINDOWS\System32\HPZipm12.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://deutsch.eazel.com/de/index.php?rvs=hompag&d=79919289 O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1160313714030 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe -- End of file - 3891 bytes |
|
|
||
10.07.2008, 22:59
Member
Beiträge: 325 |
#4
Zitat -> No action taken.Du hast vergessen mit Malwarebytes zu fixen, da steht am Ende des Scans ein Button rechts (? oder irgendwo) unten (markiertes Beheben?/Entfernen?/löschen? o ä.) ...knapp 58 min verschenkt Dieser Beitrag wurde am 10.07.2008 um 23:41 Uhr von Provisitor editiert.
|
|
|
||
11.07.2008, 00:29
Moderator
Beiträge: 5694 |
#5
Hallo
Start -- Ausführen -- schreib rein: cmd kopiere von hier aus rein: sc stop Schedule [klicke "enter"] und warte ein bisschen, dann kopiere rein: sc delete Schedule [klicke "enter"] Gruss Swiss Dieser Beitrag wurde am 11.07.2008 um 00:35 Uhr von Tonstudio editiert.
|
|
|
||
11.07.2008, 09:03
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo WD
lasse von Malwarebytes alles gefundene entfernen siehe (Info http://virus-protect.org/artikel/spyware/drivers-spools.html ----------------------------------------------------------- 1. wende cleaner an + lösche die temp-Dateien http://www.ccleaner.de/?protecus.de 2. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere in das weisse Feld: Zitat Folders to delete:schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten) Klicke: Execute bestätige, dass der Rechner neu gestartet wird - klicke "yes" ------------------------------------------------------------------- 3. sdfix http://virus-protect.org/artikel/tools/sdfix.html unter C:\ findet man nun den SDFix-Ordner boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet) gehe in den Ordner C:\SDFix RunThis.bat doppelt klicken + poste hier den Report, der nach Neustart erscheint 4. wende Combofix an - Warnmeldung wegklicken + poste den report http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.07.2008, 21:54
...neu hier
Themenstarter Beiträge: 6 |
#7
SDFix: Version 1.204
Run by Dramsch on 11.07.2008 at 21:36 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Checking Services : Restoring Default Security Values Restoring Default Hosts File Rebooting Checking Files : Trojan Files Found: C:\WINDOWS\Temp\5EA5.tmp.lst - Deleted C:\WINDOWS\Temp\6ACB.tmp.lst - Deleted C:\WINDOWS\Temp\15B2.tmp.lst - Deleted C:\WINDOWS\Temp\1ABF.tmp.lst - Deleted C:\WINDOWS\Temp\36B2.tmp.lst - Deleted C:\WINDOWS\Temp\4FD.tmp.lst - Deleted C:\WINDOWS\Temp\4897.tmp.lst - Deleted C:\WINDOWS\Temp\3D8C.tmp.lst - Deleted C:\WINDOWS\Temp\7CFA.tmp.lst - Deleted C:\WINDOWS\Temp\79BE.tmp.lst - Deleted C:\WINDOWS\Temp\5A6A.tmp.lst - Deleted C:\WINDOWS\Temp\4AC7.tmp.lst - Deleted C:\WINDOWS\Temp\19C4.tmp.lst - Deleted C:\WINDOWS\Temp\200A.tmp.lst - Deleted C:\WINDOWS\Temp\3A07.tmp.lst - Deleted C:\WINDOWS\Temp\30CD.tmp.lst - Deleted C:\WINDOWS\Temp\63F2.tmp.lst - Deleted C:\WINDOWS\Temp\1DB5.tmp.lst - Deleted C:\WINDOWS\Temp\27D5.tmp.lst - Deleted C:\WINDOWS\Temp\46EE.tmp.lst - Deleted C:\WINDOWS\Temp\5581.tmp.lst - Deleted C:\WINDOWS\Temp\65E5.tmp.lst - Deleted C:\WINDOWS\Temp\4027.tmp.lst - Deleted C:\WINDOWS\Temp\5AB8.tmp.lst - Deleted C:\WINDOWS\Temp\55E8.tmp.lst - Deleted C:\WINDOWS\Temp\4EBE.tmp.lst - Deleted C:\WINDOWS\Temp\1CDD.tmp.lst - Deleted C:\WINDOWS\Temp\31C8.tmp.lst - Deleted C:\WINDOWS\Temp\7A9B.tmp.lst - Deleted C:\WINDOWS\Temp\68AB.tmp.lst - Deleted C:\WINDOWS\Temp\430A.tmp.lst - Deleted C:\WINDOWS\Temp\4B24.tmp.lst - Deleted C:\WINDOWS\Temp\77C4.tmp.lst - Deleted C:\WINDOWS\Temp\4893.tmp.lst - Deleted C:\WINDOWS\Temp\58D8.tmp.lst - Deleted C:\WINDOWS\Temp\399B.tmp.lst - Deleted C:\WINDOWS\Temp\1437.tmp.lst - Deleted C:\WINDOWS\Temp\2DA1.tmp.lst - Deleted C:\WINDOWS\Temp\34D1.tmp.lst - Deleted C:\WINDOWS\Temp\14B9.tmp.lst - Deleted C:\WINDOWS\Temp\5DAA.tmp.lst - Deleted C:\WINDOWS\Temp\1DAA.tmp.lst - Deleted C:\WINDOWS\Temp\5627.tmp.lst - Deleted C:\WINDOWS\Temp\3469.tmp.lst - Deleted C:\WINDOWS\Temp\2F9B.tmp.lst - Deleted C:\WINDOWS\Temp\1AFE.tmp.lst - Deleted C:\WINDOWS\Temp\1C5D.tmp.lst - Deleted C:\WINDOWS\Temp\17BA.tmp.lst - Deleted C:\WINDOWS\Temp\56E3.tmp.lst - Deleted C:\WINDOWS\Temp\6567.tmp.lst - Deleted C:\WINDOWS\Temp\67D3.tmp.lst - Deleted C:\DOKUME~1\Dramsch\LOKALE~1\Temp\.tt2D.tmp - Deleted C:\DOKUME~1\Dramsch\LOKALE~1\Temp\.tt2F.tmp - Deleted C:\DOKUME~1\Dramsch\LOKALE~1\Temp\.tt31.tmp - Deleted C:\DOKUME~1\Dramsch\LOKALE~1\Temp\.tt33.tmp - Deleted C:\DOKUME~1\Dramsch\LOKALE~1\Temp\.tt35.tmp - Deleted C:\DOKUME~1\Dramsch\LOKALE~1\Temp\.tt37.tmp - Deleted C:\DOKUME~1\Dramsch\LOKALE~1\Temp\.tt39.tmp - Deleted C:\DOKUME~1\Dramsch\LOKALE~1\Temp\.tt11.tmp - Deleted C:\DOKUME~1\Dramsch\LOKALE~1\Temp\.tt13.tmp - Deleted C:\DOKUME~1\Dramsch\LOKALE~1\Temp\.tt15.tmp - Deleted C:\DOKUME~1\Dramsch\LOKALE~1\Temp\.tt17.tmp - Deleted C:\DOKUME~1\Dramsch\LOKALE~1\Temp\.tt19.tmp - Deleted C:\DOKUME~1\Dramsch\LOKALE~1\Temp\.tt1B.tmp - Deleted C:\DOKUME~1\Dramsch\LOKALE~1\Temp\.tt1D.tmp - Deleted C:\DOKUME~1\Dramsch\LOKALE~1\Temp\.tt1F.tmp - Deleted C:\DOKUME~1\Dramsch\LOKALE~1\Temp\.tt21.tmp - Deleted C:\DOKUME~1\Dramsch\LOKALE~1\Temp\.tt23.tmp - Deleted C:\DOKUME~1\Dramsch\LOKALE~1\Temp\.tt25.tmp - Deleted C:\DOKUME~1\Dramsch\LOKALE~1\Temp\.tt2B.tmp - Deleted Removing Temp Files ADS Check : Final Check : catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-11 21:42:20 Windows 5.1.2600 Service Pack 2 FAT NTAPI scanning hidden processes ... scanning hidden services ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services : Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\SopCast\\SopCast.exe"="C:\\Programme\\SopCast\\SopCast.exe:*:Enabled:SopCast Main Application" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" Remaining Files : File Backups: - C:\SDFix\backups\backups.zip Files with Hidden Attributes : Sun 22 Apr 2007 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak" Wed 22 Dec 2004 76,568 ..SHR --- "C:\Programme\Autodesk\Autodesk DWF Viewer\Setup.exe" Thu 13 Jan 2005 11,360 A.SHR --- "C:\Programme\Autodesk\Autodesk DWF Viewer\_Setupx.dll" Wed 7 May 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\851ec77bad9deffe5a3e6f29ba9e9716\BIT1.tmp" Sat 5 Jul 2008 580,672 A.SH. --- "C:\Dokumente und Einstellungen\Dramsch\Eigene Dateien\USB STICK\autorun.exe" Sat 13 Nov 2004 37,376 ...H. --- "C:\Programme\Gemeinsame Dateien\Adobe\ESD\DLMCleanup.exe" Finished! ComboFix 08-07-05.1 - Dramsch 2008-07-11 21:49:26.1 - [color=red]FAT32[/color]x86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.74 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Dramsch\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . ((((((((((((((((((((((( Dateien erstellt von 2008-06-11 bis 2008-07-11 )))))))))))))))))))))))))))))) . 2008-07-11 21:33 . 2008-07-11 21:33 <DIR> d-------- C:\WINDOWS\ERUNT 2008-07-11 21:27 . 2008-07-09 11:52 <DIR> d-------- C:\SDFix 2008-07-10 22:38 . 2008-07-10 22:38 <DIR> d--hs---- C:\FOUND.002 2008-07-10 20:55 . 2008-07-10 20:55 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-07-10 20:55 . 2008-07-10 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\Dramsch\Anwendungsdaten\Malwarebytes 2008-07-10 20:55 . 2008-07-10 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-07-10 20:55 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys 2008-07-10 20:55 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-07-10 20:41 . 2008-07-10 20:41 <DIR> d-------- C:\Programme\CCleaner 2008-07-10 18:41 . 2008-07-10 18:41 <DIR> d-------- C:\Programme\Trend Micro 2008-07-10 18:02 . 2008-07-10 18:02 <DIR> d-------- C:\Programme\Avira 2008-07-10 18:02 . 2008-07-10 18:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-07-10 13:16 . 2008-07-10 13:16 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Favoriten 2008-07-07 11:44 . 2008-07-07 11:44 <DIR> d-------- C:\0c112799883dbf037cfef66acb 2008-07-06 14:45 . 2008-07-06 14:45 <DIR> d-------- C:\Programme\SopCast 2008-06-20 19:39 . 2008-06-20 19:39 247,296 --------- C:\WINDOWS\system32\dllcache\mswsock.dll 2008-06-20 12:44 . 2008-06-20 12:44 138,368 --------- C:\WINDOWS\system32\dllcache\afd.sys 2008-06-11 15:33 . 2008-06-14 19:57 273,024 --------- C:\WINDOWS\system32\dllcache\bthport.sys . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll 2008-06-20 17:39 148,992 ----a-w C:\WINDOWS\system32\dllcache\dnsapi.dll 2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys 2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\dllcache\tcpip.sys 2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys 2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys 2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\dllcache\tcpip6.sys 2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys 2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\dllcache\rmcast.sys 2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll 2008-05-07 05:14 1,293,312 ------w C:\WINDOWS\system32\dllcache\quartz.dll 2008-04-17 10:52 18,432 ------w C:\WINDOWS\system32\dllcache\iedw.exe 2007-06-12 17:57 19,000 ----a-w C:\Dokumente und Einstellungen\Dramsch\Anwendungsdaten\GDIPFONTCACHEV1.DAT . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57 15360] "updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 20:33 57344] "HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 23:12 49152] "SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_05\bin\jusched.exe" [2005-08-26 18:14 36975] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-08-31 12:25 249896] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\SopCast\\SopCast.exe"= R3 trid3d;trid3d;C:\WINDOWS\system32\DRIVERS\trid3dm.sys [2001-08-01 00:27] . - - - - ORPHANS REMOVED - - - - HKLM-Run-RegistryMechanic - (no file) HKLM-Run-NWEReboot - (no file) ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-11 21:51:43 Windows 5.1.2600 Service Pack 2 FAT NTAPI Scanne versteckte Prozesse... C:\WINDOWS\EXPLORER.EXE [1208] 0xFFA53968 Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-07-11 21:52:39 ComboFix-quarantined-files.txt 2008-07-11 19:52:32 17 Verzeichnis(se), 29,453,746,176 Bytes frei 24 Verzeichnis(se), 29,461,544,960 Bytes frei 96 --- E O F --- 2008-07-09 19:27:51 |
|
|
||
11.07.2008, 22:15
Ehrenmitglied
Beiträge: 29434 |
#8
««
scanne mit Kaspersky - Virus Removal Tool - AVPTool - scanne bitte im abgesicherten Modus ! http://virus-protect.org/artikel/tools/kaspersky.html poste dann hier den report (den teil, wo eventuell Viren angezeigt werden) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.07.2008, 18:44
...neu hier
Themenstarter Beiträge: 6 |
#9
So das hat schon etwas gedauert aber war auch erfolgreich: hier der Report über infizierte Objekte, ist nun wieder alles ok?
Detected -------- Status Object ------ ------ deleted: Trojan program Trojan-Spy.Win32.Zbot.dbf File: C:\System Volume Information\_restore{2708F7D5-E00C-4E5A-A85E-BDD11CD42FDD}\RP5\A0001008.exe deleted: riskware not-a-virus:RiskTool.Win32.Reboot.f File: C:\Dokumente und Einstellungen\Dramsch\Desktop\SmitfraudFix.exe/SmitfraudFix\Reboot.exe deleted: riskware not-a-virus:RiskTool.Win32.Reboot.f File: C:\Dokumente und Einstellungen\Dramsch\Desktop\SmitfraudFix.zip/SmitfraudFix/Reboot.exe deleted: riskware not-a-virus:RiskTool.Win32.Reboot.f File: C:\Dokumente und Einstellungen\Dramsch\Desktop\Navilog1.exe//file11 deleted: riskware not-a-virus:RiskTool.Win32.Reboot.f File: C:\System Volume Information\_restore{2708F7D5-E00C-4E5A-A85E-BDD11CD42FDD}\RP6\A0001143.exe/SmitfraudFix\Reboot.exe deleted: riskware not-a-virus:RiskTool.Win32.Reboot.f File: C:\System Volume Information\_restore{2708F7D5-E00C-4E5A-A85E-BDD11CD42FDD}\RP6\A0001144.exe//file11 deleted: riskware not-a-virus:RiskTool.Win32.Reboot.f File: c:\system volume information\_restore{2708f7d5-e00c-4e5a-a85e-bdd11cd42fdd}\rp6\a0001143.exe deleted: riskware not-a-virus:RiskTool.Win32.Reboot.f File: C:\System Volume Information\_restore{2708F7D5-E00C-4E5A-A85E-BDD11CD42FDD}\RP6\A0001144.exe |
|
|
||
12.07.2008, 18:56
Moderator
Beiträge: 5694 |
#10
Das sind lediglich Dateien von den benutzen Reinigungsprogramme welche hier angezeigt werden. Der Rest ist in der Wiederherstellung.
Mach dazu folgendes: Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. dann das Häkchen wieder rausnehmen.(also wieder aktivieren) Gruss Swiss |
|
|
||
12.07.2008, 19:00
Member
Beiträge: 325 |
#11
Zitat System Volume Information\_restore...sind Dateien die aus Deiner Systemwiederherstellung stammen. Es sind überreste von den Smitfraudfix Programm die ein Virenscaner anmeckert weil sie ähnliche Muster wie Viren in sich haben, sind aber nicht gefährlich. Sollte sie der Virenscanner nicht beseitigt haben genügt auch ein Refresh der Systemwiederherstellung. Das aber nur machen wenn alles funktioniert, und Du sie nicht benötigst.--Aber immer hinterher gleich wieder aktivieren !! -da war einer schneller |
|
|
||
12.07.2008, 19:19
Ehrenmitglied
Beiträge: 29434 |
#12
Hallo WD
bis jetzt sieht es ganz gut aus. Lade AVZ - scanne + poste den report http://virus-protect.org/artikel/tools/avz.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.07.2008, 11:38
...neu hier
Themenstarter Beiträge: 6 |
#13
So das AVZ hat glaube ich nichts finden können:
AVZ Antiviral Toolkit log; AVZ version is 4.30 Scanning started at 13.07.2008 11:17:33 Database loaded: signatures - 175965, NN profile(s) - 2, microprograms of healing - 56, signature database released 12.07.2008 22:19 Heuristic microprograms loaded: 370 SPV microprograms loaded: 9 Digital signatures of system files loaded: 71502 Heuristic analyzer mode: Medium heuristics level Healing mode: enabled Windows version: 5.1.2600, Service Pack 2 ; AVZ is launched with administrator rights System Restore: enabled 1. Searching for Rootkits and programs intercepting API functions 1.1 Searching for user-mode API hooks Analysis: kernel32.dll, export table found in section .text Analysis: ntdll.dll, export table found in section .text Analysis: user32.dll, export table found in section .text Analysis: advapi32.dll, export table found in section .text Analysis: ws2_32.dll, export table found in section .text Analysis: wininet.dll, export table found in section .text Analysis: rasapi32.dll, export table found in section .text Analysis: urlmon.dll, export table found in section .text Analysis: netapi32.dll, export table found in section .text 1.2 Searching for kernel-mode API hooks Driver loaded successfully SDT found (RVA=082680) Kernel ntoskrnl.exe found in memory at address 804D7000 SDT = 80559680 KiST = 804E26A8 (284) Functions checked: 284, intercepted: 0, restored: 0 1.3 Checking IDT and SYSENTER Analysis for CPU 1 Checking IDT and SYSENTER - complete 1.4 Searching for masking processes and drivers Checking not performed: extended monitoring driver (AVZPM) is not installed Driver loaded successfully 1.5 Checking of IRP handlers Checking - complete 2. Scanning memory Number of processes found: 23 Number of modules loaded: 251 Scanning memory - complete 3. Scanning disks 4. Checking Winsock Layered Service Provider (SPI/LSP) LSP settings checked. No errors detected 5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs) 6. Searching for opened TCP/UDP ports used by malicious programs Checking disabled by user 7. Heuristic system check Checking - complete 8. Searching for vulnerabilities >> Services: potentially dangerous service allowed: TermService (Terminaldienste) >> Services: potentially dangerous service allowed: SSDPSRV (SSDP-Suchdienst) >> Services: potentially dangerous service allowed: mnmsrvc (NetMeeting-Remotedesktop-Freigabe) >> Services: potentially dangerous service allowed: RDSessMgr (Sitzungs-Manager für Remotedesktophilfe) > Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)! >> Security: disk drives' autorun is enabled >> Security: administrative shares (C$, D$ ...) are enabled >> Security: anonymous user access is enabled >> Security: sending Remote Assistant queries is enabled Checking - complete 9. Troubleshooting wizard Checking - complete Files scanned: 69818, extracted from archives: 53700, malicious software found 0, suspicions - 0 Scanning finished at 13.07.2008 11:36:26 Time of scanning: 00:18:58 If you have a suspicion on presence of viruses or questions on the suspected objects, you can address http://virusinfo.info conference |
|
|
||
13.07.2008, 13:23
Ehrenmitglied
Beiträge: 29434 |
#14
ja, es ist alles wieder in Ordnung.
wenn es noch Probleme gibt, melde dich __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.07.2008, 13:44
...neu hier
Themenstarter Beiträge: 6 |
#15
Ja Super vielmals Dank für Eure kompetente Hilfe. Das war echt spitze!!!
|
|
|
||
Habe ein ähnliches Problem wie viele andere Nutzer in diesem Forum:
Ich habe jetzt einen blauen Bildschirm mit gelbem Fenster in dem steht: Spyware detected on your Computer Pklease download Antivirussoftware etc. Außerdem kommt immer eine Meldung unten rechts Antivirus has found 1437 viruses on your Computer, allerdings ist es aufgrund der Aufmachung offensichtlich, dass diese Warnung nicht von XP stammt und ein anderes Programm dahinter steckt, ebenso wie die Aufforderung zum Kauf von Antivirussoftware per Kreditkarte.
Habe schonmal den HiJackThis scan laufen lassen, unten das Ergebnis. Vielen Dank für Eure Hilfe, WD
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:22:39, on 10.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\drivers\spools.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\lphc1amj0ejj3.exe
C:\Programme\rhc5amj0ejj3\rhc5amj0ejj3.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\pphc1amj0ejj3.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\spools.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntosdetect.exe,C:\WINDOWS\system32\ntos.exe,
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [autoload] C:\Dokumente und Einstellungen\LocalService\Local Settings\Application Data\cftmon.exe
O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKLM\..\Run: [lphc1amj0ejj3] C:\WINDOWS\system32\lphc1amj0ejj3.exe
O4 - HKLM\..\Run: [SMrhc5amj0ejj3] C:\Programme\rhc5amj0ejj3\rhc5amj0ejj3.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [autoload] C:\Dokumente und Einstellungen\Dramsch\Local Settings\Application Data\cftmon.exe
O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Firewall auto setup] C:\WINDOWS\TEMP\winlogon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1160313714030
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Taskplaner (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe
--
End of file - 5044 bytes