Mein PC ist mit VIRUS ALERT befallen (glaube steckt mehr dahinter!!) |
||
---|---|---|
#0
| ||
11.07.2008, 15:57
...neu hier
Beiträge: 10 |
||
|
||
11.07.2008, 17:35
Member
Beiträge: 325 |
#2
Wie sieht Dein PC jetzt nach Smitfraudfix aus, würde mich auch mal interessieren !?
Die erfolgreichsten User mit diesem Virus haben mit CCleaner angefangen und die Temp-Dateien gelöscht. -Dann Malwarebytes angewendet und damit alles gefundene auch angehakt und entfernt und danach den Log gepostet http://virus-protect.org/artikel/tools/malwarebytes.html -Danach Combofix angewendet und auch den Log gepostet: http://virus-protect.org/artikel/tools/combofix.html Dann hat sich ein Moderator die Log's angesehen, und noch ein paar Anweisungen gegeben. - und schwupps das Ding haste wieder los... |
|
|
||
11.07.2008, 18:28
...neu hier
Themenstarter Beiträge: 10 |
#3
Also nach Smitfraudfix hat sich nichts geändert..ich denke, es lag einfach daran, weil das Programm überhaupt keinen Zugriff hatte bzw. wurde jeder Zugriff verweigert außer Temp-Dateien..??glaube ich...
Aber es hat bei mir nichts gebracht...leider....... Ich habe relativ wenig Ahnung davon aber ich denke der PC ist auch mit Malware und Spyware infiziert!! (es sind doch verschiedene Viren oder???) |
|
|
||
11.07.2008, 18:53
Member
Beiträge: 325 |
#4
Dann abarbeiten wie oben beschrieben,das hat bei 99% der VIRUS ALERT geklappt. Wenn Malwarebytes im normalen nicht geht, dann im abgesicherten !
...möglichst Full-Scan --kann auch 45-60 min dauern (in der Regel) und löschen der gefundenen Sachen nicht vergessen !!! sonst hast Du die 45 min vergeigt. ...fange aber wie oben beschrieben mit CCleaner an. bin nach 21.00 wieder da MfG Provisitor |
|
|
||
11.07.2008, 20:10
Ehrenmitglied
Beiträge: 29434 |
#5
Hallo CanLeon
« du musst mit malwarebytes scannen (alles entfernen lassen,was gefunden wird) wenn das erledigt ist: « wende combofix an , warnmeldung wegklicken + poste hier den report http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.07.2008, 16:32
...neu hier
Themenstarter Beiträge: 10 |
#6
Zitat Sabina posteteHallo Sabina, ich danke erstmal für die schnelle Antwort. Aber wie mach ich das Erste bloss? meine "mit malwarebytes scannen" und das in den klammern??? Sorry........ |
|
|
||
14.07.2008, 16:36
Moderator
Beiträge: 5694 |
#7
Hallo CanLeon
Hier ist alles beschrieben: http://virus-protect.org/artikel/tools/malwarebytes.html Malwarebytes runterladen, installieren und scannen. Am Schluss musst du alles gefundene löschen. >> Danach Combofix, ist auch alles beschrieben hier: http://virus-protect.org/artikel/tools/combofix.html |
|
|
||
14.07.2008, 18:11
...neu hier
Themenstarter Beiträge: 10 |
||
|
||
14.07.2008, 18:15
Ehrenmitglied
Beiträge: 29434 |
||
|
||
21.07.2008, 10:00
...neu hier
Themenstarter Beiträge: 10 |
#10
Hallo,
endlich kam ich am WE dazu, Eure Vorschläge anzuwenden... Hier der Bericht von combofix: Dahinter folgt der Bericht von Malware.. Danke für Eure Hilfe.. ComboFix 08-07-13.12 - hakan 2008-07-20 22:14:37.2 - NTFSx86 ausgeführt von:: E:\ComboFix.exe [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\hakan\Desktop\Spyware-Secure trial.lnk . ---- Previous Run ------- . C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\UltimateCleaner 2007 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\UltimateCleaner 2007\Register UltimateCleaner 2007.lnk C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\UltimateCleaner 2007\Start UltimateCleaner 2007.lnk C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\UltimateCleaner 2007\Uninstall UltimateCleaner 2007.lnk C:\Dokumente und Einstellungen\hakan\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus-2008pro.lnk C:\Dokumente und Einstellungen\hakan\Anwendungsdaten\microsoft\internet explorer\quick launch\Start UltimateCleaner 2007.lnk C:\Dokumente und Einstellungen\hakan\Anwendungsdaten\Ultimate Cleaner C:\Dokumente und Einstellungen\hakan\Anwendungsdaten\Ultimate Cleaner\settings.dat C:\Dokumente und Einstellungen\hakan\Desktop\antivirus-2008pro.lnk C:\Dokumente und Einstellungen\hakan\Desktop\Ultimate Cleaner 2007.lnk c:\Dokumente und Einstellungen\hakan\Lokale Einstellungen\Anwendungsdaten\ugsqmmi.dat c:\dokumente und einstellungen\hakan\lokale einstellungen\anwendungsdaten\ugsqmmi.exe C:\Dokumente und Einstellungen\hakan\Lokale Einstellungen\Anwendungsdaten\ugsqmmi_nav.dat C:\Dokumente und Einstellungen\hakan\Lokale Einstellungen\Anwendungsdaten\ugsqmmi_navps.dat C:\Dokumente und Einstellungen\hakan\Startmenü\Programme\Antivirus 2008 PRO C:\Dokumente und Einstellungen\hakan\Startmenü\Programme\Antivirus 2008 PRO\antivirus-2008pro.lnk C:\Dokumente und Einstellungen\hakan\Startmenü\Programme\PlayMP3z C:\Dokumente und Einstellungen\hakan\Startmenü\Programme\PlayMP3z\Run PlayMP3z.lnk C:\Dokumente und Einstellungen\hakan\Startmenü\Programme\Spyware-Secure C:\Dokumente und Einstellungen\hakan\Startmenü\Programme\Spyware-Secure\Spyware-Secure trial.lnk C:\Dokumente und Einstellungen\hakan\Startmenü\Programme\Spyware-Secure\Website.lnk C:\iSecurity C:\Programme\Antivirus 2008 PRO C:\Programme\Antivirus 2008 PRO\antivirus-2008pro.exe C:\Programme\Antivirus 2008 PRO\vscan.tsi C:\Programme\Antivirus 2008 PRO\zlib.dll C:\Programme\iSecurity C:\Programme\iSecurity\iSecurity.html C:\Programme\iSecurity\v20\iSecurity.cpl C:\Programme\myglobalsearch C:\Programme\myglobalsearch\bar\1.bin\M9FFXTBR.JAR C:\Programme\myglobalsearch\bar\1.bin\M9FFXTBR.MANIFEST C:\Programme\myglobalsearch\bar\1.bin\M9NTSTBR.JAR C:\Programme\myglobalsearch\bar\1.bin\M9NTSTBR.MANIFEST C:\Programme\myglobalsearch\bar\1.bin\M9PLUGIN.DLL C:\Programme\myglobalsearch\bar\1.bin\MGSBAR.DLL C:\Programme\myglobalsearch\bar\1.bin\NPMYGLSH.DLL C:\Programme\myglobalsearch\bar\Cache\0003802D C:\Programme\myglobalsearch\bar\Cache\00DA5280.bin C:\Programme\myglobalsearch\bar\Cache\00DA5455.bin C:\Programme\myglobalsearch\bar\Cache\00DA559D.bin C:\Programme\myglobalsearch\bar\Cache\files.ini C:\Programme\myglobalsearch\bar\History\search C:\Programme\myglobalsearch\bar\Settings\prevcfg.htm C:\Programme\MyWay C:\Programme\MyWay\myBar\History\search C:\Programme\MyWay\myBar\Settings\prevcfg.htm C:\Programme\PlayMP3z C:\Programme\PlayMP3z\PlayMP3.exe C:\Programme\PlayMP3z\uninstall.exe C:\Programme\sprof C:\Programme\sprof\sprof.exe C:\Programme\Ultimate Cleaner C:\Programme\Ultimate Cleaner\com\ucsecuredelete.dll C:\Programme\Ultimate Cleaner\program.info C:\Programme\Ultimate Cleaner\ucleaner.pkg C:\Programme\Ultimate Cleaner\UltimateCleaner.db C:\Programme\Ultimate Cleaner\UltimateCleaner.exe C:\Programme\Ultimate Cleaner\Uninstall.exe C:\Programme\winupdates C:\SystemDefender.lnk C:\WINDOWS\axrfgvek.dll C:\WINDOWS\cookies.ini C:\WINDOWS\eane.exe C:\WINDOWS\mrvtdpqe.exe C:\WINDOWS\NDNuninstall7_22.exe C:\WINDOWS\NDNuninstall7_48.exe C:\WINDOWS\okmdepgb.dll C:\WINDOWS\smdat32a.sys C:\WINDOWS\smdat32m.sys C:\WINDOWS\system32\734914 C:\WINDOWS\system32\734914\734914.dll C:\WINDOWS\system32\bntajyiy.ini C:\WINDOWS\system32\cmd.com C:\WINDOWS\system32\config\systemprofile\Desktop\SystemDefender.lnk C:\WINDOWS\system32\dmdhjnim.dll C:\WINDOWS\system32\drivers\npf.sys C:\WINDOWS\system32\ISECUR~1.CPL C:\WINDOWS\system32\iSecurity.cpl C:\WINDOWS\system32\jhfbxmcy.ini C:\WINDOWS\system32\mcrh.tmp C:\WINDOWS\system32\minjhdmd.ini C:\WINDOWS\system32\netstat.com C:\WINDOWS\system32\nvs2.inf C:\WINDOWS\system32\Packet.dll C:\WINDOWS\system32\ping.com C:\WINDOWS\system32\qljuccql.ini C:\WINDOWS\system32\regedit.com C:\WINDOWS\system32\service.exe C:\WINDOWS\system32\ssqRKdbx.dll C:\WINDOWS\system32\taskkill.com C:\WINDOWS\system32\tasklist.com C:\WINDOWS\system32\tracert.com C:\WINDOWS\system32\UpMedia C:\WINDOWS\system32\vmxokmuj.ini C:\WINDOWS\system32\WanPacket.dll C:\WINDOWS\system32\WinNB57.dll C:\WINDOWS\system32\wpcap.dll C:\WINDOWS\system32\xbdKRqss.ini C:\WINDOWS\system32\xbdKRqss.ini2 C:\WINDOWS\system32\yiyjatnb.dll . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_NPF -------\Service_NPF ((((((((((((((((((((((( Dateien erstellt von 2008-06-20 bis 2008-07-20 )))))))))))))))))))))))))))))) . 2008-07-17 16:19 . 2008-07-17 16:19 <DIR> d-------- C:\WINDOWS\resources 2008-07-07 20:41 . 2008-07-07 20:41 552 --a------ C:\WINDOWS\system32\d3d8caps.dat 2008-07-07 20:19 . 2008-07-07 21:16 3,184 --a------ C:\WINDOWS\system32\tmp.reg 2008-07-07 20:17 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-07-07 20:17 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-07-07 20:17 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe 2008-07-07 20:17 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-07-07 20:17 . 2008-07-02 13:33 82,432 --a------ C:\WINDOWS\system32\IEDFix.C.exe 2008-07-07 20:17 . 2008-05-23 18:21 81,920 --a------ C:\WINDOWS\system32\404Fix.exe 2008-07-07 20:17 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-07-07 20:17 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-07-07 20:17 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2008-07-07 20:14 . 2004-12-07 18:48 <DIR> d--h-c--- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2008-07-07 20:14 . 2004-12-07 18:44 <DIR> dr---c--- C:\Dokumente und Einstellungen\Administrator\Startmenü 2008-07-07 20:14 . 2004-12-07 18:44 <DIR> d--h-c--- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2008-07-07 20:14 . 2008-07-20 22:25 <DIR> d--h-c--- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2008-07-07 20:14 . 2004-12-07 18:44 <DIR> d----c--- C:\Dokumente und Einstellungen\Administrator\Favoriten 2008-07-07 20:14 . 2004-12-07 18:44 <DIR> d--h-c--- C:\Dokumente und Einstellungen\Administrator\Druckumgebung 2008-07-07 20:14 . 2008-03-07 20:50 <DIR> dr-h-c--- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2008-07-07 20:14 . 2008-07-07 20:14 <DIR> d----c--- C:\Dokumente und Einstellungen\Administrator 2008-07-04 20:32 . 2008-07-06 20:09 1,756 --a--c--- C:\Antivirus XP 2008.lnk 2008-07-04 20:19 . 2008-07-04 20:19 138,752 --a--c--- C:\tmp6639841.dll 2008-07-04 20:12 . 2008-07-20 22:11 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-07-04 20:12 . 2008-07-20 22:11 1,409 --a------ C:\WINDOWS\QTFont.for 2008-07-03 12:35 . 2008-07-03 12:35 28,800 --a------ C:\WINDOWS\system32\hgGyywVO.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-20 20:09 --------- d-----w C:\Programme\Spyware Doctor 2008-07-20 19:44 --------- dc--a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-07-20 19:24 --------- d-----w C:\Programme\WLAN Monitor 2008-07-20 18:38 --------- dc----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater 2008-07-06 19:05 --------- d-----w C:\Programme\NavigationAdvisor 2008-06-08 11:26 338,437 ----a-w C:\Programme\Bild 047.jpg 2008-06-04 08:07 --------- d-----w C:\Programme\Spyware-Secure 2008-06-03 16:37 --------- d-----w C:\Programme\McDonaldsDragons 2008-05-31 15:24 --------- d-----w C:\Programme\Realore 2008-05-28 09:50 --------- dc----w C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\PC Suite 2008-04-23 07:39 39,397 -c--a-w C:\Programme\default 2008-04-02 19:15 24,792,728 ----a-w C:\Programme\AdbeRdr812_de_DE.exe 2007-05-09 14:14 774,144 ----a-w C:\Programme\RngInterstitial.dll 2006-10-09 19:57 91,344 ----a-w C:\Dokumente und Einstellungen\hakan\Anwendungsdaten\errorsafefreeinstall_de[1].exe 2006-08-21 19:05 688,218 ----a-w C:\Programme\Glockenspiel_Dresdner_Zwinger_twelve_o_clock.ogg 2006-07-08 17:44 4,334,920 ----a-w C:\Programme\BSINSTALLDE.exe 2006-06-06 11:44 12,662,176 ----a-w C:\Programme\RealPlayer10-5GOLD.exe 2006-05-03 21:59 1,039,452 ----a-w C:\Programme\wrar351d.exe 2006-03-21 21:45 346,164 ----a-w C:\Programme\BSLITEINSTALL521.exe 2006-01-19 18:07 8,939,520 ----a-w C:\Programme\avwinsfx.exe 2006-01-17 18:49 1,867,906 ----a-w C:\Programme\eMule44b-v16-webcache.exe 2005-12-08 15:06 51,712 ----a-w C:\Programme\ButterflyOasis.exe 2004-12-16 21:29 56 --sh--r C:\WINDOWS\system32\B04AF1CD58.sys 2004-12-16 21:29 1,682 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5D72C2A4-9AC6-4727-A705-CEA1F0220B78}] 2008-07-03 12:35 28800 --a------ C:\WINDOWS\system32\hgGyywVO.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 13:55 5674352] "swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-08 16:24 68856] "AdobeUpdater"="C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe" [2007-03-01 10:37 2321600] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "wlconfig"="C:\Programme\WLAN Monitor\wlconfig.exe" [2005-09-28 18:12 1347584] "KAVPersonal50"="C:\Programme\Steganos AntiVirus 7\kav.exe" [2004-09-13 14:12 122979] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-11 21:43 7630848] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-06-06 13:46 180269] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-07-27 18:54 77824] "PCSuiteTrayApplication"="C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-06-18 16:10 271360] "ISTray"="C:\Programme\Spyware Doctor\pctsTray.exe" [2008-02-01 13:55 1103240] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792] "SoundMan"="SOUNDMAN.EXE" [2004-12-11 12:30 46592 C:\WINDOWS\SOUNDMAN.EXE] "BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 09:58 110592 C:\WINDOWS\system32\bthprops.cpl] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360] "Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 11:17 1241088] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Google Updater.lnk - C:\Programme\Google\Google Updater\GoogleUpdater.exe [2007-09-13 22:16:51 126136] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{5D72C2A4-9AC6-4727-A705-CEA1F0220B78}"= "C:\WINDOWS\system32\hgGyywVO.dll" [2008-07-03 12:35 28800] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\hgGyywVO] 2008-07-03 12:35 28800 C:\WINDOWS\system32\hgGyywVO.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] WinUpdate REG_SZ C:\Dokumente und Einstellungen\hakan\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OP4NO7CR\Rechnung[1].pdf.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe "SweetIM"=C:\Programme\Macrogaming\SweetIM\SweetIM.exe "WhenUSave"="C:\Programme\Save\Save.exe" "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" "msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" /background "AntiSpyware7"="C:\Programme\Steganos AntiSpyware 7\aspy7.exe" /0 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime "MPTBox"=C:\Programme\Canon\MultiPASS4\MPTBox.exe "DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 "RemoteControl"=C:\Programme\CyberLink\PowerDVD\PDVDServ.exe "BearFlix"="C:\Programme\BearFlix\BearFlix.exe" /pause "zinit32"=C:\WINDOWS\ZInit32.exe "SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_11\bin\jusched.exe" "NvMediaCenter"=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit "New.net Startup"=rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,ClientStartup -s "nwiz"=nwiz.exe /install "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot "SweetIM"=C:\Programme\Macrogaming\SweetIM\SweetIM.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Messenger\\msmsgs.exe"= "C:\\Programme\\BearShare\\BearShare.exe"= "C:\\Programme\\BearFlix\\bearflix.exe"= "C:\\Programme\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"= "C:\\Programme\\Nero\\Nero 7\\Nero ShowTime\\ShowTime.exe"= "C:\\Programme\\MSN Messenger\\msnmsgr.exe"= "C:\\Programme\\MSN Messenger\\livecall.exe"= "C:\\Programme\\Haufe\\iDesk\\iDeskService\\pythonw.exe"= R1 Klmc;Klmc;C:\WINDOWS\system32\drivers\klmc.sys [2004-08-10 10:18] R2 accsvc;AccSys WiFi Component;C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe [2005-09-14 11:56] R2 atjsgt;atjsgt;C:\WINDOWS\system32\DRIVERS\atjsgt.sys [2006-01-12 19:31] R2 DatevPrintService;DATEV Druckservice;C:\DATEV\SYSTEM\PSNTSERV.EXE [2001-11-30 08:41] R2 linsgt;linsgt;C:\WINDOWS\system32\DRIVERS\linsgt.sys [2006-01-12 19:31] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 09:58] S0 ElbyVCD;ElbyVCD;C:\WINDOWS\system32\DRIVERS\ElbyVCD.sys [] S3 HRService;Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope;C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe [2006-10-23 03:39] S3 whfltr2k;WheelMouse USB Lower Filter Driver;C:\WINDOWS\system32\DRIVERS\whfltr2k.sys [2001-10-01 22:18] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D] \Shell\AutoRun\command - D:\setupSNK.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E] \Shell\AutoRun\command - E:\KIS7MEHRPLATZ.EXE . Inhalt des "geplante Tasks" Ordners "2008-06-20 15:17:08 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe "2008-06-20 13:00:01 C:\WINDOWS\Tasks\Norton Security Scan.job" - C:\Programme\Norton Security Scan\Nss.exe . - - - - ORPHANS REMOVED - - - - HKCU-RunServices-WinUpdate - C:\Dokumente und Einstellungen\hakan\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OP4NO7CR\Rechnung[1].pdf.exe HKLM-Run-14df5ee6 - C:\WINDOWS\system32\yiyjatnb.dll SSODL-PreBootCheck-{ae3a4636-c77d-4c68-8f49-6c9fbfe4ddd4} - (no file) ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-20 22:26:25 Windows 5.1.2600 Service Pack 2 NTFS detected NTDLL code modification: ZwClose Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\system32\winlogon.exe -> C:\WINDOWS\system32\hgGyywVO.dll . Zeit der Fertigstellung: 2008-07-20 22:47:58 ComboFix-quarantined-files.txt 2008-07-20 20:46:46 23 Verzeichnis(se), 18,407,116,800 Bytes frei 27 Verzeichnis(se), 18,409,070,592 Bytes frei 283 --- E O F --- 2008-03-12 20:04:16 --------------------------------------------------------------------------- AB HIER DER BERICHT VON MALWAREBYTES: Malwarebytes' Anti-Malware 1.20 Datenbank Version: 930 Windows 5.1.2600 Service Pack 2 23:56:29 20.07.2008 mbam-log-7-20-2008 (23-56-29).txt Scan Art: Komplett Scan (C:\|D:\|E:\|) Objekte gescannt: 170357 Scan Dauer: 50 minute(s), 31 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 1 Infizierte Registrierungsschlüssel: 26 Infizierte Registrierungswerte: 3 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 4 Infizierte Dateien: 48 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: C:\WINDOWS\system32\hgGyywVO.dll (Trojan.Vundo) -> Unloaded module successfully. Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\CLSID\{5d72c2a4-9ac6-4727-a705-cea1f0220b78} (Trojan.Vundo) -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5d72c2a4-9ac6-4727-a705-cea1f0220b78} (Trojan.Vundo) -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\hggyywvo (Trojan.Vundo) -> Delete on reboot. HKEY_CLASSES_ROOT\Interface\{a3b4ff8a-d3e7-4692-a9b6-971f62802310} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b} (Adware.Agent) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{37b85a29-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\myglobalsearchbar.settingsplugin (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\myglobalsearchbar.settingsplugin.1 (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{37b85a2b-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{37b85a2b-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\myglobalsearchbar.toolbarplugin (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\myglobalsearchbar.toolbarplugin.1 (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{ef281620-a3a3-4f08-874f-d68cfc9b7945} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{37b85a2a-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{37b85a2c-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\AppID\{127df9b4-d75d-44a6-af78-8c3a8ceb03db} (Adware.WhenUSave) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\acm.acmfactory (Adware.WhenUSave) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\TypeLib\{df901432-1b9f-4f5b-9e56-301c553f9095} (Adware.WhenUSave) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{a9aae1ab-9688-42c5-86f5-c12f6b9015ad} (Adware.WhenUSave) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\acm.acmfactory.1 (Adware.WhenUSave) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{43382522-a846-46f4-ac57-1f71ae6e1086} (Adware.WhenUSave) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{572fb162-c0ba-4edf-8cff-e3846153b9b0} (Adware.WhenUSave) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{72a836d1-bc00-43c0-a941-17960e4fb842} (Adware.WhenUSave) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\MyGlobalSearch (Adware.BookedSpace) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\shellex\ContextMenuHandlers\UCSecureDelete (Rogue.Ultimate.Cleaner) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\AppID\ACM.DLL (Adware.WhenUSave) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{5d72c2a4-9ac6-4727-a705-cea1f0220b78} (Trojan.Vundo) -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{37b85a29-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\ShellBrowser\{37b85a29-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully. Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: C:\Programme\Save (Adware.WhenUSave) -> Quarantined and deleted successfully. C:\Programme\FBrowserAdvisor (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully. C:\Programme\Spyware-Secure (Rogue.Spyware-Secure) -> Quarantined and deleted successfully. C:\Programme\Spyware-Secure\resources (Rogue.Spyware-Secure) -> Quarantined and deleted successfully. Infizierte Dateien: C:\WINDOWS\system32\hgGyywVO.dll (Trojan.Vundo) -> Delete on reboot. C:\Programme\Save\ACM.dll (Adware.WhenUSave) -> Quarantined and deleted successfully. C:\regxpcom.exe (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\Programme\Antivirus 2008 PRO\antivirus-2008pro.exe.vir (Rogue.Installer) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\Programme\PlayMP3z\PlayMP3.exe.vir (Adware.Agent) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\Programme\Ultimate Cleaner\UltimateCleaner.exe.vir (Rogue.Installer) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\Programme\Ultimate Cleaner\com\ucsecuredelete.dll.vir (Rogue.UltimateCleaner) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\WINDOWS\eane.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\WINDOWS\system32\dmdhjnim.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\WINDOWS\system32\service.exe.vir (Adware.Mirar) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\WINDOWS\system32\ssqRKdbx.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\WINDOWS\system32\yiyjatnb.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\WINDOWS\system32\734914\734914.dll.vir (Trojan.BHO) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{F458F4A6-2B51-4295-8FBA-0CD57D455634}\RP612\A0378798.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{F458F4A6-2B51-4295-8FBA-0CD57D455634}\RP612\A0378799.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{F458F4A6-2B51-4295-8FBA-0CD57D455634}\RP614\A0383847.dll (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{F458F4A6-2B51-4295-8FBA-0CD57D455634}\RP615\A0385813.dll (Trojan.BHO) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{F458F4A6-2B51-4295-8FBA-0CD57D455634}\RP615\A0385816.dll (Trojan.BHO) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{F458F4A6-2B51-4295-8FBA-0CD57D455634}\RP617\A0386843.exe (Rogue.Installer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{F458F4A6-2B51-4295-8FBA-0CD57D455634}\RP617\A0386846.exe (Adware.Agent) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{F458F4A6-2B51-4295-8FBA-0CD57D455634}\RP617\A0386854.exe (Rogue.Installer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{F458F4A6-2B51-4295-8FBA-0CD57D455634}\RP617\A0386856.dll (Rogue.UltimateCleaner) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{F458F4A6-2B51-4295-8FBA-0CD57D455634}\RP617\A0386882.dll (Trojan.BHO) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{F458F4A6-2B51-4295-8FBA-0CD57D455634}\RP617\A0386883.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{F458F4A6-2B51-4295-8FBA-0CD57D455634}\RP617\A0386884.exe (Adware.Mirar) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{F458F4A6-2B51-4295-8FBA-0CD57D455634}\RP617\A0386885.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{F458F4A6-2B51-4295-8FBA-0CD57D455634}\RP617\A0386886.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{F458F4A6-2B51-4295-8FBA-0CD57D455634}\RP617\A0386894.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Programme\Save\extra.exe (Adware.WhenUSave) -> Quarantined and deleted successfully. C:\Programme\Save\ffext.mod (Adware.WhenUSave) -> Quarantined and deleted successfully. C:\Programme\Save\save.db (Adware.WhenUSave) -> Quarantined and deleted successfully. C:\Programme\Save\Save.exe (Adware.WhenUSave) -> Quarantined and deleted successfully. C:\Programme\Save\save.htm (Adware.WhenUSave) -> Quarantined and deleted successfully. C:\Programme\Save\SaveUninst.exe (Adware.WhenUSave) -> Quarantined and deleted successfully. C:\Programme\Save\store.db (Adware.WhenUSave) -> Quarantined and deleted successfully. C:\Programme\Spyware-Secure\config.s3db (Rogue.Spyware-Secure) -> Quarantined and deleted successfully. C:\Programme\Spyware-Secure\Gfx_de.bin (Rogue.Spyware-Secure) -> Quarantined and deleted successfully. C:\Programme\Spyware-Secure\language (Rogue.Spyware-Secure) -> Quarantined and deleted successfully. C:\Programme\Spyware-Secure\skin (Rogue.Spyware-Secure) -> Quarantined and deleted successfully. C:\Programme\Spyware-Secure\Spyware-Secure.url (Rogue.Spyware-Secure) -> Quarantined and deleted successfully. C:\Programme\Spyware-Secure\Spyware-Secure_trial.exe (Rogue.Spyware-Secure) -> Quarantined and deleted successfully. C:\Programme\Spyware-Secure\sqlite3.dll (Rogue.Spyware-Secure) -> Quarantined and deleted successfully. C:\Programme\Spyware-Secure\sws_translations.xml (Rogue.Spyware-Secure) -> Quarantined and deleted successfully. C:\Programme\Spyware-Secure\uninst.exe (Rogue.Spyware-Secure) -> Quarantined and deleted successfully. C:\Programme\Spyware-Secure\unrar.dll (Rogue.Spyware-Secure) -> Quarantined and deleted successfully. C:\Programme\Spyware-Secure\resources\malwaresDB_1-12 (Rogue.Spyware-Secure) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Administrator\Desktop\Antivirus XP 2008.lnk (Rogue.AntivirusXP2008) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\hakan\Desktop\Antivirus XP 2008.lnk (Rogue.AntivirusXP2008) -> Quarantined and deleted successfully. Dieser Beitrag wurde am 21.07.2008 um 10:04 Uhr von CanLeon editiert.
|
|
|
||
21.07.2008, 11:19
Ehrenmitglied
Beiträge: 29434 |
#11
Hallo,CanLeon
1. avenger http://virus-protect.org/artikel/tools/avenger.html kopiere in das weisse Feld: Zitat Files to delete:schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten) Klicke: Execute bestätige, dass der Rechner neu gestartet wird - klicke "yes" --------------- 2. wende combofix neu an + poste den report hier __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 21.07.2008 um 11:23 Uhr von Sabina editiert.
|
|
|
||
22.07.2008, 23:06
...neu hier
Themenstarter Beiträge: 10 |
#12
Hallo Sabina,
hier der bericht von avenger und combofix.. danke nochmal für die hilfe... MfG Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: file "C:\WINDOWS\system32\hgGyywVO.dll" not found! Deletion of file "C:\WINDOWS\system32\hgGyywVO.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\Antivirus XP 2008.lnk" not found! Deletion of file "C:\Antivirus XP 2008.lnk" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\tmp6639841.dll" not found! Deletion of file "C:\tmp6639841.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: folder "C:\Dokumente und Einstellungen\hakan\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OP4NO7CR" not found! Deletion of folder "C:\Dokumente und Einstellungen\hakan\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OP4NO7CR" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: folder "C:\Programme\Spyware-Secure" not found! Deletion of folder "C:\Programme\Spyware-Secure" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. --------------------------------------------------------------------------- ComboFix 08-07-21.2 - hakan 2008-07-22 22:31:29.4 - NTFSx86 ausgeführt von:: C:\Programme\ComboFix.exe [color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color] . ((((((((((((((((((((((( Dateien erstellt von 2008-06-22 bis 2008-07-22 )))))))))))))))))))))))))))))) . 2008-07-22 21:43 . 2008-07-22 21:43 2,656,034 --a------ C:\Programme\ComboFix.exe 2008-07-20 22:58 . 2008-07-20 22:58 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-07-20 22:58 . 2008-07-20 22:58 <DIR> d-------- C:\Dokumente und Einstellungen\hakan\Anwendungsdaten\Malwarebytes 2008-07-20 22:58 . 2008-07-20 22:58 <DIR> d----c--- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-07-20 22:58 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys 2008-07-20 22:58 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-07-17 16:19 . 2008-07-17 16:19 <DIR> d-------- C:\WINDOWS\resources 2008-07-07 20:41 . 2008-07-07 20:41 552 --a------ C:\WINDOWS\system32\d3d8caps.dat 2008-07-07 20:19 . 2008-07-07 21:16 3,184 --a------ C:\WINDOWS\system32\tmp.reg 2008-07-07 20:17 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-07-07 20:17 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-07-07 20:17 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe 2008-07-07 20:17 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-07-07 20:17 . 2008-07-02 13:33 82,432 --a------ C:\WINDOWS\system32\IEDFix.C.exe 2008-07-07 20:17 . 2008-05-23 18:21 81,920 --a------ C:\WINDOWS\system32\404Fix.exe 2008-07-07 20:17 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-07-07 20:17 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-07-07 20:17 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2008-07-07 20:14 . 2004-12-07 18:48 <DIR> d--h-c--- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2008-07-07 20:14 . 2004-12-07 18:44 <DIR> dr---c--- C:\Dokumente und Einstellungen\Administrator\Startmenü 2008-07-07 20:14 . 2004-12-07 18:44 <DIR> d--h-c--- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2008-07-07 20:14 . 2008-07-22 22:38 <DIR> d--h-c--- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2008-07-07 20:14 . 2004-12-07 18:44 <DIR> d----c--- C:\Dokumente und Einstellungen\Administrator\Favoriten 2008-07-07 20:14 . 2004-12-07 18:44 <DIR> d--h-c--- C:\Dokumente und Einstellungen\Administrator\Druckumgebung 2008-07-07 20:14 . 2008-03-07 20:50 <DIR> dr-h-c--- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2008-07-07 20:14 . 2008-07-07 20:14 <DIR> d----c--- C:\Dokumente und Einstellungen\Administrator 2008-07-04 20:12 . 2008-07-22 22:23 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-07-04 20:12 . 2008-07-21 00:02 1,409 --a------ C:\WINDOWS\QTFont.for . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-22 20:26 --------- dc--a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-07-22 20:23 --------- d-----w C:\Programme\WLAN Monitor 2008-07-22 19:34 --------- dc----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater 2008-07-20 20:09 --------- d-----w C:\Programme\Spyware Doctor 2008-07-06 19:05 --------- d-----w C:\Programme\NavigationAdvisor 2008-06-08 11:26 338,437 ----a-w C:\Programme\Bild 047.jpg 2008-06-03 16:37 --------- d-----w C:\Programme\McDonaldsDragons 2008-05-31 15:24 --------- d-----w C:\Programme\Realore 2008-05-28 09:50 --------- dc----w C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\PC Suite 2008-04-23 07:39 39,397 -c--a-w C:\Programme\default 2008-04-02 19:15 24,792,728 ----a-w C:\Programme\AdbeRdr812_de_DE.exe 2007-05-09 14:14 774,144 ----a-w C:\Programme\RngInterstitial.dll 2006-10-09 19:57 91,344 ----a-w C:\Dokumente und Einstellungen\hakan\Anwendungsdaten\errorsafefreeinstall_de[1].exe 2006-08-21 19:05 688,218 ----a-w C:\Programme\Glockenspiel_Dresdner_Zwinger_twelve_o_clock.ogg 2006-07-08 17:44 4,334,920 ----a-w C:\Programme\BSINSTALLDE.exe 2006-06-06 11:44 12,662,176 ----a-w C:\Programme\RealPlayer10-5GOLD.exe 2006-05-03 21:59 1,039,452 ----a-w C:\Programme\wrar351d.exe 2006-03-21 21:45 346,164 ----a-w C:\Programme\BSLITEINSTALL521.exe 2006-01-19 18:07 8,939,520 ----a-w C:\Programme\avwinsfx.exe 2006-01-17 18:49 1,867,906 ----a-w C:\Programme\eMule44b-v16-webcache.exe 2005-12-08 15:06 51,712 ----a-w C:\Programme\ButterflyOasis.exe 2004-12-16 21:29 56 --sh--r C:\WINDOWS\system32\B04AF1CD58.sys 2004-12-16 21:29 1,682 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 13:55 5674352] "swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-08 16:24 68856] "AdobeUpdater"="C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe" [2007-03-01 10:37 2321600] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "wlconfig"="C:\Programme\WLAN Monitor\wlconfig.exe" [2005-09-28 18:12 1347584] "KAVPersonal50"="C:\Programme\Steganos AntiVirus 7\kav.exe" [2004-09-13 14:12 122979] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-11 21:43 7630848] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-06-06 13:46 180269] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-07-27 18:54 77824] "PCSuiteTrayApplication"="C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-06-18 16:10 271360] "ISTray"="C:\Programme\Spyware Doctor\pctsTray.exe" [2008-02-01 13:55 1103240] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792] "SoundMan"="SOUNDMAN.EXE" [2004-12-11 12:30 46592 C:\WINDOWS\SOUNDMAN.EXE] "BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 09:58 110592 C:\WINDOWS\system32\bthprops.cpl] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360] "Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 11:17 1241088] C:\DOKUME~1\ALLUSE~1\STARTM~1\PROGRA~1\AUTOST~1\ Google Updater.lnk - C:\Programme\Google\Google Updater\GoogleUpdater.exe [2007-09-13 22:16:51 126136] [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] WinUpdate REG_SZ C:\Dokumente und Einstellungen\hakan\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OP4NO7CR\Rechnung[1].pdf.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe "SweetIM"=C:\Programme\Macrogaming\SweetIM\SweetIM.exe "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" "msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" /background "AntiSpyware7"="C:\Programme\Steganos AntiSpyware 7\aspy7.exe" /0 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime "MPTBox"=C:\Programme\Canon\MultiPASS4\MPTBox.exe "DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 "RemoteControl"=C:\Programme\CyberLink\PowerDVD\PDVDServ.exe "BearFlix"="C:\Programme\BearFlix\BearFlix.exe" /pause "zinit32"=C:\WINDOWS\ZInit32.exe "SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_11\bin\jusched.exe" "NvMediaCenter"=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit "New.net Startup"=rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,ClientStartup -s "nwiz"=nwiz.exe /install "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot "SweetIM"=C:\Programme\Macrogaming\SweetIM\SweetIM.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Messenger\\msmsgs.exe"= "C:\\Programme\\BearShare\\BearShare.exe"= "C:\\Programme\\BearFlix\\bearflix.exe"= "C:\\Programme\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"= "C:\\Programme\\Nero\\Nero 7\\Nero ShowTime\\ShowTime.exe"= "C:\\Programme\\MSN Messenger\\msnmsgr.exe"= "C:\\Programme\\MSN Messenger\\livecall.exe"= "C:\\Programme\\Haufe\\iDesk\\iDeskService\\pythonw.exe"= R1 Klmc;Klmc;C:\WINDOWS\system32\drivers\klmc.sys [2004-08-10 10:18] R2 accsvc;AccSys WiFi Component;C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe [2005-09-14 11:56] R2 atjsgt;atjsgt;C:\WINDOWS\system32\DRIVERS\atjsgt.sys [2006-01-12 19:31] R2 DatevPrintService;DATEV Druckservice;C:\DATEV\SYSTEM\PSNTSERV.EXE [2001-11-30 08:41] R2 linsgt;linsgt;C:\WINDOWS\system32\DRIVERS\linsgt.sys [2006-01-12 19:31] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 09:58] S0 ElbyVCD;ElbyVCD;C:\WINDOWS\system32\DRIVERS\ElbyVCD.sys [] S3 HRService;Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope;C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe [2006-10-23 03:39] S3 whfltr2k;WheelMouse USB Lower Filter Driver;C:\WINDOWS\system32\DRIVERS\whfltr2k.sys [2001-10-01 22:18] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D] \Shell\AutoRun\command - D:\setupSNK.exe . Inhalt des "geplante Tasks" Ordners "2008-06-20 15:17:08 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe "2008-06-20 13:00:01 C:\WINDOWS\Tasks\Norton Security Scan.job" - C:\Programme\Norton Security Scan\Nss.exe . . ------- Supplementary Scan ------- . R0 -: HKCU-Main,Start Page = hxxp://google.de/ R0 -: HKCU-Main,Search Page = hxxp://www.google.com R0 -: HKCU-Main,Search Bar = hxxp://www.google.com/ie R0 -: HKLM-Main,Start Page = hxxp://de.yahoo.com R0 -: HKLM-Main,Window Title = Arcor AG & Co. KG R1 -: HKCU-Internet Connection Wizard,ShellNext = iexplore R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/search?q=%s ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-22 22:39:01 Windows 5.1.2600 Service Pack 2 NTFS detected NTDLL code modification: ZwClose Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-07-22 22:59:13 ComboFix-quarantined-files.txt 2008-07-22 20:58:51 ComboFix2.txt 2008-07-22 20:07:44 ComboFix3.txt 2008-07-20 20:48:02 Pre-Run: 24 Verzeichnis(se), 18,384,883,712 Bytes frei Post-Run: 28 Verzeichnis(se), 18,374,361,088 Bytes frei 170 --- E O F --- 2008-03-12 20:04:16 |
|
|
||
23.07.2008, 00:22
Ehrenmitglied
Beiträge: 29434 |
#13
Hallo,CanLeon
« kopiere in den Avenger Zitat Files to delete:2. poste dieses Log http://virus-protect.org/lsa.html 3. poste das log von regstuf http://virus-protect.org/registry_stuff.html ----------------------------------------------------------------- ist für mich [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] WinUpdate REG_SZ C:\Dokumente und Einstellungen\hakan\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OP4NO7CR\Rechnung[1].pdf.exe __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.07.2008, 13:47
...neu hier
Themenstarter Beiträge: 10 |
#14
Hallo Sabina,
soll ich das log im forum von CastleCops posten?? oder was meintest du?? wenn ja, muss ich mich da registrieren?? oder soll ich auf dieser Seite LSA.zip Datei runterladen und da irgendetwas machen?? sorry.. |
|
|
||
23.07.2008, 14:54
Ehrenmitglied
Beiträge: 29434 |
#15
nein, alles hier posten, einfach die zips ( LSA.zip und find_Stuff.zip ) runterladen, entpacken, anwenden + die Logs hier kopieren
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
mich hat es nach 7 Jahren auch erwischt...habe VIRUS ALERT!
Erstens dauert es ca. halbe Stunde bis der PC hochfährt und wenn er soweit ist, blockiert mir den ganzen Bildschirm ein Fenster mit Antivir2008 mit ähnlichem Logo wie Windows alles mögliche..Kein Zugriff auf Programme, Festplatten usw..es kommt immer wieder die Fehlermeldung "....wurde durch Administrator gesperrt". Rechts unten im Bildschirm steht anstatt Datum ganz gross VIRUS ALERT!
Ich habe es schon mit SmitFraudFix ausprobiert aber da stand immer "Zugriff verweigert"???
Wer kann mir da bitte weiterhelfen diesen dämlichen VIRUS zu beseitigen und paar Ratschläge zum Schutz vor Viren und Spyware im Internet machen??
Jetzt schon Vielen Dank an Alle!
Hier der Bericht von infizierten Dateien..
bisschen zu lang aber ich denke die kompenenten leute hier haben bestimmt Ahnung davon:
SmitFraudFix v2.329
Scan done at 21:01:09,90, 07.07.2008
Run from E:\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
C:\WINDOWS\system32\iSecurity.cpl FOUND !
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\hakan
»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\hakan\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Start Menu
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\hakan\FAVORI~1
»»»»»»»»»»»»»»»»»»»»»»»» Desktop
»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme
C:\Programme\iSecurity\ FOUND !
»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys
»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="iSecurity.cpl"
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Rustock
»»»»»»»»»»»»»»»»»»»»»»»» DNS
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9D92F11C-A1F9-4774-A7F4-4E7B1458E8EE}: DhcpNameServer=212.29.39.1 195.138.36.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.29.39.1 195.138.36.1
»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection
»»»»»»»»»»»»»»»»»»»»»»»» End