system von trojaner befallen! |
||
---|---|---|
#0
| ||
17.07.2008, 23:25
Member
Beiträge: 28 |
||
|
||
18.07.2008, 14:35
Moderator
Beiträge: 5694 |
#2
Hallo hellsy
>> cleaner anwenden http://www.virus-protect.org/ccleaner.html >> Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei Zitat O2 - BHO: QXK Olive - {4561EA3D-3CF2-4630-960F-EB36F485A198} - C:\WINDOWS\kgxmotapdkx.dllund wähle fix checked. >> Scanne mit Malwarebytes und poste das Log: http://www.virus-protect.org/artikel/tools/malwarebytes.html >> wende Combofix an - Warnmeldung wegklicken + poste den report http://virus-protect.org/artikel/tools/combofix.html Gruss Swiss |
|
|
||
19.07.2008, 10:44
Member
Themenstarter Beiträge: 28 |
#3
hallo zusammen!
erstmal danke für die schnelle und kompetente hilfe hier da smaleware_log: mbam-log-7-19-2008 (02-07-31).txt Scan Art: Komplett Scan (C:\|D:\|E:\|I:\|) Objekte gescannt: 108417 Scan Dauer: 1 hour(s), 26 minute(s), 18 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 1 Infizierte Registrierungsschlüssel: 25 Infizierte Registrierungswerte: 1 Infizierte Datei Objekte der Registrierung: 11 Infizierte Verzeichnisse: 2 Infizierte Dateien: 20 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: C:\WINDOWS\evgratsm.dll (Trojan.FakeAlert) -> No action taken. Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\VAV (Rogue.VistaAntivirus2008) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{0aeb1d2e-3b1c-49c4-8784-8318edfb0620} (Trojan.FakeAlert) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{26ee4699-6ddd-4c99-88f7-6bc50eab9502} (Trojan.FakeAlert) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{28ec14cb-45b2-445f-baad-46d390a53b16} (Trojan.FakeAlert) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{2b5e1c4d-a1dd-4568-b81a-fe694922d896} (Trojan.FakeAlert) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{2d0c4ba9-9149-48bf-beb0-52bfc20607d6} (Trojan.FakeAlert) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{37da2971-a223-46ee-8e45-23b39a46c8c9} (Trojan.FakeAlert) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{39ac75c3-4a33-482d-8abd-afea1744f243} (Trojan.FakeAlert) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{4584ff10-ff41-4ff3-9d94-08b7d5f51e8e} (Trojan.FakeAlert) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{4ccd4a07-5473-429e-8239-8f23697acf15} (Trojan.FakeAlert) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{5203ccdc-6a2d-4eb5-9275-c85feb1ecb43} (Trojan.FakeAlert) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{5e7e5d9c-c14a-4c3d-8b67-52b08e145f36} (Trojan.FakeAlert) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{73c477ca-8aa7-43d9-8a32-a839861eb94c} (Trojan.FakeAlert) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{8c35faba-ef08-45e5-b8db-4c7f6b70e16e} (Trojan.FakeAlert) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{bd285446-9c13-42f2-9f70-aeb051f10d7e} (Trojan.FakeAlert) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{c4c1ac7c-3b20-452c-9fb8-c042959b12c9} (Trojan.FakeAlert) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{d35d6403-2a84-4919-8387-2fd092b5d091} (Trojan.FakeAlert) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{d3f95dbf-390c-4638-8fb4-ed017f13ccdb} (Trojan.FakeAlert) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{dbb1935d-453d-4f3a-8a22-fe36e6514042} (Trojan.FakeAlert) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{f155b826-744a-4014-9e6b-13d6ea548529} (Trojan.FakeAlert) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{f575779b-7347-4176-b793-9751a9e647ac} (Trojan.FakeAlert) -> No action taken. HKEY_CLASSES_ROOT\TypeLib\{47dc420a-cd6f-47c5-8dc7-ad6dc7c9c048} (Trojan.FakeAlert) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{4561ea3d-3cf2-4630-960f-eb36f485a198} (Trojan.FakeAlert) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4561ea3d-3cf2-4630-960f-eb36f485a198} (Trojan.FakeAlert) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> No action taken. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\evgratsm (Trojan.FakeAlert) -> No action taken. Infizierte Datei Objekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductId (Trojan.FakeAlert) -> Bad: (VIRUS ALERT!) Good: (55375-645-8348766-23079) -> No action taken. HKEY_CURRENT_USER\Control Panel\International\sTimeFormat (Trojan.FakeAlert) -> Bad: (HH:mm: VIRUS ALERT!) Good: (HH:mm:ss) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowControlPanel (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowRun (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives (Hijack.Drives) -> Bad: (12) Good: (0) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoToolbarCustomize (Hijack.Explorer) -> Bad: (1) Good: (0) -> No action taken. Infizierte Verzeichnisse: C:\Programme\PCHealthCenter (Trojan.Fakealert) -> No action taken. C:\Programme\VAV (Rogue.VistaAntivirus2008) -> No action taken. Infizierte Dateien: C:\Programme\PCHealthCenter\3.exe (Trojan.Fakealert) -> No action taken. C:\Programme\PCHealthCenter\5.exe (Rogue.Installer) -> No action taken. C:\Programme\VAV\vav.cpl (Trojan.FakeAlert) -> No action taken. C:\System Volume Information\_restore{D0D98B65-E32F-499F-BE85-54ADA9B92236}\RP213\A0218601.exe (Trojan.Fakealert) -> No action taken. C:\System Volume Information\_restore{D0D98B65-E32F-499F-BE85-54ADA9B92236}\RP213\A0218614.exe (Adware.Agent) -> No action taken. C:\WINDOWS\ewkb.exe (Trojan.FakeAlert) -> No action taken. C:\WINDOWS\Sys3.exe (Trojan.Fakealert) -> No action taken. C:\WINDOWS\system32\vav.cpl (Trojan.FakeAlert) -> No action taken. C:\Programme\PCHealthCenter\0.exe (Trojan.Fakealert) -> No action taken. C:\Programme\PCHealthCenter\0.gif (Trojan.Fakealert) -> No action taken. C:\Programme\PCHealthCenter\1.gif (Trojan.Fakealert) -> No action taken. C:\Programme\PCHealthCenter\2.gif (Trojan.Fakealert) -> No action taken. C:\Programme\PCHealthCenter\3.gif (Trojan.Fakealert) -> No action taken. C:\Programme\PCHealthCenter\sc.html (Trojan.Fakealert) -> No action taken. C:\Programme\PCHealthCenter\sex1.ico (Trojan.Fakealert) -> No action taken. C:\Programme\PCHealthCenter\sex2.ico (Trojan.Fakealert) -> No action taken. C:\WINDOWS\evgratsm.dll (Trojan.FakeAlert) -> No action taken. C:\WINDOWS\agpqlrfm.exe (Trojan.FakeAlert) -> No action taken. C:\WINDOWS\kgxmotapdkx.dll (Trojan.FakeAlert) -> No action taken. C:\Dokumente und Einstellungen\gui\Anwendungsdaten\TmpRecentIcons\Vista Antivirus 2008.lnk (Rogue.Link) -> No action taken. eckard's System Scanner v20071014.68 Run by gui on 2008-07-19 11:03:38 Computer is in Normal Mode. -------------------------------------------------------------------------------- -- System Restore -------------------------------------------------------------- Successfully created a Deckard's System Scanner Restore Point. -- Last 5 Restore Point(s) -- 40: 2008-07-19 09:03:46 UTC - RP216 - Deckard's System Scanner Restore Point 39: 2008-07-18 09:20:30 UTC - RP215 - Systemprüfpunkt 38: 2008-07-17 01:01:16 UTC - RP214 - Software Distribution Service 3.0 37: 2008-07-16 21:39:06 UTC - RP213 - Agnitum Outpost Firewall Restore Point: install 36: 2008-07-16 18:42:31 UTC - RP212 - Systemprüfpunkt -- First Restore Point -- 1: 2008-05-27 11:10:37 UTC - RP177 - Systemprüfpunkt Backed up registry hives. Performed disk cleanup. -- HijackThis ------------------------------------------------- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:05:04, on 19.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\Agnitum\OUTPOS~2\acs.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\PROGRA~1\Agnitum\OUTPOS~2\op_mon.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Windows Live\Messenger\msnmsgr.exe C:\Dokumente und Einstellungen\gui\Desktop\dss.exe C:\DOKUME~1\gui\Desktop\HIJACK~1\gui.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = xx.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = xxgo.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = xxmicrosoft.com/fwlink/?LinkId=54896 xxxxx.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = xxxmicrosoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = xxx.microsoft.com/fwlink/?LinkId=54843 O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {4561EA3D-3CF2-4630-960F-EB36F485A198} - (no file) O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file) O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [C-Media Speaker Configuration] G:\Xp-2K-Me\drv\Setup.exe /SPEAKER O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [OutpostMonitor] C:\PROGRA~1\Agnitum\OUTPOS~2\op_mon.exe /tray /noservice O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O8 - Extra context menu item: E&xport to Microsoft Excel -xxx\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall Pro\ie_bar.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - xxCQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object)/de/kavwebscan_unicode.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{0362EFAC-E404-453B-BCDD-82BED459433B}: NameServer = 217.237.150.115 217.237.151.205 O17 - HKLM\System\CS1\Services\Tcpip\..\{0362EFAC-E404-453B-BCDD-82BED459433B}: NameServer = 217.237.150.115 217.237.151.205 O20 - AppInit_DLLs: c:\progra~1\agnitum\outpos~2\wl_hook.dll c:\progra~1\kasper~1\kasper~1.0\adialhk.dll O23 - Service: Agnitum Client Security Service (acssrv) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~2\acs.exe O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe -- End of file - 6495 bytes -- HijackThis Fixed Entries (C:\DOKUME~1\gui\Desktop\HIJACK~1\backups\) -------- backup-20080622-134127-449 O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) backup-20080717-120044-695 O23 - Service: Agnitum Client Security Service (acssrv) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~2\acs.exe backup-20080718-235534-145 O21 - SSODL: evgratsm - {15A6826C-9637-4EFA-8BA9-CF4094562F3D} - C:\WINDOWS\evgratsm.dll backup-20080718-235702-858 O21 - SSODL: evgratsm - {89E93F50-260F-4E68-9F6E-C4DE1C14A2E8} - C:\WINDOWS\evgratsm.dll backup-20080718-235810-602 O21 - SSODL: evgratsm - {1C856045-5DC6-46EC-90E9-7469821AE02B} - C:\WINDOWS\evgratsm.dll backup-20080719-001253-354 O21 - SSODL: evgratsm - {375E34AD-7712-4A33-9107-60DAB715AAE3} - C:\WINDOWS\evgratsm.dll -- File Associations ----------------------------------------------------------- [COLOR=red].reg - regfile - shell\open\command - regedit.exe "%1" %*[/COLOR] -- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------- R1 SiSkp - c:\windows\system32\drivers\srvkp.sys <Not Verified; Silicon Integrated Systems Corporation; SiS (R) WindowsXP Display Manager> R3 AgereSoftModem (Agere Systems Soft Modem) - c:\windows\system32\drivers\agrsm.sys <Not Verified; Agere Systems; Agere SoftModem Driver> R3 SiS315 - c:\windows\system32\drivers\sisgrp.sys <Not Verified; Silicon Integrated Systems Corporation; SiS (R) Compatible Super VGA Miniport Driver for Windows XP> S3 EverestDriver (Lavalys EVEREST Kernel Driver) - c:\programme\lavalys\everest home edition\kerneld.wnt S3 FLASHSYS - c:\windows\system32\drivers\flashsys.sys S3 GMSIPCI - g:\install\gmsipci.sys (file missing) S3 WEBNTACCESS - c:\windows\system32\ntaccess.sys <Not Verified; Your Corporation; Your Product Name> -- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled -------------------- R2 acssrv (Agnitum Client Security Service) - c:\progra~1\agnitum\outpos~2\acs.exe <Not Verified; Agnitum Ltd.; Agnitum Outpost Service> -- Device Manager: Disabled ---------------------------------------------------- No disabled devices found. -- Scheduled Tasks ------------------------------------------------------------- 2008-05-23 17:38:49 378 --a------ C:\WINDOWS\Tasks\1-Klick-Wartung.job -- Files created between 2008-06-19 and 2008-07-19 ----------------------------- 2008-07-19 00:08:00 0 d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-07-18 11:23:26 0 d-------- C:\WINDOWS\Sun 2008-07-16 23:47:47 0 d-------- C:\Dokumente und Einstellungen\All Users\Application Data 2008-07-16 23:47:47 0 d-------- C:\Dokumente und Einstellungen\All Users\Application Data\Agnitum 2008-07-16 23:38:57 0 d-------- C:\WINDOWS\system32\Filt 2008-07-13 19:17:00 0 d-------- C:\Programme\Java 2008-07-13 19:13:56 0 d-------- C:\Programme\Gemeinsame Dateien\Java 2008-07-13 17:54:45 0 d-------- C:\Programme\GNU 2008-07-13 11:29:14 0 d-------- C:\Programme\DivX 2008-07-09 02:03:12 96966 --a------ C:\WINDOWS\system32\drivers\klin.dat 2008-07-09 02:03:11 88774 --a------ C:\WINDOWS\system32\drivers\klick.dat 2008-07-09 02:02:25 0 d-------- C:\Programme\Kaspersky Lab 2008-07-09 02:02:22 29216 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat 2008-07-09 02:02:22 6046240 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat 2008-07-05 02:02:52 49152 --a------ C:\WINDOWS\system32\ChCfg.exe 2008-07-05 02:01:35 0 d-------- C:\Programme\Realtek AC97 2008-07-05 02:01:34 10528768 --a------ C:\WINDOWS\system32\RTLCPL.exe <Not Verified; Realtek Semiconductor Corp.; Realtek Audio Sound Effect Manager> 2008-07-05 02:01:30 147456 --a------ C:\WINDOWS\system32\RtlCPAPI.dll <Not Verified; ; RtlCPAPI Module> 2008-07-03 12:34:35 0 d-------- C:\Programme\Lavalys 2008-07-02 00:24:36 0 d-------- C:\Programme\ICQ6 2008-06-22 20:19:03 0 d-------- C:\WINDOWS\system32\Kaspersky Lab -- Find3M Report --------------------------------------------------------------- 2008-07-19 00:14:18 0 d-------- C:\Dokumente und Einstellungen\gui\Anwendungsdaten\Malwarebytes 2008-07-18 11:23:25 0 d-------- C:\Dokumente und Einstellungen\gui\Anwendungsdaten\Sun 2008-07-18 01:13:54 0 d-------- C:\Dokumente und Einstellungen\gui\Anwendungsdaten\uTorrent 2008-07-18 00:14:41 0 d-------- C:\Programme\Gemeinsame Dateien\Agnitum Shared 2008-07-17 01:28:37 0 d-------- C:\Dokumente und Einstellungen\gui\Anwendungsdaten\TmpRecentIcons 2008-07-17 01:26:48 0 d-------- C:\Programme\PeerGuardian2 2008-07-16 23:42:10 0 d-------- C:\Dokumente und Einstellungen\gui\Anwendungsdaten\Agnitum 2008-07-16 23:38:57 0 d-------- C:\Programme\Agnitum 2008-07-14 00:13:28 0 d-------- C:\Dokumente und Einstellungen\gui\Anwendungsdaten\LimeWire 2008-07-13 19:13:56 0 d-------- C:\Programme\Gemeinsame Dateien 2008-07-13 11:50:18 0 d-------- C:\Dokumente und Einstellungen\gui\Anwendungsdaten\DivX 2008-07-09 02:24:10 0 d-------- C:\Programme\Gemeinsame Dateien\G DATA 2008-07-09 02:24:10 0 d-------- C:\Programme\G DATA AntiVirus Trial 2008-07-05 02:01:00 0 d-------- C:\Programme\Gemeinsame Dateien\InstallShield 2008-07-02 00:45:22 0 d-------- C:\Dokumente und Einstellungen\gui\Anwendungsdaten\ICQ 2008-07-02 00:45:08 0 d--h----- C:\Programme\InstallShield Installation Information 2008-06-22 20:28:56 0 d-------- C:\Dokumente und Einstellungen\gui\Anwendungsdaten\Mozilla 2008-06-16 01:34:11 319498 --a------ C:\WINDOWS\system32\perfh007.dat 2008-06-16 01:34:11 49000 --a------ C:\WINDOWS\system32\perfc007.dat 2008-06-11 02:07:20 3596288 --a------ C:\WINDOWS\system32\qt-dx331.dll 2008-06-11 02:03:26 196608 --a------ C:\WINDOWS\system32\dtu100.dll <Not Verified; DivX, Inc.; DivX, Inc. dtu100> 2008-06-11 02:03:26 81920 --a------ C:\WINDOWS\system32\dpl100.dll <Not Verified; DivX, Inc.; DivX, Inc. dpl100> 2008-06-11 02:03:20 802816 --a------ C:\WINDOWS\system32\divx_xx11.dll <Not Verified; DivX, Inc.; DivX?> 2008-06-11 02:03:20 823296 --a------ C:\WINDOWS\system32\divx_xx0c.dll <Not Verified; DivX, Inc.; DivX®> 2008-06-11 02:03:20 815104 --a------ C:\WINDOWS\system32\divx_xx0a.dll <Not Verified; DivX, Inc.; DivX®> 2008-06-11 02:03:20 823296 --a------ C:\WINDOWS\system32\divx_xx07.dll <Not Verified; DivX, Inc.; DivX®> 2008-06-11 02:03:18 683520 --a------ C:\WINDOWS\system32\DivX.dll <Not Verified; DivX, Inc.; DivX®> 2008-05-23 12:01:55 0 d-------- C:\Dokumente und Einstellungen\gui\Anwendungsdaten\Media Player Classic 2008-05-23 11:42:48 0 d-------- C:\Programme\K-Lite Codec Pack 2008-05-23 11:42:41 0 d-------- C:\Dokumente und Einstellungen\gui\Anwendungsdaten\Real 2008-05-23 00:18:54 12288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll 2008-05-20 22:16:51 0 d-------- C:\Dokumente und Einstellungen\gui\Anwendungsdaten\Auslogics 2008-05-20 22:16:41 0 d-------- C:\Programme\Auslogics 2008-04-23 01:37:28 1144 --a------ C:\WINDOWS\mozver.dat 2008-04-23 00:25:10 0 --a------ C:\WINDOWS\nsreg.dat 2008-04-22 22:12:29 62 --ahs---- C:\Dokumente und Einstellungen\gui\Anwendungsdaten\desktop.ini 2008-04-22 21:29:45 0 -rahs---- C:\MSDOS.SYS 2008-04-22 21:29:45 0 -rahs---- C:\IO.SYS 2008-04-22 21:29:45 0 --a------ C:\CONFIG.SYS 2008-04-22 21:29:45 0 --a------ C:\AUTOEXEC.BAT 2008-04-22 21:25:21 21740 --a------ C:\WINDOWS\system32\emptyregdb.dat -- Registry Dump --------------------------------------------------------------- *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4561EA3D-3CF2-4630-960F-EB36F485A198}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "HTpatch"="C:\WINDOWS\htpatch.exe" [19.12.2002 10:40] "AGRSMMSG"="AGRSMMSG.exe" [20.12.2002 07:07 C:\WINDOWS\AGRSMMSG.exe] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [11.01.2008 22:16] "SoundMan"="SOUNDMAN.EXE" [16.04.2007 15:28 C:\WINDOWS\soundman.exe] "C-Media Speaker Configuration"="G:\Xp-2K-Me\drv\Setup.exe" [] "AVP"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [28.06.2007 12:51] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [10.06.2008 04:27] "OutpostMonitor"="C:\PROGRA~1\Agnitum\OUTPOS~2\op_mon.exe" [05.12.2007 11:57] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [31.12.2002 14:00] "SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [07.07.2008 09:42] "msnmsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" [18.10.2007 11:34] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system] "DisableTaskMgr"=0 (0x0) "DisableRegistryTools"=0 (0x0) "NoDispCPL"=0 (0x0) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoStartMenuMorePrograms"=0 (0x0) "StartMenuLogOff"=0 (0x0) "NoToolbarCustomize"=0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "appinit_dlls"=c:\progra~1\agnitum\outpos~2\wl_hook.dll c:\progra~1\kasper~1\kasper~1.0\adialhk.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}] @="Volume shadow copy" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" -minimize "LiveMonitor"=C:\Programme\MSI\Live Update 2\LMonitor.exe HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp -- Hosts ----------------------------------------------------------------------- 127.0.0.1 xxx.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 xx.008k.com 127.0.0.1 008k.com 127.0.0.1 xx.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 xx.032439.com 127.0.0.1 032439.com 8784 more entries in hosts file. -- End of Deckard's System Scanner: finished at 2008-07-19 11:06:44 ------------ die Startmenüeinträge sind wieder da!wass mich nur gewundert hat,dass kaspesky die ganzen Einträge schon mal gelöscht und diese dann doch wieder aufgetaucht sind.einer der 2 genannten registryeinbträge,den ich über hijack löschen sollte,ging nur mit diesem malewaretool zu löschen. combofix lief leider nicht bei mir,deswegen habe ich die andere methode für die erstellung des combo-logs vorgezogen. nette grüßchen,der hellsy Dieser Beitrag wurde am 19.07.2008 um 11:16 Uhr von hellsy editiert.
|
|
|
||
19.07.2008, 11:26
Moderator
Beiträge: 5694 |
#4
Hallo hellsy
Du hast bei malwarebytes das gefudene nicht löschen lasen am Schluss: Zitat -> No action taken.Lass Malwarebytes nochmals laufen und lass das gefundene löschen. Wieso funktionierte Combofix nicht? Gruss Swiss |
|
|
||
19.07.2008, 12:49
Member
Themenstarter Beiträge: 28 |
#5
doch,doch!nur die ganze maleware war im quarantäne ordner,die ich aber eben alle gelöscht habe.hab auch malware nochmal durchlaufen lassen,mit einem sauberen ergebnis
warum combofix nicht funktioniert hat wüsste ich auch ganz gerne mal. Malwarebytes' Anti-Malware 1.20 Datenbank Version: 965 Windows 5.1.2600 Service Pack 2 12:47:12 19.07.2008 mbam-log-7-19-2008 (12-47-12).txt Scan Art: Komplett Scan (C:\|D:\|E:\|I:\|) Objekte gescannt: 108752 Scan Dauer: 23 minute(s), 50 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine Malware Objekte gefunden) Infizierte Registrierungswerte: (Keine Malware Objekte gefunden) Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: (Keine Malware Objekte gefunden) |
|
|
||
19.07.2008, 12:59
Moderator
Beiträge: 5694 |
#6
hellsy
>> Versuch Combofix noch einmal anzuwenden. >> Dannach mach einen Onlinescan mit Bitdefender: http://virus-protect.org/onlinescan.html >> Kannst du Windowsupdate durchführen? Wie siehts aus im Startmenu, wird alles angezeigt? >> http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) VIRUS ALERT! in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. Gruss Swiss Für mich: Zitat [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]Für mich: Dieser Beitrag wurde am 19.07.2008 um 13:05 Uhr von Tonstudio editiert.
|
|
|
||
19.07.2008, 13:04
Member
Beiträge: 202 |
#7
Hallo bevor du weitere reinigungs versuche unternimmst deaktiviere erst den resident tea timer von spybot search and destroy oder deinstalliere spybot erst mal.
der resident tea timer soll veränderungen am system verhindern und blockiert teilweise auch reinigungsversuche Also erst den tea timer deaktivieren oder deinstallieren dann noch mal von vorne eventuelll ist der auch für da nicht funktionieren von combofix verantwortlisch |
|
|
||
19.07.2008, 13:06
Moderator
Beiträge: 5694 |
#8
Hallo Audipower
Vielen Dank für dein Input, habe ich glatt übersehen. Es reicht wenn der Teatimer deaktiviert wird. Gruss Swiss |
|
|
||
19.07.2008, 13:08
Member
Beiträge: 202 |
#9
keine ursache passiert jedem einmal
(deinstallieren wahr nur ein rat weil es möglisch währe das spybot manipuliert wurde und deswegen nicht mehr korrekt arbeitet ) |
|
|
||
Scan saved at 11:55: VIRUS ALERT!, on 17.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Agnitum\OUTPOS~2\acs.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\PROGRA~1\Agnitum\OUTPOS~2\op_mon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Dokumente und Einstellungen\gui\Desktop\HiJackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = xxxo.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = xxxxgo.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = xxx.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = xxxgo.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = xxgo.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = xxx.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = xxxxx.microsoft.com/fwlink/?LinkId=54843
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: QXK Olive - {4561EA3D-3CF2-4630-960F-EB36F485A198} - C:\WINDOWS\kgxmotapdkx.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [C-Media Speaker Configuration] G:\Xp-2K-Me\drv\Setup.exe /SPEAKER
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [OutpostMonitor] C:\PROGRA~1\Agnitum\OUTPOS~2\op_mon.exe /tray /noservice
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&xport to Microsoft Excel - xxxx:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall Pro\ie_bar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - xxxx.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0362EFAC-E404-453B-BCDD-82BED459433B}: NameServer = 217.237.150.115 217.237.151.205
O17 - HKLM\System\CS1\Services\Tcpip\..\{0362EFAC-E404-453B-BCDD-82BED459433B}: NameServer = 217.237.150.115 217.237.151.205
O20 - AppInit_DLLs: c:\progra~1\agnitum\outpos~2\wl_hook.dll c:\progra~1\kasper~1\kasper~1.0\adialhk.dll
O21 - SSODL: evgratsm - {15A6826C-9637-4EFA-8BA9-CF4094562F3D} - C:\WINDOWS\evgratsm.dll
O23 - Service: Agnitum Client Security Service (acssrv) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~2\acs.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
hier die ganzen kaspersky anti-vir berichte:
nach Quarantäne verschoben: Virus Heur.Trojan.Generic (Modifikation) Datei: C:\Windows\Sys61.exe
nach Quarantäne verschoben: Virus Heur.Trojan.Generic (Modifikation) Datei: C:\Windows\Sys62.exe
nach Quarantäne verschoben: Virus Heur.Trojan.Generic (Modifikation) Datei: C:\Windows\Sys64.exe
nach Quarantäne verschoben: Virus Heur.Trojan.Generic (Modifikation) Datei: C:\WINDOWS\Sys1.exe
nach Quarantäne verschoben: Virus Heur.Trojan.Generic (Modifikation) Datei: C:\WINDOWS\Sys2.exe
nach Quarantäne verschoben: Virus Heur.Trojan.Generic (Modifikation) Datei: C:\WINDOWS\Sys4.exe
nach Quarantäne verschoben: Virus Heur.Trojan.Generic (Modifikation) Datei: C:\System Volume Information\_restore{D0D98B65-E32F-499F-BE85-54ADA9B92236}\RP213\A0218598.exe
nach Quarantäne verschoben: Virus Heur.Trojan.Generic (Modifikation) Datei: C:\System Volume Information\_restore{D0D98B65-E32F-499F-BE85-54ADA9B92236}\RP213\A0218599.exe
nach Quarantäne verschoben: Virus Heur.Trojan.Generic (Modifikation) Datei: C:\System Volume Information\_restore{D0D98B65-E32F-499F-BE85-54ADA9B92236}\RP213\A0218600.exe
nach Quarantäne verschoben: Virus Heur.Trojan.Generic (Modifikation) Datei: C:\System Volume Information\_restore{D0D98B65-E32F-499F-BE85-54ADA9B92236}\RP213\A0218618.exe
nach Quarantäne verschoben: Virus Heur.Trojan.Generic (Modifikation) Datei: C:\Programme\PCHealthCenter\1.exe
nach Quarantäne verschoben: Virus Heur.Trojan.Generic (Modifikation) Datei: C:\Programme\PCHealthCenter\2.exe
nach Quarantäne verschoben: Virus Heur.Trojan.Generic (Modifikation) Datei: C:\Programme\PCHealthCenter\4.exe
nach Quarantäne verschoben: Virus Heur.Trojan.Generic (Modifikation) Datei: C:\System Volume Information\_restore{D0D98B65-E32F-499F-BE85-54ADA9B92236}\RP214\A0218733.exe
nach Quarantäne verschoben: Virus Heur.Trojan.Generic (Modifikation) Datei: C:\System Volume Information\_restore{D0D98B65-E32F-499F-BE85-54ADA9B92236}\RP214\A0218734.exe
nach Quarantäne verschoben: Virus Heur.Trojan.Generic (Modifikation) Datei: C:\System Volume Information\_restore{D0D98B65-E32F-499F-BE85-54ADA9B92236}\RP214\A0218735.exe
quarantäne-bericht von kaspersky:
Verdächtig: Virus Heur.Trojan.Generic (Modifikation) C:\Programme\PCHealthCenter\1.exe 31,5 KB 17.07.2008 03:29: VIRUS ALERT!
Verdächtig: Virus Heur.Trojan.Generic (Modifikation) C:\System Volume Information\_restore{D0D98B65-E32F-499F-BE85-54ADA9B92236}\RP213\A0218600.exe 30 KB 17.07.2008 02:11: VIRUS ALERT!
Verdächtig: Virus Heur.Trojan.Generic (Modifikation) C:\System Volume Information\_restore{D0D98B65-E32F-499F-BE85-54ADA9B92236}\RP214\A0218734.exe 31 KB 17.07.2008 03:37: VIRUS ALERT!
Verdächtig: Virus Heur.Trojan.Generic (Modifikation) C:\System Volume Information\_restore{D0D98B65-E32F-499F-BE85-54ADA9B92236}\RP214\A0218735.exe 30 KB 17.07.2008 03:37: VIRUS ALERT!
Verdächtig: Virus Heur.Trojan.Generic (Modifikation) C:\Programme\PCHealthCenter\4.exe 30 KB 17.07.2008 03:29: VIRUS ALERT!
Verdächtig: Virus Heur.Trojan.Generic (Modifikation) C:\System Volume Information\_restore{D0D98B65-E32F-499F-BE85-54ADA9B92236}\RP213\A0218598.exe 31,5 KB 17.07.2008 02:11: VIRUS ALERT!
Verdächtig: Virus Heur.Trojan.Generic (Modifikation) C:\System Volume Information\_restore{D0D98B65-E32F-499F-BE85-54ADA9B92236}\RP213\A0218599.exe 31 KB 17.07.2008 02:11: VIRUS ALERT!
Verdächtig: Virus Heur.Trojan.Generic (Modifikation) C:\WINDOWS\Sys4.exe 30 KB 17.07.2008 01:41: VIRUS ALERT!
Verdächtig: Virus Heur.Trojan.Generic (Modifikation) C:\System Volume Information\_restore{D0D98B65-E32F-499F-BE85-54ADA9B92236}\RP214\A0218733.exe 31,5 KB 17.07.2008 03:37: VIRUS ALERT!
Verdächtig: Virus Heur.Trojan.Generic (Modifikation) C:\System Volume Information\_restore{D0D98B65-E32F-499F-BE85-54ADA9B92236}\RP213\A0218618.exe 30 KB 17.07.2008 02:11: VIRUS ALERT!
Verdächtig: Virus Heur.Trojan.Generic (Modifikation) C:\Programme\PCHealthCenter\2.exe 31 KB 17.07.2008 03:29: VIRUS ALERT!
back-up bericht von kaspersky:
Verdächtig: Virus Heur.Trojan.Generic (Modifikation) C:\Windows\Sys62.exe 31 KB
Verdächtig: Virus Heur.Trojan.Generic (Modifikation) C:\Windows\Sys61.exe 31,5 KB
Verdächtig: Virus Heur.Trojan.Generic (Modifikation) C:\WINDOWS\Sys2.exe 31 KB
Verdächtig: Virus Heur.Trojan.Generic (Modifikation) C:\WINDOWS\Sys1.exe 31,5 KB
Verdächtig: Virus Heur.Trojan.Generic (Modifikation) C:\Windows\Sys64.exe 30 KB
ich selber habe mal den hijackthislog im internet auswerten lasen und 2 verdächtige einträge entfernt aber mir wär es lieber wenn ihr nochmal für mich drüber schaut.
spyware bericht:
17.07.2008 01:30:46 Verweigert (based on user decision) value "Start Page" (new data: "xxx://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2") geändert in Browser page!
17.07.2008 01:30:54 Verweigert (based on user decision) value "evgratsm" (new data: "{0AEB1D2E-3B1C-49C4-8784-8318EDFB0620}") hinzugefügt in Shell services!
17.07.2008 01:31:02 Verweigert (based on Spybot-S&D scan) value "kvxqmtre" (new data: "{4ADD52F8-38E5-4104-9F9D-FA4DBCD9EE30}") hinzugefügt in Shell services!
17.07.2008 01:31:10 Verweigert (based on user decision) value "{4561EA3D-3CF2-4630-960F-EB36F485A198}" (new data: "") hinzugefügt in Browser Helper Object!
17.07.2008 01:32:22 Verweigert (based on user decision) value "Start Page" (new data: "xxxx/softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2") geändert in Browser page!
17.07.2008 01:33:16 Verweigert (based on user decision) value "evgratsm" (new data: "{F155B826-744A-4014-9E6B-13D6EA548529}") hinzugefügt in Shell services!
17.07.2008 01:33:27 Encountered and terminated VistaAntivirus2008 in C:\Programme\VAV\vav.exe!
17.07.2008 01:35:04 Verweigert (based on user decision) value "{4561EA3D-3CF2-4630-960F-EB36F485A198}" (new data: "") hinzugefügt in Browser Helper Object!
17.07.2008 01:36:10 Verweigert (based on user decision) value "Start Page" (new data: "http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2") geändert in Browser page!
17.07.2008 01:38:07 Verweigert (based on user decision) value "Start Page" (new data: "http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2") geändert in Browser page!
17.07.2008 01:39:11 Verweigert (based on user decision) value "evgratsm" (new data: "{4584FF10-FF41-4FF3-9D94-08B7D5F51E8E}") hinzugefügt in Shell services!
17.07.2008 01:39:21 Verweigert (based on user decision) value "evgratsm" (new data: "{5203CCDC-6A2D-4EB5-9275-C85FEB1ECB43}") hinzugefügt in Shell services!
17.07.2008 01:39:31 Verweigert (based on user decision) value "evgratsm" (new data: "{73C477CA-8AA7-43D9-8A32-A839861EB94C}") hinzugefügt in Shell services!
17.07.2008 01:39:47 Verweigert (based on user decision) value "evgratsm" (new data: "{8C35FABA-EF08-45E5-B8DB-4C7F6B70E16E}") hinzugefügt in Shell services!
17.07.2008 01:39:57 Verweigert (based on user decision) value "evgratsm" (new data: "{D35D6403-2A84-4919-8387-2FD092B5D091}") hinzugefügt in Shell services!
17.07.2008 01:40:21 Verweigert (based on user decision) value "evgratsm" (new data: "{26EE4699-6DDD-4C99-88F7-6BC50EAB9502}") hinzugefügt in Shell services!
17.07.2008 01:40:36 Verweigert (based on user decision) value "evgratsm" (new data: "{2B5E1C4D-A1DD-4568-B81A-FE694922D896}") hinzugefügt in Shell services!
17.07.2008 01:40:57 Verweigert (based on user decision) value "evgratsm" (new data: "{39AC75C3-4A33-482D-8ABD-AFEA1744F243}") hinzugefügt in Shell services!
17.07.2008 01:42:25 Verweigert (based on user decision) value "evgratsm" (new data: "{F575779B-7347-4176-B793-9751A9E647AC}") hinzugefügt in Shell services!
17.07.2008 01:42:51 Verweigert (based on user decision) value "evgratsm" (new data: "{37DA2971-A223-46EE-8E45-23B39A46C8C9}") hinzugefügt in Shell services!
17.07.2008 01:43:07 Verweigert (based on user decision) value "evgratsm" (new data: "{DBB1935D-453D-4F3A-8A22-FE36E6514042}") hinzugefügt in Shell services!
17.07.2008 01:43:26 Verweigert (based on user decision) value "evgratsm" (new data: "{BD285446-9C13-42F2-9F70-AEB051F10D7E}") hinzugefügt in Shell services!
17.07.2008 01:45:05 Verweigert (based on user decision) value "evgratsm" (new data: "{2D0C4BA9-9149-48BF-BEB0-52BFC20607D6}") hinzugefügt in Shell services!
17.07.2008 01:46:08 Verweigert (based on user decision) value "evgratsm" (new data: "{D3F95DBF-390C-4638-8FB4-ED017F13CCDB}") hinzugefügt in Shell services!
17.07.2008 01:48:15 Verweigert (based on user decision) value "evgratsm" (new data: "{4CCD4A07-5473-429E-8239-8F23697ACF15}") hinzugefügt in Shell services!
17.07.2008 01:49:46 Verweigert (based on user decision) value "evgratsm" (new data: "{15A6826C-9637-4EFA-8BA9-CF4094562F3D}") hinzugefügt in Shell services!
17.07.2008 01:58:59 Verweigert (based on user decision) value "evgratsm" (new data: "{15A6826C-9637-4EFA-8BA9-CF4094562F3D}") hinzugefügt in Shell services!
17.07.2008 11:45:26 Erlaubt (based on user decision) value "{4561EA3D-3CF2-4630-960F-EB36F485A198}" (new data: "") gelöscht in Browser Helper Object!
ich selber habe mal den hijackthislog aim internet auswerten lasen und 2 verdächtige einträge entfernt aber mir wär e slieber wnen ihr nochmal für mich drüber schaut.
nach dem befall,hat sich der trojaner in meinem system breitgemacht .seit dem werden einige teile in dem startmenü nicht mehr angeziegt. unter anderem auch die sytemwiederherstellung ,suche,ausführen,arbeitsplatz usw.firefox lässt sich auch nicht mehr öffnen!
alles sehr deprmierend..
ich hoffe ihr könnt mir weiterhelfen...DANKE!!