Kann keine Programme mehr starten und Konsole wahrscheinlich gelsöcht |
||
---|---|---|
#0
| ||
25.07.2008, 15:39
...neu hier
Beiträge: 6 |
||
|
||
25.07.2008, 16:01
Moderator
Beiträge: 5694 |
#2
Hallo chixz
Versuche einen Onlinescan mit Bitdefender: http://virus-protect.org/onlinescan.html Eventuell im abgesicherten Modus. Gruss Swiss |
|
|
||
25.07.2008, 20:20
...neu hier
Themenstarter Beiträge: 6 |
#3
Danke für deine Hilfe aber das Problem ist das ich nicht den Internet Explorer öffnen kann sondern nur Firefox. Bei "Panda" kann man einen Virenscan online machen aber ich muss dafür eig Plugin Installieren aber das geht nicht. Gibt es vielleich eine andere Lösung?
mfg chixz edit: die systemwiederherstellung kann ich auch leider nicht machen... |
|
|
||
25.07.2008, 20:31
Member
Beiträge: 325 |
#4
Hallo chixz !
Das klingt ja gar nicht gut! Probiere ob Du Hijackthis (Executable Version) einfach mal im normal-Modus umbenennst in z.B. Kickdas.com.Alternativ mal die Alte Version probieren (V1.99) Die wird noch mit weniger Systemabfragen (Signaturen) gestartet ( hat mir selbst schon mal geholfen) Link 1.99. http://www.win-tipps-tweaks.de/forum/downloads-16.html Momentan fällt mir aber auch nichts Besseres ein ! Wir brauchen hier wenigstens ein Log. |
|
|
||
25.07.2008, 20:37
...neu hier
Themenstarter Beiträge: 6 |
#5
Dankesehr, das klingt zwar schön und gut aber mein Problem ist das ich plötzlich kein WinRar mehr habe und es auch nciht mehr insallieren kann, da uch keine Executablen dateien öffnen kann... hat vielleich noch einer eine lösung
mfg chixz |
|
|
||
25.07.2008, 20:46
Member
Beiträge: 325 |
#6
Die Exe Dateien kannst Du bestimmt nicht öffnen, weil die Einträge in der Registry durch die Schadware verändert worden sind (für die Dateizuordnungen).Probiere es umzubenennen in XYProgramm.com (und nicht mehrXYProgramm.exe)-Dann doppelclicken!-Hat schon bei einigen funktioniert.Es ist nur erstmal zur Überbrückung=Notlösung
|
|
|
||
25.07.2008, 20:52
...neu hier
Themenstarter Beiträge: 6 |
#7
Danke das hat mir sehr geholfen das mit dem umbennen auch wenn es schon vorher erwähnt wurde und ich es nciht verstanden habe also ihr seid echt top und finde gut das ihr helft....soviel dazu
Der Hijackthis Log : Logfile of HijackThis v1.99.1 Scan saved at 20:50:07, on 25.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Steganos Internet Anonym VPN\SVPNStarter.exe C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe C:\WINDOWS\system32\vmnat.exe C:\WINDOWS\system32\vmnetdhcp.exe C:\Programme\VMware\VMware Workstation\vmware-authd.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\ich\Desktop\hijackthis_199\HijackThis.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://alice.aol.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: Internet Security Class - {A75E294E-C047-4D29-B07E-37B792881BEF} - C:\WINDOWS\AutoUpdateWin31.dll O2 - BHO: (no name) - {D00795DE-958B-4687-A5B7-CAB53F608658} - (no file) O2 - BHO: (no name) - {E211D880-0505-4607-BE80-B46C6B5777E4} - (no file) O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe O4 - HKLM\..\Run: [vmware-tray] C:\Programme\VMware\VMware Workstation\vmware-tray.exe O4 - HKLM\..\Run: [VMware hqtray] "C:\Programme\VMware\VMware Workstation\hqtray.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /F "C:\WINDOWS\TEMP\E_S188.tmp" /EF "HKLM" O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Secure] C:\WINDOWS\WindowsUpdates.exe O4 - HKLM\..\Run: [soundmix] C:\WINDOWS\system32\soundmix.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" autostart O4 - Startup: Mobiola Video Studio.lnk = C:\Programme\Mobiola Video Studio\MobiolaStudio.exe O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (file missing) O10 - Unknown file in Winsock LSP: c:\windows\system32\prxernsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{0E45B1C7-9C75-4C49-A579-C5066105717F}: NameServer = 212.19.48.14 O17 - HKLM\System\CCS\Services\Tcpip\..\{F2467A10-7534-42A7-98C7-8B1DA472E93F}: NameServer = 192.168.2.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{0E45B1C7-9C75-4C49-A579-C5066105717F}: NameServer = 212.19.48.14 O17 - HKLM\System\CS2\Services\Tcpip\..\{0E45B1C7-9C75-4C49-A579-C5066105717F}: NameServer = 212.19.48.14 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\ O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\ O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\mssrv32.exe (file missing) O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe O23 - Service: Steganos VPN Starter Service (SVPNStarter) - Unknown owner - C:\Programme\Steganos Internet Anonym VPN\SVPNStarter.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: VMware Agent Service (ufad-ws60) - Unknown owner - C:\Programme\VMware\VMware Workstation\vmware-ufad.exe" -d "C:\Programme\VMware\VMware Workstation\\" -s ufad-p2v.xml (file missing) O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe Könnt mir ja vllt weiterhelfen |
|
|
||
25.07.2008, 20:55
Member
Beiträge: 325 |
#8
...und weil's so schön war, gleich nochmal das selbe mit Combofix probieren!!
...damit die Moderatoren einen Überblick vom "Urzustand" der Infizierung haben ! |
|
|
||
25.07.2008, 20:59
Ehrenmitglied
Beiträge: 29434 |
#9
Hallo chixz
mit dem HijackThis löschen ("fixen") Klicke: "Do a system scan only" Setze ein Häckchen in das Kästchen vor den genannten Eintrag und wähle fix checked. + starte den Rechner neu. Zitat R3 - URLSearchHook: (no name) - - (no file)« wende combofix an , warnmeldung wegklicken + poste hier den report (eventuell die combofix.exe umbenennen) http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.07.2008, 23:20
...neu hier
Themenstarter Beiträge: 6 |
#10
Das ist er ^^
ComboFix 08-07-24.6 - ich 2008-07-25 22:52:23.1 - NTFSx86 ausgeführt von:: C:\Dokumente und Einstellungen\ich\Desktop\ComboFix.exe [color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color] . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\ich\Anwendungsdaten\ShoppingReport C:\Dokumente und Einstellungen\ich\Anwendungsdaten\ShoppingReport\cs\Config.xml C:\Dokumente und Einstellungen\ich\Anwendungsdaten\ShoppingReport\cs\db\Aliases.dbs C:\Dokumente und Einstellungen\ich\Anwendungsdaten\ShoppingReport\cs\db\Sites.dbs C:\Dokumente und Einstellungen\ich\Anwendungsdaten\ShoppingReport\cs\dwld\WhiteList.xip C:\Dokumente und Einstellungen\ich\Anwendungsdaten\ShoppingReport\cs\report\aggr_storage.xml C:\Dokumente und Einstellungen\ich\Anwendungsdaten\ShoppingReport\cs\report\send_storage.xml C:\Dokumente und Einstellungen\ich\Anwendungsdaten\ShoppingReport\cs\res1\WhiteList.dbs C:\Dokumente und Einstellungen\ich\Anwendungsdaten\WeatherDPA C:\Dokumente und Einstellungen\rudiger\Anwendungsdaten\ShoppingReport C:\Dokumente und Einstellungen\rudiger\Anwendungsdaten\ShoppingReport\cs\Config.xml C:\Dokumente und Einstellungen\rudiger\Anwendungsdaten\ShoppingReport\cs\db\Aliases.dbs C:\Dokumente und Einstellungen\rudiger\Anwendungsdaten\ShoppingReport\cs\db\Sites.dbs C:\Dokumente und Einstellungen\rudiger\Anwendungsdaten\ShoppingReport\cs\dwld\WhiteList.xip C:\Dokumente und Einstellungen\rudiger\Anwendungsdaten\ShoppingReport\cs\report\aggr_storage.xml C:\Dokumente und Einstellungen\rudiger\Anwendungsdaten\ShoppingReport\cs\report\send_storage.xml C:\Dokumente und Einstellungen\rudiger\Anwendungsdaten\ShoppingReport\cs\res1\WhiteList.dbs C:\Dokumente und Einstellungen\steffi\Anwendungsdaten\ShoppingReport C:\Dokumente und Einstellungen\steffi\Anwendungsdaten\ShoppingReport\cs\Config.xml C:\Dokumente und Einstellungen\steffi\Anwendungsdaten\ShoppingReport\cs\db\Aliases.dbs C:\Dokumente und Einstellungen\steffi\Anwendungsdaten\ShoppingReport\cs\db\Sites.dbs C:\Dokumente und Einstellungen\steffi\Anwendungsdaten\ShoppingReport\cs\dwld\WhiteList.xip C:\Dokumente und Einstellungen\steffi\Anwendungsdaten\ShoppingReport\cs\report\aggr_storage.xml C:\Dokumente und Einstellungen\steffi\Anwendungsdaten\ShoppingReport\cs\report\send_storage.xml C:\Dokumente und Einstellungen\steffi\Anwendungsdaten\ShoppingReport\cs\res1\WhiteList.dbs C:\Dokumente und Einstellungen\steffi\Anwendungsdaten\WeatherDPA C:\Programme\bifrost\server.exe C:\Programme\ShoppingReport C:\Programme\windows C:\Programme\windows\klog.dat C:\WINDOWS\ie.exe C:\WINDOWS\system32\dllcache\zipexr.dll C:\WINDOWS\system32\explorer.dll C:\WINDOWS\system32\iexplore.exe C:\WINDOWS\system32\moviemk.exe C:\WINDOWS\system32\sysinfo.exe C:\WINDOWS\system32\winhelp.exe C:\WINDOWS\system32\wordpad.exe . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_MSUPDATE -------\Legacy_NTNDIS -------\Service_msupdate -------\Service_ntndis ((((((((((((((((((((((( Dateien erstellt von 2008-06-25 bis 2008-07-25 )))))))))))))))))))))))))))))) . 2008-07-25 20:48 . 2008-06-19 17:24 28,544 --a------ C:\WINDOWS\system32\drivers\pavboot.sys 2008-07-25 20:47 . 2008-07-25 20:47 <DIR> d-------- C:\WINDOWS\LastGood.Tmp 2008-07-25 20:47 . 2008-07-25 20:47 <DIR> d-------- C:\Programme\Panda Security 2008-07-24 19:32 . 2008-07-24 19:32 <DIR> d-------- C:\Programme\thriXXX 2008-07-24 15:27 . 2008-07-24 15:27 11 --a------ C:\WINDOWS\system\DID.DRV 2008-07-24 15:27 . 2008-07-24 15:27 3 --a------ C:\WINDOWS\system\BBR.DRV 2008-07-20 23:32 . 2008-07-20 23:46 <DIR> d-------- C:\Dokumente und Einstellungen\steffi\Anwendungsdaten\Desperate Housewives 2008-07-20 23:32 . 2008-07-20 23:32 <DIR> d-------- C:\Dokumente und Einstellungen\rudiger\Anwendungsdaten\Desperate Housewives 2008-07-20 23:32 . 2008-07-20 23:32 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Desperate Housewives 2008-07-20 23:32 . 2008-07-20 23:32 98,304 --a------ C:\WINDOWS\system32\CmdLineExt.dll 2008-07-20 23:27 . 2008-07-20 23:27 <DIR> d-------- C:\Programme\Buena Vista Games 2008-07-20 23:26 . 2008-07-20 23:26 <DIR> d-------- C:\Dokumente und Einstellungen\steffi\Anwendungsdaten\InstallShield 2008-07-20 23:26 . 2008-07-20 23:32 1,040 --a------ C:\WINDOWS\disney.ini 2008-07-20 23:26 . 2008-07-20 23:26 186 --a------ C:\WINDOWS\disneysy.ini 2008-07-20 21:53 . 2008-07-20 22:19 <DIR> d-------- C:\Dokumente und Einstellungen\steffi\OngameNetwork 2008-07-20 18:11 . 2008-07-20 18:12 <DIR> d-------- C:\Dokumente und Einstellungen\steffi\Anwendungsdaten\Universal Boxing Manager 2008-07-20 18:06 . 2008-07-20 18:06 <DIR> d-------- C:\Programme\trend 2008-07-20 18:05 . 2008-07-20 18:06 <DIR> d-------- C:\WINDOWS\uninstall\Regina Halmichs Boxmanager 2008-07-20 18:05 . 2008-07-20 18:05 <DIR> d-------- C:\WINDOWS\uninstall 2008-07-20 18:05 . 2008-07-20 18:11 122 --a------ C:\WINDOWS\odbc_merge.INI 2008-07-20 18:03 . 2000-08-19 20:29 268,048 --a------ C:\WINDOWS\system32\dxtmeta2.dll 2008-07-20 17:50 . 2008-07-20 17:50 <DIR> d-------- C:\Programme\DAEMON Tools Lite 2008-07-20 16:35 . 2008-07-20 16:35 <DIR> d-------- C:\Dokumente und Einstellungen\steffi\Anwendungsdaten\DAEMON Tools 2008-07-20 16:35 . 2008-07-20 16:36 717,296 --a------ C:\WINDOWS\system32\drivers\sptd.sys 2008-07-18 16:52 . 2008-07-18 17:08 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Logox.4.0 2008-07-18 16:52 . 2008-07-18 16:52 159,744 --a------ C:\WINDOWS\LgxSetup.exe 2008-07-17 17:17 . 2008-07-25 22:52 <DIR> d-------- C:\Programme\Bifrost 2008-07-16 14:25 . 2008-07-16 14:25 <DIR> d-------- C:\Dokumente und Einstellungen\rudiger\Anwendungsdaten\CyberLink 2008-07-14 19:34 . 2008-07-14 19:34 32,768 --a------ C:\WINDOWS\AutoUpdateWin33.exe 2008-07-13 20:16 . 2007-09-25 15:40 73,728 --a------ C:\WINDOWS\system32\PrxerDrv.dll 2008-07-13 20:16 . 2007-02-28 16:56 61,440 --a------ C:\WINDOWS\system32\PrxerNsp.dll 2008-07-11 16:59 . 2008-07-11 16:59 16 --a------ C:\WINDOWS\popcinfo.dat 2008-07-11 16:47 . 2008-07-11 16:47 <DIR> d-------- C:\Dokumente und Einstellungen\ich\Anwendungsdaten\Zylom 2008-07-07 16:53 . 2008-07-07 16:53 <DIR> d-------- C:\Programme\Gemeinsame Dateien\xing shared 2008-07-07 16:52 . 2008-07-07 16:52 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Real 2008-07-06 03:59 . 2008-07-06 04:07 <DIR> d-------- C:\Programme\VirtualDJ 2008-07-06 03:06 . 2008-07-06 03:06 <DIR> d-------- C:\Dokumente und Einstellungen\ich\Anwendungsdaten\Wireshark 2008-07-06 03:05 . 2008-07-06 03:05 <DIR> d-------- C:\Programme\WinPcap 2008-07-06 03:04 . 2008-07-06 03:05 <DIR> d-------- C:\Programme\Wireshark 2008-07-03 20:56 . 2008-07-03 20:56 <DIR> d-------- C:\Programme\LPS 2008-07-03 17:08 . 2008-07-03 17:08 <DIR> d-------- C:\Programme\Hex-Editor MX 2008-07-03 13:18 . 2008-07-03 12:52 1,503 --a------ C:\WINDOWS\system32\Paint.lnk 2008-07-01 20:25 . 2008-07-01 20:25 <DIR> d-------- C:\Dokumente und Einstellungen\ich\Anwendungsdaten\QIP 2008-07-01 17:43 . 2008-07-01 17:45 <DIR> d-------- C:\Programme\Mobiola Video Studio 2008-06-25 11:29 . 2008-06-25 11:29 <DIR> d-------- C:\Programme\AB-Tools.com . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-25 21:00 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VMware 2008-07-25 20:59 51,159,840 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat 2008-07-25 20:59 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-07-25 20:58 --------- d-----w C:\Dokumente und Einstellungen\ich\Anwendungsdaten\VMware 2008-07-25 20:56 686,180 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2008-07-25 17:57 --------- d-----w C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\VMware 2008-07-24 21:06 --------- d-----w C:\Dokumente und Einstellungen\steffi\Anwendungsdaten\VMware 2008-07-24 13:15 --------- d-----w C:\Programme\Cain 2008-07-24 00:24 --------- d-----w C:\Dokumente und Einstellungen\rudiger\Anwendungsdaten\VMware 2008-07-20 21:27 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-07-19 14:36 --------- d-----w C:\Programme\ICQLite 2008-07-18 14:25 --------- d-----w C:\Programme\Steam 2008-07-11 14:47 --------- d-----w C:\Programme\Zylom Games 2008-07-03 19:00 --------- d-----w C:\Programme\QIP 2008-07-03 18:59 --------- d-----w C:\Programme\Advanced Port Scanner 2008-06-30 18:32 29,852 ----a-w C:\Dokumente und Einstellungen\ich\server.exe 2008-06-24 12:34 --------- d-----w C:\Programme\ICQ6Toolbar 2008-06-24 12:34 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ 2008-06-22 11:29 --------- d-----w C:\Programme\PhotoScape 2008-06-20 12:49 --------- d-----w C:\Programme\Lavalys 2008-06-20 12:18 --------- d-----w C:\Programme\epson 2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys 2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys 2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys 2008-06-19 14:28 --------- d-----w C:\Programme\Illustrate 2008-06-19 14:27 --------- d-----w C:\Programme\Visual Basic 6.0 Runtime&Steuerelemente 2008-06-19 14:27 --------- d-----w C:\Programme\MIKSOFT 2008-06-19 14:26 74,752 ----a-w C:\WINDOWS\ST6UNST.EXE 2008-06-19 14:26 290,816 ------w C:\WINDOWS\Setup1.exe 2008-06-15 13:49 737,280 ----a-w C:\WINDOWS\iun6002.exe 2008-06-15 13:49 --------- d-----w C:\Programme\Codec Pack - All In 1 2008-06-15 13:44 --------- d-----w C:\Programme\AviSynth 2.5 2008-06-15 13:44 --------- d-----w C:\Programme\AutoGK 2008-06-15 13:43 --------- d-----w C:\Programme\Gabest 2008-06-14 20:06 --------- d-----w C:\Dokumente und Einstellungen\rudiger\Anwendungsdaten\Winamp 2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys 2008-06-13 12:32 --------- d-----w C:\Programme\TuneUp Utilities 2008 2008-06-10 16:56 --------- d-----w C:\Programme\AL-Software 2008-06-01 11:13 --------- d-----w C:\Dokumente und Einstellungen\ich\Anwendungsdaten\Ahead 2008-05-28 14:14 --------- d-----w C:\Programme\MEGLO 2008-05-23 19:01 1,486,997 ----a-w C:\WINDOWS\ICQ2.exe 2008-05-16 16:12 77,312 ----a-w C:\WINDOWS\dialupass.exe 2008-05-16 16:12 59,904 ----a-w C:\WINDOWS\mspass.exe 2008-05-16 16:12 52,736 ----a-w C:\WINDOWS\pspv.exe 2008-05-16 16:12 47,104 ----a-w C:\WINDOWS\mailpv.exe 2008-05-16 16:12 37,888 ----a-w C:\WINDOWS\netpass.exe 2008-05-09 21:58 245,760 ----a-w C:\WINDOWS\ICQ1.exe 2008-03-29 05:10 22,040 ----a-w C:\Dokumente und Einstellungen\ich\Anwendungsdaten\build.dat . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360] "TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" [2008-05-17 15:03 154880] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "!AVG Anti-Spyware"="C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 02:41 81920] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2006-01-12 17:40 155648] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784] "SsAAD.exe"="C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe" [2006-01-07 02:36 81920] "vmware-tray"="C:\Programme\VMware\VMware Workstation\vmware-tray.exe" [2008-03-03 20:10 72240] "VMware hqtray"="C:\Programme\VMware\VMware Workstation\hqtray.exe" [2008-03-03 20:10 55856] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 16:37 266497] "Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2006-11-24 01:06 487424] "Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 20:33 57344] "ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:15 3144800] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-07-07 16:52 185896] "nwiz"="nwiz.exe" [2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:57 15360] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system] "<NO NAME>"= 0 [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{93994DE8-8239-4655-B1D1-5F4E91300429}"= "C:\PROGRA~1\DVDREG~1\DVDShell.dll" [2004-10-09 16:18 49152] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "SENTINEL"= snti386.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck] C:\WINDOWS\system32\dumprep 0 -k [X] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite] --a------ 2006-07-11 12:15 3144800 C:\Programme\ICQLite\ICQLite.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut] --a------ 2008-02-21 20:36 57344 C:\Programme\CyberLink\PowerDVD\Language\Language.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer] -rahs---- 2008-01-28 12:43 2097488 C:\Programme\Spybot - Search & Destroy\TeaTimer.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam] --a------ 2008-03-28 20:11 1271032 c:\Programme\Steam\Steam.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2007-09-25 02:11 132496 C:\Programme\Java\jre1.6.0_03\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"= "C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"= "C:\\Programme\\FlashFXP\\FlashFXP.exe"= "C:\\WINDOWS\\system32\\java.exe"= "C:\\Programme\\ICQLite\\ICQLite.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\Zattoo\\zattood.exe"= "C:\\Programme\\Steam\\steamapps\\best_player_16\\counter-strike\\hl.exe"= "C:\\Programme\\Steam\\steamapps\\best_player_16\\ricochet\\hl.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings] "AllowInboundEchoRequest"= 1 (0x1) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp *Newly Created Service* - PAVBOOT . Inhalt des "geplante Tasks" Ordners "2008-07-25 21:00:02 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe "2008-07-25 13:00:00 C:\WINDOWS\Tasks\Norton Security Scan.job" - C:\Programme\Norton Security Scan\Nss.exe . - - - - Entfernte verwaiste Registrierungseintr„ge - - - - Notify-WgaLogon - (no file) MSConfigStartUp-ICQ - C:\Programme\ICQ6\ICQ.exe MSConfigStartUp-SandboxieControl - C:\Programme\Sandboxie\SbieCtrl.exe . ------- Zus„tzlicher Scan ------- . R0 -: HKCU-Main,Start Page = hxxp://start.icq.com/ R0 -: HKCU-Main,SearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 R0 -: HKLM-Main,Start Page = hxxp://alice.aol.de R1 -: HKCU-Internet Connection Wizard,ShellNext = iexplore R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/search?q=%s O8 -: Nach Microsoft E&xel exportieren - C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O17 -: HKLM\CCS\Interface\{0E45B1C7-9C75-4C49-A579-C5066105717F}: NameServer = 212.19.48.14 O17 -: HKLM\CCS\Interface\{F2467A10-7534-42A7-98C7-8B1DA472E93F}: NameServer = 192.168.2.1 ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-25 22:57:50 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{95808DC4-FA4A-4c74-92FE-5B863F82066B}] "ImagePath"="\??\C:\Programme\CyberLink\PowerDVD\000.fcl" . ------------------------ Weitere, laufende Prozesse ------------------------ . C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Sony\SonicStage\SSAAD.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\Programme\Steganos Internet Anonym VPN\SVPNStarter.exe C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe C:\WINDOWS\system32\vmnat.exe C:\WINDOWS\system32\vmnetdhcp.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-07-25 23:12:23 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2008-07-25 21:12:02 Pre-Run: 699,867,136 Bytes frei Post-Run: 788,770,816 Bytes frei 271 --- E O F --- 2008-07-13 18:21:04 Ich hab ihn zur sicherheit gepostet weil alles wieder okay ist ^^ Alles wieder TOP. Ich danke euch wirklich und ihr seid echt gut, nicht jeder macht sich die arbeit anderer zu helfen, schön zu wissen das es solche menschen noch gibt *TOP* Wie gesagt, falls ihr was entdeckt dann einfach in den threat schreiben *respekt* mfg chixz |
|
|
||
25.07.2008, 23:33
Member
Beiträge: 325 |
#11
Nein, warte erstmal was die Moderatoren sagen, es kommt häufig vor, dass bei vielen nur die Spitze des Eisberges entfernt wird.--ggf. bekommst Du noch einige Anweisungen ob da nochwas zu bereinigen ist!! Ansonsten kann es passieren, dass Du das Zeug bald wieder drauf hast!!
|
|
|
||
26.07.2008, 00:45
Ehrenmitglied
Beiträge: 29434 |
#12
Hallo chixz
Virustotal http://www.virustotal.com/flash/index_en.html C:\WINDOWS\AutoUpdateWin33.exe Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> HIER KOMPLETT kopieren __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.07.2008, 15:42
...neu hier
Themenstarter Beiträge: 6 |
#13
Da ist die auswertung...
http://www.virustotal.com/de/analisis/d98356800022db111b66984fb5a00995 mfg chixz |
|
|
||
26.07.2008, 19:17
Ehrenmitglied
Beiträge: 29434 |
#14
Hallo chixz
1. lösche also: C:\WINDOWS\AutoUpdateWin33.exe + leere den Papierkorb 2. ComboFix entfernen Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
ich habe ein Problem. Eben als ich am PC war war alles noch in Ordnung doch auf einmal hat er rumgespackt und habe ihn neu gestartet. Als ich mich in mein Profil einloggen wollte hat er die Programme wie AntiVir o.ä nicht mehr gestartet. Ich dachte es wäre ein Bug aber mein "Schwager" kennt sich mit sowas aus und meinte das es vielleicht ein Wurm wäre, wollte euch aber nach einem Rat fragen. Rundll32.exe wurde gelöscht, deswegen kann ich auch nix in der Systemsteuerung machen. Die cmd so wie die registery kann ich ncith mehr starten. Exe´n kann ich auch nicht mehr starten...dann kommt immer "öffnen mit...". Aus dem Grund kann ich auch kein Hijackthis FileLog posten.
Ich bitte euch um schnellstmögliche Hilfe.
Vielen Dank
mfg
chixz