Trojaner+Virus,keinTaskmanager,keine Registry,Virenscanner findet nichts mehr! |
||
---|---|---|
#0
| ||
28.07.2008, 01:42
Member
Beiträge: 14 |
||
|
||
28.07.2008, 02:19
Ehrenmitglied
Beiträge: 6028 |
#2
ViruTotal
Verborgene Dateien sichtbar machen Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren Und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren. Prüfe mal diese Datei(en) bei http://www.virustotal.com/de C:\WINDOWS\system32\naPrdMg.exe Note:Wenn bei ViruTotal die Meldung kommt ” Die Datei wurde bereits analysiert “waehle „Analisiere die Datei“ Arbeite das mal ab http://board.protecus.de/t23187.htm __________ MfG Argus |
|
|
||
28.07.2008, 11:25
Ehrenmitglied
Beiträge: 29434 |
#3
Hallo,Earl_Schappel
bervor du abarbeitest, was Arnold geschrieben hat, mache folgendes: 1, lade sdix (noch nicht anwenden) http://virus-protect.org/artikel/tools/sdfix.html unter C:\ findet man nun den SDFix-Ordner 2. mit dem HijackThis löschen ("fixen") Klicke: "Do a system scan only" Setze ein Häckchen in das Kästchen vor den genannten Eintrag und wähle fix checked. + starte den Rechner neu. Zitat F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\system32\naPrdMg.exePC neustarten - und in den abgesicherten modus boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet) gehe in den Ordner C:\SDFix RunThis.bat doppelt klicken folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag, __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.07.2008, 12:40
Member
Themenstarter Beiträge: 14 |
#4
Hallo Sabina,
also ich hab deine Anweisungen befolgt und das kam dabei raus SDFix: Version 1.209 Run by Administrator on 28.07.2008 at 12:34 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Checking Services : Restoring Default Security Values Restoring Default Hosts File Rebooting Checking Files : Trojan Files Found: C:\WINDOWS\SYSTEM32\BPI.EXE - Deleted C:\WINDOWS\SYSTEM32\BYK.EXE - Deleted C:\WINDOWS\SYSTEM32\DBI.EXE - Deleted C:\WINDOWS\SYSTEM32\DFA.EXE - Deleted C:\WINDOWS\SYSTEM32\DFY.EXE - Deleted C:\WINDOWS\SYSTEM32\DJT.EXE - Deleted C:\WINDOWS\SYSTEM32\DMV.EXE - Deleted C:\WINDOWS\SYSTEM32\DXH.EXE - Deleted C:\WINDOWS\SYSTEM32\EBM.EXE - Deleted C:\WINDOWS\SYSTEM32\EUV.EXE - Deleted C:\WINDOWS\SYSTEM32\JBP.EXE - Deleted C:\WINDOWS\SYSTEM32\JBT.EXE - Deleted C:\WINDOWS\SYSTEM32\JKK.EXE - Deleted C:\WINDOWS\SYSTEM32\KOP.EXE - Deleted C:\WINDOWS\SYSTEM32\KZN.EXE - Deleted C:\WINDOWS\SYSTEM32\LBM.EXE - Deleted C:\WINDOWS\SYSTEM32\LEK.EXE - Deleted C:\WINDOWS\SYSTEM32\LGG.EXE - Deleted C:\WINDOWS\SYSTEM32\LRA.EXE - Deleted C:\WINDOWS\SYSTEM32\LRW.EXE - Deleted C:\WINDOWS\SYSTEM32\LZR.EXE - Deleted C:\WINDOWS\SYSTEM32\MRH.EXE - Deleted C:\WINDOWS\SYSTEM32\MVF.EXE - Deleted C:\WINDOWS\SYSTEM32\NPB.EXE - Deleted C:\WINDOWS\SYSTEM32\UMK.EXE - Deleted C:\WINDOWS\SYSTEM32\UOK.EXE - Deleted C:\WINDOWS\SYSTEM32\UZW.EXE - Deleted C:\WINDOWS\SYSTEM32\VDJ.EXE - Deleted C:\WINDOWS\SYSTEM32\VIC.EXE - Deleted C:\WINDOWS\SYSTEM32\VMA.EXE - Deleted C:\WINDOWS\SYSTEM32\WIK.EXE - Deleted C:\WINDOWS\SYSTEM32\WIS.EXE - Deleted C:\WINDOWS\SYSTEM32\WZP.EXE - Deleted C:\WINDOWS\SYSTEM32\XEI.EXE - Deleted C:\WINDOWS\SYSTEM32\XLE.EXE - Deleted C:\WINDOWS\SYSTEM32\XWN.EXE - Deleted C:\WINDOWS\SYSTEM32\XWR.EXE - Deleted C:\WINDOWS\SYSTEM32\YTB.EXE - Deleted C:\WINDOWS\SYSTEM32\ZLB.EXE - Deleted C:\WINDOWS\Photo_SP_P0059.zip - Deleted C:\WINDOWS\system32\xag.exe - Deleted Removing Temp Files ADS Check : Final Check : catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-28 12:37:21 Windows 5.1.2600 NTFS scanning hidden processes ... scanning hidden services & system hive ... [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg] "s1"=dword:2df9c43f "s2"=dword:110480d0 "h0"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "p0"="C:\Programme\DAEMON Tools\" "h0"=dword:00000000 "khjeh"=hex:04,af,ed,71,d5,7d,95,56,af,3a,f7,8a,a1,3a,6a,f7,be,8c,c3,f0,49,.. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001] "a0"=hex:20,01,00,00,d2,3b,97,d0,eb,66,f5,26,66,0e,44,cf,12,73,db,90,64,.. "khjeh"=hex:ef,05,36,4f,3d,bc,56,b9,4d,fb,63,3f,75,37,dd,df,a8,6a,ce,37,6f,.. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40] "khjeh"=hex:d7,8a,e1,37,1b,81,31,ef,d6,2d,a9,92,33,38,3e,46,bb,6a,01,cc,93,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "p0"="C:\Programme\DAEMON Tools\" "h0"=dword:00000000 "khjeh"=hex:04,af,ed,71,d5,7d,95,56,af,3a,f7,8a,a1,3a,6a,f7,be,8c,c3,f0,49,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001] "a0"=hex:20,01,00,00,d2,3b,97,d0,eb,66,f5,26,66,0e,44,cf,12,73,db,90,64,.. "khjeh"=hex:ef,05,36,4f,3d,bc,56,b9,4d,fb,63,3f,75,37,dd,df,a8,6a,ce,37,6f,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40] "khjeh"=hex:d7,8a,e1,37,1b,81,31,ef,d6,2d,a9,92,33,38,3e,46,bb,6a,01,cc,93,.. scanning hidden registry entries ... scanning hidden files ... C:\WINDOWS\Temp\_av_proI.tm~a01052 scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 1 Remaining Services : Was auch immer nun er gelöscht hat, er fährt schon mal schneller hoch. Danke erstmal dafür!!! MFG Earl PS:Hab grad getestet, Taskmanager geht wieder, Registry ebenso, solltes das schon gewesen sein???^^ __________ MFG Earl_Schappel |
|
|
||
28.07.2008, 15:04
Ehrenmitglied
Beiträge: 29434 |
#5
Hallo,Earl_Schappel
da gibt es noch mehr viren...deshalb: wende combofix an, klicke die warnmeldung weg + poste den report http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.07.2008, 15:10
Member
Themenstarter Beiträge: 14 |
#6
Hmm krass, das hätt ich nich gedacht!
Okay hier der Log: ComboFix 08-07-27.5 - Earliminator 2008-07-28 15:07:43.1 - NTFSx86 ausgeführt von:: C:\Dokumente und Einstellungen\Earliminator\Desktop\ComboFix.exe [color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color] . ((((((((((((((((((((((( Dateien erstellt von 2008-06-28 bis 2008-07-28 )))))))))))))))))))))))))))))) . 2008-07-28 12:50 . 2008-07-28 12:51 <DIR> d-------- C:\Dokumente und Einstellungen\Earliminator\Anwendungsdaten\ICQ 2008-07-28 12:33 . 2008-07-28 12:33 <DIR> d-------- C:\WINDOWS\ERUNT 2008-07-28 12:28 . 2008-07-28 12:37 <DIR> d-------- C:\SDFix 2008-07-28 01:35 . 2008-07-28 01:35 <DIR> d-------- C:\Programme\CleanUp! 2008-07-28 01:11 . 2008-07-28 01:11 <DIR> d-------- C:\Programme\Trend Micro 2008-07-28 00:57 . 2008-07-27 15:13 <DIR> d--h----- C:\Dokumente und Einstellungen\Earliminator\Vorlagen 2008-07-28 00:57 . 2008-07-27 16:05 <DIR> dr------- C:\Dokumente und Einstellungen\Earliminator\Startmenü 2008-07-28 00:57 . 2008-07-27 16:05 <DIR> d--h----- C:\Dokumente und Einstellungen\Earliminator\Netzwerkumgebung 2008-07-28 00:57 . 2008-07-27 16:05 <DIR> d--h----- C:\Dokumente und Einstellungen\Earliminator\Lokale Einstellungen 2008-07-28 00:57 . 2008-07-28 00:57 <DIR> dr------- C:\Dokumente und Einstellungen\Earliminator\Favoriten 2008-07-28 00:57 . 2008-07-28 00:57 <DIR> dr------- C:\Dokumente und Einstellungen\Earliminator\Eigene Dateien 2008-07-28 00:57 . 2008-07-27 16:05 <DIR> d--h----- C:\Dokumente und Einstellungen\Earliminator\Druckumgebung 2008-07-28 00:57 . 2008-07-28 12:50 <DIR> dr-h----- C:\Dokumente und Einstellungen\Earliminator\Anwendungsdaten 2008-07-28 00:57 . 2008-07-28 00:57 <DIR> d-------- C:\Dokumente und Einstellungen\Earliminator 2008-07-28 00:51 . 2008-07-28 00:51 <DIR> d-------- C:\Programme\DaemonTools_WhenUSave_Installer 2008-07-28 00:50 . 2008-07-28 00:50 <DIR> d-------- C:\Programme\DAEMON Tools 2008-07-27 23:55 . 2008-07-27 23:55 <DIR> d-------- C:\Programme\Alwil Software 2008-07-27 23:47 . 2008-07-27 23:47 104,448 --a------ C:\WINDOWS\system32\cwa.exe 2008-07-27 23:21 . 2008-07-27 23:21 104,448 --a------ C:\WINDOWS\system32\kzf.exe 2008-07-27 22:57 . 2008-07-27 22:57 104,448 --a------ C:\WINDOWS\system32\tdm.exe 2008-07-27 22:54 . 2008-07-27 22:54 104,448 --a------ C:\WINDOWS\system32\bce.exe 2008-07-27 22:52 . 2008-07-27 22:52 682,232 --a------ C:\WINDOWS\system32\drivers\sptd.sys 2008-07-27 22:44 . 2008-07-27 22:44 104,448 --a------ C:\WINDOWS\system32\keg.exe 2008-07-27 22:42 . 2008-07-28 12:25 60,928 --a------ C:\s4j1v4x7t8b1.exe 2008-07-27 22:41 . 2008-07-27 22:41 <DIR> d-------- C:\My Downloads 2008-07-27 22:41 . 2008-07-27 23:25 104,448 -r-hs---- C:\WINDOWS\system32\naPrdMg.exe 2008-07-27 22:37 . 2008-07-27 22:37 <DIR> d-------- C:\WINDOWS\Downloaded Installations 2008-07-27 22:13 . 2008-07-27 23:53 <DIR> d-------- C:\WINDOWS\LastGood 2008-07-27 22:13 . 2008-07-27 22:14 <DIR> d-------- C:\Programme\ICQ6 2008-07-27 22:13 . 2008-07-28 00:35 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ICQ 2008-07-27 22:11 . 2008-07-27 22:11 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ICQLite 2008-07-27 19:20 . 2008-07-27 19:25 350 --a------ C:\WINDOWS\system\CMCNFGU.INI 2008-07-27 19:16 . 2008-07-27 19:17 <DIR> d-------- C:\WUTemp 2008-07-27 19:16 . 2001-08-17 22:24 135,040 --a------ C:\WINDOWS\system32\drivers\portcls.sys 2008-07-27 19:16 . 2001-08-17 22:24 135,040 --a--c--- C:\WINDOWS\system32\dllcache\portcls.sys 2008-07-27 19:16 . 2001-08-17 14:01 57,344 --a------ C:\WINDOWS\system32\drivers\drmk.sys 2008-07-27 19:16 . 2001-08-17 14:01 57,344 --a--c--- C:\WINDOWS\system32\dllcache\drmk.sys 2008-07-27 19:03 . 2001-08-17 14:01 56,448 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys 2008-07-27 19:03 . 2001-08-17 14:01 56,448 --a--c--- C:\WINDOWS\system32\dllcache\usbaudio.sys 2008-07-27 19:01 . 2008-07-27 19:10 <DIR> d-------- C:\Programme\Teamspeak2_RC2 2008-07-27 19:01 . 2008-07-27 19:01 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\teamspeak2 2008-07-27 19:01 . 2008-07-27 19:01 34,064 --a------ C:\WINDOWS\system32\lhacm.acm 2008-07-27 18:12 . 2008-07-28 02:38 <DIR> d-------- C:\Programme\Visions 2008-07-27 16:31 . 2008-07-27 16:31 0 --a------ C:\WINDOWS\PowerReg.dat 2008-07-27 16:28 . 1998-10-29 15:45 306,688 --a------ C:\WINDOWS\IsUninst.exe 2008-07-27 16:12 . 2008-07-27 16:12 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ESET 2008-07-27 16:06 . 2001-08-18 05:54 70,144 --a------ C:\WINDOWS\system32\usbui.dll 2008-07-27 16:06 . 2001-08-17 15:02 9,728 --a------ C:\WINDOWS\system32\drivers\gameenum.sys 2008-07-27 16:06 . 2001-08-17 15:00 2,944 --a------ C:\WINDOWS\system32\drivers\msmpu401.sys 2008-07-27 16:05 . 2008-07-27 16:05 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe AIR 2008-07-27 16:05 . 2008-07-27 15:13 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Vorlagen 2008-07-27 16:05 . 2008-07-27 16:05 <DIR> dr------- C:\Dokumente und Einstellungen\Default User\Startmenü 2008-07-27 16:05 . 2008-07-27 16:05 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Netzwerkumgebung 2008-07-27 16:05 . 2008-07-27 16:05 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen 2008-07-27 16:05 . 2008-07-27 16:05 <DIR> d-------- C:\Dokumente und Einstellungen\Default User\Favoriten 2008-07-27 16:05 . 2008-07-27 16:05 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Druckumgebung 2008-07-27 16:05 . 2008-07-27 16:05 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users\Vorlagen 2008-07-27 16:05 . 2008-07-27 22:14 <DIR> dr------- C:\Dokumente und Einstellungen\All Users\Startmenü 2008-07-27 16:05 . 2008-07-27 16:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Favoriten 2008-07-27 16:05 . 2008-07-27 15:14 <DIR> dr------- C:\Dokumente und Einstellungen\All Users\Dokumente 2008-07-27 16:04 . 2008-07-28 00:50 <DIR> d-------- C:\WINDOWS\system32\CatRoot2 2008-07-27 16:04 . 2008-07-27 16:05 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe 2008-07-27 16:04 . 2008-07-27 16:05 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Anwendungsdaten 2008-07-27 16:04 . 2008-07-27 16:12 <DIR> dr-h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten 2008-07-27 16:03 . 2008-07-27 16:03 <DIR> d-------- C:\Programme\Java 2008-07-27 16:03 . 2008-07-27 16:03 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java 2008-07-27 16:03 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-28 10:25 43,008 ----a-w C:\WINDOWS\system32\ftp.exe 2008-07-28 10:25 17,408 ----a-w C:\WINDOWS\system32\tftp.exe 2008-07-27 22:52 --------- d-----w C:\Programme\Google 2008-07-27 22:35 --------- d-----w C:\Programme\dfdsfs 2008-07-27 20:44 134,656 ----a-w C:\WINDOWS\system32\sfc_os.dll 2008-07-27 20:14 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-07-27 13:28 --------- d-----w C:\Programme\My Company Name 2008-07-27 13:25 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield 2008-07-27 13:16 --------- d-----w C:\Programme\microsoft frontpage 2008-07-27 13:15 --------- d-----w C:\Programme\Online-Dienste 2008-07-27 13:14 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-23 14:00 13312] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2001-08-02 07:14 1077277] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2007-04-19 07:26 7700480] "NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2007-04-19 07:26 86016] "GamerOSD"="C:\Program Files\ASUS\GamerOSD\GamerOSD.exe" [2007-02-14 09:42 380928] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 02:38 34672] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 16:38 78008] "nwiz"="nwiz.exe" [2007-04-19 07:26 1626112 C:\WINDOWS\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-23 14:00 13312] C:\Dokumente und Einstellungen\Administrator\Startmen\Programme\Autostart\ PowerReg Scheduler.exe [2008-07-27 16:31:46 256000] [HKEY_LOCAL_MACHINE\software\microsoft\security center] "UpdatesDisableNotify"=dword:00000001 "AntiVirusDisableNotify"=dword:00000001 "AntiVirusOverride"=dword:00000001 "FirewallOverride"=dword:00000001 *Newly Created Service* - PROCEXP90 . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKLM-Run-CmUsbSound - cmcnfgu.cpl HKU-Default-Run-MicroSoft Visual SP - igxdfdfds.com HKU-Default-Run-MicroSoft HardCore - kdjfsdssl.exe HKU-Default-RunOnce-Windows has Layer - fixweb.exe HKU-Default-RunOnce-MicroSoft HardCore - kdjfsdssl.exe . ------- Zusätzlicher Scan ------- . O9 -: {c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-28 15:08:28 Windows 5.1.2600 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-07-28 15:09:02 ComboFix-quarantined-files.txt 2008-07-28 13:09:00 Pre-Run: 11 Verzeichnis(se), 111,544,262,656 Bytes frei Post-Run: 13 Verzeichnis(se), 111,539,634,176 Bytes frei 140 __________ MFG Earl_Schappel |
|
|
||
28.07.2008, 15:20
Ehrenmitglied
Beiträge: 29434 |
#7
1.
gehe in die Registry Start - Ausführen - regedit alle Schlüssel in 0 ändern [HKEY_LOCAL_MACHINE\software\microsoft\security center] "UpdatesDisableNotify"=dword:00000001 "AntiVirusDisableNotify"=dword:00000001 "AntiVirusOverride"=dword:00000001 "FirewallOverride"=dword:00000001 rechtsklick auf den Eintrag "AntiVirusDisableNotify" die 1 wegklicken und 0 reinschreiben, dann abspeichern -------------------------------------------------------------------- 2. Prüfe mal diese Datei(en) bei http://www.virustotal.com/de C:\WINDOWS\system32\naPrdMg.exe C:\WINDOWS\system32\cwa.exe C:\s4j1v4x7t8b1.exe Note:Wenn bei ViruTotal die Meldung kommt ” Die Datei wurde bereits analysiert “waehle „Analisiere die Datei“ 3 Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere in das weisse Feld: Zitat Files to delete:schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten) Klicke: Execute bestätige, dass der Rechner neu gestartet wird - klicke "yes" nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt),kopiere es ab - mit rechtem Mausklick - kopieren - einfügen 4. wende noch mal Combofix an + poste den report __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.07.2008, 15:45
Member
Themenstarter Beiträge: 14 |
#8
So hab nun auch das ausgeführt.
ComboFix 08-07-27.5 - Earliminator 2008-07-28 15:43:22.3 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.0.1252.1.1031.18.1712 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Earliminator\Desktop\ComboFix.exe [color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color] . ((((((((((((((((((((((( Dateien erstellt von 2008-06-28 bis 2008-07-28 )))))))))))))))))))))))))))))) . 2008-07-28 12:50 . 2008-07-28 12:51 <DIR> d-------- C:\Dokumente und Einstellungen\Earliminator\Anwendungsdaten\ICQ 2008-07-28 12:33 . 2008-07-28 12:33 <DIR> d-------- C:\WINDOWS\ERUNT 2008-07-28 12:28 . 2008-07-28 12:37 <DIR> d-------- C:\SDFix 2008-07-28 01:35 . 2008-07-28 01:35 <DIR> d-------- C:\Programme\CleanUp! 2008-07-28 01:11 . 2008-07-28 01:11 <DIR> d-------- C:\Programme\Trend Micro 2008-07-28 00:57 . 2008-07-27 15:13 <DIR> d--h----- C:\Dokumente und Einstellungen\Earliminator\Vorlagen 2008-07-28 00:57 . 2008-07-27 16:05 <DIR> dr------- C:\Dokumente und Einstellungen\Earliminator\Startmenü 2008-07-28 00:57 . 2008-07-27 16:05 <DIR> d--h----- C:\Dokumente und Einstellungen\Earliminator\Netzwerkumgebung 2008-07-28 00:57 . 2008-07-28 15:44 <DIR> d--h----- C:\Dokumente und Einstellungen\Earliminator\Lokale Einstellungen 2008-07-28 00:57 . 2008-07-28 00:57 <DIR> dr------- C:\Dokumente und Einstellungen\Earliminator\Favoriten 2008-07-28 00:57 . 2008-07-28 00:57 <DIR> dr------- C:\Dokumente und Einstellungen\Earliminator\Eigene Dateien 2008-07-28 00:57 . 2008-07-27 16:05 <DIR> d--h----- C:\Dokumente und Einstellungen\Earliminator\Druckumgebung 2008-07-28 00:57 . 2008-07-28 12:50 <DIR> dr-h----- C:\Dokumente und Einstellungen\Earliminator\Anwendungsdaten 2008-07-28 00:57 . 2008-07-28 00:57 <DIR> d-------- C:\Dokumente und Einstellungen\Earliminator 2008-07-28 00:51 . 2008-07-28 00:51 <DIR> d-------- C:\Programme\DaemonTools_WhenUSave_Installer 2008-07-28 00:50 . 2008-07-28 00:50 <DIR> d-------- C:\Programme\DAEMON Tools 2008-07-27 23:55 . 2008-07-27 23:55 <DIR> d-------- C:\Programme\Alwil Software 2008-07-27 22:52 . 2008-07-27 22:52 682,232 --a------ C:\WINDOWS\system32\drivers\sptd.sys 2008-07-27 22:41 . 2008-07-27 22:41 <DIR> d-------- C:\My Downloads 2008-07-27 22:37 . 2008-07-27 22:37 <DIR> d-------- C:\WINDOWS\Downloaded Installations 2008-07-27 22:13 . 2008-07-27 23:53 <DIR> d-------- C:\WINDOWS\LastGood 2008-07-27 22:13 . 2008-07-27 22:14 <DIR> d-------- C:\Programme\ICQ6 2008-07-27 22:13 . 2008-07-28 00:35 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ICQ 2008-07-27 22:11 . 2008-07-27 22:11 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ICQLite 2008-07-27 19:20 . 2008-07-27 19:25 350 --a------ C:\WINDOWS\system\CMCNFGU.INI 2008-07-27 19:16 . 2008-07-27 19:17 <DIR> d-------- C:\WUTemp 2008-07-27 19:16 . 2001-08-17 22:24 135,040 --a------ C:\WINDOWS\system32\drivers\portcls.sys 2008-07-27 19:16 . 2001-08-17 22:24 135,040 --a--c--- C:\WINDOWS\system32\dllcache\portcls.sys 2008-07-27 19:16 . 2001-08-17 14:01 57,344 --a------ C:\WINDOWS\system32\drivers\drmk.sys 2008-07-27 19:16 . 2001-08-17 14:01 57,344 --a--c--- C:\WINDOWS\system32\dllcache\drmk.sys 2008-07-27 19:03 . 2001-08-17 14:01 56,448 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys 2008-07-27 19:03 . 2001-08-17 14:01 56,448 --a--c--- C:\WINDOWS\system32\dllcache\usbaudio.sys 2008-07-27 19:01 . 2008-07-27 19:10 <DIR> d-------- C:\Programme\Teamspeak2_RC2 2008-07-27 19:01 . 2008-07-27 19:01 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\teamspeak2 2008-07-27 19:01 . 2008-07-27 19:01 34,064 --a------ C:\WINDOWS\system32\lhacm.acm 2008-07-27 18:12 . 2008-07-28 02:38 <DIR> d-------- C:\Programme\Visions 2008-07-27 16:31 . 2008-07-27 16:31 0 --a------ C:\WINDOWS\PowerReg.dat 2008-07-27 16:28 . 1998-10-29 15:45 306,688 --a------ C:\WINDOWS\IsUninst.exe 2008-07-27 16:12 . 2008-07-27 16:12 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ESET 2008-07-27 16:06 . 2001-08-18 05:54 70,144 --a------ C:\WINDOWS\system32\usbui.dll 2008-07-27 16:06 . 2001-08-17 15:02 9,728 --a------ C:\WINDOWS\system32\drivers\gameenum.sys 2008-07-27 16:06 . 2001-08-17 15:00 2,944 --a------ C:\WINDOWS\system32\drivers\msmpu401.sys 2008-07-27 16:05 . 2008-07-27 16:05 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe AIR 2008-07-27 16:05 . 2008-07-27 15:13 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Vorlagen 2008-07-27 16:05 . 2008-07-27 16:05 <DIR> dr------- C:\Dokumente und Einstellungen\Default User\Startmenü 2008-07-27 16:05 . 2008-07-27 16:05 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Netzwerkumgebung 2008-07-27 16:05 . 2008-07-27 16:05 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen 2008-07-27 16:05 . 2008-07-27 16:05 <DIR> d-------- C:\Dokumente und Einstellungen\Default User\Favoriten 2008-07-27 16:05 . 2008-07-27 16:05 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Druckumgebung 2008-07-27 16:05 . 2008-07-27 16:05 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users\Vorlagen 2008-07-27 16:05 . 2008-07-27 22:14 <DIR> dr------- C:\Dokumente und Einstellungen\All Users\Startmenü 2008-07-27 16:05 . 2008-07-27 16:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Favoriten 2008-07-27 16:05 . 2008-07-27 15:14 <DIR> dr------- C:\Dokumente und Einstellungen\All Users\Dokumente 2008-07-27 16:04 . 2008-07-28 15:36 <DIR> d-------- C:\WINDOWS\system32\CatRoot2 2008-07-27 16:04 . 2008-07-27 16:05 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe 2008-07-27 16:04 . 2008-07-27 16:05 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Anwendungsdaten 2008-07-27 16:04 . 2008-07-27 16:12 <DIR> dr-h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten 2008-07-27 16:03 . 2008-07-27 16:03 <DIR> d-------- C:\Programme\Java 2008-07-27 16:03 . 2008-07-27 16:03 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java 2008-07-27 16:03 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-28 10:25 43,008 ----a-w C:\WINDOWS\system32\ftp.exe 2008-07-28 10:25 17,408 ----a-w C:\WINDOWS\system32\tftp.exe 2008-07-27 22:52 --------- d-----w C:\Programme\Google 2008-07-27 22:35 --------- d-----w C:\Programme\dfdsfs 2008-07-27 20:44 134,656 ----a-w C:\WINDOWS\system32\sfc_os.dll 2008-07-27 20:14 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-07-27 13:28 --------- d-----w C:\Programme\My Company Name 2008-07-27 13:25 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield 2008-07-27 13:16 --------- d-----w C:\Programme\microsoft frontpage 2008-07-27 13:15 --------- d-----w C:\Programme\Online-Dienste 2008-07-27 13:14 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste . ((((((((((((((((((((((((((((( snapshot@2008-07-28_15.08.53.35 ))))))))))))))))))))))))))))))))))))))))) . - 2008-07-28 13:07:42 48,156 ----a-w C:\WINDOWS\system32\perfc007.dat + 2008-07-28 13:34:52 48,156 ----a-w C:\WINDOWS\system32\perfc007.dat - 2008-07-28 13:07:42 39,992 ----a-w C:\WINDOWS\system32\perfc009.dat + 2008-07-28 13:34:52 39,992 ----a-w C:\WINDOWS\system32\perfc009.dat - 2008-07-28 13:07:42 316,594 ----a-w C:\WINDOWS\system32\perfh007.dat + 2008-07-28 13:34:52 316,594 ----a-w C:\WINDOWS\system32\perfh007.dat - 2008-07-28 13:07:42 311,604 ----a-w C:\WINDOWS\system32\perfh009.dat + 2008-07-28 13:34:52 311,604 ----a-w C:\WINDOWS\system32\perfh009.dat + 2008-07-28 13:42:25 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_4e4.dat . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-23 14:00 13312] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2001-08-02 07:14 1077277] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2007-04-19 07:26 7700480] "NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2007-04-19 07:26 86016] "GamerOSD"="C:\Program Files\ASUS\GamerOSD\GamerOSD.exe" [2007-02-14 09:42 380928] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 02:38 34672] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 16:38 78008] "nwiz"="nwiz.exe" [2007-04-19 07:26 1626112 C:\WINDOWS\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-23 14:00 13312] C:\Dokumente und Einstellungen\Administrator\Startmen\Programme\Autostart\ PowerReg Scheduler.exe [2008-07-27 16:31:46 256000] R1 asusgsb;ASUS Virtual Video Capture Device Driver;C:\WINDOWS\System32\drivers\asusgsb32.sys [2005-10-20 16:25] R1 aswSP;avast! Self Protection;C:\WINDOWS\System32\drivers\aswSP.sys [2008-07-19 16:35] S3 cmudau;C-Media USB Sound Interface;C:\WINDOWS\System32\drivers\cmudau.sys [2004-04-02 13:09] . . ------- Zusätzlicher Scan ------- . O9 -: {c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-28 15:44:13 Windows 5.1.2600 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-07-28 15:44:41 ComboFix-quarantined-files.txt 2008-07-28 13:44:39 ComboFix2.txt 2008-07-28 13:36:46 ComboFix3.txt 2008-07-28 13:09:02 Pre-Run: 12 Verzeichnis(se), 111,566,090,240 Bytes frei Post-Run: 13 Verzeichnis(se), 111,558,447,104 Bytes frei 139 __________ MFG Earl_Schappel |
|
|
||
28.07.2008, 16:58
Ehrenmitglied
Beiträge: 29434 |
#9
««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit "Speichern unter" auf dem Desktop. Gebe bei Dateityp "Alle Dateien" an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\«« wende datfindbat an , die Dateien sind nach Datum geordnet, kopiere von jedem ca. die letzten 2 Monate ab http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.07.2008, 17:17
Member
Themenstarter Beiträge: 14 |
#10
Ich hoffe das ich das Verstanden habe^^.
Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5C94-60B9 Verzeichnis von c:\ 28.07.2008 17:15 0 dirdat.txt 28.07.2008 17:14 4.050 files.txt 28.07.2008 15:44 10.346 ComboFix.txt 28.07.2008 15:42 2.145.386.496 pagefile.sys 28.07.2008 15:42 3.656 avenger.txt 27.07.2008 15:16 0 MSDOS.SYS 27.07.2008 15:16 0 CONFIG.SYS 27.07.2008 15:16 0 IO.SYS 27.07.2008 15:16 0 AUTOEXEC.BAT 27.07.2008 15:09 194 boot.ini 23.08.2001 14:00 224.032 ntldr 23.08.2001 14:00 4.952 bootfont.bin 23.08.2001 14:00 45.124 NTDETECT.COM 13 Datei(en) 2.145.678.850 Bytes 0 Verzeichnis(se), 111.552.176.128 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5C94-60B9 Verzeichnis von C:\WINDOWS\system32 28.07.2008 15:42 88.723 nvapps.xml 28.07.2008 15:34 311.604 perfh009.dat 28.07.2008 15:34 39.992 perfc009.dat 28.07.2008 15:34 316.594 perfh007.dat 28.07.2008 15:34 48.156 perfc007.dat 28.07.2008 15:34 723.744 PerfStringBackup.INI 28.07.2008 12:25 17.408 tftp.exe 28.07.2008 12:25 43.008 ftp.exe 28.07.2008 00:57 25.065 wmpscheme.xml 27.07.2008 23:55 3.002 CONFIG.NT 27.07.2008 22:44 134.656 sfc_os.dll 27.07.2008 19:01 34.064 lhacm.acm 27.07.2008 16:09 0 h323log.txt 27.07.2008 16:03 6.944 jupdate-1.6.0_07-b06.log 27.07.2008 15:19 2.184 wpa.dbl 27.07.2008 15:18 90.296 FNTCACHE.DAT 27.07.2008 15:18 261 $winnt$.inf 27.07.2008 15:16 16.832 amcompat.tlb 27.07.2008 15:16 23.392 nscompat.tlb 27.07.2008 15:15 488 logonui.exe.manifest 27.07.2008 15:15 488 WindowsLogon.manifest 27.07.2008 15:15 749 ncpa.cpl.manifest 27.07.2008 15:15 749 cdplayer.exe.manifest 27.07.2008 15:15 749 wuaucpl.cpl.manifest 27.07.2008 15:15 749 sapi.cpl.manifest 27.07.2008 15:15 749 nwc.cpl.manifest 27.07.2008 15:14 21.740 emptyregdb.dat 19.07.2008 16:43 1.163.960 aswBoot.exe 19.07.2008 16:30 94.392 AvastSS.scr 10.06.2008 02:32 73.728 javacpl.cpl 10.06.2008 02:32 139.264 javaws.exe 10.06.2008 01:21 135.168 javaw.exe 10.06.2008 01:21 135.168 java.exe 19.04.2007 14:14 208.896 NVUNINST.EXE 19.04.2007 07:26 319.488 nvwrsptb.dll 19.04.2007 07:26 323.584 nvwrspt.dll 19.04.2007 07:26 294.912 nvwrspl.dll 19.04.2007 07:26 299.008 nvwrsno.dll 19.04.2007 07:26 319.488 nvwrsnl.dll 19.04.2007 07:26 196.608 nvwrsko.dll 19.04.2007 07:26 212.992 nvwrsja.dll 19.04.2007 07:26 315.392 nvwrsru.dll 19.04.2007 07:26 315.392 nvwrshu.dll 19.04.2007 07:26 278.528 nvwrshe.dll 19.04.2007 07:26 327.680 nvwrsfr.dll 19.04.2007 07:26 303.104 nvwrsfi.dll 19.04.2007 07:26 303.104 nvwrssl.dll 19.04.2007 07:26 425.984 keystone.exe 19.04.2007 07:26 299.008 nvwrssk.dll 19.04.2007 07:26 294.912 nvwrssv.dll 19.04.2007 07:26 323.584 nvwrsit.dll 19.04.2007 07:26 4.543.616 nv4_disp.dll 19.04.2007 07:26 303.104 nvwrstr.dll 19.04.2007 07:26 327.680 nvwrsesm.dll 19.04.2007 07:26 335.872 nvwrses.dll 19.04.2007 07:26 286.720 nvwrseng.dll 19.04.2007 07:26 335.872 nvwrsel.dll 19.04.2007 07:26 311.296 nvwrsde.dll 19.04.2007 07:26 294.912 nvwrsda.dll 19.04.2007 07:26 286.720 nvwrscs.dll 19.04.2007 07:26 282.624 nvwrsar.dll 19.04.2007 07:26 1.019.904 nvwimg.dll 19.04.2007 07:26 1.703.936 nvwdmcpl.dll 19.04.2007 07:26 81.920 nvwddi.dll 19.04.2007 07:26 163.840 nvwrszhc.dll 19.04.2007 07:26 208.896 nvudisp.exe 19.04.2007 07:26 73.728 nvtuicpl.cpl 19.04.2007 07:26 159.810 nvsvc32.exe 19.04.2007 07:26 466.944 nvshell.dll 19.04.2007 07:26 118.784 nvrszht.dll 19.04.2007 07:26 212.992 nvapi.dll 19.04.2007 07:26 249.856 nvrstr.dll 19.04.2007 07:26 1.626.112 nwiz.exe 19.04.2007 07:26 245.760 nvrssv.dll 19.04.2007 07:26 249.856 nvrssl.dll 19.04.2007 07:26 249.856 nvrssk.dll 19.04.2007 07:26 262.144 nvrsru.dll 19.04.2007 07:26 262.144 nvrsptb.dll 19.04.2007 07:26 266.240 nvrspt.dll 19.04.2007 07:26 249.856 nvrspl.dll 19.04.2007 07:26 249.856 nvrsno.dll 19.04.2007 07:26 266.240 nvrsnl.dll 19.04.2007 07:26 258.048 nvrsko.dll 19.04.2007 07:26 262.144 nvrsja.dll 19.04.2007 07:26 274.432 nvrsit.dll 19.04.2007 07:26 253.952 nvrshu.dll 19.04.2007 07:26 323.584 nvrshe.dll 19.04.2007 07:26 278.528 nvrsfr.dll 19.04.2007 07:26 241.664 nvrsfi.dll 19.04.2007 07:26 266.240 nvrsesm.dll 19.04.2007 07:26 274.432 nvrses.dll 19.04.2007 07:26 241.664 nvrseng.dll 19.04.2007 07:26 274.432 nvrsel.dll 19.04.2007 07:26 270.336 nvrsde.dll 19.04.2007 07:26 245.760 nvrsda.dll 19.04.2007 07:26 241.664 nvrscs.dll 19.04.2007 07:26 323.584 nvrsar.dll 19.04.2007 07:26 5.644.288 nvoglnt.dll 19.04.2007 07:26 286.720 nvnt4cpl.dll 19.04.2007 07:26 86.016 nvmctray.dll 19.04.2007 07:26 45.056 nvmccsrs.dll 19.04.2007 07:26 229.376 nvmccs.dll 19.04.2007 07:26 1.474.560 nview.dll 19.04.2007 07:26 581.632 nvhwvid.dll 19.04.2007 07:26 1.339.392 nvdspsch.exe 19.04.2007 07:26 17.056 nvdisp.nvu 19.04.2007 07:26 7.700.480 nvcpl.dll 19.04.2007 07:26 147.456 nvcolor.exe 19.04.2007 07:26 35.840 nvcodins.dll 19.04.2007 07:26 35.840 nvcod.dll 19.04.2007 07:26 167.936 nvwrszht.dll 19.04.2007 07:26 442.368 nvappbar.exe 19.04.2007 07:26 221.184 nvrszhc.dll Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5C94-60B9 Verzeichnis von C:\My Downloads 27.07.2008 22:41 <DIR> . 27.07.2008 22:41 <DIR> .. 0 Datei(en) 0 Bytes 2 Verzeichnis(se), 111.552.487.424 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5C94-60B9 Verzeichnis von C:\WINDOWS\Downloaded Installations 27.07.2008 22:37 <DIR> . 27.07.2008 22:37 <DIR> .. 27.07.2008 22:37 <DIR> DAEMON Tools 3.47 0 Datei(en) 0 Bytes 3 Verzeichnis(se), 111.552.487.424 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5C94-60B9 Verzeichnis von C:\Dokumente und Einstellungen\Earliminator\Lokale Einstellungen\Temporary Internet Files\Content.IE5 28.07.2008 15:46 65.536 index.dat 1 Datei(en) 65.536 Bytes 0 Verzeichnis(se), 111.552.483.328 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5C94-60B9 Verzeichnis von C:\Dokumente und Einstellungen\Earliminator\Lokale Einstellungen\Temp 28.07.2008 16:30 <DIR> . 28.07.2008 16:30 <DIR> .. 28.07.2008 15:47 173 jusched.log 28.07.2008 15:53 <DIR> plugtmp 1 Datei(en) 173 Bytes 3 Verzeichnis(se), 111.552.483.328 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5C94-60B9 Verzeichnis von C:\WINDOWS\Temp 28.07.2008 15:44 <DIR> . 28.07.2008 15:44 <DIR> .. 28.07.2008 15:42 16.384 Perflib_Perfdata_4e4.dat 28.07.2008 17:11 <DIR> _avast4_ 1 Datei(en) 16.384 Bytes 3 Verzeichnis(se), 111.552.483.328 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5C94-60B9 Verzeichnis von C:\ Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5C94-60B9 Verzeichnis von C:\My Downloads 27.07.2008 22:41 <DIR> . 27.07.2008 22:41 <DIR> .. 0 Datei(en) 0 Bytes 2 Verzeichnis(se), 111.552.081.920 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5C94-60B9 Verzeichnis von C:\WINDOWS\Downloaded Installations 27.07.2008 22:37 <DIR> . 27.07.2008 22:37 <DIR> .. 27.07.2008 22:37 <DIR> DAEMON Tools 3.47 0 Datei(en) 0 Bytes 3 Verzeichnis(se), 111.552.081.920 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5C94-60B9 Verzeichnis von C:\Dokumente und Einstellungen\Earliminator\Lokale Einstellungen\Temporary Internet Files\Content.IE5 28.07.2008 15:46 65.536 index.dat 1 Datei(en) 65.536 Bytes 0 Verzeichnis(se), 111.552.081.920 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5C94-60B9 Verzeichnis von C:\Dokumente und Einstellungen\Earliminator\Lokale Einstellungen\Temp 28.07.2008 17:13 <DIR> . 28.07.2008 17:13 <DIR> .. 28.07.2008 15:47 173 jusched.log 28.07.2008 15:53 <DIR> plugtmp 1 Datei(en) 173 Bytes 3 Verzeichnis(se), 111.552.081.920 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5C94-60B9 Verzeichnis von C:\WINDOWS\Temp 28.07.2008 15:44 <DIR> . 28.07.2008 15:44 <DIR> .. 28.07.2008 15:42 16.384 Perflib_Perfdata_4e4.dat 28.07.2008 17:13 <DIR> _avast4_ 1 Datei(en) 16.384 Bytes 3 Verzeichnis(se), 111.552.081.920 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5C94-60B9 Verzeichnis von C:\ __________ MFG Earl_Schappel |
|
|
||
28.07.2008, 18:06
Ehrenmitglied
Beiträge: 29434 |
#11
««
Virustotal http://www.virustotal.com/flash/index_en.html C:\WINDOWS\system32\tftp.exe C:\WINDOWS\system32\ftp.exe Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.07.2008, 18:37
Member
Themenstarter Beiträge: 14 |
#12
Ok, also erste Datei:
Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.7.26.0 2008.07.28 - AntiVir 7.8.1.12 2008.07.28 - Authentium 5.1.0.4 2008.07.28 W32/Backdoor2.BIRB Avast 4.8.1195.0 2008.07.28 - AVG 8.0.0.130 2008.07.28 Generic_c.KR BitDefender 7.2 2008.07.28 - CAT-QuickHeal 9.50 2008.07.28 - ClamAV 0.93.1 2008.07.28 - DrWeb 4.44.0.09170 2008.07.28 - eSafe 7.0.17.0 2008.07.28 - eTrust-Vet 31.6.5989 2008.07.28 - Ewido 4.0 2008.07.28 - F-Prot 4.4.4.56 2008.07.28 W32/Backdoor2.BIRB F-Secure 7.60.13501.0 2008.07.28 - Fortinet 3.14.0.0 2008.07.26 - GData 2.0.7306.1023 2008.07.28 - Ikarus T3.1.1.34.0 2008.07.28 Win32.SuspectCrc Kaspersky 7.0.0.125 2008.07.28 - McAfee 5347 2008.07.25 - Microsoft 1.3704 2008.07.28 - NOD32v2 3303 2008.07.28 - Norman 5.80.02 2008.07.28 - Panda 9.0.0.4 2008.07.28 - PCTools 4.4.2.0 2008.07.28 - Prevx1 V2 2008.07.28 - Rising 20.55.02.00 2008.07.28 - Sophos 4.31.0 2008.07.28 - Sunbelt 3.1.1536.1 2008.07.28 - Symantec 10 2008.07.28 - TheHacker 6.2.96.389 2008.07.25 Trojan/Downloader.Small.vwo TrendMicro 8.700.0.1004 2008.07.28 - VBA32 3.12.8.1 2008.07.28 - ViRobot 2008.7.26.1311 2008.07.28 - VirusBuster 4.5.11.0 2008.07.28 - Webwasher-Gateway 6.6.2 2008.07.28 - weitere Informationen File size: 17408 bytes MD5...: 53c5e858475619a7e6366a209195b0c9 SHA1..: 4650c95643a434ed0c31b75e3d1e3a26d191ba1b SHA256: 40242393b343dd2cd9ad6ed57f0f431e25deebae7dcad96fe51e167a1ee41fc5 SHA512: 15d79911a777b5e267a0a9250f25199e99ae8570bc8a19b0b12149573a07eab3 d54dcacaed72b4a942135e5bf6b7ac0045f10b91c5bdd97cb5cd320e7b41d948 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x401000 timedatestamp.....: 0x42dcb199 (Tue Jul 19 07:54:01 2005) machinetype.......: 0x14c (I386) ( 1 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x3 0x200 0.06 fe0fff714a18c74e43afd2823fb5dbae ( 0 imports ) ( 0 exports ) 2 Datei: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.7.26.0 2008.07.28 - AntiVir 7.8.1.12 2008.07.28 TR/Agent.49664.J Authentium 5.1.0.4 2008.07.28 W32/Backdoor2.BIRB Avast 4.8.1195.0 2008.07.28 - AVG 8.0.0.130 2008.07.28 Generic_c.RR BitDefender 7.2 2008.07.28 - CAT-QuickHeal 9.50 2008.07.28 - ClamAV 0.93.1 2008.07.28 - DrWeb 4.44.0.09170 2008.07.28 - eSafe 7.0.17.0 2008.07.28 - eTrust-Vet 31.6.5983 2008.07.26 - Ewido 4.0 2008.07.28 - F-Prot 4.4.4.56 2008.07.28 W32/Backdoor2.BIRB F-Secure 7.60.13501.0 2008.07.28 - Fortinet 3.14.0.0 2008.07.26 - GData 2.0.7306.1023 2008.07.28 - Ikarus T3.1.1.34.0 2008.07.28 Trojan.Agent.49664.J Kaspersky 7.0.0.125 2008.07.28 - McAfee 5347 2008.07.25 - Microsoft 1.3704 2008.07.28 - NOD32v2 3303 2008.07.28 - Norman 5.80.02 2008.07.28 - Panda 9.0.0.4 2008.07.28 - PCTools 4.4.2.0 2008.07.28 - Prevx1 V2 2008.07.28 - Rising 20.55.02.00 2008.07.28 - Sophos 4.31.0 2008.07.28 - Sunbelt 3.1.1536.1 2008.07.28 - Symantec 10 2008.07.28 - TheHacker 6.2.96.389 2008.07.25 Trojan/Downloader.Small.vwo TrendMicro 8.700.0.1004 2008.07.28 - VBA32 3.12.8.1 2008.07.28 - ViRobot 2008.7.26.1311 2008.07.28 - VirusBuster 4.5.11.0 2008.07.28 - Webwasher-Gateway 6.6.2 2008.07.28 Trojan.Agent.49664.J weitere Informationen File size: 43008 bytes MD5...: e00d91325ec75ffcd285b1a5b35e70ca SHA1..: 86dd7b785f5f47f10da8097361d0fa33ac7d64b5 SHA256: cf415e7066583e2e9bd7f97531173efecde7ba2fb21a7092213b83bc02859b43 SHA512: 2ac848aacbf35622fd5a70b842934ba30604d0ab31affbde442ec1c9dcf64e80 88742f64d4cbdc0b0fdbcf4de6335f60f1f064d14fd5648cdcf2a2b7b32e32af PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x401000 timedatestamp.....: 0x42dcb199 (Tue Jul 19 07:54:01 2005) machinetype.......: 0x14c (I386) ( 1 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x3 0x200 0.06 fe0fff714a18c74e43afd2823fb5dbae ( 0 imports ) ( 0 exports ) MFG Earl __________ MFG Earl_Schappel |
|
|
||
28.07.2008, 18:39
Ehrenmitglied
Beiträge: 29434 |
#13
0.
nimm den PowerReg Scheduler aus dem Autostart 1. kopiere in den Avenger Zitat Files to delete:dann sollte wieder alles sauber sein.... scanne dann noch mal mit deinem Avast im abgesicherten Modus. lösche vorher Avenger samt Backup du kannst auch mit sdfix noch mal im abges.Modus nachscannen...sicherheitshalber.... __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.07.2008, 19:52
Member
Themenstarter Beiträge: 14 |
#14
So, also was ich merkwürdig finde ist das ich 2 Benutzerkonten als Admin habe, wenn ich in den Abgesicherten Modus gehe kann ich beide auswählen, das PW geschützte (Admin/Admin) kann ich öffnen, bei den 2ten Konto (Earl/Admin) hab ich kein PW drinne gehabt verlangt aber trotzdem eins!!??!!??!!
Ich kann das Konto auch nich im Abgesicherten Modus löschen und im Normalen Modus zeigt er das eigentlich Tatsächliche Admin Konto nicht mehr an!? Mein Avast hängt sich im Abgesicherten Modus bei C:\Games\Comanche4 auf warum auch immer. Aber hier hab ich den Report leider nicht im AGM von Hijacker: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:46:30, on 28.07.2008 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\logonui.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\RUNDLL32.EXE C:\Program Files\ASUS\GamerOSD\GamerOSD.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\WINDOWS\system32\cmd.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [GamerOSD] C:\Program Files\ASUS\GamerOSD\GamerOSD.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?') O4 - HKUS\S-1-5-21-1715567821-2000478354-725345543-1004\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe -- End of file - 4637 bytes Sabina ich dank dir erstmal echt RIEßIG³ dafür das du mir soweit geholfen hast und das alles wieder läuft!!! Ich denk das mit den Konto wird nur ein kleines Problem noch sein, bzw wenns nichts tragisches ist, is mir auch egal^^ Hauptsache es läuft. MFG Earl_Schappel __________ MFG Earl_Schappel |
|
|
||
29.07.2008, 15:51
Member
Beiträge: 202 |
#15
Das mit dem versteckten admin konto das nur im abgesichertem modus zu sehen ist ist ganz normal für windows xp home.
Das 2 eigentlische earl/admin konto ist das stamm admin konto was du im normal modus auch siehst. das mit der pw abfrage im abgesichertem modus is ein kleiner xp bug. es kommt vor das man im normal modus das pw entfernt und im abgesichertem modus trotzdem danach gerfagt würd. die schnellste lösung ist es dein konto noch einmal im normal modus mit einem pw (zb. 1234 ) zu versehen danach im abgesicherten dich mit dem neuen pw (zb. 1234 ) anzumelden und im abgesicherten modus dann das pw zu deaktivieren. |
|
|
||
ich hab seit einigen Tage ein sehr großeres Problem. Erst bekam ich die Meldung das ich einen Virus habe (Virus Alert neben der Uhrzeit). Hab den Rechner einfach formatiert. Danach mit dem Avast gescannt und 3 Trojaner und 2 Würmer runtergehaun. Nun kann ich weder den Taskmanager noch die Registry öffnen.
Bin dann auf das Forum gestoßen, hab mich umgesehn und verschieden Tips von Sabina versucht umzusetzen.
Ich bin nun am verzeifeln,da entweder Einträge fehlen oder ich hab andere die nicht passen. Hab mir auch den Hijacker runtergeladen und laufen lassen genauso wie das Clean Up Programm.
Ebenso andere Einträge wie bisher im Forum bekannt.
Siehe hier:
Hijacker:
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\System32\RunDll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\naPrdMg.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\CleanUp!\cleanup.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\system32\naPrdMg.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [GamerOSD] C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [naPrdMg.exe] C:\WINDOWS\system32\naPrdMg.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-1715567821-2000478354-725345543-1004\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-18\..\RunOnce: [MicroSoft Visual SP] igxdfdfds.com (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [MicroSoft Visual SP] igxdfdfds.com (User 'Default user')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
--
End of file - 4765 bytes
Clean Up:
CleanUp! started on 07/28/08 01:35:35.
C:\Dokumente und Einstellungen\Earliminator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AKAM6BMD\getnum[1].asp - deleted
C:\Dokumente und Einstellungen\Earliminator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WV0CIJR6\c12345[1].jpg - deleted
C:\Dokumente und Einstellungen\Earliminator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat - deleted
C:\Dokumente und Einstellungen\Earliminator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AKAM6BMD\getnum[1].asp - deleted
C:\Dokumente und Einstellungen\Earliminator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WV0CIJR6\c12345[1].jpg - deleted
http://66.11.114.16/~nextdoor/old/c12345.jpg - deleted
http://91.195.118.155/dialer_min/getnum.asp?nip=0 - deleted
C:\Dokumente und Einstellungen\Earliminator\Lokale Einstellungen\Verlauf\History.IE5\index.dat - deleted
'Typed URLs' (Internet Explorer) - removed from the registry.
'Typed URLs' (MSN) - removed from the registry.
Visited: Earliminator@about:Home - deleted
Visited: Earliminator@http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=runonce&pver=6.0&plcid=0x0407 - deleted
Visited: Earliminator@mk:@MSITStore:C:\Programme\Alwil%20Software\Avast4\German\Help\ChecklistSimple.chm::/checklist.htm - deleted
Visited: Earliminator@http://runonce.msn.com/de/runonce.asp - deleted
C:\Dokumente und Einstellungen\Earliminator\Cookies\index.dat - deleted
C:\Dokumente und Einstellungen\Earliminator\Local Settings\Application Data\Identities\{446DE36B-DD88-4C7E-8C1B-6AF3A3BE99E5}\Microsoft\Outlook Express\cleanup.log - deleted
C:\Dokumente und Einstellungen\Earliminator\Anwendungsdaten\Microsoft\Outlook Express\News\cleanup.log - deleted
C:\DOKUME~1\EARLIM~1\LOKALE~1\Temp\etilqs_wToUJRkECcBABkM5jVn3 - deleted
C:\DOKUME~1\EARLIM~1\LOKALE~1\Temp\jusched.log - deleted
C:\DOKUME~1\EARLIM~1\LOKALE~1\Temp\plugtmp\crossdomain.xml - deleted
C:\DOKUME~1\EARLIM~1\LOKALE~1\Temp\_avast4_\ - deleted
C:\DOKUME~1\EARLIM~1\LOKALE~1\Temp\etilqs_wToUJRkECcBABkM5jVn3 - deleted
C:\DOKUME~1\EARLIM~1\LOKALE~1\Temp\jusched.log - deleted
C:\DOKUME~1\EARLIM~1\LOKALE~1\Temp\plugtmp\crossdomain.xml - deleted
C:\WINDOWS\SET3.tmp - deleted
C:\WINDOWS\SET7.tmp - deleted
C:\WINDOWS\temp\HTT7.tmp - deleted
C:\WINDOWS\temp\Perflib_Perfdata_4d8.dat - deleted
C:\WINDOWS\temp\_avast4_\Webshlock.txt - deleted
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat - deleted
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat - deleted
C:\Dokumente und Einstellungen\Earliminator\Cookies\index.dat - deleted
C:\Dokumente und Einstellungen\Earliminator\Cookies\index.dat - deleted
C:\Dokumente und Einstellungen\Default User\Cookies\index.dat - deleted
C:\Dokumente und Einstellungen\Default User\Cookies\index.dat - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@1067766890[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@1067912086[2].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@2o7[2].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ad.71i[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@adicqserver.71i[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ads.quartermedia[2].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@adserver.71i[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@asn.advolution[2].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@atwola[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@browser1[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@chip[2].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@comdirect[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@doubleclick[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@download.mozilla[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@expedia[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@google[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@google[3].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@icq[2].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@intellitxt[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ivwbox[2].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@mozilla-europe[2].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@pack.google[2].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@quantserve[2].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@support[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@support[2].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@support[3].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@verify[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@welcome.icq[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@www.adviews[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@www.chip[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@www.cya1t[2].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@youtube[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\index.dat - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@1067766890[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@1067912086[2].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@2o7[2].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ad.71i[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@adicqserver.71i[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ads.quartermedia[2].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@adserver.71i[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@asn.advolution[2].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@atwola[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@browser1[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@chip[2].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@comdirect[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@doubleclick[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@download.mozilla[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@expedia[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@google[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@google[3].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@icq[2].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@intellitxt[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ivwbox[2].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@mozilla-europe[2].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@pack.google[2].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@quantserve[2].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@support[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@support[2].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@support[3].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@verify[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@welcome.icq[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@www.adviews[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@www.chip[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@www.cya1t[2].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@youtube[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\index.dat - deleted
'Run MRU' list - removed from the registry.
'Doc Find Spec MRU' list - removed from the registry.
'FindComputerMRU' list - removed from the registry.
'ComputerNameMRU' list - removed from the registry.
'ContainingTextMRU' list - removed from the registry.
'FilesNamedMRU' list - removed from the registry.
Search Assistant MRU list - removed from the registry.
Explorer Open/Save MRU list - removed from the registry.
Explorer Last Visited MRU list - removed from the registry.
Paint Recent File List - removed from the registry.
WordPad Recent File List - removed from the registry.
Telnet's MRU list - removed from the registry.
Windows Media Player Recent File List - removed from the registry.
WinZip Extract MRU list - removed from the registry.
WinZip File MRU list - removed from the registry.
CleanUp! 4.5.2 recovered 1.5 MB of disk space from 98 files.
CleanUp! finished on 07/28/08 01:35:35.
so ich weiß nicht weiter, hab versucht die Daten zu löschen um in die Registry zu kommen aber klappt einfach nicht.
Wäre froh wenn mir jmnd helfen könnte!!
Mfg
Earl_Schappel
__________
MFG
Earl_Schappel