"VIRUS ALERT!" steht bei mir neben der Uhr! |
||
---|---|---|
#0
| ||
29.07.2008, 14:51
Ehrenmitglied
Beiträge: 29434 |
||
|
||
29.07.2008, 14:58
Member
Themenstarter Beiträge: 16 |
#17
In Windows NT Script Host war nur "Settings"
Log von find_Stuff doesn't exist HKEY_LOCAL_MACHINE\SSYSTEM\CurrentControlSet\Services\windowsnetwork doesn't exist HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc doesn't exist HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry doesn't exist HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr ----------------------- ----------------------- REGEDIT4 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,\ 32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00 "DisplayName"="Internetverbindungsfirewall/Gemeinsame Nutzung der Internetverbindung" "DependOnService"=hex(7):4e,65,74,6d,61,6e,00,4e,4c,41,00,52,61,73,4d,61,6e,00,\ 41,4c,47,00,00 "DependOnGroup"=hex(7):00 "ObjectName"="LocalSystem" "Description"="Bietet allen Computern in Privat- und Kleinunternehmensnetzwerken Dienste für die Netzwerkadressübersetzung, Adressierung, Namensauflösung und Eindringsschutz." "Group"="" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum] "0"="Root\\LEGACY_SHAREDACCESS\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch] "Epoch"=dword:00002cd5 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters] "ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\ 33,32,5c,69,70,6e,61,74,68,6c,70,2e,64,6c,6c,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters] "autodisconnect"=dword:0000000f "enableforcedlogoff"=dword:00000001 "enablesecuritysignature"=dword:00000000 "requiresecuritysignature"=dword:00000000 "NullSessionPipes"=hex(7):43,4f,4d,4e,41,50,00,43,4f,4d,4e,4f,44,45,00,53,51,\ 4c,5c,51,55,45,52,59,00,53,50,4f,4f,4c,53,53,00,4c,4c,53,52,50,43,00,45,50,\ 4d,41,50,50,45,52,00,4c,4f,43,41,54,4f,52,00,54,72,6b,57,6b,73,00,54,72,6b,\ 53,76,72,00,00 "NullSessionShares"=hex(7):43,4f,4d,43,46,47,00,44,46,53,24,00,00 "ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\ 33,32,5c,73,72,76,73,76,63,2e,64,6c,6c,00 "Lmannounce"=dword:00000000 "Size"=dword:00000001 "Guid"=hex:e1,ab,82,01,b4,de,65,40,93,6f,8b,04,0f,37,15,87 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters] "enableplaintextpassword"=dword:00000000 "enablesecuritysignature"=dword:00000001 "requiresecuritysignature"=dword:00000000 "ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\ 33,32,5c,77,6b,73,73,76,63,2e,64,6c,6c,00 "OtherDomains"=hex(7):00 [HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa] [HKEY_CURRENT_USER\Software\Microsoft\OLE] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger] "Type"=dword:00000020 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,\ 32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00 "DisplayName"="Nachrichtendienst" "DependOnService"=hex(7):4c,61,6e,6d,61,6e,57,6f,72,6b,73,74,61,74,69,6f,6e,00,\ 4e,65,74,42,49,4f,53,00,50,6c,75,67,50,6c,61,79,00,52,70,63,53,53,00,00 "DependOnGroup"=hex(7):00 "ObjectName"="LocalSystem" "Description"="Überträgt NET SEND- und Warndienstnachrichten zwischen Clients und Servern. Dieser Dienst ist nicht mit Windows Messenger verwandt. Der Warndienst überträgt keine Nachrichten, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden." "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\Parameters] "ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\ 33,32,5c,6d,73,67,73,76,63,2e,64,6c,6c,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\Security] "Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,48,00,03,00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,\ 05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\Enum] "0"="Root\\LEGACY_MESSENGER\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate] [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole] "DefaultLaunchPermission"=hex:01,00,04,80,64,00,00,00,80,00,00,00,00,00,00,00,\ 14,00,00,00,02,00,50,00,03,00,00,00,00,00,18,00,01,00,00,00,01,01,00,00,00,\ 00,00,05,12,00,00,00,00,00,00,00,00,00,18,00,01,00,00,00,01,01,00,00,00,00,\ 00,05,04,00,00,00,00,00,00,00,00,00,18,00,01,00,00,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,01,05,00,00,00,00,00,05,15,00,00,00,a0,5f,84,1f,\ 5e,2e,6b,49,ce,12,03,03,f4,01,00,00,01,05,00,00,00,00,00,05,15,00,00,00,a0,\ 5f,84,1f,5e,2e,6b,49,ce,12,03,03,f4,01,00,00 "EnableDCOM"="Y" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\NONREDIST] "System.EnterpriseServices.Thunk.dll"="" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "Authentication Packages"=hex(7):6d,73,76,31,5f,30,00,00 "Bounds"=hex:00,30,00,00,00,20,00,00 "Security Packages"=hex(7):6b,65,72,62,65,72,6f,73,00,6d,73,76,31,5f,30,00,73,\ 63,68,61,6e,6e,65,6c,00,77,64,69,67,65,73,74,00,00 "LsaPid"=dword:0000030c "SecureBoot"=dword:00000001 "auditbaseobjects"=dword:00000000 "crashonauditfail"=dword:00000000 "disabledomaincreds"=dword:00000000 "everyoneincludesanonymous"=dword:00000000 "fipsalgorithmpolicy"=dword:00000000 "fullprivilegeauditing"=hex:00 "limitblankpassworduse"=dword:00000001 "lmcompatibilitylevel"=dword:00000000 "nodefaultadminowner"=dword:00000001 "nolmhash"=dword:00000000 "restrictanonymous"=dword:00000000 "restrictanonymoussam"=dword:00000001 "Notification Packages"=hex(7):73,63,65,63,6c,69,00,00 "ForceGuest"=dword:00000001 "enabledcom"="y" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\AccessProviders] "ProviderOrder"=hex(7):57,69,6e,64,6f,77,73,20,4e,54,20,41,63,63,65,73,73,20,\ 50,72,6f,76,69,64,65,72,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\AccessProviders\Windows NT Access Provider] "ProviderPath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,\ 33,32,5c,6e,74,6d,61,72,74,61,2e,64,6c,6c,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Data] "Pattern"=hex:1e,1c,ec,92,20,7e,e5,db,37,6e,9e,88,b0,2b,44,47,33,66,37,30,61,\ 66,33,66,00,68,07,00,01,00,00,00,d8,00,00,00,e0,00,00,00,48,fa,06,00,d6,48,\ 52,74,04,00,00,00,a0,fd,06,00,b8,fd,06,00,8b,04,32,6e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\GBG] "GrafBlumGroup"=hex:d7,bb,2a,cc,8a,7c,00,ca,7b [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\JD] "Lookup"=hex:d7,ae,43,25,23,f4 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Domains] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\SidCache] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\msv1_0] "ntlmminclientsec"=dword:00000000 "ntlmminserversec"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Skew1] "SkewMatrix"=hex:94,cb,05,f6,7e,ea,da,2d,bb,fd,f3,88,ca,0e,7c,e2 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SSO] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SSO\Passport1.4] "SSOURL"="http://www.passport.com" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache] "Time"=hex:ac,8d,cc,a9,df,f0,c8,01 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\digest.dll] "Name"="Digest" "Comment"="Digest SSPI Authentication Package" "Capabilities"=dword:00004050 "RpcId"=dword:0000ffff "Version"=dword:00000001 "TokenSize"=dword:0000ffff "Time"=hex:00,60,f7,62,0f,f9,c2,01 "Type"=dword:00000031 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\msapsspc.dll] "Name"="DPA" "Comment"="DPA Security Package" "Capabilities"=dword:00000037 "RpcId"=dword:00000011 "Version"=dword:00000001 "TokenSize"=dword:00000300 "Time"=hex:00,60,f7,62,0f,f9,c2,01 "Type"=dword:00000031 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\msnsspc.dll] "Name"="MSN" "Comment"="MSN Security Package" "Capabilities"=dword:00000037 "RpcId"=dword:00000012 "Version"=dword:00000001 "TokenSize"=dword:00000300 "Time"=hex:00,60,f7,62,0f,f9,c2,01 "Type"=dword:00000031 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "FirewallDisableNotify"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile] __________ Mfg TheDomi |
|
|
||
29.07.2008, 15:01
Ehrenmitglied
Beiträge: 29434 |
#18
«
hast du das neue Avengerscript schon angewendet ??) « mache einen Onlinescan mit Kaspersky (alles scannen lassen, auch die Mails) + poste den report http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
29.07.2008, 15:22
Member
Themenstarter Beiträge: 16 |
#19
Ja das ist dabei rausgekommen.
Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at D:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: file "D:\WINDOWS\ktd32.atm" not found! Deletion of file "D:\WINDOWS\ktd32.atm" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "D:\WINDOWS\Pplugin4.exe" not found! Deletion of file "D:\WINDOWS\Pplugin4.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "D:\WINDOWS\Pplugin4.dat" not found! Deletion of file "D:\WINDOWS\Pplugin4.dat" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "D:\WINDOWS\p_ekran.jpg" not found! Deletion of file "D:\WINDOWS\p_ekran.jpg" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "D:\WINDOWS\Pplugin9.dat" not found! Deletion of file "D:\WINDOWS\Pplugin9.dat" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "D:\WINDOWS\refresh.scf" not found! Deletion of file "D:\WINDOWS\refresh.scf" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Virenscan mache ich morgen, ich brauche nämlich noch Internet Explorer, habe nur Firefox. __________ Mfg TheDomi |
|
|
||
29.07.2008, 16:15
Ehrenmitglied
Beiträge: 29434 |
#20
den IE solltest du auf dem Rechner haben, ist Teil von MS , auch für die Windowsupdates notwendig.
scanne also + poste den Report __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
29.07.2008, 22:58
Member
Themenstarter Beiträge: 16 |
#21
Ich dachte es müsste die Neueste Version sein.
Kaspersky ist im Anhang Anhang: Kaspersky.txt __________ Mfg TheDomi |
|
|
||
29.07.2008, 23:22
Ehrenmitglied
Beiträge: 29434 |
#22
««
die ganzen Trojan-Downloader müssen raus, auch wenn es nur Musikdateien sind......by by LIMEWIRE Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere in das weisse Feld: Zitat Files to delete:schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten) Klicke: Execute bestätige, dass der Rechner neu gestartet wird - klicke "yes" nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.07.2008, 11:47
Member
Themenstarter Beiträge: 16 |
#23
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at D:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File "D:\WINDOWS\system32\IEDFix.C.exe" deleted successfully. File "D:\WINDOWS\system32\IEDFix.exe" deleted successfully. File "D:\Dokumente und Einstellungen\Dominik\Eigene Dateien\Programme\install_pro7au_icq6.1.exe" deleted successfully. Folder "D:\Dokumente und Einstellungen\Dominik\Eigene Dateien\Incomplete" deleted successfully. Folder "D:\Dokumente und Einstellungen\Dominik\Eigene Dateien\LIMEWIRE" deleted successfully. Completed script processing. ******************* Finished! Terminate. __________ Mfg TheDomi |
|
|
||
30.07.2008, 13:43
Ehrenmitglied
Beiträge: 29434 |
#24
«
entferne Avenger samt backup + leere den Papierkorb « lassen wir es dabei, es sollte wieder alles i.o. sein pass in Zukunft auf, wo du surfst, was du anklickst und was du aus P2P rausholst... nicht alles hält, was es verspricht. Wenn es noch Probleme geben sollte, melde dich __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.07.2008, 20:21
Member
Themenstarter Beiträge: 16 |
#25
Is alles wider in Ordnung
nur noch siehe Anhang Weißt du wie der Virus geheißen hatt? Anhang: sonstige Probleme.JPG __________ Mfg TheDomi Dieser Beitrag wurde am 30.07.2008 um 21:03 Uhr von TheDomi editiert.
|
|
|
||
30.07.2008, 22:38
Ehrenmitglied
Beiträge: 29434 |
#26
DER Virus ??? Das waren ziemlich viele, nicht nur einer und Rootkits noch obendrauf
poste bitte ein neues Log von Combofix __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.08.2008, 11:34
Member
Themenstarter Beiträge: 16 |
#27
ComboFix 08-07-31.02 - Dominik 2008-08-01 11:32:02.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.1.1252.1.1031.18.535 [GMT 2:00] ausgeführt von:: D:\Dokumente und Einstellungen\Dominik\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt [color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color] . ((((((((((((((((((((((( Dateien erstellt von 2008-07-01 bis 2008-08-01 )))))))))))))))))))))))))))))) . 2008-07-31 11:55 . 2008-07-31 11:56 <DIR> d-------- D:\Programme\Pyramid 2008-07-29 15:19 . 2008-07-29 15:19 <DIR> d-------- D:\WINDOWS\system32\Kaspersky Lab 2008-07-29 15:19 . 2008-07-29 15:19 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2008-07-28 20:52 . 2004-08-03 14:05 186,648 --a------ D:\WINDOWS\system32\wuaueng1.dll 2008-07-28 20:52 . 2004-08-03 14:02 169,752 --a------ D:\WINDOWS\system32\wuauclt1.exe 2008-07-28 13:15 . 2008-07-28 13:15 <DIR> d-------- D:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\Malwarebytes 2008-07-28 13:15 . 2008-07-28 13:15 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-07-28 13:15 . 2008-07-23 20:09 38,472 --a------ D:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-07-28 13:15 . 2008-07-23 20:09 17,144 --a------ D:\WINDOWS\system32\drivers\mbam.sys 2008-07-28 11:05 . 2007-09-06 00:22 289,144 --a------ D:\WINDOWS\system32\VCCLSID.exe 2008-07-28 11:05 . 2006-04-27 17:49 288,417 --a------ D:\WINDOWS\system32\SrchSTS.exe 2008-07-28 11:05 . 2008-05-29 09:35 86,528 --a------ D:\WINDOWS\system32\VACFix.exe 2008-07-28 11:05 . 2008-05-23 18:21 81,920 --a------ D:\WINDOWS\system32\404Fix.exe 2008-07-28 11:05 . 2003-06-05 21:13 53,248 --a------ D:\WINDOWS\system32\Process.exe 2008-07-28 11:05 . 2004-07-31 18:50 51,200 --a------ D:\WINDOWS\system32\dumphive.exe 2008-07-28 11:05 . 2007-10-04 00:36 25,600 --a------ D:\WINDOWS\system32\WS2Fix.exe 2008-07-28 11:05 . 2008-07-28 11:05 4,050 --a------ D:\WINDOWS\system32\tmp.reg 2008-07-27 22:56 . 2008-07-27 22:56 <DIR> d-------- D:\Programme\CleanUp! 2008-07-27 21:43 . 2008-07-27 21:43 22 --a------ D:\WINDOWS\system32\mseixml.sei 2008-07-27 21:43 . 2008-07-27 21:43 22 --a------ D:\WINDOWS\mseixml.sei 2008-07-27 20:42 . 2008-07-27 20:42 125 --a------ D:\WINDOWS\aspack.ini 2008-07-26 18:00 . 2008-07-26 18:13 <DIR> d-------- D:\WINDOWS\BDOSCAN8 2008-07-21 17:55 . 2008-07-21 18:18 <DIR> d-------- D:\Dokumente und Einstellungen\Dominik\dwhelper 2008-07-20 19:29 . 2008-07-20 19:29 <DIR> d-------- D:\Programme\ICQ6Toolbar 2008-07-20 19:29 . 2008-07-20 19:29 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ 2008-07-20 19:25 . 2008-07-20 19:35 <DIR> d-------- D:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\ICQ 2008-07-20 12:00 . 2008-07-20 12:00 <DIR> d-------- D:\Temp 2008-07-19 18:20 . 2008-07-19 18:39 <DIR> d-------- D:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\ICQLite 2008-07-19 12:06 . 2003-04-02 14:00 499,200 --a------ D:\WINDOWS\system32\hypertrm.dll 2008-07-19 12:04 . 2008-07-19 12:04 <DIR> d-------- D:\Programme\Microsoft CAPICOM 2.1.0.2 2008-07-19 12:03 . 2003-04-02 14:00 117,248 --a------ D:\WINDOWS\system32\dllcache\dhtmled.ocx 2008-07-19 12:01 . 2003-04-02 14:00 87,040 --a------ D:\WINDOWS\system32\srvsvc.dll 2008-07-19 12:01 . 2003-04-02 14:00 87,040 --a------ D:\WINDOWS\system32\dllcache\srvsvc.dll 2008-07-17 11:49 . 2005-10-21 00:33 1,003,008 --a------ D:\WINDOWS\system32\esent.dll 2008-07-17 10:22 . 2008-07-17 10:22 0 --a------ D:\WINDOWS\mngui.INI 2008-07-17 10:19 . 2008-07-17 10:19 <DIR> d-------- D:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\Ulead Systems 2008-07-16 23:47 . 2008-07-19 12:04 <DIR> d--h----- D:\WINDOWS\$hf_mig$ 2008-07-16 23:46 . 2008-07-28 11:21 <DIR> d-------- D:\WINDOWS\system32\bits 2008-07-16 23:46 . 2003-04-02 14:00 310,272 --a------ D:\WINDOWS\system32\winhttp.dll 2008-07-16 23:46 . 2003-04-02 14:00 310,272 --a------ D:\WINDOWS\system32\dllcache\winhttp.dll 2008-07-16 23:46 . 2003-04-02 14:00 223,232 --a------ D:\WINDOWS\system32\qmgr.dll 2008-07-16 23:46 . 2003-04-02 14:00 223,232 --a------ D:\WINDOWS\system32\dllcache\qmgr.dll 2008-07-16 23:46 . 2003-04-02 14:00 17,408 --a------ D:\WINDOWS\system32\qmgrprxy.dll 2008-07-16 23:46 . 2003-04-02 14:00 17,408 --a------ D:\WINDOWS\system32\dllcache\qmgrprxy.dll 2008-07-16 23:42 . 2004-07-02 00:08 7,680 -----c--- D:\WINDOWS\system32\dllcache\bitsprx2.dll 2008-07-16 23:42 . 2004-07-02 00:08 7,680 --------- D:\WINDOWS\system32\bitsprx2.dll 2008-07-16 23:42 . 2004-07-02 00:08 7,168 -----c--- D:\WINDOWS\system32\dllcache\bitsprx3.dll 2008-07-16 23:42 . 2004-07-02 00:08 7,168 --------- D:\WINDOWS\system32\bitsprx3.dll 2008-07-16 23:36 . 2007-07-30 19:19 271,224 --a------ D:\WINDOWS\system32\mucltui.dll 2008-07-16 23:36 . 2007-07-30 19:18 30,072 --a------ D:\WINDOWS\system32\mucltui.dll.mui 2008-07-10 08:57 . 2006-09-05 20:07 97,088 -ra------ D:\WINDOWS\system32\drivers\se59mdm.sys 2008-07-10 08:57 . 2006-09-05 20:06 90,800 -ra------ D:\WINDOWS\system32\drivers\se59unic.sys 2008-07-10 08:57 . 2006-09-05 20:08 88,624 -ra------ D:\WINDOWS\system32\drivers\se59mgmt.sys 2008-07-10 08:57 . 2006-09-05 20:09 86,432 -ra------ D:\WINDOWS\system32\drivers\se59obex.sys 2008-07-10 08:57 . 2006-09-05 20:06 18,704 -ra------ D:\WINDOWS\system32\drivers\se59nd5.sys 2008-07-10 08:57 . 2006-09-05 20:07 9,360 -ra------ D:\WINDOWS\system32\drivers\se59mdfl.sys 2008-07-10 08:57 . 2006-09-05 20:09 6,240 -ra------ D:\WINDOWS\system32\drivers\se59cmnt.sys 2008-07-10 08:57 . 2006-09-05 20:09 6,240 -ra------ D:\WINDOWS\system32\drivers\se59cm.sys 2008-07-10 08:57 . 2006-09-05 20:06 4,128 -ra------ D:\WINDOWS\system32\drivers\se59cr.sys 2008-07-10 08:54 . 2006-09-05 20:07 61,536 -ra------ D:\WINDOWS\system32\drivers\se59bus.sys 2008-07-10 08:54 . 2006-09-05 20:06 5,872 -ra------ D:\WINDOWS\system32\drivers\se59whnt.sys 2008-07-10 08:54 . 2006-09-05 20:06 5,872 -ra------ D:\WINDOWS\system32\drivers\se59wh.sys 2008-07-09 21:07 . 2008-07-10 08:57 <DIR> d-------- D:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\Teleca 2008-07-09 21:06 . 2008-07-09 21:06 <DIR> d-------- D:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\Sony Ericsson 2008-07-09 21:05 . 2008-07-09 21:05 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony Ericsson 2008-07-09 21:04 . 2008-07-09 21:05 <DIR> d-------- D:\Programme\Gemeinsame Dateien\Teleca Shared 2008-07-09 21:04 . 2008-07-09 21:05 <DIR> d-------- D:\Programme\Gemeinsame Dateien\Sony Ericsson Shared 2008-07-09 21:04 . 2008-07-09 21:05 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Teleca 2008-07-09 20:27 . 2008-07-09 20:27 <DIR> d-------- D:\WINDOWS\Downloaded Installations 2008-07-01 13:24 . 2008-07-19 12:54 <DIR> d----c--- D:\WINDOWS\system32\DRVSTORE . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-31 09:47 --------- d-----w D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater 2008-07-29 09:13 --------- d-----w D:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\OpenOffice.org2 2008-07-28 20:10 --------- d-----w D:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\LimeWire 2008-07-21 10:44 --------- d--h--w D:\Programme\InstallShield Installation Information 2008-07-18 10:52 --------- d-----w D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonIJPLM 2008-07-16 11:14 --------- d-----w D:\Programme\ArtMoney 2008-07-09 11:28 --------- d-----w D:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\Canon 2008-07-09 10:24 --------- d-----w D:\Programme\NCH Swift Sound 2008-06-23 11:14 --------- d-----w D:\Programme\Google 2008-06-22 13:41 --------- d-----w D:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\PC Suite 2008-06-06 14:11 --------- d-----w D:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\Corel 2008-05-21 15:07 22,016 ----a-w D:\WINDOWS\system32\prospeed_bmp2jpg.dll 2008-05-15 09:30 208,896 ----a-w D:\WINDOWS\system32\TubeFinder.exe 2008-05-11 10:29 98,304 ----a-w D:\WINDOWS\system32\CmdLineExt.dll 2008-05-01 08:08 107,134 -c--a-w D:\WINDOWS\UninstallFirefox.exe 2008-04-07 17:55 45,824 ----a-w D:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\GDIPFONTCACHEV1.DAT . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="D:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-12-23 19:05 143360] "swg"="D:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-04-20 13:45 68856] "ctfmon.exe"="D:\WINDOWS\System32\ctfmon.exe" [2003-04-02 14:00 13312] "ICQ"="C:\XP NICHT LOESCHEN\ICQ6\ICQ.exe" [2008-05-18 18:30 172280] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RemoteControl"="D:\Programme\Home Cinema\PowerDVD\PDVDServ.exe" [2006-11-23 16:10 56928] "LanguageShortcut"="D:\Programme\Home Cinema\PowerDVD\Language\Language.exe" [2006-12-05 23:55 54832] "NeroFilterCheck"="D:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 16:40 155648] "QuickTime Task"="D:\Programme\QuickTime\qttask.exe" [2006-09-01 16:57 282624] "Ulead AutoDetector v2"="D:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" [2006-11-29 12:58 90112] "TkBellExe"="D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-03-06 22:30 185896] "NvCplDaemon"="D:\WINDOWS\System32\NvCpl.dll" [2006-10-06 16:38 7700480] "VC9Player"="D:\Programme\Virtual CD v9\System\VC9Play.exe" [2007-04-12 16:33 202312] "CloneCDTray"="D:\Programme\SlySoft\CloneCD\CloneCDTray.exe" [2006-09-28 21:21 57344] "SunJavaUpdateSched"="D:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784] "TVEService"="D:\Programme\Home Cinema\TV Enhance\TVEService.exe" [2007-02-08 19:13 155648] "CanonSolutionMenu"="D:\Programme\Canon\SolutionMenu\CNSLMAIN.exe" [2007-05-14 18:01 644696] "CanonMyPrinter"="D:\Programme\Canon\MyPrinter\BJMyPrt.exe" [2007-04-03 18:50 1603152] "SSBkgdUpdate"="D:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 09:03 210472] "Sony Ericsson PC Suite"="C:\Sony Ericsson\W580i\Application Launcher\Application Launcher.exe" [2007-03-28 01:07 593920] "Securepoint Personal Firewall"="c:\firewall\bin\sppfw.exe" [2005-02-23 17:49 1799680] "SkyTel"="SkyTel.EXE" [2006-10-09 11:50 2879488 D:\WINDOWS\SkyTel.exe] "RTHDCPL"="RTHDCPL.EXE" [2006-10-09 11:50 16236032 D:\WINDOWS\RTHDCPL.EXE] "nwiz"="nwiz.exe" [2006-10-06 16:38 1617920 D:\WINDOWS\system32\nwiz.exe] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "NoResolveTrack"= 1 (0x1) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoSimpleStartMenu"= 0 (0x0) R0 sfsync03;StarForce Protection Synchronization Driver (version 3.x);D:\WINDOWS\System32\drivers\sfsync03.sys [2005-10-13 15:46] R1 spfw;spfw;D:\WINDOWS\System32\drivers\spfw.sys [2005-02-10 11:49] R1 vdrv9000;vdrv9000;D:\WINDOWS\System32\DRIVERS\vdrv9000.sys [2007-01-23 12:48] R2 IJPLMSVC;PIXMA Extended Survey Program;D:\Programme\Canon\IJPLM\IJPLMSVC.EXE [2007-04-13 08:49] R2 spfirewallsvc;Securepoint Personal Firewall;C:\Firewall\driver\spfirewallsvc.exe [2005-02-11 18:24] R2 TVECapSvc;TVEnhance Background Capture Service (TBCS);D:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe [2007-02-08 19:14] R2 TVESched;TVEnhance Task Scheduler (TTS));D:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe [2007-02-08 19:14] R2 VC9SecS;Virtual CD v9 Management Service;D:\Programme\Virtual CD v9\System\VC9SecS.exe [2007-04-12 16:33] S3 HH9Help.sys;HH9Help.sys;D:\WINDOWS\System32\drivers\HH9Help.sys [2006-09-20 13:42] S3 ldiskl;ldiskl;D:\DOKUME~1\Dominik\LOKALE~1\Temp\ldiskl.sys [] S3 se59bus;Sony Ericsson Device 089 driver (WDM);D:\WINDOWS\System32\DRIVERS\se59bus.sys [2006-09-05 20:07] S3 se59mdfl;Sony Ericsson Device 089 USB WMC Modem Filter;D:\WINDOWS\System32\DRIVERS\se59mdfl.sys [2006-09-05 20:07] S3 se59mdm;Sony Ericsson Device 089 USB WMC Modem Driver;D:\WINDOWS\System32\DRIVERS\se59mdm.sys [2006-09-05 20:07] S3 se59mgmt;Sony Ericsson Device 089 USB WMC Device Management Drivers (WDM);D:\WINDOWS\System32\DRIVERS\se59mgmt.sys [2006-09-05 20:08] S3 se59nd5;Sony Ericsson Device 089 USB Ethernet Emulation SEMC59 (NDIS);D:\WINDOWS\System32\DRIVERS\se59nd5.sys [2006-09-05 20:06] S3 se59obex;Sony Ericsson Device 089 USB WMC OBEX Interface;D:\WINDOWS\System32\DRIVERS\se59obex.sys [2006-09-05 20:09] S3 se59unic;Sony Ericsson Device 089 USB Ethernet Emulation SEMC59 (WDM);D:\WINDOWS\System32\DRIVERS\se59unic.sys [2006-09-05 20:06] . Inhalt des "geplante Tasks" Ordners 2008-03-20 D:\WINDOWS\Tasks\AppleSoftwareUpdate.job - D:\Programme\Apple Software Update\SoftwareUpdate.exe [2006-08-29 15:21] . . ------- Zusätzlicher Scan ------- . FireFox -: Profile - D:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\Mozilla\Firefox\Profiles\4wt93u34.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.at/ ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-01 11:33:04 Windows 5.1.2600 Service Pack 1 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-08-01 11:33:33 ComboFix-quarantined-files.txt 2008-08-01 09:33:30 ComboFix2.txt 2008-07-28 18:39:27 Pre-Run: 6,926,438,400 Bytes frei Post-Run: 6,911,827,968 Bytes frei 175 --- E O F --- 2008-07-19 10:10:10 __________ Mfg TheDomi |
|
|
||
01.08.2008, 23:52
Ehrenmitglied
Beiträge: 29434 |
#28
Hallo TheDomi
sdfix http://virus-protect.org/artikel/tools/sdfix.html im Normalmodus RunThis.bat doppelt klicken 3 : wird Sophos geladen bei Option 6 - erfolgt ein Fullscan + löschen der infizierten Dateien "SophosReport.txt" (im SDFix-Ordner) - abkopieren und in den Beitrag __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Start - Ausführen - regedit
klicke dich durch zum Schlüssel:
HKEY_CURRENT_USER\software\microsoft\Windows NT Script Host\Microsoft DxDiag\WinSettings
berichte, ob du ihn findest
----------
2.
dann lade regstuff, poste das log
http://virus-protect.org/registry_stuff.html
__________
MfG Sabina
rund um die PC-Sicherheit