"VIRUS ALERT!" steht bei mir neben der Uhr!

#0
29.07.2008, 14:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 1.
Start - Ausführen - regedit

klicke dich durch zum Schlüssel:

HKEY_CURRENT_USER\software\microsoft\Windows NT Script Host\Microsoft DxDiag\WinSettings

berichte, ob du ihn findest

----------

2.
dann lade regstuff, poste das log
http://virus-protect.org/registry_stuff.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.07.2008, 14:58
Member

Themenstarter
Avatar TheDomi

Beiträge: 16
#17 In Windows NT Script Host war nur "Settings"



Log von find_Stuff




doesn't exist HKEY_LOCAL_MACHINE\SSYSTEM\CurrentControlSet\Services\windowsnetwork
doesn't exist HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
doesn't exist HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry
doesn't exist HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr
-----------------------
-----------------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00
"DisplayName"="Internetverbindungsfirewall/Gemeinsame Nutzung der Internetverbindung"
"DependOnService"=hex(7):4e,65,74,6d,61,6e,00,4e,4c,41,00,52,61,73,4d,61,6e,00,\
41,4c,47,00,00
"DependOnGroup"=hex(7):00
"ObjectName"="LocalSystem"
"Description"="Bietet allen Computern in Privat- und Kleinunternehmensnetzwerken Dienste für die Netzwerkadressübersetzung, Adressierung, Namensauflösung und Eindringsschutz."
"Group"=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum]
"0"="Root\\LEGACY_SHAREDACCESS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:00002cd5

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,69,70,6e,61,74,68,6c,70,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00


[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]


[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System]


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"autodisconnect"=dword:0000000f
"enableforcedlogoff"=dword:00000001
"enablesecuritysignature"=dword:00000000
"requiresecuritysignature"=dword:00000000
"NullSessionPipes"=hex(7):43,4f,4d,4e,41,50,00,43,4f,4d,4e,4f,44,45,00,53,51,\
4c,5c,51,55,45,52,59,00,53,50,4f,4f,4c,53,53,00,4c,4c,53,52,50,43,00,45,50,\
4d,41,50,50,45,52,00,4c,4f,43,41,54,4f,52,00,54,72,6b,57,6b,73,00,54,72,6b,\
53,76,72,00,00
"NullSessionShares"=hex(7):43,4f,4d,43,46,47,00,44,46,53,24,00,00
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,73,72,76,73,76,63,2e,64,6c,6c,00
"Lmannounce"=dword:00000000
"Size"=dword:00000001
"Guid"=hex:e1,ab,82,01,b4,de,65,40,93,6f,8b,04,0f,37,15,87


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters]
"enableplaintextpassword"=dword:00000000
"enablesecuritysignature"=dword:00000001
"requiresecuritysignature"=dword:00000000
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,77,6b,73,73,76,63,2e,64,6c,6c,00
"OtherDomains"=hex(7):00


[HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa]


[HKEY_CURRENT_USER\Software\Microsoft\OLE]


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger]
"Type"=dword:00000020
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00
"DisplayName"="Nachrichtendienst"
"DependOnService"=hex(7):4c,61,6e,6d,61,6e,57,6f,72,6b,73,74,61,74,69,6f,6e,00,\
4e,65,74,42,49,4f,53,00,50,6c,75,67,50,6c,61,79,00,52,70,63,53,53,00,00
"DependOnGroup"=hex(7):00
"ObjectName"="LocalSystem"
"Description"="Überträgt NET SEND- und Warndienstnachrichten zwischen Clients und Servern. Dieser Dienst ist nicht mit Windows Messenger verwandt. Der Warndienst überträgt keine Nachrichten, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden."
"Start"=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\Parameters]
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,6d,73,67,73,76,63,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\Security]
"Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,48,00,03,00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,\
05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\
01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\Enum]
"0"="Root\\LEGACY_MESSENGER\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001


[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"DefaultLaunchPermission"=hex:01,00,04,80,64,00,00,00,80,00,00,00,00,00,00,00,\
14,00,00,00,02,00,50,00,03,00,00,00,00,00,18,00,01,00,00,00,01,01,00,00,00,\
00,00,05,12,00,00,00,00,00,00,00,00,00,18,00,01,00,00,00,01,01,00,00,00,00,\
00,05,04,00,00,00,00,00,00,00,00,00,18,00,01,00,00,00,01,02,00,00,00,00,00,\
05,20,00,00,00,20,02,00,00,01,05,00,00,00,00,00,05,15,00,00,00,a0,5f,84,1f,\
5e,2e,6b,49,ce,12,03,03,f4,01,00,00,01,05,00,00,00,00,00,05,15,00,00,00,a0,\
5f,84,1f,5e,2e,6b,49,ce,12,03,03,f4,01,00,00
"EnableDCOM"="Y"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\NONREDIST]
"System.EnterpriseServices.Thunk.dll"=""


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Authentication Packages"=hex(7):6d,73,76,31,5f,30,00,00
"Bounds"=hex:00,30,00,00,00,20,00,00
"Security Packages"=hex(7):6b,65,72,62,65,72,6f,73,00,6d,73,76,31,5f,30,00,73,\
63,68,61,6e,6e,65,6c,00,77,64,69,67,65,73,74,00,00
"LsaPid"=dword:0000030c
"SecureBoot"=dword:00000001
"auditbaseobjects"=dword:00000000
"crashonauditfail"=dword:00000000
"disabledomaincreds"=dword:00000000
"everyoneincludesanonymous"=dword:00000000
"fipsalgorithmpolicy"=dword:00000000
"fullprivilegeauditing"=hex:00
"limitblankpassworduse"=dword:00000001
"lmcompatibilitylevel"=dword:00000000
"nodefaultadminowner"=dword:00000001
"nolmhash"=dword:00000000
"restrictanonymous"=dword:00000000
"restrictanonymoussam"=dword:00000001
"Notification Packages"=hex(7):73,63,65,63,6c,69,00,00
"ForceGuest"=dword:00000001
"enabledcom"="y"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\AccessProviders]
"ProviderOrder"=hex(7):57,69,6e,64,6f,77,73,20,4e,54,20,41,63,63,65,73,73,20,\
50,72,6f,76,69,64,65,72,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\AccessProviders\Windows NT Access Provider]
"ProviderPath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,\
33,32,5c,6e,74,6d,61,72,74,61,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Data]
"Pattern"=hex:1e,1c,ec,92,20,7e,e5,db,37,6e,9e,88,b0,2b,44,47,33,66,37,30,61,\
66,33,66,00,68,07,00,01,00,00,00,d8,00,00,00,e0,00,00,00,48,fa,06,00,d6,48,\
52,74,04,00,00,00,a0,fd,06,00,b8,fd,06,00,8b,04,32,6e

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\GBG]
"GrafBlumGroup"=hex:d7,bb,2a,cc,8a,7c,00,ca,7b

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\JD]
"Lookup"=hex:d7,ae,43,25,23,f4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Domains]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\SidCache]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\msv1_0]
"ntlmminclientsec"=dword:00000000
"ntlmminserversec"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Skew1]
"SkewMatrix"=hex:94,cb,05,f6,7e,ea,da,2d,bb,fd,f3,88,ca,0e,7c,e2

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SSO]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SSO\Passport1.4]
"SSOURL"="http://www.passport.com"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache]
"Time"=hex:ac,8d,cc,a9,df,f0,c8,01

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\digest.dll]
"Name"="Digest"
"Comment"="Digest SSPI Authentication Package"
"Capabilities"=dword:00004050
"RpcId"=dword:0000ffff
"Version"=dword:00000001
"TokenSize"=dword:0000ffff
"Time"=hex:00,60,f7,62,0f,f9,c2,01
"Type"=dword:00000031

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\msapsspc.dll]
"Name"="DPA"
"Comment"="DPA Security Package"
"Capabilities"=dword:00000037
"RpcId"=dword:00000011
"Version"=dword:00000001
"TokenSize"=dword:00000300
"Time"=hex:00,60,f7,62,0f,f9,c2,01
"Type"=dword:00000031

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\msnsspc.dll]
"Name"="MSN"
"Comment"="MSN Security Package"
"Capabilities"=dword:00000037
"RpcId"=dword:00000012
"Version"=dword:00000001
"TokenSize"=dword:00000300
"Time"=hex:00,60,f7,62,0f,f9,c2,01
"Type"=dword:00000031


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirewallDisableNotify"=dword:00000000


[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]


__________
Mfg TheDomi
Seitenanfang Seitenende
29.07.2008, 15:01
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18 «
hast du das neue Avengerscript schon angewendet ??)

«
mache einen Onlinescan mit Kaspersky (alles scannen lassen, auch die Mails) + poste den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.07.2008, 15:22
Member

Themenstarter
Avatar TheDomi

Beiträge: 16
#19 Ja das ist dabei rausgekommen.

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at D:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "D:\WINDOWS\ktd32.atm" not found!
Deletion of file "D:\WINDOWS\ktd32.atm" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "D:\WINDOWS\Pplugin4.exe" not found!
Deletion of file "D:\WINDOWS\Pplugin4.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "D:\WINDOWS\Pplugin4.dat" not found!
Deletion of file "D:\WINDOWS\Pplugin4.dat" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "D:\WINDOWS\p_ekran.jpg" not found!
Deletion of file "D:\WINDOWS\p_ekran.jpg" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "D:\WINDOWS\Pplugin9.dat" not found!
Deletion of file "D:\WINDOWS\Pplugin9.dat" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "D:\WINDOWS\refresh.scf" not found!
Deletion of file "D:\WINDOWS\refresh.scf" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist



Virenscan mache ich morgen, ich brauche nämlich noch Internet Explorer, habe nur Firefox.
__________
Mfg TheDomi
Seitenanfang Seitenende
29.07.2008, 16:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 den IE solltest du auf dem Rechner haben, ist Teil von MS , auch für die Windowsupdates notwendig.
scanne also + poste den Report
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.07.2008, 22:58
Member

Themenstarter
Avatar TheDomi

Beiträge: 16
#21 Ich dachte es müsste die Neueste Version sein.

Kaspersky ist im Anhang


__________
Mfg TheDomi
Seitenanfang Seitenende
29.07.2008, 23:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 ««

die ganzen Trojan-Downloader müssen raus, auch wenn es nur Musikdateien sind......by by LIMEWIRE ;)

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere in das weisse Feld:

Zitat

Files to delete:
D:\WINDOWS\system32\IEDFix.C.exe
D:\WINDOWS\system32\IEDFix.exe
D:\Dokumente und Einstellungen\Dominik\Eigene Dateien\Programme\install_pro7au_icq6.1.exe
Folders to delete:
D:\Dokumente und Einstellungen\Dominik\Eigene Dateien\Incomplete
D:\Dokumente und Einstellungen\Dominik\Eigene Dateien\LIMEWIRE

schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)
Klicke: Execute
bestätige, dass der Rechner neu gestartet wird - klicke "yes"

nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.07.2008, 11:47
Member

Themenstarter
Avatar TheDomi

Beiträge: 16
#23 Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at D:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "D:\WINDOWS\system32\IEDFix.C.exe" deleted successfully.
File "D:\WINDOWS\system32\IEDFix.exe" deleted successfully.
File "D:\Dokumente und Einstellungen\Dominik\Eigene Dateien\Programme\install_pro7au_icq6.1.exe" deleted successfully.
Folder "D:\Dokumente und Einstellungen\Dominik\Eigene Dateien\Incomplete" deleted successfully.
Folder "D:\Dokumente und Einstellungen\Dominik\Eigene Dateien\LIMEWIRE" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
__________
Mfg TheDomi
Seitenanfang Seitenende
30.07.2008, 13:43
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#24 «
entferne Avenger samt backup + leere den Papierkorb

«
lassen wir es dabei, es sollte wieder alles i.o. sein ;)
pass in Zukunft auf, wo du surfst, was du anklickst und was du aus P2P rausholst... nicht alles hält, was es verspricht.
Wenn es noch Probleme geben sollte, melde dich
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.07.2008, 20:21
Member

Themenstarter
Avatar TheDomi

Beiträge: 16
#25 Is alles wider in Ordnung

nur noch siehe Anhang

Weißt du wie der Virus geheißen hatt?


__________
Mfg TheDomi
Dieser Beitrag wurde am 30.07.2008 um 21:03 Uhr von TheDomi editiert.
Seitenanfang Seitenende
30.07.2008, 22:38
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#26 DER Virus ??? Das waren ziemlich viele, nicht nur einer und Rootkits noch obendrauf ;)
poste bitte ein neues Log von Combofix
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.08.2008, 11:34
Member

Themenstarter
Avatar TheDomi

Beiträge: 16
#27 ComboFix 08-07-31.02 - Dominik 2008-08-01 11:32:02.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.1.1252.1.1031.18.535 [GMT 2:00]
ausgeführt von:: D:\Dokumente und Einstellungen\Dominik\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-07-01 bis 2008-08-01 ))))))))))))))))))))))))))))))
.

2008-07-31 11:55 . 2008-07-31 11:56 <DIR> d-------- D:\Programme\Pyramid
2008-07-29 15:19 . 2008-07-29 15:19 <DIR> d-------- D:\WINDOWS\system32\Kaspersky Lab
2008-07-29 15:19 . 2008-07-29 15:19 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-07-28 20:52 . 2004-08-03 14:05 186,648 --a------ D:\WINDOWS\system32\wuaueng1.dll
2008-07-28 20:52 . 2004-08-03 14:02 169,752 --a------ D:\WINDOWS\system32\wuauclt1.exe
2008-07-28 13:15 . 2008-07-28 13:15 <DIR> d-------- D:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\Malwarebytes
2008-07-28 13:15 . 2008-07-28 13:15 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-28 13:15 . 2008-07-23 20:09 38,472 --a------ D:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-07-28 13:15 . 2008-07-23 20:09 17,144 --a------ D:\WINDOWS\system32\drivers\mbam.sys
2008-07-28 11:05 . 2007-09-06 00:22 289,144 --a------ D:\WINDOWS\system32\VCCLSID.exe
2008-07-28 11:05 . 2006-04-27 17:49 288,417 --a------ D:\WINDOWS\system32\SrchSTS.exe
2008-07-28 11:05 . 2008-05-29 09:35 86,528 --a------ D:\WINDOWS\system32\VACFix.exe
2008-07-28 11:05 . 2008-05-23 18:21 81,920 --a------ D:\WINDOWS\system32\404Fix.exe
2008-07-28 11:05 . 2003-06-05 21:13 53,248 --a------ D:\WINDOWS\system32\Process.exe
2008-07-28 11:05 . 2004-07-31 18:50 51,200 --a------ D:\WINDOWS\system32\dumphive.exe
2008-07-28 11:05 . 2007-10-04 00:36 25,600 --a------ D:\WINDOWS\system32\WS2Fix.exe
2008-07-28 11:05 . 2008-07-28 11:05 4,050 --a------ D:\WINDOWS\system32\tmp.reg
2008-07-27 22:56 . 2008-07-27 22:56 <DIR> d-------- D:\Programme\CleanUp!
2008-07-27 21:43 . 2008-07-27 21:43 22 --a------ D:\WINDOWS\system32\mseixml.sei
2008-07-27 21:43 . 2008-07-27 21:43 22 --a------ D:\WINDOWS\mseixml.sei
2008-07-27 20:42 . 2008-07-27 20:42 125 --a------ D:\WINDOWS\aspack.ini
2008-07-26 18:00 . 2008-07-26 18:13 <DIR> d-------- D:\WINDOWS\BDOSCAN8
2008-07-21 17:55 . 2008-07-21 18:18 <DIR> d-------- D:\Dokumente und Einstellungen\Dominik\dwhelper
2008-07-20 19:29 . 2008-07-20 19:29 <DIR> d-------- D:\Programme\ICQ6Toolbar
2008-07-20 19:29 . 2008-07-20 19:29 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ
2008-07-20 19:25 . 2008-07-20 19:35 <DIR> d-------- D:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\ICQ
2008-07-20 12:00 . 2008-07-20 12:00 <DIR> d-------- D:\Temp
2008-07-19 18:20 . 2008-07-19 18:39 <DIR> d-------- D:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\ICQLite
2008-07-19 12:06 . 2003-04-02 14:00 499,200 --a------ D:\WINDOWS\system32\hypertrm.dll
2008-07-19 12:04 . 2008-07-19 12:04 <DIR> d-------- D:\Programme\Microsoft CAPICOM 2.1.0.2
2008-07-19 12:03 . 2003-04-02 14:00 117,248 --a------ D:\WINDOWS\system32\dllcache\dhtmled.ocx
2008-07-19 12:01 . 2003-04-02 14:00 87,040 --a------ D:\WINDOWS\system32\srvsvc.dll
2008-07-19 12:01 . 2003-04-02 14:00 87,040 --a------ D:\WINDOWS\system32\dllcache\srvsvc.dll
2008-07-17 11:49 . 2005-10-21 00:33 1,003,008 --a------ D:\WINDOWS\system32\esent.dll
2008-07-17 10:22 . 2008-07-17 10:22 0 --a------ D:\WINDOWS\mngui.INI
2008-07-17 10:19 . 2008-07-17 10:19 <DIR> d-------- D:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\Ulead Systems
2008-07-16 23:47 . 2008-07-19 12:04 <DIR> d--h----- D:\WINDOWS\$hf_mig$
2008-07-16 23:46 . 2008-07-28 11:21 <DIR> d-------- D:\WINDOWS\system32\bits
2008-07-16 23:46 . 2003-04-02 14:00 310,272 --a------ D:\WINDOWS\system32\winhttp.dll
2008-07-16 23:46 . 2003-04-02 14:00 310,272 --a------ D:\WINDOWS\system32\dllcache\winhttp.dll
2008-07-16 23:46 . 2003-04-02 14:00 223,232 --a------ D:\WINDOWS\system32\qmgr.dll
2008-07-16 23:46 . 2003-04-02 14:00 223,232 --a------ D:\WINDOWS\system32\dllcache\qmgr.dll
2008-07-16 23:46 . 2003-04-02 14:00 17,408 --a------ D:\WINDOWS\system32\qmgrprxy.dll
2008-07-16 23:46 . 2003-04-02 14:00 17,408 --a------ D:\WINDOWS\system32\dllcache\qmgrprxy.dll
2008-07-16 23:42 . 2004-07-02 00:08 7,680 -----c--- D:\WINDOWS\system32\dllcache\bitsprx2.dll
2008-07-16 23:42 . 2004-07-02 00:08 7,680 --------- D:\WINDOWS\system32\bitsprx2.dll
2008-07-16 23:42 . 2004-07-02 00:08 7,168 -----c--- D:\WINDOWS\system32\dllcache\bitsprx3.dll
2008-07-16 23:42 . 2004-07-02 00:08 7,168 --------- D:\WINDOWS\system32\bitsprx3.dll
2008-07-16 23:36 . 2007-07-30 19:19 271,224 --a------ D:\WINDOWS\system32\mucltui.dll
2008-07-16 23:36 . 2007-07-30 19:18 30,072 --a------ D:\WINDOWS\system32\mucltui.dll.mui
2008-07-10 08:57 . 2006-09-05 20:07 97,088 -ra------ D:\WINDOWS\system32\drivers\se59mdm.sys
2008-07-10 08:57 . 2006-09-05 20:06 90,800 -ra------ D:\WINDOWS\system32\drivers\se59unic.sys
2008-07-10 08:57 . 2006-09-05 20:08 88,624 -ra------ D:\WINDOWS\system32\drivers\se59mgmt.sys
2008-07-10 08:57 . 2006-09-05 20:09 86,432 -ra------ D:\WINDOWS\system32\drivers\se59obex.sys
2008-07-10 08:57 . 2006-09-05 20:06 18,704 -ra------ D:\WINDOWS\system32\drivers\se59nd5.sys
2008-07-10 08:57 . 2006-09-05 20:07 9,360 -ra------ D:\WINDOWS\system32\drivers\se59mdfl.sys
2008-07-10 08:57 . 2006-09-05 20:09 6,240 -ra------ D:\WINDOWS\system32\drivers\se59cmnt.sys
2008-07-10 08:57 . 2006-09-05 20:09 6,240 -ra------ D:\WINDOWS\system32\drivers\se59cm.sys
2008-07-10 08:57 . 2006-09-05 20:06 4,128 -ra------ D:\WINDOWS\system32\drivers\se59cr.sys
2008-07-10 08:54 . 2006-09-05 20:07 61,536 -ra------ D:\WINDOWS\system32\drivers\se59bus.sys
2008-07-10 08:54 . 2006-09-05 20:06 5,872 -ra------ D:\WINDOWS\system32\drivers\se59whnt.sys
2008-07-10 08:54 . 2006-09-05 20:06 5,872 -ra------ D:\WINDOWS\system32\drivers\se59wh.sys
2008-07-09 21:07 . 2008-07-10 08:57 <DIR> d-------- D:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\Teleca
2008-07-09 21:06 . 2008-07-09 21:06 <DIR> d-------- D:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\Sony Ericsson
2008-07-09 21:05 . 2008-07-09 21:05 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony Ericsson
2008-07-09 21:04 . 2008-07-09 21:05 <DIR> d-------- D:\Programme\Gemeinsame Dateien\Teleca Shared
2008-07-09 21:04 . 2008-07-09 21:05 <DIR> d-------- D:\Programme\Gemeinsame Dateien\Sony Ericsson Shared
2008-07-09 21:04 . 2008-07-09 21:05 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Teleca
2008-07-09 20:27 . 2008-07-09 20:27 <DIR> d-------- D:\WINDOWS\Downloaded Installations
2008-07-01 13:24 . 2008-07-19 12:54 <DIR> d----c--- D:\WINDOWS\system32\DRVSTORE

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-31 09:47 --------- d-----w D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-07-29 09:13 --------- d-----w D:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\OpenOffice.org2
2008-07-28 20:10 --------- d-----w D:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\LimeWire
2008-07-21 10:44 --------- d--h--w D:\Programme\InstallShield Installation Information
2008-07-18 10:52 --------- d-----w D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonIJPLM
2008-07-16 11:14 --------- d-----w D:\Programme\ArtMoney
2008-07-09 11:28 --------- d-----w D:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\Canon
2008-07-09 10:24 --------- d-----w D:\Programme\NCH Swift Sound
2008-06-23 11:14 --------- d-----w D:\Programme\Google
2008-06-22 13:41 --------- d-----w D:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\PC Suite
2008-06-06 14:11 --------- d-----w D:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\Corel
2008-05-21 15:07 22,016 ----a-w D:\WINDOWS\system32\prospeed_bmp2jpg.dll
2008-05-15 09:30 208,896 ----a-w D:\WINDOWS\system32\TubeFinder.exe
2008-05-11 10:29 98,304 ----a-w D:\WINDOWS\system32\CmdLineExt.dll
2008-05-01 08:08 107,134 -c--a-w D:\WINDOWS\UninstallFirefox.exe
2008-04-07 17:55 45,824 ----a-w D:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="D:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-12-23 19:05 143360]
"swg"="D:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-04-20 13:45 68856]
"ctfmon.exe"="D:\WINDOWS\System32\ctfmon.exe" [2003-04-02 14:00 13312]
"ICQ"="C:\XP NICHT LOESCHEN\ICQ6\ICQ.exe" [2008-05-18 18:30 172280]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RemoteControl"="D:\Programme\Home Cinema\PowerDVD\PDVDServ.exe" [2006-11-23 16:10 56928]
"LanguageShortcut"="D:\Programme\Home Cinema\PowerDVD\Language\Language.exe" [2006-12-05 23:55 54832]
"NeroFilterCheck"="D:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 16:40 155648]
"QuickTime Task"="D:\Programme\QuickTime\qttask.exe" [2006-09-01 16:57 282624]
"Ulead AutoDetector v2"="D:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" [2006-11-29 12:58 90112]
"TkBellExe"="D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-03-06 22:30 185896]
"NvCplDaemon"="D:\WINDOWS\System32\NvCpl.dll" [2006-10-06 16:38 7700480]
"VC9Player"="D:\Programme\Virtual CD v9\System\VC9Play.exe" [2007-04-12 16:33 202312]
"CloneCDTray"="D:\Programme\SlySoft\CloneCD\CloneCDTray.exe" [2006-09-28 21:21 57344]
"SunJavaUpdateSched"="D:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"TVEService"="D:\Programme\Home Cinema\TV Enhance\TVEService.exe" [2007-02-08 19:13 155648]
"CanonSolutionMenu"="D:\Programme\Canon\SolutionMenu\CNSLMAIN.exe" [2007-05-14 18:01 644696]
"CanonMyPrinter"="D:\Programme\Canon\MyPrinter\BJMyPrt.exe" [2007-04-03 18:50 1603152]
"SSBkgdUpdate"="D:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 09:03 210472]
"Sony Ericsson PC Suite"="C:\Sony Ericsson\W580i\Application Launcher\Application Launcher.exe" [2007-03-28 01:07 593920]
"Securepoint Personal Firewall"="c:\firewall\bin\sppfw.exe" [2005-02-23 17:49 1799680]
"SkyTel"="SkyTel.EXE" [2006-10-09 11:50 2879488 D:\WINDOWS\SkyTel.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-10-09 11:50 16236032 D:\WINDOWS\RTHDCPL.EXE]
"nwiz"="nwiz.exe" [2006-10-06 16:38 1617920 D:\WINDOWS\system32\nwiz.exe]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSimpleStartMenu"= 0 (0x0)

R0 sfsync03;StarForce Protection Synchronization Driver (version 3.x);D:\WINDOWS\System32\drivers\sfsync03.sys [2005-10-13 15:46]
R1 spfw;spfw;D:\WINDOWS\System32\drivers\spfw.sys [2005-02-10 11:49]
R1 vdrv9000;vdrv9000;D:\WINDOWS\System32\DRIVERS\vdrv9000.sys [2007-01-23 12:48]
R2 IJPLMSVC;PIXMA Extended Survey Program;D:\Programme\Canon\IJPLM\IJPLMSVC.EXE [2007-04-13 08:49]
R2 spfirewallsvc;Securepoint Personal Firewall;C:\Firewall\driver\spfirewallsvc.exe [2005-02-11 18:24]
R2 TVECapSvc;TVEnhance Background Capture Service (TBCS);D:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe [2007-02-08 19:14]
R2 TVESched;TVEnhance Task Scheduler (TTS));D:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe [2007-02-08 19:14]
R2 VC9SecS;Virtual CD v9 Management Service;D:\Programme\Virtual CD v9\System\VC9SecS.exe [2007-04-12 16:33]
S3 HH9Help.sys;HH9Help.sys;D:\WINDOWS\System32\drivers\HH9Help.sys [2006-09-20 13:42]
S3 ldiskl;ldiskl;D:\DOKUME~1\Dominik\LOKALE~1\Temp\ldiskl.sys []
S3 se59bus;Sony Ericsson Device 089 driver (WDM);D:\WINDOWS\System32\DRIVERS\se59bus.sys [2006-09-05 20:07]
S3 se59mdfl;Sony Ericsson Device 089 USB WMC Modem Filter;D:\WINDOWS\System32\DRIVERS\se59mdfl.sys [2006-09-05 20:07]
S3 se59mdm;Sony Ericsson Device 089 USB WMC Modem Driver;D:\WINDOWS\System32\DRIVERS\se59mdm.sys [2006-09-05 20:07]
S3 se59mgmt;Sony Ericsson Device 089 USB WMC Device Management Drivers (WDM);D:\WINDOWS\System32\DRIVERS\se59mgmt.sys [2006-09-05 20:08]
S3 se59nd5;Sony Ericsson Device 089 USB Ethernet Emulation SEMC59 (NDIS);D:\WINDOWS\System32\DRIVERS\se59nd5.sys [2006-09-05 20:06]
S3 se59obex;Sony Ericsson Device 089 USB WMC OBEX Interface;D:\WINDOWS\System32\DRIVERS\se59obex.sys [2006-09-05 20:09]
S3 se59unic;Sony Ericsson Device 089 USB Ethernet Emulation SEMC59 (WDM);D:\WINDOWS\System32\DRIVERS\se59unic.sys [2006-09-05 20:06]
.
Inhalt des "geplante Tasks" Ordners

2008-03-20 D:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- D:\Programme\Apple Software Update\SoftwareUpdate.exe [2006-08-29 15:21]
.
.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - D:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\Mozilla\Firefox\Profiles\4wt93u34.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.at/


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-01 11:33:04
Windows 5.1.2600 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-08-01 11:33:33
ComboFix-quarantined-files.txt 2008-08-01 09:33:30
ComboFix2.txt 2008-07-28 18:39:27

Pre-Run: 6,926,438,400 Bytes frei
Post-Run: 6,911,827,968 Bytes frei

175 --- E O F --- 2008-07-19 10:10:10
__________
Mfg TheDomi
Seitenanfang Seitenende
01.08.2008, 23:52
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#28 Hallo TheDomi

sdfix
http://virus-protect.org/artikel/tools/sdfix.html
im Normalmodus
RunThis.bat doppelt klicken
3 : wird Sophos geladen

bei Option 6 - erfolgt ein Fullscan + löschen der infizierten Dateien
"SophosReport.txt" (im SDFix-Ordner) - abkopieren und in den Beitrag
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: