taskmanager vom administrator blockiert und viruswarnung durch windows |
||
---|---|---|
#0
| ||
02.08.2008, 16:44
...neu hier
Beiträge: 3 |
||
|
||
02.08.2008, 17:52
Ehrenmitglied
Beiträge: 6028 |
#2
CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK Malwarebytes Anti-Malware Malwarebytes Anti-Malware fuer Windows 2000,XP und Vista Download MBAM Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet Waehle bei Reiter “Scanner”> "Schnell Scan durchfuehren" . Waehle alle Laufwerke>Scan laufen lassen Wenn am Ende infizierungen gefunden werden,anhaacken und entfernen lassen Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt) Poste dessen inhalt hier ins Forum Note: Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK Danach wird gefragt den Rechner neu zu starten,lass es zu Nehme als Update Spiegel >>It-mate.co.uk Malwarebytes Anti-Malware kann man nachher behalten ! __________ MfG Argus |
|
|
||
03.08.2008, 10:48
...neu hier
Themenstarter Beiträge: 3 |
#3
hi,
danke zuerst mal.... hat soweit alles geklappt, auch der full scan zeigte nichts mehr. pc hab ich ein wenig upgedatet, alles war nicht mehr ganz frisch... aber ich denke der combofix (hab ich deinstallliert) hat ihm den teufel ausgetrieben..... was kann der cobofix eigentlich genau fixen ?? lg tom anbei der log aus dem quick scan : Malwarebytes' Anti-Malware 1.24 Datenbank Version: 1018 Windows 5.1.2600 Service Pack 3 09:39:43 03.08.2008 mbam-log-8-3-2008 (09-39-43).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 42610 Laufzeit: 2 minute(s), 20 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 4 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Secondary_Page_URL (Hijack.Homepage) -> Bad: (file://c:/windows/homepage.html ) Good: (http://www.google.com/) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Secondary Start Pages (Hijack.Homepage) -> Bad: (file://c:/windows/homepage.html ) Good: (http://www.google.com/) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.Homepage) -> Bad: (file://c:/windows/homepage.html) Good: (http://www.google.com/) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.Homepage) -> Bad: (file://c:/windows/homepage.html) Good: (http://www.google.com/) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
|
|
||
03.08.2008, 11:07
Ehrenmitglied
Beiträge: 6028 |
#4
Von Combofix habe ich "Changelog"
Aber Malwarebytes enfernt wie hier angegeben http://www.malwarebytes.org/malwarenet.php Und wird jeden Tag mehrmals ge-updated und das alles durch Freiwillige Systemwiederherstellung Info: http://virus-protect.org/systemwiederherstellung.html Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. - dann wieder aktivieren __________ MfG Argus |
|
|
||
05.08.2008, 12:37
...neu hier
Themenstarter Beiträge: 3 |
||
|
||
mich hats offenbar auch erwischt - Spyware eingefangen. "Your computer is infected! Windows has detected spyware infection! It is recommended to use special antispyware tools to pervent data loss. Windows will now download and install the most up-to-date antispyware for you. Click here to protect your computer from spyware!"
Außerdem lädt er ständing eine seite mit einem virenscanner.
hab ikurus und spybot laufen, CCleaner gesäubert und combofix angewendet.
hier der log vom combofix :
ComboFix 08-08-01.04 - tom 2008-08-02 15:38:35.3 - NTFSx86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.3232 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\tom\Desktop\ComboFix.exe
[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.
(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\WINXP\homepage.html
C:\WINXP\index.html
C:\WINXP\promo1.html
C:\WINXP\promo2.html
C:\WINXP\promo3.html
C:\WINXP\promo4.html
C:\WINXP\promo5.html
C:\WINXP\promo6.html
C:\WINXP\promogif1.gif
C:\WINXP\promogif2.gif
C:\WINXP\promogif3.gif
C:\WINXP\system32\adult.txt
C:\WINXP\system32\Cache
C:\WINXP\system32\dgjlm.ini
C:\WINXP\system32\dgjlm.ini2
C:\WINXP\system32\finance.txt
C:\WINXP\system32\lt.res
C:\WINXP\system32\mcrh.tmp
C:\WINXP\system32\other.txt
C:\WINXP\system32\pharma.txt
C:\WINXP\system32\sft.res
C:\WINXP\system32\sockins32.dll
C:\WINXP\system32\sockots64.dll
----- BITS: Eventuell infizierte Webseiten -----
http://www.hhdsoftware.com
.
((((((((((((((((((((((( Dateien erstellt von 2008-07-02 bis 2008-08-02 ))))))))))))))))))))))))))))))
.
2008-08-02 11:39 . 2008-08-02 15:21 <DIR> d-------- C:\Programme\Google
2008-07-29 18:15 . 2008-05-19 16:01 53,888 --a------ C:\WINXP\system32\drivers\evserial.sys
2008-07-29 18:15 . 2008-05-19 16:01 27,904 --a------ C:\WINXP\system32\drivers\evsbc.sys
2008-07-21 11:55 . 2008-05-07 07:10 1,293,824 --------- C:\WINXP\system32\dllcache\quartz.dll
2008-07-21 11:55 . 2008-06-20 13:51 361,600 --------- C:\WINXP\system32\dllcache\tcpip.sys
2008-07-21 11:55 . 2008-06-20 19:46 247,296 --------- C:\WINXP\system32\dllcache\mswsock.dll
2008-07-21 11:55 . 2008-06-20 13:08 225,856 --------- C:\WINXP\system32\dllcache\tcpip6.sys
2008-07-21 11:55 . 2008-05-08 16:02 203,136 --------- C:\WINXP\system32\dllcache\rmcast.sys
2008-07-21 11:55 . 2008-06-20 19:46 147,968 --------- C:\WINXP\system32\dllcache\dnsapi.dll
2008-07-21 11:55 . 2008-06-20 13:40 138,496 --------- C:\WINXP\system32\dllcache\afd.sys
2008-07-21 11:54 . 2008-04-23 06:16 347,136 --------- C:\WINXP\system32\dllcache\dxtmsft.dll
2008-07-21 11:54 . 2008-06-14 19:32 273,024 --------- C:\WINXP\system32\dllcache\bthport.sys
2008-07-21 11:54 . 2008-04-23 06:16 44,544 --------- C:\WINXP\system32\dllcache\pngfilt.dll
2008-07-21 11:41 . 2008-07-21 11:42 <DIR> d-------- C:\WINXP\ServicePackFiles
2008-07-18 22:20 . 2008-07-25 19:25 <DIR> d-------- C:\Programme\hexTronik ESC Config
2008-07-08 18:13 . 2006-10-05 16:35 356,352 --------- C:\WINXP\system32\nvuide.exe
2008-07-08 18:12 . 2006-11-07 14:58 356,352 --a------ C:\WINXP\system32\nvunrm.exe
2008-07-08 18:12 . 2006-10-19 09:36 3,903 --a------ C:\WINXP\system32\nvnrm.nvu
2008-07-08 18:12 . 2006-10-05 13:07 1,428 --a------ C:\WINXP\system32\drivers\nvphy.bin
2008-07-08 18:09 . 2008-07-08 18:09 <DIR> d-------- C:\Dokumente und Einstellungen\tom\Anwendungsdaten\InstallShield
2008-07-08 18:04 . 2006-06-07 18:49 208,896 --a------ C:\WINXP\system32\nvusmb.exe
2008-07-08 18:04 . 2006-06-01 14:32 1,864 --a------ C:\WINXP\system32\nvsmb.nvu
2008-07-08 18:04 . 2006-09-11 15:14 1,570 --------- C:\WINXP\system32\nvide.nvu
2008-07-08 17:57 . 2008-05-16 14:01 446,464 --a------ C:\WINXP\system32\nvudisp.exe
2008-07-08 17:57 . 2008-05-16 14:01 18,070 --a------ C:\WINXP\system32\nvdisp.nvu
2008-07-08 17:57 . 2008-08-02 16:22 104 --a------ C:\WINXP\system32\nvapps.xml
2008-07-08 17:56 . 2008-06-04 16:29 446,464 --a------ C:\WINXP\system32\NVUNINST.EXE
2008-07-06 11:38 . 2008-07-06 11:38 <DIR> d-------- C:\Programme\SecureCRT
2008-07-06 11:38 . 2008-07-06 11:38 <DIR> d-------- C:\Dokumente und Einstellungen\tom\Anwendungsdaten\VanDyke
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-02 13:38 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-02 12:42 --------- d-----w C:\Programme\MotoCalc8
2008-08-02 09:39 --------- d-----w C:\Programme\Java
2008-08-01 10:44 --------- d-----w C:\Programme\eMule
2008-07-29 16:48 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-07-25 17:28 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-07-25 17:00 --------- d-----w C:\Programme\EVODataManager
2008-07-21 10:25 --------- d-----w C:\Programme\TuneUp Utilities 2008
2008-07-20 07:57 --------- d-----w C:\Dokumente und Einstellungen\tom\Anwendungsdaten\Skype
2008-07-20 07:56 --------- d-----w C:\Dokumente und Einstellungen\tom\Anwendungsdaten\skypePM
2008-07-14 08:11 --------- d-----w C:\Dokumente und Einstellungen\tom\Anwendungsdaten\ZoomBrowser EX
2008-07-08 15:50 --------- d-----w C:\Programme\NVIDIA Corporation
2008-07-07 20:47 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ZoomBrowser
2008-06-28 13:12 --------- d-----w C:\Programme\Canon
2008-06-28 12:17 355,584 ----a-w C:\WINXP\system32\TuneUpDefragService.exe
2008-06-28 12:16 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-28 11:46 --------- d-----w C:\Programme\motocalc
2008-06-20 17:46 247,296 ----a-w C:\WINXP\system32\mswsock.dll
2008-06-20 13:19 --------- d-----w C:\Programme\Gemeinsame Dateien\KnifeEdge
2008-06-20 11:51 361,600 ----a-w C:\WINXP\system32\drivers\tcpip.sys
2008-06-20 11:40 138,496 ----a-w C:\WINXP\system32\drivers\afd.sys
2008-06-20 11:08 225,856 ----a-w C:\WINXP\system32\drivers\tcpip6.sys
2008-06-15 08:49 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-06-14 17:32 273,024 ------w C:\WINXP\system32\drivers\bthport.sys
2008-06-11 17:22 --------- d-----w C:\Programme\ASUS
2008-06-06 13:33 --------- d-----w C:\Programme\Radmin Viewer 3
2008-06-06 11:04 36,640 ----a-w C:\WINXP\nvoclock.sys
2008-05-29 07:28 28,416 ----a-w C:\WINXP\system32\uxtuneup.dll
2008-05-23 09:11 36,640 ----a-w C:\WINXP\nvflash.sys
2008-05-09 10:54 90,112 ----a-w C:\WINXP\system32\wshext.dll
2008-05-09 10:54 90,112 ------w C:\WINXP\system32\dllcache\wshext.dll
2008-05-09 10:54 512,000 ------w C:\WINXP\system32\dllcache\jscript.dll
2008-05-09 10:54 430,080 ----a-w C:\WINXP\system32\vbscript.dll
2008-05-09 10:54 430,080 ------w C:\WINXP\system32\dllcache\vbscript.dll
2008-05-09 10:54 180,224 ----a-w C:\WINXP\system32\scrobj.dll
2008-05-09 10:54 180,224 ------w C:\WINXP\system32\dllcache\scrobj.dll
2008-05-09 10:54 172,032 ----a-w C:\WINXP\system32\scrrun.dll
2008-05-09 10:54 172,032 ------w C:\WINXP\system32\dllcache\scrrun.dll
2008-05-08 11:24 155,648 ----a-w C:\WINXP\system32\wscript.exe
2008-05-08 11:24 155,648 ------w C:\WINXP\system32\dllcache\wscript.exe
2008-05-07 09:07 135,168 ----a-w C:\WINXP\system32\cscript.exe
2008-05-07 09:07 135,168 ------w C:\WINXP\system32\dllcache\cscript.exe
2008-05-07 05:10 1,293,824 ----a-w C:\WINXP\system32\quartz.dll
2008-05-05 16:38 81,984 ----a-w C:\WINXP\system32\bdod.bin
2007-12-03 21:35 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NVIDIA System Monitor"="C:\Programme\NVIDIA Corporation\NVIDIA System Monitor\NVMonitor.exe" [2008-06-06 13:04 846368]
"ctfmon.exe"="C:\WINXP\system32\ctfmon.exe" [2008-04-14 07:52 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FileZilla Server Interface"="C:\Programme\FileZilla Server\FileZilla Server Interface.exe" [2007-12-25 23:25 937984]
"TrueImageMonitor.exe"="C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2007-12-03 11:06 2622104]
"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2007-12-03 11:06 140568]
"Guard NT"="C:\Programme\aon\aonVirenchecker\GuardNT\GuardNT.exe" [2004-12-15 13:52 471040]
"NvCplDaemon"="C:\WINXP\system32\NvCpl.dll" [2008-05-16 14:01 13529088]
"NvMediaCenter"="C:\WINXP\system32\NvMcTray.dll" [2008-05-16 14:01 86016]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"Ikarus-AutoUpdate"="C:\WINXP\system32\IKAutoUp.exe" [2006-01-13 10:36 385024]
"MsmqIntCert"="mqrt.dll" [2008-04-14 07:52 177152 C:\WINXP\system32\mqrt.dll]
"nwiz"="nwiz.exe" [2008-05-16 14:01 1630208 C:\WINXP\system32\nwiz.exe]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2007-02-05 15:39 294400]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=,C:\WINXP\system32\rserver30\r3god.dll
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 relog_ap
Notification Packages REG_MULTI_SZ scecli scecli
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=C:\WINXP\system32\ctfmon.exe
"eMuleAutoStart"=C:\Programme\eMule\emule.exe -AutoStart
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"WinampAgent"=C:\Programme\Winamp\winampa.exe
"UnlockerAssistant"="C:\Programme\Unlocker\UnlockerAssistant.exe"
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"AcronisTimounterMonitor"=C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\WINXP\\system32\\mqsvc.exe"=
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
R0 nvgts;nvgts;C:\WINXP\system32\DRIVERS\nvgts.sys [2008-01-25 20:01]
R0 tdrpman;Acronis Try&Decide and Restore Points filter;C:\WINXP\system32\DRIVERS\tdrpman.sys [2008-04-04 11:40]
R1 hwinterface;hwinterface;C:\WINXP\system32\Drivers\hwinterface.sys [2008-01-27 18:38]
R1 raddrvv3;raddrvv3;C:\WINXP\system32\rserver30\raddrvv3.sys [2008-04-24 08:49]
R2 AdobeActiveFileMonitor6.0;Adobe Active File Monitor V6;C:\Programme\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe [2007-09-11 00:45]
R2 DUMeterSvc;DU Meter Service;C:\Programme\DU Meter\DUMeterSvc.exe [2008-04-04 11:40]
R2 Guard NT;Guard NT;C:\Programme\aon\aonVirenchecker\GuardNT\GuardNT.exe [2004-12-15 13:52]
R2 NTGUARD;NTGUARD;C:\Programme\aon\aonVirenchecker\GuardNT\NTGUARD.SYS [2004-10-21 16:05]
R2 NVR0FLASHDev;NVR0FLASHDev;C:\WINXP\nvflash.sys [2008-05-23 11:11]
R2 RServer3;Radmin Server V3;C:\WINXP\system32\rserver30\RServer3.exe [2008-04-24 08:44]
R2 TryAndDecideService;Acronis Try And Decide Service;C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe [2007-12-03 11:26]
R2 UpdateCenterService;Update Center Service;C:\Programme\NVIDIA Corporation\System Update\UpdateCenterService.exe [2008-05-23 11:14]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINXP\System32\svchost.exe [2008-04-14 07:53]
R3 mirrorv3;mirrorv3;C:\WINXP\system32\DRIVERS\rminiv3.sys [2006-11-01 06:01]
S3 evserial;Virtual Serial Ports Driver (Eltima Softwate);C:\WINXP\system32\DRIVERS\evserial.sys [2008-05-19 16:01]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINXP\System32\TuneUpDefragService.exe [2008-06-28 14:17]
S3 VSBC;Virtual Serial Bus Enumerator (Eltima Software);C:\WINXP\system32\DRIVERS\evsbc.sys [2008-05-19 16:01]
S4 NMSAccessU;NMSAccessU;C:\Programme\CDBurnerXP\NMSAccessU.exe []
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\N]
\Shell\AutoRun\command - explorer.exe http://www.drei.at/inside3
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{123ee740-a1e4-11dc-a9e2-001d60d49876}]
\Shell\AutoRun\command - explorer.exe http://www.drei.at/inside3
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{72f2048e-bee0-11dc-aa0b-001d60d49876}]
\Shell\AutoRun\command - S:\InstallTomTomHOME.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{72f204a2-bee0-11dc-aa0b-001d60d49876}]
\Shell\AutoRun\command - K:\InstallTomTomHOME.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{82db23b7-9df6-11dc-a9b6-001d60d49876}]
\Shell\AutoRun\command - J:\Setup.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{937eb296-dd98-11dc-a32f-806d6172696f}]
\Shell\AutoRun\command - I:\start_CD.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d7bf5dca-3d1f-11dd-a789-001d60d49876}]
\Shell\AutoRun\command - explorer.exe http://www.drei.at/inside3
.
Inhalt des "geplante Tasks" Ordners
2008-04-25 C:\WINXP\Tasks\1-Click Maintenance.job
- C:\Programme\TuneUp Utilities 2008\OneClick.exe [2008-06-11 11:54]
2008-07-06 C:\WINXP\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe [2008-06-11 11:54]
2008-08-02 C:\WINXP\Tasks\User_Feed_Synchronization-{1A22A9CC-A8F8-4AA5-84A6-B05EAD09CDE1}.job
- C:\WINXP\system32\msfeedssync.exe [2007-10-09 17:19]
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -
WebBrowser-{8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - (no file)
.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\tom\Anwendungsdaten\Mozilla\Firefox\Profiles\5qkxgcrg.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://
FF -: plugin - C:\WINXP\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-02 16:22:36
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Eintr„ge...
Scanne versteckte Dateien...
C:\WINXP\wiaservc.log 50 bytes
Scan erfolgreich abgeschlossen
versteckte Dateien: 1
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\DUMeterSvc]
"ImagePath"="C:\Programme\DU Meter\DUMeterSvc.exe /startedbyscm:E1F6D4BE-40E33354-DUMeterService"
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\WINXP\system32\msdtc.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINXP\system32\dllhost.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\FileZilla Server\FileZilla Server.exe
C:\WINXP\system32\inetsrv\inetinfo.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\HPZipm12.exe
C:\WINXP\system32\rundll32.exe
C:\WINXP\system32\locator.exe
C:\WINXP\system32\tcpsvcs.exe
C:\WINXP\system32\snmp.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\WINXP\system32\rserver30\FamItrfc.Exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programme\Windows Desktop Search\WindowsSearch.exe
C:\WINXP\system32\searchindexer.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINXP\system32\mqsvc.exe
C:\WINXP\system32\mqtgsvc.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHSP.exe
C:\WINXP\system32\searchprotocolhost.exe
C:\WINXP\system32\searchfilterhost.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-02 16:26:35 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-08-02 14:26:31
Pre-Run: 10 Verzeichnis(se), 24,671,408,128 Bytes frei
Post-Run: 12 Verzeichnis(se), 20,813,213,696 Bytes frei
259 --- E O F --- 2008-07-25 07:20:59
und hier der vom hijack nach dem combofix :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:42:01, on 02.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal
Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
C:\Programme\FileZilla Server\FileZilla Server Interface.exe
C:\WINXP\system32\dllhost.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\DU Meter\DUMeterSvc.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\FileZilla Server\FileZilla Server.exe
C:\Programme\aon\aonVirenchecker\GuardNT\GuardNT.exe
C:\WINXP\system32\inetsrv\inetinfo.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\HPZipm12.exe
C:\WINXP\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINXP\system32\IKAutoUp.exe
C:\Programme\NVIDIA Corporation\NVIDIA System Monitor\NVMonitor.exe
C:\WINXP\system32\ctfmon.exe
C:\WINXP\system32\rserver30\RServer3.exe
C:\WINXP\system32\tcpsvcs.exe
C:\WINXP\System32\snmp.exe
C:\WINXP\system32\svchost.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\WINXP\system32\rserver30\FamItrfc.Exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programme\NVIDIA Corporation\System Update\UpdateCenterService.exe
C:\Programme\Windows Desktop Search\WindowsSearch.exe
C:\WINXP\system32\SearchIndexer.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINXP\system32\mqsvc.exe
C:\WINXP\system32\mqtgsvc.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\WINXP\system32\SearchProtocolHost.exe
C:\WINXP\explorer.exe
C:\WINXP\system32\notepad.exe
C:\WINXP\system32\taskmgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINXP\system32\SearchProtocolHost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file://c:/windows/homepage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = file://c:/windows/homepage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = file://c:/windows/homepage.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>
O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll
O4 - HKLM\..\Run: [FileZilla Server Interface] "C:\Programme\FileZilla Server\FileZilla Server Interface.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [Guard NT] C:\Programme\aon\aonVirenchecker\GuardNT\GuardNT.exe /STARTDLG /CPYTOKEN
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Ikarus-AutoUpdate] C:\WINXP\system32\IKAutoUp.exe /LOG
O4 - HKCU\..\Run: [NVIDIA System Monitor] "C:\Programme\NVIDIA Corporation\NVIDIA System Monitor\NVMonitor.exe" startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: Windows Desktop Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {A796D216-2DE1-4EA8-BABB-FE6E7C959098} (HPSDDX Class) - http://www.hp.com/cpso-support-new/SDD/hpsddObjSigned.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7EC1236-9BC5-4624-AA1D-4B11CF387FFD}: NameServer = 195.3.96.67
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: ,C:\WINXP\system32\rserver30\r3god.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor V6 (AdobeActiveFileMonitor6.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: DU Meter Service (DUMeterSvc) - Hagel Technologies Ltd - C:\Programme\DU Meter\DUMeterSvc.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Programme\FileZilla Server\FileZilla Server.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Guard NT - Ikarus Software Wien - C:\Programme\aon\aonVirenchecker\GuardNT\GuardNT.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINXP\system32\HPZipm12.exe
O23 - Service: Radmin Server V3 (RServer3) - Famatech International Corp. - C:\WINXP\system32\rserver30\RServer3.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINXP\System32\TuneUpDefragService.exe
O23 - Service: Update Center Service (UpdateCenterService) - NVIDIA - C:\Programme\NVIDIA Corporation\System Update\UpdateCenterService.exe
--
End of file - 8970 bytes
jetzt scheint der pc wieder einwandfrei....
was meint ihr, schauts gut aus oder soll ich noch was tun ??
lg
tom