TR/Monder.bfg Entfernen wie? |
||
---|---|---|
#0
| ||
03.08.2008, 15:30
Member
Beiträge: 29 |
||
|
||
03.08.2008, 15:58
Ehrenmitglied
Beiträge: 6028 |
#2
Prüfe mal diese Datei(en) bei Virustotal http://www.virustotal.com/flash/index_en.html
C:\WINDOWS\system32\CF28342.exe C:\WINDOWS\system32\zkwlnl.dll C:\WINDOWS\system32\sxhgpvyi.dll C:\WINDOWS\system32\xwuurehb.dll Note:Wenn bei ViruTotal die Meldung kommt ” Die Datei wurde bereits analysiert “waehle „Analisiere die Datei“ Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei Zitat O20 - AppInit_DLLs: zkwlnl.dll fzvhrx.dll rtossm.dllklicke: Fix checked Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst Zoek Download zoek.exe zum Desktop Doppelklick zoek.exe Warte…. es erscheint ein logfile Poste dessen Inhalt hier ins Forum __________ MfG Argus |
|
|
||
03.08.2008, 17:01
Member
Themenstarter Beiträge: 29 |
#3
Ok, das habe ich gemacht, die erste Datei habe ich nicht gefunden aber die anderen 3 sind alle nicht sauber! Und hier der Bericht von zoek.exe
======C:\WINDOWS==== ----a-w 0 2008-08-03 12:58:24 C:\WINDOWS\0.log --s-a-w 2,048 2008-08-03 12:57:00 C:\WINDOWS\bootstat.dat ----a-w 364,138 2008-07-31 09:09:26 C:\WINDOWS\comsetup.log ----a-w 1,061,146 2008-07-31 09:09:26 C:\WINDOWS\FaxSetup.log ----a-w 884,736 2008-08-03 10:01:49 C:\WINDOWS\gmer.dll ----a-w 811,008 2008-04-17 19:13:02 C:\WINDOWS\gmer.exe ----a-w 250 2008-08-03 10:01:53 C:\WINDOWS\gmer.ini ----a-w 80 2008-08-03 10:01:49 C:\WINDOWS\gmer_uninstall.cmd ----a-w 1,240,332 2008-07-31 09:09:26 C:\WINDOWS\iis6.log ----a-w 1,374 2008-07-10 01:01:10 C:\WINDOWS\imsins.BAK ----a-w 4,696 2008-07-31 09:09:26 C:\WINDOWS\imsins.log ----a-w 11,701 2008-05-29 15:06:57 C:\WINDOWS\KB932823-v3.log ----a-w 13,842 2008-05-15 16:49:09 C:\WINDOWS\KB950749.log ----a-w 18,451 2008-06-11 16:04:23 C:\WINDOWS\KB950759-IE7.log ----a-w 6,579 2008-06-11 16:02:29 C:\WINDOWS\KB950760.log ----a-w 8,358 2008-06-11 16:02:35 C:\WINDOWS\KB950762.log ----a-w 8,389 2008-06-21 07:15:08 C:\WINDOWS\KB951376-v2.log ----a-w 7,997 2008-06-11 16:02:23 C:\WINDOWS\KB951376.log ----a-w 17,602 2008-06-12 16:29:59 C:\WINDOWS\KB951698.log ----a-w 18,171 2008-07-10 01:01:09 C:\WINDOWS\KB951748.log ----a-w 75,623 2008-07-31 09:09:26 C:\WINDOWS\medctroc.Log ----a-w 54,258 2008-07-31 09:09:26 C:\WINDOWS\msgsocm.log ----a-w 343,492 2008-07-31 09:09:19 C:\WINDOWS\msmqinst.log ----a-w 187,908 2008-07-31 09:09:20 C:\WINDOWS\netfxocm.log ----a-w 221,632 2008-07-31 09:09:26 C:\WINDOWS\ntdtcsetup.log ----a-w 533,957 2008-07-31 09:09:26 C:\WINDOWS\ocgen.log ----a-w 59,519 2008-07-31 09:09:26 C:\WINDOWS\ocmsn.log ---ha-w 54,156 2008-08-03 12:57:42 C:\WINDOWS\QTFont.qfn ----a-w 32,542 2008-08-03 12:55:43 C:\WINDOWS\SchedLgU.Txt ----a-w 188,704 2008-08-03 11:56:30 C:\WINDOWS\setupact.log ----a-w 392,564 2008-07-31 09:28:49 C:\WINDOWS\setupapi.log ----a-w 227 2008-08-03 13:07:50 C:\WINDOWS\system.ini ----a-w 54,030 2008-07-31 09:09:26 C:\WINDOWS\tabletoc.log ----a-w 498,394 2008-07-31 09:09:26 C:\WINDOWS\tsoc.log ----a-w 92,890 2008-07-10 01:01:05 C:\WINDOWS\updspapi.log ----a-w 556 2008-07-10 01:07:00 C:\WINDOWS\wiadebug.log ----a-w 50 2008-07-09 20:35:17 C:\WINDOWS\wiaservc.log ----a-w 804 2008-07-09 20:34:34 C:\WINDOWS\win.ini ----a-w 1,123,863 2008-08-03 12:55:36 C:\WINDOWS\WindowsUpdate.log ----a-w 64,852 2008-07-30 07:48:08 C:\WINDOWS\wmsetup.log Entries: 40 (38) Directories: 0 Files: 40 Bytes: 8,460,919 Blocks: 16,544 ======C:\WINDOWS\system32===== ----a-w 0 2008-08-03 10:14:26 C:\WINDOWS\System32\13c89341-.txt ----a-w 124,928 2008-04-23 04:16:29 C:\WINDOWS\System32\advpack.dll ----a-w 107,888 2008-07-10 15:20:45 C:\WINDOWS\System32\CmdLineExt.dll ----a-w 148,992 2008-06-20 17:39:48 C:\WINDOWS\System32\dnsapi.dll ----a-w 347,136 2008-04-23 04:16:29 C:\WINDOWS\System32\dxtmsft.dll ----a-w 214,528 2008-04-23 04:16:29 C:\WINDOWS\System32\dxtrans.dll ----a-w 133,120 2008-04-23 04:16:29 C:\WINDOWS\System32\extmgr.dll ----a-w 243,128 2008-07-10 01:08:08 C:\WINDOWS\System32\FNTCACHE.DAT ----a-w 63,488 2008-04-23 04:16:29 C:\WINDOWS\System32\icardie.dll ----a-w 70,656 2008-04-22 07:39:48 C:\WINDOWS\System32\ie4uinit.exe ----a-w 153,088 2008-04-23 04:16:29 C:\WINDOWS\System32\ieakeng.dll ----a-w 230,400 2008-04-23 04:16:29 C:\WINDOWS\System32\ieaksie.dll ----a-w 161,792 2008-04-20 05:07:51 C:\WINDOWS\System32\ieakui.dll ----a-w 383,488 2008-04-23 04:16:29 C:\WINDOWS\System32\ieapfltr.dll ----a-w 384,512 2008-04-23 04:16:29 C:\WINDOWS\System32\iedkcs32.dll ----a-w 6,066,176 2008-04-23 04:16:30 C:\WINDOWS\System32\ieframe.dll ----a-w 44,544 2008-04-23 04:16:30 C:\WINDOWS\System32\iernonce.dll ----a-w 267,776 2008-04-23 04:16:30 C:\WINDOWS\System32\iertutil.dll ----a-w 13,824 2008-04-22 07:39:58 C:\WINDOWS\System32\ieudinit.exe ----a-w 1,831,424 2008-04-23 04:16:30 C:\WINDOWS\System32\inetcpl.cpl ----a-w 27,648 2008-04-23 04:16:30 C:\WINDOWS\System32\jsproxy.dll ----a-w 12,632 2008-05-16 09:58:04 C:\WINDOWS\System32\lsdelete.exe ----a-w 17,486,968 2008-05-29 23:35:11 C:\WINDOWS\System32\MRT.exe ----a-w 459,264 2008-04-23 04:16:30 C:\WINDOWS\System32\msfeeds.dll ----a-w 52,224 2008-04-23 04:16:30 C:\WINDOWS\System32\msfeedsbs.dll ----a-w 3,591,680 2008-04-23 20:16:32 C:\WINDOWS\System32\mshtml.dll ----a-w 478,208 2008-04-23 04:16:31 C:\WINDOWS\System32\mshtmled.dll ----a-w 193,024 2008-04-23 04:16:31 C:\WINDOWS\System32\msrating.dll ----a-w 671,232 2008-04-23 04:16:31 C:\WINDOWS\System32\mstime.dll ----a-w 247,296 2008-06-20 17:39:48 C:\WINDOWS\System32\mswsock.dll ----a-w 102,912 2008-04-23 04:16:31 C:\WINDOWS\System32\occache.dll ----a-w 8,627 2008-07-31 08:01:39 C:\WINDOWS\System32\PAV_FOG.OPC ----a-w 73,508 2008-07-31 09:09:24 C:\WINDOWS\System32\perfc007.dat ----a-w 60,624 2008-07-31 09:09:24 C:\WINDOWS\System32\perfc009.dat ----a-w 414,766 2008-07-31 09:09:24 C:\WINDOWS\System32\perfh007.dat ----a-w 400,464 2008-07-31 09:09:24 C:\WINDOWS\System32\perfh009.dat ----a-w 959,118 2008-07-31 09:09:24 C:\WINDOWS\System32\PerfStringBackup.INI ----a-w 44,544 2008-04-23 04:16:31 C:\WINDOWS\System32\pngfilt.dll ----a-w 1,293,312 2008-05-07 05:14:45 C:\WINDOWS\System32\quartz.dll ----a-w 129,920 2008-08-01 16:04:26 C:\WINDOWS\System32\sxhgpvyi.dll ----a-w 2,650 2008-07-31 07:03:50 C:\WINDOWS\System32\tmp.reg ----a-w 0 2008-07-31 07:03:50 C:\WINDOWS\System32\tmp.txt ----a-w 105,984 2008-04-23 04:16:31 C:\WINDOWS\System32\url.dll ----a-w 1,159,680 2008-04-23 04:16:31 C:\WINDOWS\System32\urlmon.dll ----a-w 233,472 2008-04-23 04:16:32 C:\WINDOWS\System32\webcheck.dll ----a-w 826,368 2008-04-23 04:16:32 C:\WINDOWS\System32\wininet.dll ----a-w 2,262 2008-08-03 12:59:12 C:\WINDOWS\System32\wpa.dbl ----a-w 99,456 2008-07-30 10:04:44 C:\WINDOWS\System32\xwuurehb.dll ----a-w 129,920 2008-08-01 16:04:26 C:\WINDOWS\System32\zkwlnl.dll Entries: 49 (49) Directories: 0 Files: 49 Bytes: 40,258,651 Blocks: 78,638 ======C:\WINDOWS\system32\drivers===== ----a-w 138,368 2008-06-20 10:44:38 C:\WINDOWS\System32\drivers\afd.sys ----a-w 12,960 2008-04-29 09:19:50 C:\WINDOWS\System32\drivers\Awrtpd.sys ----a-w 15,648 2008-04-29 09:19:54 C:\WINDOWS\System32\drivers\Awrtrd.sys ------w 273,024 2008-06-14 17:57:40 C:\WINDOWS\System32\drivers\bthport.sys ----a-w 85,969 2008-08-03 10:01:49 C:\WINDOWS\System32\drivers\gmer.sys ----a-w 17,144 2008-07-30 18:07:52 C:\WINDOWS\System32\drivers\mbam.sys ----a-w 38,472 2008-07-30 18:07:56 C:\WINDOWS\System32\drivers\mbamswissarmy.sys ----a-w 15,648 2008-04-29 09:20:00 C:\WINDOWS\System32\drivers\NSDriver.sys ----a-w 202,752 2008-05-08 12:28:49 C:\WINDOWS\System32\drivers\rmcast.sys ----a-w 360,320 2008-06-20 10:45:13 C:\WINDOWS\System32\drivers\tcpip.sys ----a-w 225,920 2008-06-20 09:52:06 C:\WINDOWS\System32\drivers\tcpip6.sys Entries: 11 (11) Directories: 0 Files: 11 Bytes: 1,386,225 Blocks: 2,713 =======C:\Programme===== Entries: 0 (0) Directories: 0 Files: 0 Bytes: 0 Blocks: 0 =======C:===== ----a-w 10,392 2008-08-03 13:09:00 C:\ComboFix.txt --sha-w 1,610,612,736 2008-08-03 12:56:34 C:\pagefile.sys ----a-w 1,200 2008-07-31 07:07:48 C:\rapport.txt Entries: 3 (2) Directories: 0 Files: 3 Bytes: 1,610,624,328 Blocks: 3,145,752 ======C:\Dokumente und Einstellungen\User\Anwendungsdaten====== Entries: 0 (0) Directories: 0 Files: 0 Bytes: 0 Blocks: 0 ======C:\Temp====== Entries: 0 (0) Directories: 0 Files: 0 Bytes: 0 Blocks: 0 ======C:\Dokumente und Einstellungen\User====== ----a-w 4,718,592 2008-08-03 13:40:24 C:\Dokumente und Einstellungen\User\ntuser.dat ---ha-w 45,056 2008-08-03 14:58:41 C:\Dokumente und Einstellungen\User\ntuser.dat.LOG --sh--w 300 2008-08-03 12:55:35 C:\Dokumente und Einstellungen\User\ntuser.ini Entries: 3 (1) Directories: 0 Files: 3 Bytes: 4,763,948 Blocks: 9,305 ======C:\WINDOWS\Downloaded Program Files==== Entries: 0 (0) Directories: 0 Files: 0 Bytes: 0 Blocks: 0 ============= |
|
|
||
03.08.2008, 18:43
Ehrenmitglied
Beiträge: 6028 |
#4
CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK Avenger nur für 32-bit Windows Vista, XP, und 2000 http://virus-protect.org/artikel/tools/avenger.html Hinweis: "The Avenger" muss mit Administrator-Privilegien ausgeführt werden. In Windows Vista, muss ebenfalls bestätigt werden, dass Adminrechte vorhanden sind." Download Avenger2 zum Desktop Alle Fenster muessen geschlossen sein Starte Avenger Anhaken “ Input script manually Die "Lupe" rechts anklicken - View/edit script (wird sich öffnen) kopiere rein: Zitat Files to delete:Klicke die grüne Ampel das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten nach dem Neustart erscheint ein Log vom Avenger, kopiere es ab - mit rechtem Mausklick - kopieren - einfügen __________ MfG Argus |
|
|
||
03.08.2008, 19:05
Member
Themenstarter Beiträge: 29 |
#5
Ok danke, das hab ich jetzt auch gemacht! Unterdessen hat mir antivir noch einen TR/Trash.??? angezeigt! Hier noch der Bericht:
Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File "C:\WINDOWS\system32\zkwlnl.dll" deleted successfully. File "C:\WINDOWS\system32\sxhgpvyi.dll" deleted successfully. File "C:\WINDOWS\system32\xwuurehb.dll" deleted successfully. Error: file "C:\WINDOWS\system32\rtossm.dll" not found! Deletion of file "C:\WINDOWS\system32\rtossm.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Registry value "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs" replaced with dummy successfully. Completed script processing. ******************* Finished! Terminate. MFG Piterpan |
|
|
||
03.08.2008, 19:15
Ehrenmitglied
Beiträge: 6028 |
#6
Systemwiederherstellung
Info: http://virus-protect.org/systemwiederherstellung.html Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. - dann wieder aktivieren Benutze CrapCleaner http://virus-protect.org/CCleaner.html Und scanne mit Antivir wie hier beschrieben Antivir http://board.protecus.de/t23979.htm Nach dem Scann die Heuristik auf "mittel" zurückdrehen __________ MfG Argus |
|
|
||
04.08.2008, 00:22
Member
Themenstarter Beiträge: 29 |
#7
So das habe ich jetzt auch gemacht,den [url="http://www.ccleaner.de"]CCleaner[/url] und antivir im abgesicherten modus laufen lassen, aber irgendwie ist immer noch was drauf. der tr/monder ist immer noch in quarantäne und auch noch diverse andere. kann ich die jetzt dort löschen? hier noch die berichte (2 Stk) von anti vir:
Avira AntiVir Personal Erstellungsdatum der Reportdatei: Sonntag, 3. August 2008 20:40 Es wird nach 1528705 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Boot Modus: Abgesicherter Modus Benutzername: User Computername: PIT-PC Versionsinformationen: BUILD.DAT : 8.1.00.295 16479 Bytes 09.04.2008 16:22:00 AVSCAN.EXE : 8.1.2.12 311553 Bytes 18.03.2008 09:02:52 AVSCAN.DLL : 8.1.1.0 57601 Bytes 30.01.2008 15:10:50 LUKE.DLL : 8.1.2.9 151809 Bytes 28.02.2008 08:41:20 LUKERES.DLL : 8.1.2.0 12545 Bytes 19.02.2008 08:39:40 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34 ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 09:34:07 ANTIVIR2.VDF : 7.0.5.174 2027008 Bytes 25.07.2008 09:34:13 ANTIVIR3.VDF : 7.0.5.205 285696 Bytes 01.08.2008 16:35:16 Engineversion : 8.1.1.15 AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21 AESCRIPT.DLL : 8.1.0.61 311675 Bytes 02.08.2008 16:35:23 AESCN.DLL : 8.1.0.23 119156 Bytes 31.07.2008 09:34:21 AERDL.DLL : 8.1.0.20 418165 Bytes 31.07.2008 09:34:21 AEPACK.DLL : 8.1.2.1 364917 Bytes 31.07.2008 09:34:20 AEOFFICE.DLL : 8.1.0.21 192891 Bytes 31.07.2008 09:34:19 AEHEUR.DLL : 8.1.0.44 1343863 Bytes 31.07.2008 09:34:19 AEHELP.DLL : 8.1.0.15 115063 Bytes 31.07.2008 09:34:16 AEGEN.DLL : 8.1.0.32 315765 Bytes 02.08.2008 16:35:22 AEEMU.DLL : 8.1.0.7 430452 Bytes 02.08.2008 16:35:21 AECORE.DLL : 8.1.1.8 172406 Bytes 02.08.2008 16:35:21 AEBB.DLL : 8.1.0.1 53617 Bytes 31.07.2008 09:34:14 AVWINLL.DLL : 1.0.0.7 14593 Bytes 23.01.2008 17:05:55 AVPREF.DLL : 8.0.0.1 25857 Bytes 18.02.2008 10:29:37 AVREP.DLL : 8.0.0.2 98344 Bytes 02.08.2008 16:35:20 AVREG.DLL : 8.0.0.0 30977 Bytes 23.01.2008 17:05:52 AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19 AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28.02.2008 08:31:27 SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02 SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23.01.2008 17:06:34 NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07 RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10.03.2008 14:34:46 RCTEXT.DLL : 8.0.32.0 86273 Bytes 06.03.2008 11:58:49 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: C:\Programme\Avira\AntiVir PersonalEdition Classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, D:, Durchsuche Speicher..............: aus Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Sonntag, 3. August 2008 20:40 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '12' Prozesse mit '12' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '35' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <HD 1> C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\327882R2FWJFW\NirCmd.cfexe [FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4907fc0b.qua' verschoben! C:\327882R2FWJFW\nircmd.com [FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4907fc0f.qua' verschoben! C:\327882R2FWJFW\NirCmdC.cfexe [FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.1.B [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4907fc14.qua' verschoben! C:\327882R2FWJFW\psexec.cfexe [FUND] Enthält Erkennungsmuster der Anwendung APPL/Rmadmin.131072 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48fafc23.qua' verschoben! C:\327882R2FWJFW\pv.cfexe [FUND] Enthält Erkennungsmuster des SPR/Tool.PV-Programmes [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48c3fc2f.qua' verschoben! Ende des Suchlaufs: Sonntag, 3. August 2008 20:43 Benötigte Zeit: 03:09 min Der Suchlauf wurde abgebrochen! 590 Verzeichnisse wurden überprüft 3164 Dateien wurden geprüft 5 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 5 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 3159 Dateien ohne Befall 37 Archive wurden durchsucht 1 Warnungen 5 Hinweise und der andere: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Sonntag, 3. August 2008 22:04 Es wird nach 1528705 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Boot Modus: Abgesicherter Modus Benutzername: User Computername: PIT-PC Versionsinformationen: BUILD.DAT : 8.1.00.295 16479 Bytes 09.04.2008 16:22:00 AVSCAN.EXE : 8.1.2.12 311553 Bytes 18.03.2008 09:02:52 AVSCAN.DLL : 8.1.1.0 57601 Bytes 30.01.2008 15:10:50 LUKE.DLL : 8.1.2.9 151809 Bytes 28.02.2008 08:41:20 LUKERES.DLL : 8.1.2.0 12545 Bytes 19.02.2008 08:39:40 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34 ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 09:34:07 ANTIVIR2.VDF : 7.0.5.174 2027008 Bytes 25.07.2008 09:34:13 ANTIVIR3.VDF : 7.0.5.205 285696 Bytes 01.08.2008 16:35:16 Engineversion : 8.1.1.15 AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21 AESCRIPT.DLL : 8.1.0.61 311675 Bytes 02.08.2008 16:35:23 AESCN.DLL : 8.1.0.23 119156 Bytes 31.07.2008 09:34:21 AERDL.DLL : 8.1.0.20 418165 Bytes 31.07.2008 09:34:21 AEPACK.DLL : 8.1.2.1 364917 Bytes 31.07.2008 09:34:20 AEOFFICE.DLL : 8.1.0.21 192891 Bytes 31.07.2008 09:34:19 AEHEUR.DLL : 8.1.0.44 1343863 Bytes 31.07.2008 09:34:19 AEHELP.DLL : 8.1.0.15 115063 Bytes 31.07.2008 09:34:16 AEGEN.DLL : 8.1.0.32 315765 Bytes 02.08.2008 16:35:22 AEEMU.DLL : 8.1.0.7 430452 Bytes 02.08.2008 16:35:21 AECORE.DLL : 8.1.1.8 172406 Bytes 02.08.2008 16:35:21 AEBB.DLL : 8.1.0.1 53617 Bytes 31.07.2008 09:34:14 AVWINLL.DLL : 1.0.0.7 14593 Bytes 23.01.2008 17:05:55 AVPREF.DLL : 8.0.0.1 25857 Bytes 18.02.2008 10:29:37 AVREP.DLL : 8.0.0.2 98344 Bytes 02.08.2008 16:35:20 AVREG.DLL : 8.0.0.0 30977 Bytes 23.01.2008 17:05:52 AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19 AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28.02.2008 08:31:27 SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02 SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23.01.2008 17:06:34 NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07 RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10.03.2008 14:34:46 RCTEXT.DLL : 8.0.32.0 86273 Bytes 06.03.2008 11:58:49 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: C:\Programme\Avira\AntiVir PersonalEdition Classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, D:, Durchsuche Speicher..............: aus Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: aus Archiv Smart Extensions..........: ein Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Sonntag, 3. August 2008 22:04 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '12' Prozesse mit '12' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '35' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <HD 1> C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\Nircmd.exe [FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49082014.qua' verschoben! C:\WINDOWS\system32\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'D:\' <HD 2> Ende des Suchlaufs: Sonntag, 3. August 2008 23:58 Benötigte Zeit: 1:53:51 min Der Suchlauf wurde vollständig durchgeführt. 10821 Verzeichnisse wurden überprüft 370193 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 370192 Dateien ohne Befall 1704 Archive wurden durchsucht 2 Warnungen 1 Hinweise Ich danke für die Mühe MFG Piterpan |
|
|
||
04.08.2008, 01:42
Ehrenmitglied
Beiträge: 6028 |
#8
Das sind Daten von ComboFix die gefunden wurden du kannst die quarantäne löschen
__________ MfG Argus |
|
|
||
04.08.2008, 09:43
Member
Themenstarter Beiträge: 29 |
#9
Dann ist mein PC wieder komplett clean? Kann ich denn jetzt die vielen programme wie avenger, [url="http://www.ccleaner.de"]CCleaner[/url] usw. deinstallieren? Danke nochmals für die Mühe, du hasts echt im Griff!
MFG Piterpan |
|
|
||
04.08.2008, 10:18
Ehrenmitglied
Beiträge: 6028 |
#10
Entferne auf C:\ avenger\backup.zip -->Papierkorb leeren
Avenger kannst du entfernen CCleaner kann man behalten MBAM wird mehrmals am Tag ge-updated Die anderen Tools kann man entfernen Wenn du Adobe Reader nur fuer PDFfiles lesen benutzt http://www.foxitsoftware.com/pdf/rd_intro.php klein aber fein __________ MfG Argus |
|
|
||
Antivir zeigt mir einen TR/monder.bfg an, der ganze PC läuft auch nicht mehr so schnell und die einstellungen der cookie-sicherheit wird bei jedem neustart verändert! Habe jetzt den ersten 5 schritten gefolgt mit malwarebytes und combofix und dem hijack, es läuft jetzt eigentlich schon wieder besser! Wäre froh wenn das mal jemand kontrollieren könnte, hier die Berichte:
ComboFix 08-08-02.01 - User 2008-08-03 15:05:19.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.681 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\User\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
[color=red][b]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/b][/color]
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\ewnqajxq.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\twynnkjx.dll
C:\WINDOWS\system32\unfwrbix.ini
C:\WINDOWS\system32\zrsysd.dll
.
((((((((((((((((((((((( Dateien erstellt von 2008-07-03 bis 2008-08-03 ))))))))))))))))))))))))))))))
.
2008-08-03 14:04 . 2008-08-03 14:54 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-03 14:04 . 2008-08-03 14:04 <DIR> d-------- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Malwarebytes
2008-08-03 14:04 . 2008-08-03 14:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-03 14:04 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-03 14:04 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-03 12:01 . 2008-08-03 12:01 250 --a------ C:\WINDOWS\gmer.ini
2008-08-01 18:04 . 2008-08-01 18:04 129,920 --a------ C:\WINDOWS\system32\zkwlnl.dll
2008-08-01 18:04 . 2008-08-01 18:04 129,920 --a------ C:\WINDOWS\system32\sxhgpvyi.dll
2008-07-31 14:58 . 2008-07-31 14:59 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-07-31 14:57 . 2008-07-31 14:57 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-07-31 11:32 . 2008-07-31 11:32 <DIR> d-------- C:\Programme\Avira
2008-07-31 11:32 . 2008-07-31 11:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-07-31 10:01 . 2008-07-31 10:01 8,627 --a------ C:\WINDOWS\system32\PAV_FOG.OPC
2008-07-31 09:58 . 2008-07-31 09:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\sentinel
2008-07-31 09:53 . 2008-07-31 09:53 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Backup
2008-07-31 09:43 . 2008-07-31 11:30 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Panda Software
2008-07-30 12:04 . 2008-07-30 12:04 99,456 --a------ C:\WINDOWS\system32\xwuurehb.dll
2008-07-30 11:57 . 2008-07-31 09:03 2,650 --a------ C:\WINDOWS\system32\tmp.reg
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-31 12:58 --------- d-----w C:\Programme\Lavasoft
2008-07-31 12:58 --------- d-----w C:\Dokumente und Einstellungen\User\Anwendungsdaten\Lavasoft
2008-07-31 09:30 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-07-31 08:11 --------- d-----w C:\Programme\DAEMON Tools
2008-07-30 07:48 --------- d-----w C:\Dokumente und Einstellungen\User\Anwendungsdaten\Ascaron Entertainment
2008-07-30 07:46 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-07-30 07:46 --------- d-----w C:\Programme\Ascaron Entertainment
2008-07-10 15:20 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-07-09 20:32 --------- d-----w C:\Programme\Firefly Studios
2008-06-29 17:24 --------- d-----w C:\Programme\Tropico2
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-05-16 09:58 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-04-04 00:29 165784]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-02-12 21:05 339968]
"type32"="C:\Programme\Microsoft IntelliType Pro\type32.exe" [2004-03-19 06:30 184320]
"IntelliPoint"="C:\Programme\Microsoft IntelliPoint\point32.exe" [2004-03-19 06:29 212992]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-02-01 00:13 385024]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-02-04 15:18 267048]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 17:07 61952 C:\WINDOWS\system32\HdAShCut.exe]
"SoundMan"="SOUNDMAN.EXE" [2006-06-17 15:37 86016 C:\WINDOWS\SoundMan.exe]
"AlcWzrd"="ALCWZRD.EXE" [2006-06-17 15:37 2808832 C:\WINDOWS\alcwzrd.exe]
C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Mountit.lnk - C:\Programme\Roxio\WinOnCD 6 DVD\MountIt.exe [2003-05-08 14:40:04 1159232]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=zkwlnl.dll fzvhrx.dll rtossm.dll
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\EA Games\\Command and Conquer Generäle\\patchget.dat"=
"C:\\Programme\\EA Games\\Command and Conquer Generäle\\game.dat"=
"C:\\Programme\\EA Games\\Command & Conquer Generäle Stunde Null\\patchget.dat"=
"C:\\Programme\\EA Games\\Command & Conquer Generäle Stunde Null\\game.dat"=
"C:\\Programme\\Westwood\\SUN\\GAME.ICD"=
"C:\\Programme\\Westwood\\SUN\\Game.exe"=
"C:\\Programme\\LimeWire\\LimeWire.exe"=
"C:\\Programme\\EA Games\\Command & Conquer Generäle Stunde Null\\generals.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Civilization4.exe"=
"C:\\Programme\\Ubisoft\\Funatics\\Die Siedler II - Die nächste Generation\\bin\\S2DNG.exe"=
"C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Warlords\\Civ4Warlords.exe"=
"C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Warlords\\Civ4Warlords_PitBoss.exe"=
"C:\\Programme\\Die Gilde 2\\GuildII.exe"=
"C:\\Program files\\Codemasters\\Operation Flashpoint\\FLASHPOINTRESISTANCE.EXE"=
"C:\\Programme\\Firefly Studios\\Stronghold Legends\\StrongholdLegends.exe"=
"C:\\Programme\\Anno 1701\\Anno1701.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Bohemia Interactive\\ArmA\\arma.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Railroads!\\RailRoads.exe"=
"C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.0\\cnc3game.dat"=
"C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.4\\cnc3game.dat"=
"C:\\Programme\\Die Gilde 2 - Die Seeräuber der Hanse\\GuildII.exe"=
"C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword.exe"=
"C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword_PitBoss.exe"=
"C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.8\\cnc3game.dat"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Programme\\SEGA\\Medieval II Total War\\medieval2.exe"=
"C:\\Programme\\SEGA\\Medieval II Total War\\kingdoms.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\Firefly Studios\\Stronghold Crusader\\Stronghold_Crusader_Extreme.exe"=
"C:\\Programme\\Firefly Studios\\Stronghold Crusader\\Stronghold Crusader.exe"=
R0 c2scsi;c2scsi;C:\WINDOWS\system32\DRIVERS\c2scsi.sys [2003-03-18 15:47]
R1 SSHDRV76;SSHDRV76;C:\WINDOWS\system32\drivers\SSHDRV76.sys [2006-07-23 20:23]
R3 A3AB;D-Link AirPro 802.11a/b Wireless Adapter Service(A3AB);C:\WINDOWS\system32\DRIVERS\A3AB.sys [2004-09-03 06:01]
S3 bDMusicb;bDMusicb;C:\DOKUME~1\User\LOKALE~1\Temp\bDMusicb.sys []
*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners
2008-04-08 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 14:57]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
BHO-{FBF85A20-FF88-4C46-90FB-B023E5C4ECA0} - C:\WINDOWS\system32\awttrSKc.dll
HKLM-Run-Verknüpfung mit der High Definition Audio-Eigenschaftenseite - HDAudPropShortcut.exe
ShellExecuteHooks-{FBF85A20-FF88-4C46-90FB-B023E5C4ECA0} - C:\WINDOWS\system32\awttrSKc.dll
Notify-awttrSKc - awttrSKc.dll
.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\x4qo6677.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-03 15:07:51
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Einträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
Prozess: C:\WINDOWS\system32\lsass.exe
-> C:\WINDOWS\system32\zkwlnl.dll
.
Zeit der Fertigstellung: 2008-08-03 15:08:59
ComboFix-quarantined-files.txt 2008-08-03 13:08:49
Pre-Run: 10 Verzeichnis(se), 11,688,075,264 Bytes frei
Post-Run: 12 Verzeichnis(se), 11,729,371,136 Bytes frei
157 --- E O F --- 2008-07-11 09:49:41
und vom hijack:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:14:28, on 03.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\ATKKBService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\CF28342.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - Global Startup: Mountit.lnk = C:\Programme\Roxio\WinOnCD 6 DVD\MountIt.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1151603956094
O16 - DPF: {D27CDC6B-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: zkwlnl.dll fzvhrx.dll rtossm.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
--
End of file - 5104 bytes
Und noch die datFind.bat
.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datentr„ger in Laufwerk C: ist HD 1
Volumeseriennummer: 18EB-5790
Verzeichnis von C:\WINDOWS\system32
03.08.2008 14:59 2'262 wpa.dbl
03.08.2008 12:14 0 13c89341-.txt
01.08.2008 18:04 129'920 zkwlnl.dll
01.08.2008 18:04 129'920 sxhgpvyi.dll
31.07.2008 11:09 400'464 perfh009.dat
31.07.2008 11:09 73'508 perfc007.dat
31.07.2008 11:09 60'624 perfc009.dat
31.07.2008 11:09 414'766 perfh007.dat
31.07.2008 11:09 959'118 PerfStringBackup.INI
31.07.2008 10:01 8'627 PAV_FOG.OPC
31.07.2008 09:03 0 tmp.txt
31.07.2008 09:03 2'650 tmp.reg
30.07.2008 12:04 99'456 xwuurehb.dll
10.07.2008 17:20 107'888 CmdLineExt.dll
10.07.2008 03:08 243'128 FNTCACHE.DAT
20.06.2008 19:39 247'296 mswsock.dll
20.06.2008 19:39 148'992 dnsapi.dll
30.05.2008 01:35 17'486'968 MRT.exe
16.05.2008 11:58 12'632 lsdelete.exe
07.05.2008 07:14 1'293'312 quartz.dll
23.04.2008 22:16 3'591'680 mshtml.dll
23.04.2008 06:16 826'368 wininet.dll
23.04.2008 06:16 233'472 webcheck.dll
23.04.2008 06:16 44'544 pngfilt.dll
23.04.2008 06:16 1'159'680 urlmon.dll
23.04.2008 06:16 105'984 url.dll
23.04.2008 06:16 102'912 occache.dll
23.04.2008 06:16 193'024 msrating.dll
23.04.2008 06:16 671'232 mstime.dll
23.04.2008 06:16 478'208 mshtmled.dll
23.04.2008 06:16 27'648 jsproxy.dll
23.04.2008 06:16 52'224 msfeedsbs.dll
23.04.2008 06:16 44'544 iernonce.dll
23.04.2008 06:16 6'066'176 ieframe.dll
23.04.2008 06:16 267'776 iertutil.dll
23.04.2008 06:16 1'831'424 inetcpl.cpl
23.04.2008 06:16 459'264 msfeeds.dll
23.04.2008 06:16 153'088 ieakeng.dll
23.04.2008 06:16 230'400 ieaksie.dll
23.04.2008 06:16 63'488 icardie.dll
23.04.2008 06:16 133'120 extmgr.dll
23.04.2008 06:16 383'488 ieapfltr.dll
23.04.2008 06:16 384'512 iedkcs32.dll
23.04.2008 06:16 214'528 dxtrans.dll
23.04.2008 06:16 347'136 dxtmsft.dll
23.04.2008 06:16 124'928 advpack.dll
22.04.2008 09:39 13'824 ieudinit.exe
22.04.2008 09:39 70'656 ie4uinit.exe
20.04.2008 07:07 161'792 ieakui.dll
06.04.2008 14:11 43'520 CmdLineExt03.dll
2154 Datei(en) 462'927'627 Bytes
0 Verzeichnis(se), 11'741'798'400 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist HD 1
Volumeseriennummer: 18EB-5790
Verzeichnis von C:\DOKUME~1\User\LOKALE~1\Temp
03.08.2008 15:33 105'628 datfind.txt
03.08.2008 15:14 114'688 ~DF1F93.tmp
2 Datei(en) 220'316 Bytes
0 Verzeichnis(se), 11'741'822'976 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist HD 1
Volumeseriennummer: 18EB-5790
Verzeichnis von C:\WINDOWS
03.08.2008 15:07 227 system.ini
03.08.2008 14:58 0 0.log
03.08.2008 14:57 54'156 QTFont.qfn
03.08.2008 14:57 2'048 bootstat.dat
03.08.2008 14:55 32'542 SchedLgU.Txt
03.08.2008 14:55 1'123'863 WindowsUpdate.log
03.08.2008 13:56 188'704 setupact.log
03.08.2008 12:01 250 gmer.ini
03.08.2008 12:01 80 gmer_uninstall.cmd
03.08.2008 12:01 884'736 gmer.dll
31.07.2008 11:28 392'564 setupapi.log
31.07.2008 11:09 1'240'332 iis6.log
31.07.2008 11:09 364'138 comsetup.log
31.07.2008 11:09 221'632 ntdtcsetup.log
31.07.2008 11:09 59'519 ocmsn.log
31.07.2008 11:09 4'696 imsins.log
31.07.2008 11:09 54'030 tabletoc.log
31.07.2008 11:09 498'394 tsoc.log
31.07.2008 11:09 533'957 ocgen.log
31.07.2008 11:09 75'623 medctroc.Log
31.07.2008 11:09 54'258 msgsocm.log
31.07.2008 11:09 1'061'146 FaxSetup.log
31.07.2008 11:09 187'908 netfxocm.log
31.07.2008 11:09 343'492 msmqinst.log
30.07.2008 09:48 64'852 wmsetup.log
10.07.2008 03:07 556 wiadebug.log
10.07.2008 03:01 1'374 imsins.BAK
10.07.2008 03:01 18'171 KB951748.log
10.07.2008 03:01 92'890 updspapi.log
09.07.2008 22:35 50 wiaservc.log
09.07.2008 22:34 804 win.ini
21.06.2008 09:15 8'389 KB951376-v2.log
12.06.2008 18:29 17'602 KB951698.log
11.06.2008 18:04 18'451 KB950759-IE7.log
11.06.2008 18:02 8'358 KB950762.log
11.06.2008 18:02 6'579 KB950760.log
11.06.2008 18:02 7'997 KB951376.log
29.05.2008 17:06 11'701 KB932823-v3.log
15.05.2008 18:49 13'842 KB950749.log
17.04.2008 21:13 811'008 gmer.exe
10.04.2008 09:31 17'512 KB948881.log
10.04.2008 09:31 22'206 KB941693.log
10.04.2008 09:31 22'752 KB947864-IE7.log
10.04.2008 09:30 12'480 KB948590.log
10.04.2008 09:28 12'494 KB945553.log
08.04.2008 13:04 6'240 DPINST.LOG
293 Datei(en) 59'509'608 Bytes
0 Verzeichnis(se), 11'741'806'592 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist HD 1
Volumeseriennummer: 18EB-5790
Verzeichnis von C:\WINDOWS\temp
.
.
.
Datentr„ger in Laufwerk C: ist HD 1
Volumeseriennummer: 18EB-5790
Verzeichnis von C:\WINDOWS\Downloaded Program Files
27.03.2007 16:00 5'021 swflash.inf
15.06.2006 15:14 65 desktop.ini
26.05.2005 04:19 293 muweb.inf
22.03.2005 15:13 77'824 asusTek_sys_ctrl.dll
13.09.2004 16:48 241 asusTek_sys_ctrl.inf
20.01.2000 15:25 1'162 Microsoft XML Parser for Java.osd
14.10.1997 18:52 697 DirectAnimation Java Classes.osd
7 Datei(en) 85'303 Bytes
0 Verzeichnis(se), 11'741'806'592 Bytes frei
.
.
.
Ich danke im voraus für eure Hilfe
MFG