infiziert mit "Antivirus XP 2008", Ist noch was da? |
||
---|---|---|
#0
| ||
07.08.2008, 16:34
...neu hier
Beiträge: 5 |
||
|
||
07.08.2008, 16:56
Ehrenmitglied
Beiträge: 6028 |
||
|
||
07.08.2008, 17:05
...neu hier
Themenstarter Beiträge: 5 |
#3
Kaspersky und antivira hab ich installiert weil ich dachte damit krieg ich den
blöden "Antivirus XP 2008" wieder weg. Aber die haben nicht viel gebracht, die von eure seite empfohlenen Programme hingegen schon. werde einen wieder löschen Hier ist das logfile: Malwarebytes' Anti-Malware 1.24 Datenbank Version: 1012 Windows 5.1.2600 Service Pack 2 15:03:03 07.08.2008 mbam-log-8-7-2008 (15-03-03).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 69760 Laufzeit: 16 minute(s), 28 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 1 Infizierte Registrierungsschlüssel: 6 Infizierte Registrierungswerte: 9 Infizierte Dateiobjekte der Registrierung: 16 Infizierte Verzeichnisse: 13 Infizierte Dateien: 17 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: C:\WINDOWS\xokvrpwg.dll (Trojan.Zlob) -> Delete on reboot. Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\CLSID\{926662a3-8e64-405b-940c-29323cee62c5} (Trojan.Zlob) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rhc9f9j0e3lp (Rogue.Multiple) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\rhc9f9j0e3lp (Rogue.Multiple) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WebVideo (Trojan.FakeAlert) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\xokvrpwg (Trojan.Zlob) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0\source (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\smrhc9f9j0e3lp (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\General\backupwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\General\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.Homepage) -> Bad: (http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2) Good: (http://www.google.com/) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductId (Trojan.FakeAlert) -> Bad: (VIRUS ALERT!) Good: (76497-019-6432643-22634) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\International\sTimeFormat (Trojan.FakeAlert) -> Bad: (HH:mm: VIRUS ALERT!) Good: (HH:mm:ss) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowControlPanel (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowRun (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoStartMenuMorePrograms (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives (Hijack.Drives) -> Bad: (12) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoToolbarCustomize (Hijack.Explorer) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetFolders (Hijack.Explorer) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispCPL (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: C:\WINDOWS\privacy_danger (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\privacy_danger\images (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Konrad\Anwendungsdaten\rhc9f9j0e3lp (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Konrad\Anwendungsdaten\rhc9f9j0e3lp\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Konrad\Anwendungsdaten\rhc9f9j0e3lp\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Konrad\Anwendungsdaten\rhc9f9j0e3lp\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Konrad\Anwendungsdaten\rhc9f9j0e3lp\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Konrad\Anwendungsdaten\rhc9f9j0e3lp\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Konrad\Anwendungsdaten\rhc9f9j0e3lp\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Konrad\Anwendungsdaten\rhc9f9j0e3lp\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Konrad\Anwendungsdaten\rhc9f9j0e3lp\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Konrad\Anwendungsdaten\rhc9f9j0e3lp\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Konrad\Anwendungsdaten\rhc9f9j0e3lp\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully. Infizierte Dateien: C:\WINDOWS\xokvrpwg.dll (Trojan.Zlob) -> Delete on reboot. C:\WINDOWS\eoam.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\privacy_danger\index.htm (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\privacy_danger\images\capt.gif (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\privacy_danger\images\danger.jpg (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\privacy_danger\images\down.gif (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\privacy_danger\images\spacer.gif (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Konrad\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk (Rogue.Antivirus2008) -> Quarantined and deleted successfully. C:\WINDOWS\system32\phccf9j0e3lp.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\system32\blphccf9j0e3lp.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\All Users\Desktop\Antivirus XP 2008.lnk (Rogue.Antivirus) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Konrad\Desktop\Spyware&Malware Protection.url (Rogue.Link) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Konrad\Desktop\Privacy Protector.url (Rogue.Link) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Konrad\Desktop\Error Cleaner.url (Rogue.Link) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Konrad\Favoriten\Error Cleaner.url (Rogue.Link) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Konrad\Favoriten\Privacy Protector.url (Rogue.Link) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Konrad\Favoriten\Spyware&Malware Protection.url (Rogue.Link) -> Quarantined and deleted successfully. |
|
|
||
07.08.2008, 17:11
Ehrenmitglied
Beiträge: 6028 |
#4
Prüfe mal diese Datei(en) bei Virustotal http://www.virustotal.com/flash/index_en.html
C:\WINDOWS\lnvegaow.exe Note:Wenn bei ViruTotal die Meldung kommt ” Die Datei wurde bereits analysiert “waehle „Analisiere die Datei“ Und Berichte __________ MfG Argus |
|
|
||
07.08.2008, 17:13
Ehrenmitglied
Beiträge: 6028 |
#5
Bei dir
Malwarebytes' Anti-Malware 1.24 Datenbank Version: 1012 Bei mir Malwarebytes' Anti-Malware 1.24 Datenbank Version: 1030 Update MBAM und scanne nochmal __________ MfG Argus |
|
|
||
07.08.2008, 17:36
...neu hier
Themenstarter Beiträge: 5 |
#6
Hab gerade bemerkt das Antivirus XP 2008 in der Programmleiste mit drin steht. Wenn ich den Cursor drauf halte steht da: " Ort: C:\Programme\rhc9f90e3lp " Das wird im Explorer natürlich nicht angezeigt...
MBMA Update gemacht, 5 infizierte Objekte Das Logfile steht weiter unten Virusttotal berichtete: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.8.8.0 2008.08.07 - AntiVir 7.8.1.19 2008.08.07 ADSPY/AdSpy.Gen Authentium 5.1.0.4 2008.08.07 - Avast 4.8.1195.0 2008.08.07 - AVG 8.0.0.156 2008.08.07 - BitDefender 7.2 2008.08.07 - CAT-QuickHeal 9.50 2008.08.07 Trojan.Small.zb ClamAV 0.93.1 2008.08.07 - DrWeb 4.44.0.09170 2008.08.07 - eSafe 7.0.17.0 2008.08.07 - eTrust-Vet 31.6.6017 2008.08.07 Win32/Pripecs!generic Ewido 4.0 2008.08.07 - F-Prot 4.4.4.56 2008.08.06 - F-Secure 7.60.13501.0 2008.08.07 - Fortinet 3.14.0.0 2008.08.07 - GData 2.0.7306.1023 2008.08.07 - Ikarus T3.1.1.34.0 2008.08.07 AdWare.AdSpy K7AntiVirus 7.10.407 2008.08.07 - Kaspersky 7.0.0.125 2008.08.07 - McAfee 5355 2008.08.06 - Microsoft 1.3807 2008.08.07 Adware:Win32/Vapsup NOD32v2 3336 2008.08.07 - Norman 5.80.02 2008.08.06 - Panda 9.0.0.4 2008.08.06 - PCTools 4.4.2.0 2008.08.07 - Prevx1 V2 2008.08.07 Malicious Software Rising 20.56.32.00 2008.08.07 Trojan.Win32.Vapsup.eml Sophos 4.31.0 2008.08.07 - Sunbelt 3.1.1537.1 2008.08.07 - Symantec 10 2008.08.07 Downloader.Zlob!gen.3 TheHacker 6.2.96.393 2008.08.04 - TrendMicro 8.700.0.1004 2008.08.07 - VBA32 3.12.8.2 2008.08.06 - ViRobot 2008.8.7.1328 2008.08.07 Trojan.Win32.Vapsup.86016.G VirusBuster 4.5.11.0 2008.08.07 - Webwasher-Gateway 6.6.2 2008.08.07 Ad-Spyware.AdSpy.Gen weitere Informationen File size: 86016 bytes MD5...: 312735fae8784f8464b94083b2fa6b1f SHA1..: 82ab5be45598cd27919c6b529504678108142c95 SHA256: 7f2967904f2a2673de5580bf5bbd41e16305e2992668aaabb0101a1c2abbdad7 SHA512: ed05f328cd5a741740374fe0914924798256fa6f7b033e98019de448c851b990 71c4cfda1c55620e93d73b3b83bc77de0161e55bde1df3ce2e7dffc4e2b4562c PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x403e48 timedatestamp.....: 0x4899c5b4 (Wed Aug 06 15:39:32 2008) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0xb0a7 0xc000 6.31 d38ebfc44cf17ff1681055f02b484c51 .rdata 0xd000 0x4320 0x5000 4.72 8c436dbe68502155208a2f380276bbba .data 0x12000 0x2e24 0x2000 1.52 8a1b4ab8d5ce4152064fba92b4aa7bb4 .rsrc 0x15000 0xb0 0x1000 3.05 77ce695c811789dde0a61350084b87ab ( 2 imports ) > KERNEL32.dll: TerminateProcess, GetLastError, CloseHandle, GetCurrentProcessId, MultiByteToWideChar, LoadLibraryW, GetProcAddress, SetLastError, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, EnterCriticalSection, LeaveCriticalSection, HeapFree, GetCommandLineA, GetVersionExA, HeapAlloc, GetProcessHeap, RaiseException, RtlUnwind, GetModuleHandleA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, GetCurrentThreadId, InterlockedDecrement, Sleep, HeapSize, ExitProcess, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, DeleteCriticalSection, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, GetCPInfo, GetACP, GetOEMCP, IsValidCodePage, LCMapStringA, WideCharToMultiByte, LCMapStringW, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, WriteFile, GetModuleFileNameA, QueryPerformanceCounter, GetTickCount, GetSystemTimeAsFileTime, LoadLibraryA, InitializeCriticalSection, SetStdHandle, GetConsoleCP, GetConsoleMode, FlushFileBuffers, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, SetFilePointer, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, CreateFileA > ADVAPI32.dll: RegSetValueExW, RegDeleteValueW ( 0 exports ) Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=ECEA50C300141969504401745D1BC3007ED71675 MBMA Update gemacht, 5 infizierte Objekte gelöscht hier das neue Logfile: Malwarebytes' Anti-Malware 1.24 Datenbank Version: 1030 Windows 5.1.2600 Service Pack 2 17:32:58 07.08.2008 mbam-log-8-7-2008 (17-32-58).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 69116 Laufzeit: 11 minute(s), 2 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 2 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\bgrqfetx.bwpr (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\bgrqfetx.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\System Volume Information\_restore{D652CA62-DD4D-4ABE-A5D9-C5149AD31E46}\RP264\A0074534.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{D652CA62-DD4D-4ABE-A5D9-C5149AD31E46}\RP264\A0074538.dll (Trojan.Zlob) -> Quarantined and deleted successfully. C:\WINDOWS\lnvegaow.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. |
|
|
||
07.08.2008, 18:09
Ehrenmitglied
Beiträge: 6028 |
#7
CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK Benutze CrapCleaner http://virus-protect.org/CCleaner.html SDFix Download SDFix zum Desktop Starte dein Recher in abgesicherten Modus SDFix.zip entpacken unter C:\ findet man nun den SDFix-Ordner Doppelklick RunThis.bat Schreibe: Y folge allen Anweisungen Dann wird der Rechner neustarten SDFix entfernt jetzt die gefundene Objekte Kopiere den Inhalt des Berichts SophosReport.txt ” der jetzt auf dein Desktop steht in diesen Thread Und ein log von Hijack This __________ MfG Argus |
|
|
||
07.08.2008, 18:44
...neu hier
Themenstarter Beiträge: 5 |
#8
Habe alles so gemacht wie du es mir aufgetragen hast.
SophosReport: SDFix: Version 1.214 Run by Konrad on 07.08.2008 at 18:34 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Checking Services : Restoring Default Security Values Restoring Default Hosts File Rebooting Checking Files : No Trojan Files Found Removing Temp Files ADS Check : Final Check : catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-07 18:37:03 Windows 5.1.2600 Service Pack 2 FAT NTAPI scanning hidden processes ... scanning hidden services ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services : Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" Remaining Files : Files with Hidden Attributes : Wed 13 Dec 2006 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp" Finished! hijackthis log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:38:40, on 07.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16414) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\rundll32.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\HiJack\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1185901129812 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1185900944218 O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe -- End of file - 4702 bytes |
|
|
||
07.08.2008, 19:26
Ehrenmitglied
Beiträge: 6028 |
#9
Von Acrobat 5.0 gibt es jetz Acrobat 8.0
oder du installierst Foxit Reader : http://www.foxitsoftware.com/pdf/rd_intro.php Systemwiederherstellung Info: http://virus-protect.org/systemwiederherstellung.html Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. - dann wieder aktivieren Alles gute __________ MfG Argus |
|
|
||
07.08.2008, 19:40
...neu hier
Themenstarter Beiträge: 5 |
#10
Entschuldige das hab ich jetzt nich genau verstanden
was soll ich jetzt genau machen? Heißt das das Problem ist gelöst und ich soll jetzt nur durch die Deaktivierung der Systemwiederherstellung einen eventuellen Ableger der Malware in einer früheren Version löschen? Wenn ja, wär das super! Vielen Dank für deine Hilfe Dieser Beitrag wurde am 07.08.2008 um 19:56 Uhr von Konrad23 editiert.
|
|
|
||
07.08.2008, 20:00
Ehrenmitglied
Beiträge: 6028 |
#11
Auch in Adobe Acrobat Reader gibt es hin und wieder Sicherheits lücken
Wenn du aber Acrobat nur dazu benutzt um PDF files zu lesen Uentferne Acrobat und installiere Foxit Reader Zum zweiten ist Foxit Reader nur 6,72MB gross gegenüber Adobe mit mehr als 100MB Und Systemwiederherstellung musst du sowieso machen __________ MfG Argus |
|
|
||
Ich habe mir diesen "Antivirus XP 2008" eingefangen.
Die gefälschten Virusalarme kommen nicht mehr, da ich schon CCleaner und Malwarebyte durchlaufen ließ. Jetzt hab ich Combofix und Hijackthis suchen lassen.
Kann bitte jemand über die Logfiles schauen ob noch irgendwelche Spuren oder so da sind? Wäre sehr nett von euch!
Hier die Logfiles:
ganz unten ist noch die ComboFix-quarantined-files
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:04:53, on 07.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\HiJack\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1185901129812
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1185900944218
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
--
End of file - 5461 bytes
--------------------------------------------------------------------------
ComboFix 08-08-06.02 - Konrad 2008-08-07 15:30:24.1 - [color=red]FAT32[/color]x86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2928 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Konrad\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.
(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\How to Register Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\License Agreement.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Register Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Uninstall.lnk
C:\WINDOWS\bgrqfetx.dll
C:\WINDOWS\tfnslopk.dll
C:\WINDOWS\wnlmdakqsrg.dll
.
((((((((((((((((((((((( Dateien erstellt von 2008-07-07 bis 2008-08-07 ))))))))))))))))))))))))))))))
.
2008-08-07 00:57 . 2008-08-07 00:57 <DIR> d-------- C:\Programme\Spyware Doctor
2008-08-07 00:57 . 2008-08-07 00:57 <DIR> d-------- C:\Dokumente und Einstellungen\Konrad\Anwendungsdaten\PC Tools
2008-08-07 00:57 . 2008-08-07 00:57 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-08-07 00:57 . 2008-06-10 21:22 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-08-07 00:57 . 2008-06-02 15:19 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-08-07 00:57 . 2008-06-02 15:19 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-08-07 00:57 . 2008-06-02 15:19 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-08-07 00:54 . 2008-08-07 00:54 <DIR> d-------- C:\Dokumente und Einstellungen\Konrad\Anwendungsdaten\Malwarebytes
2008-08-07 00:53 . 2008-08-07 00:53 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-07 00:53 . 2008-08-07 00:53 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-07 00:53 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-07 00:53 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-06 23:52 . 2008-08-06 23:52 <DIR> d-------- C:\Programme\Avira
2008-08-06 23:52 . 2008-08-06 23:52 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-08-06 23:41 . 2008-08-07 15:11 96,976 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-08-06 23:41 . 2008-08-07 15:11 87,855 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-08-06 23:40 . 2008-08-06 23:40 <DIR> d-------- C:\Programme\Kaspersky Lab
2008-08-06 23:40 . 2008-08-06 23:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-08-06 23:40 . 2008-08-07 15:31 32 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-08-06 23:40 . 2008-08-07 15:31 32 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-08-06 23:40 . 2008-08-07 15:31 32 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-08-06 23:40 . 2008-08-07 15:31 32 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-08-06 23:38 . 2008-08-06 23:38 <DIR> d--hs---- C:\FOUND.003
2008-08-06 20:13 . 2008-08-07 15:06 664 --a------ C:\WINDOWS\system32\d3d9caps.dat
2008-08-06 20:11 . 2008-08-06 18:13 86,016 --a------ C:\WINDOWS\lnvegaow.exe
2008-08-04 14:40 . 2008-08-05 14:58 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-08-04 14:40 . 2008-08-04 14:40 1,409 --a------ C:\WINDOWS\QTFont.for
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-17 15:01 --------- d-----w C:\Dokumente und Einstellungen\Konrad\Anwendungsdaten\vlc
2008-06-17 15:00 --------- d-----w C:\Programme\VLC
2008-06-17 08:58 90,112 ----a-w C:\WINDOWS\DUMP51e8.tmp
2008-06-04 18:56 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
2006-11-18 12:10 1,057,401 ----a-w C:\Dokumente und Einstellungen\Konrad\wrar361d.exe
2005-04-28 14:44 14,405,632 ----a-w C:\Dokumente und Einstellungen\Konrad\gta_sa.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 12:00 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-09-17 01:07 8491008]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-09-17 01:07 81920]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 14:28 266497]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2008-04-25 18:21 201992]
"RTHDCPL"="RTHDCPL.EXE" [2006-05-18 07:27 16207872 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 11:04 2879488 C:\WINDOWS\SkyTel.exe]
"nwiz"="nwiz.exe" [2007-09-17 01:07 1626112 C:\WINDOWS\system32\nwiz.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 12:00 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 0 (0x0)
R0 klbg;Kaspersky Lab Boot Guard Driver;C:\WINDOWS\system32\drivers\klbg.sys [2008-01-29 18:29]
R1 oreans32;oreans32;C:\WINDOWS\system32\drivers\oreans32.sys [2007-03-08 19:41]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;C:\WINDOWS\system32\DRIVERS\klfltdev.sys [2008-03-13 19:02]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2008-03-25 20:07]
S3 PCAlertDriver;PCAlertDriver;C:\Programme\MSI\Core Center\NTGLM7X.sys [2006-05-25 11:07]
S3 RushTopDevice;RushTopDevice;C:\Programme\MSI\Core Center\RushTop.sys [2006-06-22 16:25]
S3 ZD1211U(ZyXEL);ZyAIR G-220 IEEE 802.11b+g Wireless LAN Driver (USB)(ZyXEL);C:\WINDOWS\system32\DRIVERS\zd1211u.sys [2004-08-19 03:29]
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -
Toolbar-{0448CEDF-E4D9-49B6-A3CF-1D7AA90C0177} - C:\WINDOWS\bgrqfetx.dll
.
------- Zus„tzlicher Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.com/
O8 -: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-07 15:33:21
Windows 5.1.2600 Service Pack 2 FAT NTAPI
Scanne versteckte Prozesse...
Scanne versteckte Autostart Eintr„ge...
Scanne versteckte Dateien...
**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\PROGRAMME\AVIRA\ANTIVIR PERSONALEDITION CLASSIC\SCHED.EXE
C:\PROGRAMME\AVIRA\ANTIVIR PERSONALEDITION CLASSIC\AVGUARD.EXE
C:\WINDOWS\SYSTEM32\NVSVC32.EXE
C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-07 15:34:55 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-08-07 13:34:52
Pre-Run: 14 Verzeichnis(se), 109,936,214,016 Bytes frei
Post-Run: 20 Verzeichnis(se), 109,878,378,496 Bytes frei
125
---------------------------------------------------------------------------
2008-08-06 18:13 188416 --a------ C:\Qoobox\Quarantine\C\WINDOWS\bgrqfetx.dll.vir
2008-08-06 18:13 200704 --a------ C:\Qoobox\Quarantine\C\WINDOWS\tfnslopk.dll.vir
2008-08-06 18:13 368640 --a------ C:\Qoobox\Quarantine\C\WINDOWS\wnlmdakqsrg.dll.vir
2008-08-06 20:12 1404 --a------ C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\All Users\Startmen\Programme\Antivirus XP 2008\How to Register Antivirus XP 2008.lnk.vir
2008-08-06 20:12 1455 --a------ C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\All Users\Startmen\Programme\Antivirus XP 2008\License Agreement.lnk.vir
2008-08-06 20:12 1471 --a------ C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\All Users\Startmen\Programme\Antivirus XP 2008\Uninstall.lnk.vir
2008-08-06 20:12 1492 --a------ C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\All Users\Startmen\Programme\Antivirus XP 2008\Antivirus XP 2008.lnk.vir
2008-08-06 20:12 1512 --a------ C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\All Users\Startmen\Programme\Antivirus XP 2008\Register Antivirus XP 2008.lnk.vir
2008-08-07 15:31 54 --a------ C:\Qoobox\Quarantine\catchme.log
2008-08-07 15:34 0 --a------ C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-CFSServ.exe.reg.dat
2008-08-07 15:34 0 --a------ C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-NDSTray.exe.reg.dat
2008-08-07 15:34 0 --a------ C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-TFncKy.reg.dat
2008-08-07 15:34 1301 --a------ C:\Qoobox\Quarantine\Registry_backups\Toolbar-{0448CEDF-E4D9-49B6-A3CF-1D7AA90C0177}.reg.dat