AntivirXP08 eingefangen |
||
---|---|---|
#0
| ||
08.08.2008, 20:18
Member
Beiträge: 30 |
||
|
||
08.08.2008, 22:15
Ehrenmitglied
Beiträge: 6028 |
||
|
||
08.08.2008, 22:34
Member
Themenstarter Beiträge: 30 |
#3
Ach hi Arnold...so lieht man sich wieder auf in Runde 3 ^^
Hier der ComboFix log ComboFix 08-08-08.04 - Marcel Kretschmar 2008-08-08 21:57:01.6 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1570 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Marcel Kretschmar\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt [color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color] . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008 C:\kmd.exe . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_NPF ((((((((((((((((((((((( Dateien erstellt von 2008-07-08 bis 2008-08-08 )))))))))))))))))))))))))))))) . 2008-08-08 13:48 . 2008-08-08 13:48 94,208 --a------ C:\WINDOWS\system32\khctsxih.exe 2008-08-08 11:57 . 2008-08-08 14:46 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-08-08 11:57 . 2008-08-08 11:57 1,409 --a------ C:\WINDOWS\QTFont.for 2008-08-08 11:40 . 2008-08-08 11:40 94,208 --a------ C:\WINDOWS\system32\avwhahkj.exe 2008-08-08 11:16 . 2008-08-08 11:16 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-08-08 11:16 . 2008-08-08 11:16 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\Malwarebytes 2008-08-08 11:16 . 2008-08-08 11:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-08-08 11:16 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-08-08 11:16 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-08-08 10:17 . 2008-08-08 10:17 <DIR> d-------- C:\Programme\gpemwnd 2008-08-08 10:17 . 2008-08-08 10:17 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wvitqxkv 2008-08-08 09:53 . 2008-08-08 09:54 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\OnRez 2008-08-07 22:45 . 2008-08-07 22:45 24 --a------ C:\url_history.xml 2008-08-06 12:54 . 2008-08-06 12:54 <DIR> d-------- C:\Programme\Firebird 2008-08-06 12:54 . 2004-12-13 01:05 356,437 --a------ C:\WINDOWS\system32\GDS32.DLL 2008-08-06 10:02 . 2008-08-08 08:34 <DIR> d-------- C:\Programme\SpacialAudio 2008-08-06 09:59 . 2008-08-06 10:00 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\SAM 2008-07-23 15:49 . 2008-07-23 15:49 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel Kretschmar\temp 2008-07-23 15:49 . 2008-07-23 15:49 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\TeamViewer 2008-07-19 17:52 . 2008-08-03 01:30 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\SecondLife 2008-07-17 19:44 . 2008-07-17 19:44 <DIR> d-------- C:\WINDOWS\Logs 2008-07-17 19:44 . 2008-05-30 14:11 3,850,760 --a------ C:\WINDOWS\system32\D3DX9_38.dll 2008-07-17 19:44 . 2008-05-30 14:11 1,491,992 --a------ C:\WINDOWS\system32\D3DCompiler_38.dll 2008-07-17 19:44 . 2008-05-30 14:19 507,400 --a------ C:\WINDOWS\system32\XAudio2_1.dll 2008-07-17 19:44 . 2008-05-30 14:11 467,984 --a------ C:\WINDOWS\system32\d3dx10_38.dll 2008-07-17 19:44 . 2008-05-30 14:18 238,088 --a------ C:\WINDOWS\system32\xactengine3_1.dll 2008-07-17 19:44 . 2008-05-30 14:17 65,032 --a------ C:\WINDOWS\system32\XAPOFX1_0.dll 2008-07-17 19:44 . 2008-05-30 14:17 25,608 --a------ C:\WINDOWS\system32\X3DAudio1_4.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-08 17:10 704,512 ----a-w C:\WINDOWS\Internet Logs\xDB1C.tmp 2008-08-08 17:10 3,406,336 ----a-w C:\WINDOWS\Internet Logs\xDB1D.tmp 2008-08-08 11:11 79,782 ----a-w C:\WINDOWS\Internet Logs\Explorer_2nd_2008_08_08_13_09_46_small.dmp.zip 2008-08-08 11:01 --------- d-----w C:\Programme\WordToPDF 2008-08-08 05:09 --------- d-----w C:\Programme\DynDNS Updater 2008-08-07 21:37 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-08-07 07:12 --------- d-----w C:\Programme\Mozilla Thunderbird 2008-08-06 16:49 53,136 ----a-w C:\WINDOWS\Internet Logs\SAMBC_2nd_2008_08_06_18_44_58_small.dmp.zip 2008-08-06 08:38 --------- d-----w C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\Skype 2008-08-02 13:24 --------- d-----w C:\Programme\Google 2008-08-01 20:26 --------- d-----w C:\Programme\Teamspeak2_RC2 2008-07-04 08:42 --------- d-----w C:\Programme\DIFX 2008-07-04 08:41 --------- d-----w C:\Programme\Razer 2008-07-04 08:41 --------- d-----w C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\InstallShield 2008-06-22 10:25 --------- d-----w C:\Programme\Eraser 2008-06-21 18:25 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll 2008-06-21 18:22 409,600 ----a-w C:\WINDOWS\system32\wrap_oal.dll 2008-06-21 18:22 114,688 ----a-w C:\WINDOWS\system32\OpenAL32.dll 2008-06-21 18:22 --------- d-----w C:\Programme\OpenAL 2008-06-21 18:20 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-06-21 18:19 --------- d-----w C:\Programme\AGEIA Technologies 2008-06-12 06:32 351,286 ----a-w C:\WINDOWS\Internet Logs\firefox_2nd_2008_06_11_16_07_07_small.dmp.zip 2008-06-10 19:00 155,648 ----a-w C:\Programme\reschange.exe 2008-05-22 14:54 315,392 ----a-w C:\WINDOWS\HideWin.exe 2008-05-19 16:09 1,012,619 ----a-w C:\WINDOWS\Internet Logs\imsDebug.zip 2008-05-13 16:50 16,862,720 ----a-w C:\WINDOWS\RTHDCPL.exe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "STYLEXP"="C:\Programme\TGTSoft\StyleXP\StyleXP.exe" [2006-01-30 18:23 1363968] "SUPERAntiSpyware"="C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-06-03 18:56 1506544] "DynDNS Updater"="C:\Programme\DynDNS Updater\DynDNS.exe" [2006-09-17 11:32 1352704] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360] "mntacthlp"="C:\WINDOWS\system32\avwhahkj.exe" [2008-08-08 11:40 94208] "EnDb"="C:\WINDOWS\system32\khctsxih.exe" [2008-08-08 13:48 94208] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Gainward"="C:\Programme\XpertVision\TBPanel.exe" [2006-09-13 11:10 2154496] "HotKey"="C:\Programme\HotKey\hotkey.exe" [2006-03-07 02:32 81920] "AVMWlanClient"="C:\Programme\avmwlanstick\wlangui.exe" [2007-12-20 01:04 1748992] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920] "Diamondback"="C:\Programme\Razer\Diamondback 3G\razerhid.exe" [2007-08-01 14:07 147456] "RTHDCPL"="RTHDCPL.EXE" [2008-05-13 18:50 16862720 C:\WINDOWS\RTHDCPL.exe] "nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:57 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run] "ERqvnR50rL"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wvitqxkv\ihyfufap.exe" [2008-08-08 10:17 57344] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\Programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-21 17:55 77824] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "AdmAplHlp"= {5BEE3CFF-1F15-D1CA-B8F7-08C2A803FFFF} - C:\Programme\gpemwnd\AdmAplHlp.dll [2008-08-08 10:17 118784] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "UIHost"="C:\\Programme\\TGTSoft\\StyleXP\\Logon\\CurrentLogon.EXE" [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon] 2007-04-19 14:41 294912 C:\Programme\SUPERAntiSpyware\SASWINLO.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.mjpg"= mcmjpg32.dll "vidc.dmb1"= mcmjpg32.dll "msacm.l3fhg"= mp3fhg.acm "msacm.divxa32"= divxa32.acm "VIDC.X264"= x264vfw.dll "VIDC.HFYU"= huffyuv.dll "VIDC.YV12"= yv12vfw.dll [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" "EPSON Stylus DX4400 Series"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "C:\WINDOWS\TEMP\E_SC7.tmp" /EF "HKCU" "ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe "Eraser"=C:\Programme\Eraser\eraser.exe -hide [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime "NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot "VirtualCloneDrive"="C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s "OODefragTray"=C:\WINDOWS\system32\oodtray.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "C:\\Programme\\SmartFTP Client\\SmartFTP.exe"= "C:\\Programme\\ICQ6\\ICQ.exe"= "D:\\Programme\\Ascaron Entertainment\\Sacred Underworld\\Sacred.exe"= "C:\\Programme\\Teamspeak2_RC2\\server_windows.exe"= "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "C:\\Programme\\BitComet\\BitComet.exe"= "D:\\Programme\\Steam\\SteamApps\\ph0enlx\\counter-strike source\\hl2.exe"= "C:\\Programme\\Mozilla Firefox\\firefox.exe"= "C:\\Dokumente und Einstellungen\\Marcel Kretschmar\\temp\\TeamViewer3\\TeamViewer.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "8767:UDP"= 8767:UDP:TeamSpeak "51234:TCP"= 51234:TCP:ts-2 "8245:TCP"= 8245:TCPynDNS "3128:TCP"= 3128:TCP:second life R1 SSHDRV86;SSHDRV86;C:\WINDOWS\system32\drivers\SSHDRV86.sys [2007-04-19 20:10] R2 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance;C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe [2004-12-13 01:05] R2 ithsgt;ithsgt;C:\WINDOWS\system32\DRIVERS\ithsgt.sys [2007-07-10 08:37] R2 lilsgt;lilsgt;C:\WINDOWS\system32\DRIVERS\lilsgt.sys [2007-07-10 08:37] R2 litsgt;litsgt;C:\WINDOWS\system32\DRIVERS\litsgt.sys [2007-08-07 11:03] R2 tansgt;tansgt;C:\WINDOWS\system32\DRIVERS\tansgt.sys [2007-08-07 11:03] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 00:58] R3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe [2004-12-13 01:05] R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2007-12-20 01:04] R3 Razerlow;Diamondback 3G USB Filter Driver;C:\WINDOWS\system32\Drivers\DB3G.sys [2005-04-24 22:43] S1 aiptektp;HyperPen;C:\WINDOWS\system32\DRIVERS\aiptektp.sys [] S3 avmeject;AVM Eject;C:\WINDOWS\system32\drivers\avmeject.sys [2007-12-20 01:04] S3 nenum13E;nenum13E;C:\DOKUME~1\MARCEL~1\LOKALE~1\Temp\nenum13E.sys [] S3 snpmi03;VideoCAM NB 300;C:\WINDOWS\system32\DRIVERS\snpmi03.sys [2004-01-12 18:06] S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-04-16 11:36] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . . ------- Zus„tzlicher Scan ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\Mozilla\Firefox\Profiles\1lg2dpzm.default\ FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de/ FF -: plugin - C:\Programme\DivX\DivX Content Uploader\npUpload.dll ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-08 22:12:35 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- Prozess: C:\WINDOWS\system32\lsass.exe -> C:\WINDOWS\system32\LIBEAY32_0.9.6l.dll . ------------------------ Weitere, laufende Prozesse ------------------------ . C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\Programme\avmwlanstick\WLanNetService.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RP7.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Thunderbird-Tray\TBTray.exe C:\Programme\Stardock\ObjectDock\ObjectDock.exe C:\Programme\Razer\Diamondback 3G\razertra.exe C:\PROGRA~1\HotKey\OSD.EXE C:\Programme\Razer\Diamondback 3G\razerofa.exe C:\WINDOWS\system32\imapi.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-08-08 22:30:03 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2008-08-08 20:28:20 ComboFix2.txt 2008-02-11 14:22:22 Pre-Run: 3,101,855,744 Bytes frei Post-Run: 3,226,898,432 Bytes frei 211 Hijackthis Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:35:30, on 08.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16544) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\avmwlanstick\WlanNetService.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RP7.EXE C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe C:\WINDOWS\system32\wscntfy.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wvitqxkv\ihyfufap.exe C:\Programme\XpertVision\TBPanel.exe C:\Programme\HotKey\hotkey.exe C:\Programme\avmwlanstick\wlangui.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Razer\Diamondback 3G\razerhid.exe C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Programme\DynDNS Updater\DynDNS.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\avwhahkj.exe C:\Programme\Thunderbird-Tray\TBTray.exe C:\Programme\Stardock\ObjectDock\ObjectDock.exe C:\Programme\Razer\Diamondback 3G\razertra.exe C:\PROGRA~1\HotKey\OSD.exe C:\Programme\Razer\Diamondback 3G\razerofa.exe C:\WINDOWS\explorer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\avwhahkj.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\BitComet\tools\BitCometBHO_1.2.1.2.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [Gainward] C:\Programme\XpertVision\TBPanel.exe /A O4 - HKLM\..\Run: [HotKey] C:\Programme\HotKey\hotkey.exe O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Diamondback] C:\Programme\Razer\Diamondback 3G\razerhid.exe O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKCU\..\Run: [DynDNS Updater] "C:\Programme\DynDNS Updater\DynDNS.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [mntacthlp] C:\WINDOWS\system32\avwhahkj.exe O4 - HKCU\..\Run: [EnDb] C:\WINDOWS\system32\khctsxih.exe O4 - HKLM\..\Policies\Explorer\Run: [ERqvnR50rL] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wvitqxkv\ihyfufap.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user') O4 - Startup: Alice.lnk = ? O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe O4 - Global Startup: TB-Tray.lnk = C:\Programme\Thunderbird-Tray\TBTray.exe O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Programme\BitComet\tools\BitCometBHO_1.2.1.2.dll/206 (file missing) O9 - Extra button: Secret City - {D401C3A2-12EF-4D1D-A086-F3AB10B565BF} - D:\PROGRA~1\SECRET~1\SECRET~1\SECRET~1.EXE (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1206109055062 O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab?nocache=20071219-1 O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab56649.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{2F653A3B-9FAA-485A-BE18-F855852963C2}: NameServer = 213.191.74.11 213.191.92.82 O17 - HKLM\System\CS1\Services\Tcpip\..\{2F653A3B-9FAA-485A-BE18-F855852963C2}: NameServer = 213.191.74.11 213.191.92.82 O17 - HKLM\System\CS2\Services\Tcpip\..\{2F653A3B-9FAA-485A-BE18-F855852963C2}: NameServer = 213.191.74.11 213.191.92.82 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O21 - SSODL: AdmAplHlp - {5BEE3CFF-1F15-D1CA-B8F7-08C2A803FFFF} - C:\Programme\gpemwnd\AdmAplHlp.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RP7.EXE O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 9300 bytes Beim ausführen von Hijackthis kam folgende Meldung von der Windoof Firewall Cannot stop sending. ---> Trojan-Spy.Win32.GreenScreen Hatte heute auch schon ---> Trojan-Spy.HTMLBankfraud.dq und ähnliches mit ner anderen Endung Aso hatte ich vergessen. Mir geht es aufn Keks dass sich schon wieder mein Desktop Bild verabschiedet hat. Nun steht da. Warning! Spyware detected on your computer! Install an antivirus or spyware remover to clean your computer. AntivirXP08 bin ich definitiv noch nicht los. Hat sich wieder selbst installiert. Hab grad auch aus heiterem Himmel nen Bluescreen bekommen. So von wegen um Schaden vom PC abzuwenden und ich hatte rein gar nix gemacht. Ich versteh das nicht. Kann mir bitte jemand helfen. Ich krieg sonst einen am Fön. Ich kanns nicht haben wenn mein Rechner nicht vernünftig geht. Dieser Beitrag wurde am 08.08.2008 um 23:23 Uhr von PH0ENlX editiert.
|
|
|
||
08.08.2008, 23:35
Ehrenmitglied
Beiträge: 6028 |
#4
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei Zitat O4 - HKCU\..\Run: [mntacthlp] C:\WINDOWS\system32\avwhahkj.exeklicke: Fix checked Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst cfscript Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Zitat File::CFScript.txt mit der rechten Maustaste auf das Symbol von Combofix ziehen Combofix noch mal anwenden poste dann nach neustart das neue Log __________ MfG Argus |
|
|
||
09.08.2008, 01:53
Member
Themenstarter Beiträge: 30 |
#5
So hier nun ComboFix Log.
ComboFix 08-08-08.04 - Marcel Kretschmar 2008-08-09 1:19:33.7 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1421 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Marcel Kretschmar\Desktop\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\Marcel Kretschmar\Desktop\cfscript.txt [color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color] FILE :: C:\Programme\gpemwnd C:\WINDOWS\system32\avwhahkj.exe C:\WINDOWS\system32\khctsxih.exe . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wvitqxkv C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wvitqxkv\ihyfufap.exe C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\rhccqkj0e14j C:\Programme\gpemwnd C:\Programme\gpemwnd\AdmAplHlp.dll C:\WINDOWS\system32\avwhahkj.exe C:\WINDOWS\system32\blphc9qkj0e14j.scr C:\WINDOWS\system32\khctsxih.exe C:\WINDOWS\system32\lphc9qkj0e14j.exe C:\WINDOWS\system32\phc9qkj0e14j.bmp . ((((((((((((((((((((((( Dateien erstellt von 2008-07-08 bis 2008-08-08 )))))))))))))))))))))))))))))) . 2008-08-08 22:56 . 2008-08-08 22:56 <DIR> d-------- C:\Programme\Foxit Software 2008-08-08 22:43 . 2008-08-08 22:43 86,016 --a------ C:\WINDOWS\system32\qfqlgbgb.exe 2008-08-08 11:57 . 2008-08-08 14:46 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-08-08 11:57 . 2008-08-08 11:57 1,409 --a------ C:\WINDOWS\QTFont.for 2008-08-08 11:16 . 2008-08-08 11:16 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-08-08 11:16 . 2008-08-08 11:16 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\Malwarebytes 2008-08-08 11:16 . 2008-08-08 11:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-08-08 11:16 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-08-08 11:16 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-08-08 09:53 . 2008-08-08 09:54 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\OnRez 2008-08-07 22:45 . 2008-08-07 22:45 24 --a------ C:\url_history.xml 2008-08-06 12:54 . 2008-08-06 12:54 <DIR> d-------- C:\Programme\Firebird 2008-08-06 12:54 . 2004-12-13 01:05 356,437 --a------ C:\WINDOWS\system32\GDS32.DLL 2008-08-06 10:02 . 2008-08-08 08:34 <DIR> d-------- C:\Programme\SpacialAudio 2008-08-06 09:59 . 2008-08-06 10:00 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\SAM 2008-07-23 15:49 . 2008-07-23 15:49 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel Kretschmar\temp 2008-07-23 15:49 . 2008-07-23 15:49 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\TeamViewer 2008-07-19 17:52 . 2008-08-03 01:30 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\SecondLife 2008-07-17 19:44 . 2008-07-17 19:44 <DIR> d-------- C:\WINDOWS\Logs 2008-07-17 19:44 . 2008-05-30 14:11 3,850,760 --a------ C:\WINDOWS\system32\D3DX9_38.dll 2008-07-17 19:44 . 2008-05-30 14:11 1,491,992 --a------ C:\WINDOWS\system32\D3DCompiler_38.dll 2008-07-17 19:44 . 2008-05-30 14:19 507,400 --a------ C:\WINDOWS\system32\XAudio2_1.dll 2008-07-17 19:44 . 2008-05-30 14:11 467,984 --a------ C:\WINDOWS\system32\d3dx10_38.dll 2008-07-17 19:44 . 2008-05-30 14:18 238,088 --a------ C:\WINDOWS\system32\xactengine3_1.dll 2008-07-17 19:44 . 2008-05-30 14:17 65,032 --a------ C:\WINDOWS\system32\XAPOFX1_0.dll 2008-07-17 19:44 . 2008-05-30 14:17 25,608 --a------ C:\WINDOWS\system32\X3DAudio1_4.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-08 22:00 --------- d-----w C:\Programme\DynDNS Updater 2008-08-08 21:00 --------- d-----w C:\Programme\Astro Gemini Software 2008-08-08 20:50 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe 2008-08-08 17:10 704,512 ----a-w C:\WINDOWS\Internet Logs\xDB1C.tmp 2008-08-08 17:10 3,406,336 ----a-w C:\WINDOWS\Internet Logs\xDB1D.tmp 2008-08-08 11:11 79,782 ----a-w C:\WINDOWS\Internet Logs\Explorer_2nd_2008_08_08_13_09_46_small.dmp.zip 2008-08-08 11:01 --------- d-----w C:\Programme\WordToPDF 2008-08-07 21:37 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-08-07 07:12 --------- d-----w C:\Programme\Mozilla Thunderbird 2008-08-06 16:49 53,136 ----a-w C:\WINDOWS\Internet Logs\SAMBC_2nd_2008_08_06_18_44_58_small.dmp.zip 2008-08-06 08:38 --------- d-----w C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\Skype 2008-08-02 13:24 --------- d-----w C:\Programme\Google 2008-08-01 20:26 --------- d-----w C:\Programme\Teamspeak2_RC2 2008-07-04 08:42 --------- d-----w C:\Programme\DIFX 2008-07-04 08:41 --------- d-----w C:\Programme\Razer 2008-07-04 08:41 --------- d-----w C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\InstallShield 2008-06-22 10:25 --------- d-----w C:\Programme\Eraser 2008-06-21 18:25 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll 2008-06-21 18:22 409,600 ----a-w C:\WINDOWS\system32\wrap_oal.dll 2008-06-21 18:22 114,688 ----a-w C:\WINDOWS\system32\OpenAL32.dll 2008-06-21 18:22 --------- d-----w C:\Programme\OpenAL 2008-06-21 18:20 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-06-21 18:19 --------- d-----w C:\Programme\AGEIA Technologies 2008-06-12 06:32 351,286 ----a-w C:\WINDOWS\Internet Logs\firefox_2nd_2008_06_11_16_07_07_small.dmp.zip 2008-06-10 19:00 155,648 ----a-w C:\Programme\reschange.exe 2008-05-22 14:54 315,392 ----a-w C:\WINDOWS\HideWin.exe 2008-05-19 16:09 1,012,619 ----a-w C:\WINDOWS\Internet Logs\imsDebug.zip 2008-05-13 16:50 16,862,720 ----a-w C:\WINDOWS\RTHDCPL.exe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "STYLEXP"="C:\Programme\TGTSoft\StyleXP\StyleXP.exe" [2006-01-30 18:23 1363968] "SUPERAntiSpyware"="C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-06-03 18:56 1506544] "DynDNS Updater"="C:\Programme\DynDNS Updater\DynDNS.exe" [2006-09-17 11:32 1352704] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360] "chksrv"="C:\WINDOWS\system32\qfqlgbgb.exe" [2008-08-08 22:43 86016] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Gainward"="C:\Programme\XpertVision\TBPanel.exe" [2006-09-13 11:10 2154496] "HotKey"="C:\Programme\HotKey\hotkey.exe" [2006-03-07 02:32 81920] "AVMWlanClient"="C:\Programme\avmwlanstick\wlangui.exe" [2007-12-20 01:04 1748992] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920] "Diamondback"="C:\Programme\Razer\Diamondback 3G\razerhid.exe" [2007-08-01 14:07 147456] "RTHDCPL"="RTHDCPL.EXE" [2008-05-13 18:50 16862720 C:\WINDOWS\RTHDCPL.exe] "nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:57 15360] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\Programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-21 17:55 77824] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "UIHost"="C:\\Programme\\TGTSoft\\StyleXP\\Logon\\CurrentLogon.EXE" [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon] 2007-04-19 14:41 294912 C:\Programme\SUPERAntiSpyware\SASWINLO.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.mjpg"= mcmjpg32.dll "vidc.dmb1"= mcmjpg32.dll "msacm.l3fhg"= mp3fhg.acm "msacm.divxa32"= divxa32.acm "VIDC.X264"= x264vfw.dll "VIDC.HFYU"= huffyuv.dll "VIDC.YV12"= yv12vfw.dll [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" "EPSON Stylus DX4400 Series"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "C:\WINDOWS\TEMP\E_SC7.tmp" /EF "HKCU" "ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe "Eraser"=C:\Programme\Eraser\eraser.exe -hide [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime "NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot "VirtualCloneDrive"="C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s "OODefragTray"=C:\WINDOWS\system32\oodtray.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "C:\\Programme\\SmartFTP Client\\SmartFTP.exe"= "C:\\Programme\\ICQ6\\ICQ.exe"= "D:\\Programme\\Ascaron Entertainment\\Sacred Underworld\\Sacred.exe"= "C:\\Programme\\Teamspeak2_RC2\\server_windows.exe"= "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "C:\\Programme\\BitComet\\BitComet.exe"= "D:\\Programme\\Steam\\SteamApps\\ph0enlx\\counter-strike source\\hl2.exe"= "C:\\Programme\\Mozilla Firefox\\firefox.exe"= "C:\\Dokumente und Einstellungen\\Marcel Kretschmar\\temp\\TeamViewer3\\TeamViewer.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "8767:UDP"= 8767:UDP:TeamSpeak "51234:TCP"= 51234:TCP:ts-2 "8245:TCP"= 8245:TCPynDNS "3128:TCP"= 3128:TCP:second life R1 SSHDRV86;SSHDRV86;C:\WINDOWS\system32\drivers\SSHDRV86.sys [2007-04-19 20:10] R2 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance;C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe [2004-12-13 01:05] R2 ithsgt;ithsgt;C:\WINDOWS\system32\DRIVERS\ithsgt.sys [2007-07-10 08:37] R2 lilsgt;lilsgt;C:\WINDOWS\system32\DRIVERS\lilsgt.sys [2007-07-10 08:37] R2 litsgt;litsgt;C:\WINDOWS\system32\DRIVERS\litsgt.sys [2007-08-07 11:03] R2 tansgt;tansgt;C:\WINDOWS\system32\DRIVERS\tansgt.sys [2007-08-07 11:03] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 00:58] R3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe [2004-12-13 01:05] R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2007-12-20 01:04] R3 Razerlow;Diamondback 3G USB Filter Driver;C:\WINDOWS\system32\Drivers\DB3G.sys [2005-04-24 22:43] S1 aiptektp;HyperPen;C:\WINDOWS\system32\DRIVERS\aiptektp.sys [] S3 avmeject;AVM Eject;C:\WINDOWS\system32\drivers\avmeject.sys [2007-12-20 01:04] S3 nenum13E;nenum13E;C:\DOKUME~1\MARCEL~1\LOKALE~1\Temp\nenum13E.sys [] S3 snpmi03;VideoCAM NB 300;C:\WINDOWS\system32\DRIVERS\snpmi03.sys [2004-01-12 18:06] S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-04-16 11:36] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . - - - - Entfernte verwaiste Registrierungseintr„ge - - - - HKLM-Run-SMrhccqkj0e14j - C:\Programme\rhccqkj0e14j\rhccqkj0e14j.exe ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-09 01:31:40 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- Prozess: C:\WINDOWS\system32\lsass.exe -> C:\WINDOWS\system32\LIBEAY32_0.9.6l.dll Prozess: C:\WINDOWS\explorer.exe -> C:\Programme\Stardock\ObjectDock\DockShellHook.dll . ------------------------ Weitere, laufende Prozesse ------------------------ . C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\Programme\avmwlanstick\WLanNetService.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RP7.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Thunderbird-Tray\TBTray.exe C:\Programme\Stardock\ObjectDock\ObjectDock.exe C:\Programme\Razer\Diamondback 3G\razertra.exe C:\Programme\Razer\Diamondback 3G\razerofa.exe C:\PROGRA~1\HotKey\OSD.EXE C:\WINDOWS\system32\imapi.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-08-09 1:48:29 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2008-08-08 23:46:49 ComboFix2.txt 2008-08-08 20:30:05 ComboFix3.txt 2008-02-11 14:22:22 Pre-Run: 3,240,824,832 Bytes frei Post-Run: 3,221,463,040 Bytes frei 213 Hijackthis Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 01:52:18, on 09.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16544) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\avmwlanstick\WlanNetService.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RP7.EXE C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\XpertVision\TBPanel.exe C:\Programme\HotKey\hotkey.exe C:\Programme\avmwlanstick\wlangui.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Razer\Diamondback 3G\razerhid.exe C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Programme\DynDNS Updater\DynDNS.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\qfqlgbgb.exe C:\Programme\Thunderbird-Tray\TBTray.exe C:\Programme\Stardock\ObjectDock\ObjectDock.exe C:\Programme\Razer\Diamondback 3G\razertra.exe C:\Programme\Razer\Diamondback 3G\razerofa.exe C:\PROGRA~1\HotKey\OSD.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\notepad.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\BitComet\tools\BitCometBHO_1.2.1.2.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [Gainward] C:\Programme\XpertVision\TBPanel.exe /A O4 - HKLM\..\Run: [HotKey] C:\Programme\HotKey\hotkey.exe O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Diamondback] C:\Programme\Razer\Diamondback 3G\razerhid.exe O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKCU\..\Run: [DynDNS Updater] "C:\Programme\DynDNS Updater\DynDNS.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [chksrv] C:\WINDOWS\system32\qfqlgbgb.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user') O4 - Startup: Alice.lnk = ? O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe O4 - Global Startup: TB-Tray.lnk = C:\Programme\Thunderbird-Tray\TBTray.exe O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1206109055062 O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab?nocache=20071219-1 O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab56649.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{2F653A3B-9FAA-485A-BE18-F855852963C2}: NameServer = 213.191.74.11 213.191.92.82 O17 - HKLM\System\CS1\Services\Tcpip\..\{2F653A3B-9FAA-485A-BE18-F855852963C2}: NameServer = 213.191.74.11 213.191.92.82 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RP7.EXE O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 8380 bytes Erste Meldung die kam sobald ich die Verbindung zum Internet hergestellt hatte nach ComboFix wieder mal die Windoof Firewall. Diesmal folgende Meldung. ---> Trojan-Clicker.Win32.Tiny.h Dieser Beitrag wurde am 09.08.2008 um 01:56 Uhr von PH0ENlX editiert.
|
|
|
||
09.08.2008, 02:02
Ehrenmitglied
Beiträge: 6028 |
#6
Lasse mal überprüfen C:\WINDOWS\system32\qfqlgbgb.exe bei http://www.virustotal.com/
__________ MfG Argus |
|
|
||
09.08.2008, 10:07
Member
Themenstarter Beiträge: 30 |
#7
Heute morgen kam nach
Trojan-Clicker.Win32.Tiny.h noch diese Meldung. Trojan-Downloader.Win32.Agent.bq sind also immer noch mindestens 2. folgender Befund Datei qfqlgbgb.exe empfangen 2008.08.09 10:08:08 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 5/36 (13.89%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: ___. Geschätzte Startzeit is zwischen ___ und ___ . Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.8.9.0 2008.08.08 - AntiVir 7.8.1.19 2008.08.08 - Authentium 5.1.0.4 2008.08.09 - Avast 4.8.1195.0 2008.08.08 - AVG 8.0.0.156 2008.08.08 Downloader.Swizzor BitDefender 7.2 2008.08.09 - CAT-QuickHeal 9.50 2008.08.08 - ClamAV 0.93.1 2008.08.09 - DrWeb 4.44.0.09170 2008.08.09 - eSafe 7.0.17.0 2008.08.07 - eTrust-Vet 31.6.6021 2008.08.08 - Ewido 4.0 2008.08.08 - F-Prot 4.4.4.56 2008.08.08 - F-Secure 7.60.13501.0 2008.08.09 - Fortinet 3.14.0.0 2008.08.09 W32/PolySmall.BP!tr GData 2.0.7306.1023 2008.08.09 - Ikarus T3.1.1.34.0 2008.08.09 - K7AntiVirus 7.10.408 2008.08.08 - Kaspersky 7.0.0.125 2008.08.09 - McAfee 5357 2008.08.08 - Microsoft 1.3807 2008.08.09 Trojan:Win32/Busky.EC NOD32v2 3341 2008.08.08 a variant of Win32/TrojanDownloader.FakeAlert.BP Norman 5.80.02 2008.08.08 - Panda 9.0.0.4 2008.08.08 - PCTools 4.4.2.0 2008.08.08 - Prevx1 V2 2008.08.09 - Rising 20.56.41.00 2008.08.08 - Sophos 4.32.0 2008.08.09 Mal/EncPk-DG Sunbelt 3.1.1538.1 2008.08.09 - Symantec 10 2008.08.09 - TheHacker 6.2.96.395 2008.08.08 - TrendMicro 8.700.0.1004 2008.08.08 - VBA32 3.12.8.3 2008.08.08 - ViRobot 2008.8.8.1329 2008.08.08 - VirusBuster 4.5.11.0 2008.08.08 - Webwasher-Gateway 6.6.2 2008.08.09 - |
|
|
||
09.08.2008, 10:14
Ehrenmitglied
Beiträge: 29434 |
#8
Hallo PH0ENlX
erstelle eine neue cfscript.txt Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern Zitat KILLALL::Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden. cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen Dann erscheint ein "öffnen mit" -bestätigen - und Combofix startet neu __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.08.2008, 10:18
Member
Themenstarter Beiträge: 30 |
#9
dachte ich mir bereits das ich das nochmal machen muss ^^ danke
bericht folgt wenn fertig kann bisschen dauern aber is schonmal schneller als am anfang |
|
|
||
09.08.2008, 10:21
Ehrenmitglied
Beiträge: 6028 |
#10
Scanne mit NOD32
Haacke an:YES, I accept the Terms Of Use. Klicke : Start. Klicke : Install. Klicke : Start. Jetzt wird der Scanner Initialisiert und ge-updatet Haacke “Remove found threats” NICHT an, Klicke : Scan. Am Ende klicke den Reiter Details nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" Oder via C:\Programme\EsetOnlineScanner\log.txt __________ MfG Argus |
|
|
||
09.08.2008, 11:54
Member
Themenstarter Beiträge: 30 |
#11
Hier erstmal der Log vom ComboFix
ComboFix 08-08-08.07 - Marcel Kretschmar 2008-08-09 10:22:49.8 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1566 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Marcel Kretschmar\Desktop\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\Marcel Kretschmar\Desktop\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt [color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color] FILE :: C:\WINDOWS\system32\qfqlgbgb.exe . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\qfqlgbgb.exe . ((((((((((((((((((((((( Dateien erstellt von 2008-07-09 bis 2008-08-09 )))))))))))))))))))))))))))))) . 2008-08-09 02:08 . 2008-08-09 02:08 <DIR> d-------- C:\WINDOWS\ERUNT 2008-08-09 02:02 . 2008-08-09 02:11 <DIR> d-------- C:\SDFix 2008-08-08 22:56 . 2008-08-08 22:56 <DIR> d-------- C:\Programme\Foxit Software 2008-08-08 11:57 . 2008-08-08 14:46 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-08-08 11:57 . 2008-08-08 11:57 1,409 --a------ C:\WINDOWS\QTFont.for 2008-08-08 11:16 . 2008-08-08 11:16 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-08-08 11:16 . 2008-08-08 11:16 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\Malwarebytes 2008-08-08 11:16 . 2008-08-08 11:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-08-08 11:16 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-08-08 11:16 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-08-08 09:53 . 2008-08-08 09:54 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\OnRez 2008-08-07 22:45 . 2008-08-07 22:45 24 --a------ C:\url_history.xml 2008-08-06 12:54 . 2008-08-06 12:54 <DIR> d-------- C:\Programme\Firebird 2008-08-06 12:54 . 2004-12-13 01:05 356,437 --a------ C:\WINDOWS\system32\GDS32.DLL 2008-08-06 10:02 . 2008-08-08 08:34 <DIR> d-------- C:\Programme\SpacialAudio 2008-08-06 09:59 . 2008-08-06 10:00 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\SAM 2008-07-23 15:49 . 2008-07-23 15:49 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel Kretschmar\temp 2008-07-23 15:49 . 2008-07-23 15:49 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\TeamViewer 2008-07-19 17:52 . 2008-08-03 01:30 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\SecondLife 2008-07-17 19:44 . 2008-07-17 19:44 <DIR> d-------- C:\WINDOWS\Logs 2008-07-17 19:44 . 2008-05-30 14:11 3,850,760 --a------ C:\WINDOWS\system32\D3DX9_38.dll 2008-07-17 19:44 . 2008-05-30 14:11 1,491,992 --a------ C:\WINDOWS\system32\D3DCompiler_38.dll 2008-07-17 19:44 . 2008-05-30 14:19 507,400 --a------ C:\WINDOWS\system32\XAudio2_1.dll 2008-07-17 19:44 . 2008-05-30 14:11 467,984 --a------ C:\WINDOWS\system32\d3dx10_38.dll 2008-07-17 19:44 . 2008-05-30 14:18 238,088 --a------ C:\WINDOWS\system32\xactengine3_1.dll 2008-07-17 19:44 . 2008-05-30 14:17 65,032 --a------ C:\WINDOWS\system32\XAPOFX1_0.dll 2008-07-17 19:44 . 2008-05-30 14:17 25,608 --a------ C:\WINDOWS\system32\X3DAudio1_4.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-08 22:00 --------- d-----w C:\Programme\DynDNS Updater 2008-08-08 21:00 --------- d-----w C:\Programme\Astro Gemini Software 2008-08-08 20:50 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe 2008-08-08 17:10 704,512 ----a-w C:\WINDOWS\Internet Logs\xDB1C.tmp 2008-08-08 17:10 3,406,336 ----a-w C:\WINDOWS\Internet Logs\xDB1D.tmp 2008-08-08 11:11 79,782 ----a-w C:\WINDOWS\Internet Logs\Explorer_2nd_2008_08_08_13_09_46_small.dmp.zip 2008-08-08 11:01 --------- d-----w C:\Programme\WordToPDF 2008-08-07 21:37 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-08-07 07:12 --------- d-----w C:\Programme\Mozilla Thunderbird 2008-08-06 16:49 53,136 ----a-w C:\WINDOWS\Internet Logs\SAMBC_2nd_2008_08_06_18_44_58_small.dmp.zip 2008-08-06 08:38 --------- d-----w C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\Skype 2008-08-02 13:24 --------- d-----w C:\Programme\Google 2008-08-01 20:26 --------- d-----w C:\Programme\Teamspeak2_RC2 2008-07-04 08:42 --------- d-----w C:\Programme\DIFX 2008-07-04 08:41 --------- d-----w C:\Programme\Razer 2008-07-04 08:41 --------- d-----w C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\InstallShield 2008-06-22 10:25 --------- d-----w C:\Programme\Eraser 2008-06-21 18:25 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll 2008-06-21 18:22 409,600 ----a-w C:\WINDOWS\system32\wrap_oal.dll 2008-06-21 18:22 114,688 ----a-w C:\WINDOWS\system32\OpenAL32.dll 2008-06-21 18:22 --------- d-----w C:\Programme\OpenAL 2008-06-21 18:20 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-06-21 18:19 --------- d-----w C:\Programme\AGEIA Technologies 2008-06-12 06:32 351,286 ----a-w C:\WINDOWS\Internet Logs\firefox_2nd_2008_06_11_16_07_07_small.dmp.zip 2008-06-10 19:00 155,648 ----a-w C:\Programme\reschange.exe 2008-05-22 14:54 315,392 ----a-w C:\WINDOWS\HideWin.exe 2008-05-19 16:09 1,012,619 ----a-w C:\WINDOWS\Internet Logs\imsDebug.zip 2008-05-13 16:50 16,862,720 ----a-w C:\WINDOWS\RTHDCPL.exe . ((((((((((((((((((((((((((((( snapshot@2008-08-08_22.26.54.89 ))))))))))))))))))))))))))))))))))))))))) . + 2008-08-07 14:27:05 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE + 2008-08-09 00:08:46 569,344 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000001\NTUSER.DAT + 2008-08-09 00:08:47 8,192 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat + 2008-08-07 14:27:05 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE + 2008-08-09 00:08:42 569,344 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000001\NTUSER.DAT + 2008-08-09 00:08:42 8,192 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "STYLEXP"="C:\Programme\TGTSoft\StyleXP\StyleXP.exe" [2006-01-30 18:23 1363968] "SUPERAntiSpyware"="C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-06-03 18:56 1506544] "DynDNS Updater"="C:\Programme\DynDNS Updater\DynDNS.exe" [2006-09-17 11:32 1352704] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Gainward"="C:\Programme\XpertVision\TBPanel.exe" [2006-09-13 11:10 2154496] "HotKey"="C:\Programme\HotKey\hotkey.exe" [2006-03-07 02:32 81920] "AVMWlanClient"="C:\Programme\avmwlanstick\wlangui.exe" [2007-12-20 01:04 1748992] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920] "Diamondback"="C:\Programme\Razer\Diamondback 3G\razerhid.exe" [2007-08-01 14:07 147456] "RTHDCPL"="RTHDCPL.EXE" [2008-05-13 18:50 16862720 C:\WINDOWS\RTHDCPL.exe] "nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:57 15360] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\Programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-21 17:55 77824] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "UIHost"="C:\\Programme\\TGTSoft\\StyleXP\\Logon\\CurrentLogon.EXE" [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon] 2007-04-19 14:41 294912 C:\Programme\SUPERAntiSpyware\SASWINLO.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.mjpg"= mcmjpg32.dll "vidc.dmb1"= mcmjpg32.dll "msacm.l3fhg"= mp3fhg.acm "msacm.divxa32"= divxa32.acm "VIDC.X264"= x264vfw.dll "VIDC.HFYU"= huffyuv.dll "VIDC.YV12"= yv12vfw.dll [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" "EPSON Stylus DX4400 Series"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "C:\WINDOWS\TEMP\E_SC7.tmp" /EF "HKCU" "ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe "Eraser"=C:\Programme\Eraser\eraser.exe -hide [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime "NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot "VirtualCloneDrive"="C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s "OODefragTray"=C:\WINDOWS\system32\oodtray.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "C:\\Programme\\SmartFTP Client\\SmartFTP.exe"= "C:\\Programme\\ICQ6\\ICQ.exe"= "D:\\Programme\\Ascaron Entertainment\\Sacred Underworld\\Sacred.exe"= "C:\\Programme\\Teamspeak2_RC2\\server_windows.exe"= "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "C:\\Programme\\BitComet\\BitComet.exe"= "D:\\Programme\\Steam\\SteamApps\\ph0enlx\\counter-strike source\\hl2.exe"= "C:\\Programme\\Mozilla Firefox\\firefox.exe"= "C:\\Dokumente und Einstellungen\\Marcel Kretschmar\\temp\\TeamViewer3\\TeamViewer.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "8767:UDP"= 8767:UDP:TeamSpeak "51234:TCP"= 51234:TCP:ts-2 "8245:TCP"= 8245:TCPynDNS "3128:TCP"= 3128:TCP:second life R1 SSHDRV86;SSHDRV86;C:\WINDOWS\system32\drivers\SSHDRV86.sys [2007-04-19 20:10] R2 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance;C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe [2004-12-13 01:05] R2 ithsgt;ithsgt;C:\WINDOWS\system32\DRIVERS\ithsgt.sys [2007-07-10 08:37] R2 lilsgt;lilsgt;C:\WINDOWS\system32\DRIVERS\lilsgt.sys [2007-07-10 08:37] R2 litsgt;litsgt;C:\WINDOWS\system32\DRIVERS\litsgt.sys [2007-08-07 11:03] R2 tansgt;tansgt;C:\WINDOWS\system32\DRIVERS\tansgt.sys [2007-08-07 11:03] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 00:58] R3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe [2004-12-13 01:05] R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2007-12-20 01:04] R3 Razerlow;Diamondback 3G USB Filter Driver;C:\WINDOWS\system32\Drivers\DB3G.sys [2005-04-24 22:43] S1 aiptektp;HyperPen;C:\WINDOWS\system32\DRIVERS\aiptektp.sys [] S3 avmeject;AVM Eject;C:\WINDOWS\system32\drivers\avmeject.sys [2007-12-20 01:04] S3 nenum13E;nenum13E;C:\DOKUME~1\MARCEL~1\LOKALE~1\Temp\nenum13E.sys [] S3 snpmi03;VideoCAM NB 300;C:\WINDOWS\system32\DRIVERS\snpmi03.sys [2004-01-12 18:06] S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-04-16 11:36] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-09 11:24:17 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- Prozess: C:\WINDOWS\system32\lsass.exe -> C:\WINDOWS\system32\LIBEAY32_0.9.6l.dll . ------------------------ Weitere, laufende Prozesse ------------------------ . C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\Programme\avmwlanstick\WLanNetService.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RP7.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Thunderbird-Tray\TBTray.exe C:\Programme\Stardock\ObjectDock\ObjectDock.exe C:\Programme\Razer\Diamondback 3G\razertra.exe C:\Programme\Razer\Diamondback 3G\razerofa.exe C:\PROGRA~1\HotKey\OSD.EXE . ************************************************************************** . Zeit der Fertigstellung: 2008-08-09 11:39:36 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2008-08-09 09:38:04 ComboFix2.txt 2008-08-08 23:48:34 ComboFix3.txt 2008-08-08 20:30:05 ComboFix4.txt 2008-02-11 14:22:22 Pre-Run: 3,108,585,472 Bytes frei Post-Run: 3,094,880,256 Bytes frei 208 Der Scan wurde offenbar durchgeführt, aber der IE dann einfach geschlossen. Nix mit Log oder Log Datei im Programme Ordner. Dieser Beitrag wurde am 09.08.2008 um 15:27 Uhr von PH0ENlX editiert.
|
|
|
||
09.08.2008, 18:05
Ehrenmitglied
Beiträge: 6028 |
#12
Meckert dein Zonelab noch oder dein Windoof Firewall?
Wenn nicht Systemwiederherstellung Info: http://virus-protect.org/systemwiederherstellung.html Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. - dann wieder aktivieren __________ MfG Argus |
|
|
||
10.08.2008, 23:55
Member
Themenstarter Beiträge: 30 |
#13
mein system ist seit AntivirXP08 extrem langsam geworden.
hakt wo es nur geht. meldungen kommen keine mehr aber der rechner muss zig mal neu gestartet werden und dann braucht er gute 10 minuten bis er komplett im system ist. das ist doch nict normal. mein pc kommt mir vor als hätte ich nen 386er. das dauert ewig. egal ob beim booten oder im windows. er hakt bei jedem Schei... programm. HILFE was kann ich machen damit er wieder normal läuft. so schnell wie er auch soll ganz ohne haken. ich könnt heulen. will kein format c: machen[/b][/color] [color="red"][b]was bitte macht aus meinem pc ne lahme gurke? ich versteh das nicht mehr programme hängen sich wegen dem scheiss auf |
|
|
||
11.08.2008, 11:48
Ehrenmitglied
Beiträge: 29434 |
#14
deinstalliere erst mal SUPERAntiSpyware.
dann C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\OnRez - was ist das ? wozu dient das ? __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.08.2008, 19:30
Member
Themenstarter Beiträge: 30 |
#15
OnRez ist das Browserfenster von Second Life.
Und das mit der Geschwindigkeit hat sich erledigt. Mir hats im endeffekt gestern abend noch meine Registry zerschossen und ich musste den Rechner zur Hälfte neu aufsetzen. Hab die wichtigen Sachen auf die d Partition gerettet und dann die c Partition gelöscht und formatiert und Windoof neu aufgespielt. Rennt jetzt alles wieder wie nix bin mit dem Nachinstallieren soweit auch fast wieder fertig. Ich wunder mich nur das mein Internet so langsam ist. Mein Anbieter sagt es läuft auf etwas mehr als 15Mbit. Hier hab ich über Wlan nur 4 Mbit...normal sind bei mir eigentlich 11 - 13 Mbit. könnte das an einem fehlenden Netzwertreiber liegen? |
|
|
||
hab mir heute AntivirXP08 eingefangen.
Den Ordner in Programme und auch den Eintrag in Software bin ich los.
Lasse gerade zum 2. mal Malwarebytes über mein System laufen.
Beim ersten Lauf über 90 Funde. Wurde alles gelöscht.
Bis jetzt keine neuen Funde. Trotzdem ist mein System weiterhin definitiv
zu langsam und ich hab das Gefühl ich bin den Dreck noch ncit los.
Viellecht hab ich auch noch was anderes aufm Rechner wer weiss.
Wenn der 2. Suchlauf durch ist poste ich mal den log wenn ich das hinbekomme.
Mache danach noch ComboFix und Hijackthis und poste das auch noch hier.
Hoffe mir kann jemand helfen mein System wieder clean zu bekommen.
Gruß
PH0ENlX
So hier der Log vom 2. Malware durchlauf.
Offenbar wurden doch noch 22 infizierte Dateien gefunden
und gelöscht. Als nächstes werden Combofix und Hijackthis folgen.
Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1032
Windows 5.1.2600 Service Pack 2
21:40:44 08.08.2008
mbam-log-8-8-2008 (21-40-44).txt
Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 169921
Laufzeit: 1 hour(s), 52 minute(s), 32 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 11
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rhccqkj0e14j (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\rhccqkj0e14j (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\uninstall (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\wkey (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\mwc (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\smrhccqkj0e14j (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\rhccqkj0e14j (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\rhccqkj0e14j\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\rhccqkj0e14j\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\rhccqkj0e14j\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\rhccqkj0e14j\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\rhccqkj0e14j\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\rhccqkj0e14j\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\rhccqkj0e14j\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\rhccqkj0e14j\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\rhccqkj0e14j\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\rhccqkj0e14j\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully.
Infizierte Dateien:
C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk (Rogue.Antivirus2008) -> Quarantined and deleted successfully.
Kann nur nicht unendlich den Post ziehen und darf ja nicht auf meinen eigenen Antworten :/