C:\WINDOWS\system32\rundll.exe problem |
||
|---|---|---|
| #0
| ||
|
11.08.2008, 09:23
...neu hier
Beiträge: 4 |
||
 
|
|
|
|
11.08.2008, 10:39
Moderator
Beiträge: 5694 |
#2
Hallo Gozu
Arbeite einmal folgendes ab und poste die Logs: http://board.protecus.de/t23188.htm Gruss Swiss |
|
|
|
|
|
|
11.08.2008, 23:57
...neu hier
Themenstarter Beiträge: 4 |
#3
0k, danke erstmal für die schnelle Antwort : )
em..CCleaner hab ich angewendet, bei dem Scan mit malwarebytes is folgendes zustande gekommen: Malwarebytes' Anti-Malware 1.24 Datenbank Version: 1042 Windows 5.1.2600 Service Pack 2 23:18:07 11.08.2008 mbam-log-8-11-2008 (23-18-07).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 112023 Laufzeit: 1 hour(s), 28 minute(s), 41 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 35 Infizierte Registrierungswerte: 13 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 1 Infizierte Dateien: 52 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\CLSID\{24e9519b-3f70-429b-99bc-4b2b49b96f66} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{0a0fc1a4-41d4-4793-9ac5-0b55cdc95ae9} (Trojan.Zlob) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{14f47ca3-2291-4b3e-9ed4-8c7e6ae80851} (Trojan.Zlob) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{2447284f-3590-4e8c-a869-049bd87cad07} (Trojan.Zlob) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{38eeef46-ca24-4aca-a90d-540978df7252} (Trojan.Zlob) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{3d5e5ae1-5ded-4520-bdc2-b9292ea708ca} (Trojan.Zlob) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{409a05ef-1b48-4198-b6bf-993b8b52790c} (Trojan.Zlob) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{47a93011-1004-440c-9960-bd3b0348a7c2} (Trojan.Zlob) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{50b388d5-4a80-4191-8bcc-5dd031d7f3ee} (Trojan.Zlob) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{58a1ace6-0dba-45d2-8154-e8253a7b87bb} (Trojan.Zlob) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{73d25394-992f-43d1-bf92-48494cc0d1ae} (Trojan.Zlob) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{7d2a83a4-0687-4704-937e-a29045826f77} (Trojan.Zlob) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{a7fe54b2-b167-4017-bccc-cf73b2f678e3} (Trojan.Zlob) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{c183b073-2d7f-45bc-8967-80147cecee45} (Trojan.Zlob) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{f6fdbf9a-19a7-4f0a-9f46-6f015a067b44} (Trojan.Zlob) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{f90a7969-20a0-4257-b39d-9c73d64ce3b0} (Trojan.Zlob) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{fa38f299-57f8-4feb-9096-715460ae943c} (Trojan.Zlob) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Typelib\{de6ae29a-eb7d-4656-9418-26d5fcc9adf5} (Trojan.Zlob) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{3BC3AC5B-3BBB-9DBE-8166-EC650E3B9B48} (Trojan.Zlob) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\aldd (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\MS Juan (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\jkwslist (Malware.Trace) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Juan (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Online Add-on (Trojan.Zlob) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bm1bf705dd (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{24e9519b-3f70-429b-99bc-4b2b49b96f66} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{75a65a53-15c9-4a0c-bb40-a7ca8b24f544} (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autoload (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autoload (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ntuser (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ntuser (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\host-domain-lookup.com (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\mysearchnow.com (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\www.host-domain-lookup.com (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\www.mysearchnow.com (Malware.Trace) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\start (Trojan.Zlob) -> Quarantined and deleted successfully. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autoload (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule\ImagePath (Hijack.Service) -> Bad: (C:\WINDOWS\system32\drivers\spools.exe) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: C:\Programme\Video Add-on (Trojan.Zlob) -> Quarantined and deleted successfully. Infizierte Dateien: C:\WINDOWS\system32\toatouui.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\LocalService\ftp34.dll (Trojan.DNSChanger) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{49952436-4EF2-4B4B-9AA7-AD0A69DC3F87}\RP144\A0359547.dll (Trojan.AVKiller) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{49952436-4EF2-4B4B-9AA7-AD0A69DC3F87}\RP144\A0359548.dll (Trojan.AVKiller) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{49952436-4EF2-4B4B-9AA7-AD0A69DC3F87}\RP144\A0359549.dll (Trojan.AVKiller) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{49952436-4EF2-4B4B-9AA7-AD0A69DC3F87}\RP144\A0359550.dll (Trojan.AVKiller) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{49952436-4EF2-4B4B-9AA7-AD0A69DC3F87}\RP144\A0359551.dll (Trojan.AVKiller) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{49952436-4EF2-4B4B-9AA7-AD0A69DC3F87}\RP144\A0359552.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{49952436-4EF2-4B4B-9AA7-AD0A69DC3F87}\RP144\A0359553.dll (Trojan.AVKiller) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{49952436-4EF2-4B4B-9AA7-AD0A69DC3F87}\RP146\A0369951.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{49952436-4EF2-4B4B-9AA7-AD0A69DC3F87}\RP159\A0397580.dll (Trojan.DNSChanger) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{49952436-4EF2-4B4B-9AA7-AD0A69DC3F87}\RP159\A0397583.dll (Trojan.DNSChanger) -> Quarantined and deleted successfully. C:\Programme\Video Add-on\ot.ico (Trojan.Zlob) -> Quarantined and deleted successfully. C:\Programme\Video Add-on\ts.ico (Trojan.Zlob) -> Quarantined and deleted successfully. C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Rene\cftmon.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\Fonts\astigma.zip (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\Fonts\blasphemy.zip (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\Fonts\especialkay.zip (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\Fonts\goodbye.zip (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\Fonts\huskystash.zip (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\Fonts\junglestandard.zip (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\Fonts\kingarthur.zip (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\Fonts\maize.zip (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\Fonts\medusa.zip (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\Fonts\nakedmonk.zip (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\Fonts\newbrilliant.zip (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\Fonts\oldenglish.zip (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\Fonts\pckeys.zip (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\Fonts\peon.zip (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\Fonts\pianissimo.zip (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\Fonts\pleiades.zip (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\Fonts\pokemon.zip (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\Fonts\pricedown.zip (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\Fonts\punchlabel.zip (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\Fonts\quake.zip (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\Fonts\quickexpress.zip (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\Fonts\refluxed.zip (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\Fonts\rhesus.zip (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\Fonts\rocky.zip (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\Fonts\simpson.zip (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\Fonts\valium.zip (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\Fonts\ventilate.zip (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\Fonts\villain.zip (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\Fonts\writers.zip (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\Fonts\xband.zip (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\pskt.ini (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\BM1bf705dd.xml (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\BM1bf705dd.txt (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Rene\Lokale Einstellungen\Temp\BNeF.tmp (Trojan.Agent) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\LocalService\cftmon.exe (Trojan.Agent) -> Quarantined and deleted successfully. ComboFix ergab: ComboFix 08-08-10.05 - Rene 2008-08-11 23:29:14.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.219 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Rene\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt [color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color] . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\Rene\file.exe C:\WINDOWS\system32\dtseifem.ini C:\WINDOWS\system32\fflnpngp.ini C:\WINDOWS\system32\fikuutjt.ini C:\WINDOWS\system32\ftprwukd.dll C:\WINDOWS\system32\grtqlrpt.ini C:\WINDOWS\system32\kwmmvjcx.ini C:\WINDOWS\system32\nmgujdrl.dll C:\WINDOWS\system32\NUFegMoq.ini C:\WINDOWS\system32\NUFegMoq.ini2 C:\WINDOWS\system32\VxFPAcfe.ini C:\WINDOWS\system32\VxFPAcfe.ini2 C:\WINDOWS\system32\xyqdjbrl.ini . ((((((((((((((((((((((( Dateien erstellt von 2008-07-11 bis 2008-08-11 )))))))))))))))))))))))))))))) . 2008-08-11 23:22 . 2008-08-11 23:22 <DIR> d-------- C:\Dokumente und Einstellungen\Rene\Anwendungsdaten\Skype 2008-08-11 21:27 . 2008-08-11 21:27 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-08-11 21:27 . 2008-08-11 21:27 <DIR> d-------- C:\Dokumente und Einstellungen\Rene\Anwendungsdaten\Malwarebytes 2008-08-11 21:27 . 2008-08-11 21:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-08-11 21:27 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-08-11 21:27 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-08-11 21:00 . 2008-08-11 21:00 <DIR> d-------- C:\Programme\CCleaner 2008-08-11 09:06 . 2008-08-11 09:06 <DIR> d-------- C:\Programme\Trend Micro 2008-08-09 19:43 . 2008-08-09 19:43 0 --a------ C:\WINDOWS\WoWEmuHackSettings.ini 2008-08-08 00:36 . 2008-08-08 00:36 <DIR> d-------- C:\Programme\MobMapUpdater 2008-08-04 15:24 . 2008-08-04 15:24 268 --ah----- C:\sqmdata14.sqm 2008-08-04 15:24 . 2008-08-04 15:24 244 --ah----- C:\sqmnoopt14.sqm 2008-07-23 15:17 . 2008-07-23 15:17 <DIR> d-------- C:\Programme\Skype 2008-07-23 15:17 . 2008-07-23 15:17 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype 2008-07-23 15:16 . 2008-07-23 15:17 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype 2008-07-17 18:43 . 2008-07-17 18:45 <DIR> d-------- C:\Dokumente und Einstellungen\Rene\Anwendungsdaten\UseNeXT . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-11 21:38 11,664,160 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat 2008-08-11 21:37 238,112 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat 2008-08-11 21:36 23,348 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx 2008-08-11 21:36 157,244 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2008-08-11 21:27 --------- d-----w C:\Dokumente und Einstellungen\Rene\Anwendungsdaten\slow amen 2008-08-11 21:21 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2008-08-10 17:24 --------- d-----w C:\Dokumente und Einstellungen\Rene\Anwendungsdaten\teamspeak2 2008-07-17 11:26 --------- d-----w C:\Programme\World of Warcraft 2008-07-01 15:03 --------- d-----w C:\Programme\Diablo II 2008-06-27 12:15 --------- d-----w C:\Programme\Gemeinsame Dateien\DVDVideoSoft 2008-06-17 21:38 --------- d-----w C:\Programme\Winamp 2008-06-17 21:38 --------- d-----w C:\Programme\ICQToolbar 2008-06-17 21:38 --------- d-----w C:\Programme\DivX 2008-06-15 13:20 --------- d-----w C:\Programme\iTunes 2008-05-13 10:34 82,944 ----a-w C:\WINDOWS\system32\ws2_32.dll 2007-09-26 17:05 2,529,168 ----a-w C:\WINDOWS\inf\SET68.tmp 2008-02-03 21:31 848 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys . ------- Sigcheck ------- 2008-05-13 12:34 82944 4c023692c0822fc15e75f5025c01d321 C:\WINDOWS\system32\ws2_32.dll 2004-08-04 14:00 82944 d569240a22421d5f670bb6fb6dd522b5 C:\WINDOWS\system32\dllcache\ws2_32.dll 2007-07-23 18:24 507392 db37d307003055ed09711cb3417814c7 C:\WINDOWS\system32\winlogon.exe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "bodysave"="C:\DOKUME~1\Rene\ANWEND~1\SLOWAM~1\Blahfrag.exe" [2008-08-11 23:45 493056] "msnmsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 11:34 5724184] "Skype"="C:\Programme\Skype\Phone\Skype.exe" [2008-05-30 15:54 21718312] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-06-29 00:43 8466432] "AVP"="C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" [2007-06-20 13:04 218376] "memo site kind that"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grid Blue Memo Site\readme bone.exe" [2008-08-11 23:46 585728] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360] [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Authentication Packages REG_MULTI_SZ msv1_0 nwprovau [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\ICQ6\\ICQ.exe"= "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "C:\\Programme\\Bonjour\\mDNSResponder.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= R2 CAPI20;Eumex 220PC;C:\WINDOWS\system32\drivers\capi20.sys [2005-02-24 15:24] R2 DETEWECP;Telekom CapiPort;C:\WINDOWS\system32\drivers\detewecp.sys [2005-02-07 15:01] R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-04-04 14:58] R3 ulisa;Telekom ISDN-Adapter (USB);C:\WINDOWS\system32\Drivers\ulisa.sys [2005-02-21 16:31] S3 dtwmnic5;Telekom T-Eumex 520PC;C:\WINDOWS\system32\DRIVERS\dtwmnic5.sys [] S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 15:18] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9d3f9b63-c298-11dc-9903-cbc5a797d6bc}] \Shell\AutoRun\command - G:\ \Shell\open\Command - .\autorun.exe explore . Inhalt des "geplante Tasks" Ordners 2008-08-11 C:\WINDOWS\Tasks\ACE0A5D5918B57E1.job - c:\dokume~1\rene\anwend~1\slowam~1\Mode mix internet.exe [2008-08-11 23:46] 2008-05-09 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 14:57] . - - - - Entfernte verwaiste Registrierungseintr„ge - - - - Notify-yayaBRhg - (no file) . ------- Zus„tzlicher Scan ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\Rene\Anwendungsdaten\Mozilla\Firefox\Profiles\dec2tbia.default\ ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-11 23:37:47 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Weitere, laufende Prozesse ------------------------ . C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Internet Explorer\iexplore.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-08-11 23:48:49 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2008-08-11 21:48:41 Pre-Run: 6,706,315,264 Bytes frei Post-Run: 22 Verzeichnis(se), 10,398,740,480 Bytes frei 145 &Hijackthis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:53:27, on 11.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\explorer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\Rene\Desktop\HJT\HJT.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [memo site kind that] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grid Blue Memo Site\readme bone.exe O4 - HKCU\..\Run: [bodysave] C:\DOKUME~1\Rene\ANWEND~1\SLOWAM~1\Blahfrag.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 3723 bytes ... das mit dem 'datfind' hab ich nich ganz gerafft de manchmal überhaupt keine 3 monate zustande kommen 0o ich mach das mal als anhang, sry hab echt keine ahnung wie des gemeint ist :O achja..wenn ich den TaskManager aufmach..steht bei anwendungen 'Rene' iexplore.exe = auslastung 99 & nocmal iexplore.exe was meine cpu auslastung permanent auf 100% hochschießt woran liegt das oder ist das ein problem? oder wie oder was  sry wenn ich so viel frage aber ich denke..wer nicht fragt bleibt dumm..  Mfg Gozu Anhang: datfind.txt Dieser Beitrag wurde am 12.08.2008 um 00:05 Uhr von Gozu editiert.
|
|
|
|
|
|
|
12.08.2008, 01:08
Ehrenmitglied
 Beiträge: 6028 |
#4
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei Zitat O4 - HKLM\..\Run: [memo site kind that] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grid Blue Memo Site\readme bone.exeklicke: Fix checked Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst LOP-uninstall Download LOP-uninstall zum Desktop Führe bei “Uninstall verification“ die siebenstellige Zahl ein und klicke “Uninstall“ Klicke bei “Legal notice” ok Schließe alle Fenster und klicke ok Warte…..und klicke bei “Uninstall complete for all users “ok Download Deljob.exe zum Desktop Doppelklick: Deljob.exe Ein logfile wird sich öffnen (logit.txt) Kopiere den Inhalt des Berichts “logit.txt“in diesen Thread __________ MfG Argus |
|
|
|
|
|
|
12.08.2008, 02:04
...neu hier
Themenstarter Beiträge: 4 |
#5
So,
logit: -------------------------------------------------------- No LOP job-files found -------------------------------------------------------- Files in Windows Tasks folder AppleSoftwareUpdate.job -------------------------------------------------------- Export App Data folders -------------------------------------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 18C4-36EE Verzeichnis von C:\Dokumente und Einstellungen\Rene\Anwendungsdaten 12.08.2008 02:03 <DIR> . 12.08.2008 02:03 <DIR> .. 02.02.2008 23:54 <DIR> Adobe 09.05.2008 18:33 <DIR> APPLEC~1 Apple Computer 18.01.2008 15:45 <DIR> DivX 20.05.2008 23:19 <DIR> GETRIG~1 GetRightToGo 06.04.1980 20:25 <DIR> Google 26.03.2008 19:56 <DIR> gtk-2.0 25.06.2007 16:31 <DIR> Help 24.11.2007 17:43 <DIR> ICQ 04.11.2007 19:29 <DIR> ICQTOO~1 ICQ Toolbar 03.11.2007 18:12 <DIR> ICQLite 23.06.2007 20:53 <DIR> IDENTI~1 Identities 04.11.2007 03:24 <DIR> INSTAL~1 InstallShield 27.03.2008 16:26 <DIR> LimeWire 23.06.2007 21:31 <DIR> MACROM~1 Macromedia 11.08.2008 21:27 <DIR> MALWAR~1 Malwarebytes 21.03.2008 21:15 <DIR> MICROS~1 Microsoft 24.06.2007 00:41 <DIR> MICROS~2 Microsoft Web Folders 12.08.2008 01:55 <DIR> Mozilla 23.06.2007 23:12 <DIR> OPENOF~1.ORG OpenOffice.org2 10.11.2007 20:31 <DIR> Opera 23.06.2007 22:42 <DIR> Sun 10.08.2008 19:24 <DIR> TEAMSP~1 teamspeak2 19.01.2008 15:05 <DIR> Teleca 17.07.2008 18:45 <DIR> UseNeXT 26.12.2007 03:00 <DIR> WinRAR 03.12.2007 16:33 <DIR> Xerox 0 Datei(en) 0 Bytes 28 Verzeichnis(se), 12.544.647.168 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 18C4-36EE Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten 12.08.2008 02:03 <DIR> . 12.08.2008 02:03 <DIR> .. 02.03.2008 17:51 <DIR> Adobe 09.05.2008 18:27 <DIR> Apple 09.05.2008 18:30 <DIR> APPLEC~1 Apple Computer 29.09.2007 14:18 <DIR> CanonBJ 09.04.1980 16:11 <DIR> EASYMA~1 EasyMalwareBlocker 26.01.2008 14:45 <DIR> Logishrd 26.01.2008 06:57 <DIR> Logitech 13.03.2008 22:17 <DIR> MAGIX 11.08.2008 21:27 <DIR> MALWAR~1 Malwarebytes 13.04.1980 02:28 <DIR> MESSEN~1 Messenger Plus! 13.04.1980 01:54 <DIR> MICROS~1 Microsoft 23.07.2008 15:17 <DIR> Skype 28.10.2007 06:49 <DIR> TEMP 26.01.2008 00:51 <DIR> WLINST~1 WLInstaller 0 Datei(en) 0 Bytes 16 Verzeichnis(se), 12.544.647.168 Bytes frei -------------------------------------------------------- All User Accounts -------------------------------------------------------- All Users Rene -------------------------------------------------------- Mfg Rene danke schonmal
|
|
|
|
|
|
|
12.08.2008, 08:49
Ehrenmitglied
Beiträge: 6028 |
#6
CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK Entferne auf C:\combofix.txt Entferne auf C:\ :\combofix Entferne auf C:\Deljob Papierkorb Lehren Systemwiederherstellung Info: http://virus-protect.org/systemwiederherstellung.html Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. - dann wieder aktivieren __________ MfG Argus |
|
|
|
|
|
|
12.08.2008, 11:07
...neu hier
Themenstarter Beiträge: 4 |
#7
jap, erledigt.
es scheint nun alles wieder einwanfrei zu funktionieren..fals ihr / du nicht das gegenteil behauptest ^^ ich bedanke mich jetzt schonmal: DANKE! : D habt mir viel ärger und eine formation meiner festplatte erspart x3 ; D weiter so jungs & mädels wie gesagt vielen, vielen Dank! Mfg Gozu / René (: |
|
|
|
|
|
|
12.08.2008, 11:12
Ehrenmitglied
Beiträge: 6028 |
||
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
- » rundll mit "sp" in C:\\Windows\Temp\se.dll werde ich nicht los!
- » C:\WINDOWS\Edit.exe -> Backdoor.SdBot.aad+C:\Windows\system32\rdriv.sys
- » Rundll Fehler Beim Windows Start !!! (NEWDOT - CLIENT STARTUP) ???
- » Mein Windows startet erst nach 5min i-net und zeigt einen RUNDLL fehler!
- » c:\windows\system32\taskeng.exe
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
ich hab vor einiger Zeit den bekannten Msn Virus / Trojaner mir eingefangen (so dumm wie ich bin..-.-)und ich glaube das es daran liegt das ich jetzt jede Anwendung die ich öffnen möchte, immerwieder mit einem pfad, sprich mit der 'Öffnen mit' funktion..em..öffnen muss.
Und sobald ich in der Systemsteuerung eine Anwendung öffnen möchte kommt folgender fehler:
C:\WINDOWS\system32\rundll.exe
Anwendung nicht gefunden
Hmz, also i.wie ist das ziemlich lästig denn ich müsste mal mein mikro zum laufen bringen da das über XP aus ist..
oder so ich brauch es einfach und hab keine lust XP zu formatieren also entweder es weis jemand einen Trick wie ich trozdem bei Systemsteuerung auf Sounds & Audiogeräte zugreifen kann, oder es erklärt mir jemand wie ich diesen virus oder was auch immer das ist von meinem computer löche. (ersteres wäre mir lieber)
Sry wegen meine unwissenheit bezüglich solchen sachen ich bemühe mich so präzise wie möglich zu sein, bitte um eine schnelle Antwort
Mfg Gozu