Probleme mit Viren und Trojanern |
||
---|---|---|
#0
| ||
21.08.2008, 10:25
...neu hier
Beiträge: 5 |
||
|
||
21.08.2008, 11:05
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo Balou
>> Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log: http://virus-protect.org/artikel/tools/malwarebytes.html >> Wende Combofix an (Warnmeldung wegklicken) und poste das Log: http://www.virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.08.2008, 14:17
...neu hier
Themenstarter Beiträge: 5 |
#3
hallo Sabrina
hier das Logfile von Malware. combofix lässt sich nicht ausführen. Meldung you can not rename combofix as combofix 1. Please use another name... Proaktiver schutz von kapersky meldet "hidden install" Vielen Dank für deine Mühe MfG voraus Malwarebytes' Anti-Malware 1.25 Datenbank Version: 1075 Windows 5.1.2600 Service Pack 2 14:00:07 21.08.2008 mbam-log-08-21-2008 (14-00-05).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 147431 Laufzeit: 1 hour(s), 49 minute(s), 23 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 2 Infizierte Registrierungsschlüssel: 19 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 0 Infizierte Dateien: 17 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: C:\WINDOWS\system32\awtQJbXr.dll (Trojan.Vundo.H) -> No action taken. C:\WINDOWS\system32\fccaxWNd.dll (Trojan.Vundo) -> No action taken. Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{661778f7-cdda-4611-99b0-43245c7e971d} (Trojan.Vundo.H) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fccaxwnd (Trojan.Vundo.H) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{661778f7-cdda-4611-99b0-43245c7e971d} (Trojan.Vundo.H) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d4698964-c4e0-4ffc-a12c-dda17f5b43e2} (Trojan.Vundo.H) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{d4698964-c4e0-4ffc-a12c-dda17f5b43e2} (Trojan.Vundo.H) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\{5222008a-dd62-49c7-a735-7bd18ecc7350} (Rogue.VirusRemover) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\{65de966d-11d1-4bb1-bf7e-b8a273514daf} (Trojan.FakeAlert) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\PCPrivacyCleaner (Rogue.PCPrivacyCleaner) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\AntiSpywareExpert (Rogue.AntiSpywareExpert) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> No action taken. HKEY_CLASSES_ROOT\vwsrfton.bmaf (Trojan.FakeAlert) -> No action taken. HKEY_CLASSES_ROOT\vwsrfton.toolbar.1 (Trojan.FakeAlert) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> No action taken. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{661778f7-cdda-4611-99b0-43245c7e971d} (Trojan.Vundo) -> No action taken. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\awtqjbxr -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\awtqjbxr -> No action taken. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\fccaxWNd.dll (Trojan.Vundo.H) -> No action taken. C:\WINDOWS\system32\awtQJbXr.dll (Trojan.Vundo.H) -> No action taken. C:\WINDOWS\system32\rXbJQtwa.ini (Trojan.Vundo.H) -> No action taken. C:\WINDOWS\system32\rXbJQtwa.ini2 (Trojan.Vundo.H) -> No action taken. C:\WINDOWS\system32\ejsqwdea.dll (Trojan.Vundo.H) -> No action taken. C:\WINDOWS\system32\aedwqsje.ini (Trojan.Vundo.H) -> No action taken. C:\WINDOWS\system32\aedwqsje.ini2 (Trojan.Vundo.H) -> No action taken. C:\Dokumente und Einstellungen\Heike Hirche\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Y3UW7JFA\kb767887[1] (Trojan.Vundo) -> No action taken. C:\Dokumente und Einstellungen\Heike Hirche\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZSON7DP3\kb456456[1] (Trojan.Vundo.H) -> No action taken. C:\System Volume Information\_restore{26F25519-1DC7-4E32-8312-A4F988E316A9}\RP419\A0169850.dll (Trojan.Vundo) -> No action taken. C:\System Volume Information\_restore{26F25519-1DC7-4E32-8312-A4F988E316A9}\RP419\A0169923.dll (Trojan.Vundo) -> No action taken. C:\WINDOWS\system32\hgGwWQhh.dll (Trojan.Vundo) -> No action taken. C:\WINDOWS\system32\htwbpwwo.dll (Trojan.Vundo) -> No action taken. C:\WINDOWS\system32\qzltsy.dll (Trojan.Vundo) -> No action taken. C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> No action taken. C:\WINDOWS\cookies.ini (Malware.Trace) -> No action taken. C:\Dokumente und Einstellungen\Torsten Hirche\Anwendungsdaten\TmpRecentIcons\PCPrivacyCleaner.lnk (Rogue.Link) -> No action taken. l" |
|
|
||
21.08.2008, 14:29
Ehrenmitglied
Beiträge: 6028 |
#4
Rechtsklick auf http://download.bleepingcomputer.com/sUBs/ComboFix.exe 'Speichern unter' auf dem Desktop.
__________ MfG Argus |
|
|
||
21.08.2008, 14:40
Ehrenmitglied
Beiträge: 29434 |
#5
bevor du die Combofix wie beschrieben anwendest, lasse Malwarebytes alles gefundene entfernen
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.08.2008, 17:16
...neu hier
Themenstarter Beiträge: 5 |
#6
Hallo Sabrina, die Nachricht mit der Malware konnte ich nicht meehr realiesieren, da lief Combofix schon. Es scheint, als ob mein Pc wieder so laüft wie vor der Virenattacke. MfG Balou ComboFix 08-08-19.06 - Torsten Hirche 2008-08-21 15:06:13.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.196 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Torsten Hirche\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt [color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color] . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\Heike Hirche\Cookies\heike_hirche@ads.heias[1].txt C:\Dokumente und Einstellungen\Heike Hirche\Cookies\heike_hirche@indextools[1].txt C:\Dokumente und Einstellungen\Heike Hirche\Lokale Einstellungen\Temporary Internet Files\webex.ini C:\WINDOWS\cookies.ini C:\WINDOWS\system32\aedwqsje.ini C:\WINDOWS\system32\aedwqsje.ini2 C:\WINDOWS\system32\aedwqsje.tmp C:\WINDOWS\system32\awtQJbXr.dll C:\WINDOWS\system32\ejsqwdea.dll C:\WINDOWS\system32\fccaxWNd.dll C:\WINDOWS\system32\hgGwWQhh.dll C:\WINDOWS\system32\htwbpwwo.dll C:\WINDOWS\system32\mcrh.tmp C:\WINDOWS\system32\MSINET.oca C:\WINDOWS\system32\pvoypbno.ini C:\WINDOWS\system32\qzltsy.dll C:\WINDOWS\system32\rXbJQtwa.ini C:\WINDOWS\system32\rXbJQtwa.ini2 C:\WINDOWS\system32\xyhqddmy.ini C:\WINDOWS\system32\yufecwej.ini . ((((((((((((((((((((((( Dateien erstellt von 2008-07-21 bis 2008-08-21 )))))))))))))))))))))))))))))) . 2008-08-21 11:15 . 2008-08-21 11:16 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-08-21 11:15 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-08-21 11:15 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-08-21 02:13 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-08-21 02:13 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-08-21 02:13 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe 2008-08-21 02:13 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-08-21 02:13 . 2008-08-14 21:52 82,432 --a------ C:\WINDOWS\system32\IEDFix.C.exe 2008-08-21 02:13 . 2008-08-18 12:19 82,432 --a------ C:\WINDOWS\system32\404Fix.exe 2008-08-21 02:13 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-08-21 02:13 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-08-21 02:13 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2008-08-21 02:10 . 2008-08-21 02:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo! Companion 2008-08-21 01:53 . 2008-08-21 01:53 <DIR> d-------- C:\Programme\Yahoo! 2008-08-21 01:53 . 2008-08-21 01:54 <DIR> d-------- C:\Programme\CCleaner 2008-08-21 01:04 . 2008-08-21 01:04 <DIR> d-------- C:\Programme\Trend Micro 2008-08-20 20:24 . 2008-08-20 20:24 <DIR> d-------- C:\Dokumente und Einstellungen\Torsten Hirche\Anwendungsdaten\Malwarebytes 2008-08-20 20:23 . 2008-08-20 20:23 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-08-20 17:54 . 2008-08-20 17:54 <DIR> d-------- C:\Dokumente und Einstellungen\Heike Hirche\Anwendungsdaten\TuneUp Software 2008-08-20 15:54 . 2008-08-20 15:54 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator.TORSTENHIRCHE\Eigene Dateien 2008-08-20 15:50 . 2008-08-20 15:50 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator.TORSTENHIRCHE\Vorlagen 2008-08-20 15:50 . 2007-09-25 19:24 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator.TORSTENHIRCHE\Startmen 2008-08-20 15:50 . 2008-08-21 16:26 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator.TORSTENHIRCHE\Lokale Einstellungen 2008-08-20 15:50 . 2008-08-20 15:50 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator.TORSTENHIRCHE\Favoriten 2008-08-20 15:50 . 2008-08-20 15:54 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator.TORSTENHIRCHE\Anwendungsdaten 2008-08-20 15:50 . 2008-08-20 15:54 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator.TORSTENHIRCHE 2008-08-20 15:12 . 2008-08-21 02:23 3,680 --a------ C:\WINDOWS\system32\tmp.reg 2008-08-20 09:27 . 2008-08-20 12:55 <DIR> d-------- C:\Programme\Fighters 2008-08-20 09:27 . 2008-08-20 09:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Fighters 2008-08-20 09:01 . 2008-08-20 09:06 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-08-19 23:14 . 2008-08-19 23:14 <DIR> d-------- C:\Programme\Gemeinsame Dateien\BDElster 2008-08-19 20:02 . 2008-08-19 22:24 2,560 --a------ C:\WINDOWS\system32\drivers\mchInjDrv.sys 2008-08-18 11:00 . 2008-08-18 11:39 96,976 --a------ C:\WINDOWS\system32\drivers\klin.dat 2008-08-18 11:00 . 2008-08-18 11:39 87,855 --a------ C:\WINDOWS\system32\drivers\klick.dat 2008-08-18 10:48 . 2008-08-18 10:48 <DIR> d-------- C:\Programme\Kaspersky Lab 2008-08-18 10:48 . 2008-08-21 09:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2008-08-18 10:48 . 2008-08-21 16:53 4,917,280 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat 2008-08-18 10:48 . 2008-08-21 16:49 66,380 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx 2008-08-18 10:48 . 2008-08-21 16:51 47,392 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat 2008-08-18 10:48 . 2008-08-21 16:49 5,396 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx 2008-08-18 09:43 . 2008-08-18 09:43 <DIR> d-------- C:\WINDOWS\DA15D5355E1D4076B5208571346D6238.TMP 2008-08-17 16:21 . 2008-08-19 17:31 <DIR> d-------- C:\Dokumente und Einstellungen\Torsten Hirche\Anwendungsdaten\skypePM 2008-08-17 14:34 . 2008-08-17 14:34 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TuneUp Software 2008-08-17 14:25 . 2008-08-17 14:25 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2008-08-17 14:25 . 2008-08-21 16:26 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2008-08-17 14:25 . 2008-08-17 14:28 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2008-08-17 14:25 . 2008-08-17 16:19 <DIR> d---s---- C:\Dokumente und Einstellungen\Administrator 2008-08-16 10:56 . 2008-08-16 10:56 303 --a------ C:\WINDOWS\ST6UNST.002 2008-08-16 10:15 . 2008-08-16 10:15 303 --a------ C:\WINDOWS\ST6UNST.001 2008-08-16 10:13 . 2008-08-16 10:13 303 --a------ C:\WINDOWS\ST6UNST.000 2008-08-15 20:49 . 2008-08-17 11:02 <DIR> d-------- C:\Dokumente und Einstellungen\Torsten Hirche\Anwendungsdaten\skypePM(2) 2008-08-05 21:04 . 2008-08-06 22:37 <DIR> d-------- C:\WINDOWS\system32\CatRoot_bak . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-20 20:44 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater 2008-08-20 15:56 --------- d-----w C:\Dokumente und Einstellungen\Heike Hirche\Anwendungsdaten\Skype 2008-08-20 14:47 --------- d-----w C:\Dokumente und Einstellungen\Heike Hirche\Anwendungsdaten\skypePM 2008-08-19 22:18 --------- d-----w C:\Dokumente und Einstellungen\Torsten Hirche\Anwendungsdaten\Skype 2008-08-19 20:32 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-08-17 14:23 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared 2008-08-17 12:40 --------- d-----w C:\Programme\TuneUp Utilities 2007 2008-08-15 20:18 --------- d-----w C:\Programme\Ashampoo 2008-07-03 22:06 --------- d-----w C:\Dokumente und Einstellungen\Torsten Hirche\Anwendungsdaten\foobar2000 2008-07-02 19:14 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kodak 2008-06-26 22:42 --------- d-----w C:\Programme\Microsoft ActiveSync 2007-10-22 15:07 552,960 ----a-w C:\Programme\lame.exe 2005-12-17 20:47 6,464 ----a-w C:\Programme\ReadMe.txt 2005-09-03 11:56 37 ----a-w C:\Dokumente und Einstellungen\Torsten Hirche\getfile.dat 2003-02-28 11:32 11,776 ----a-w C:\WINDOWS\inf\dt1054dataoem_wxp.exe 2002-11-14 21:32 55,808 ----a-w C:\WINDOWS\inf\devcon1054data.exe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-23 19:42 68856] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2005-01-28 16:31 98304] "AudioDeck"="C:\Programme\VIAudioi\SBADeck\ADeck.exe" [2004-09-30 08:44 7957504] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-03-24 11:04 3309568] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] --a------ 2004-03-24 11:04 3309568 C:\WINDOWS\system32\nvcpl.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Nero\\Nero 7\\Nero ShowTime\\ShowTime.exe"= "C:\\Programme\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\WINDOWS\\system32\\usmt\\migwiz.exe"= "C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application "C:\\Programme\\Skype\\Phone\\Skype.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service R1 mchInjDrv;madCodeHook DLL injection driver;C:\WINDOWS\system32\Drivers\mchInjDrv.sys [2008-08-19 22:24] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 01:58] R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 14:28] R3 SNP2STD;USB2.0 PC Camera (SNP2STD);C:\WINDOWS\system32\DRIVERS\snp2sxp.sys [2006-12-08 13:57] R3 TDslMgrService;DSL-Manager;C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe [2007-11-26 15:50] R3 TSMPacket;DSL-Manager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys [2007-06-26 12:53] S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\dsltestSp5.sys [2007-09-12 18:24] S3 efipsk;efipsk;C:\DOKUME~1\TORSTE~1\LOKALE~1\Temp\efipsk.sys [] S3 SetupNTGLM7X;SetupNTGLM7X;D:\NTGLM7X.sys [] S3 teamviewervpn;TeamViewer VPN Adapter;C:\WINDOWS\system32\DRIVERS\teamviewervpn.sys [2008-01-25 11:12] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Inhalt des "geplante Tasks" Ordners 2008-08-15 C:\WINDOWS\Tasks\1-Klick-Wartung.job - C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe [2007-04-26 21:08] . . ------- Zus„tzlicher Scan ------- . O8 -: Add to AMV Converter... - C:\Programme\MP3 Player Utilities 4.13\AMVConverter\grab.html O8 -: MediaManager tool grab multimedia file - C:\Programme\MP3 Player Utilities 4.13\MediaManager\grab.html . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-21 16:51:41 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Weitere, laufende Prozesse ------------------------ . C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\T-Online\DSL-Manager\DslMgr.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-08-21 17:01:14 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2008-08-21 15:01:05 Pre-Run: 9 Verzeichnis(se), 37,082,783,744 Bytes frei Post-Run: 12 Verzeichnis(se), 37,467,250,688 Bytes frei 182 --- E O F --- 2008-07-09 19:41:50 |
|
|
||
21.08.2008, 17:27
Ehrenmitglied
Beiträge: 6028 |
#7
CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK OTMoveIt.exe Download OTMoveIt2 zum Desktop Starte OTMoveIt und klicke den CleanUp! button Begin cleanup process? klicke: Yes. - "Do you want to reboot?" klicke Yes so wird von OTMoveIt2 automatisch alles an Tools entfernt, die zur Virenreinigung geladen wurden. http://virus-protect.org/artikel/tools/otmoveIt.html __________ MfG Argus |
|
|
||
21.08.2008, 17:31
...neu hier
Themenstarter Beiträge: 5 |
#8
Ist jetzt alles wieder ok oder kann man noch was tun
Mfg Balou |
|
|
||
21.08.2008, 18:07
Ehrenmitglied
Beiträge: 6028 |
#9
Es ist sehr wichtig dein System up-to-date zu halten
Und klicke nicht auf E-mails über Britney Spears und Paris Hilton __________ MfG Argus |
|
|
||
21.08.2008, 18:19
...neu hier
Themenstarter Beiträge: 5 |
#10
Es ist echt super, daß ihr mir so verdammt schnell und unkompliziert geholfen habt. SUPER !!!!!!!! Vielen Dank MfG Balou
|
|
|
||
Scan saved at 09:55:38, on 21.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\VIAudioi\SBADeck\ADeck.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\T-Online\DSL-Manager\DslMgr.exe
C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Add to AMV Converter... - C:\Programme\MP3 Player Utilities 4.13\AMVConverter\grab.html
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\ie_banner_deny.htm
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programme\MP3 Player Utilities 4.13\MediaManager\grab.html
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\SCIEPlgn.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .avi: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106920481828
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Kaspersky Security Suite CBE (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe
--SmitFraudFix v2.338
Scan done at 2:13:25,54, 21.08.2008
Run from C:\Dokumente und Einstellungen\Torsten Hirche\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\VIAudioi\SBADeck\ADeck.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\T-Online\DSL-Manager\DslMgr.exe
C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe
C:\Programme\CCleaner\CCleaner.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Torsten Hirche
»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Torsten Hirche\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Start Menu
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\TORSTE~1\FAVORI~1
»»»»»»»»»»»»»»»»»»»»»»»» Desktop
»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme
»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys
»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» RK
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: VIA Rhine II Fast Ethernet Adapter - Paketplaner-Miniport
DNS Server Search Order: 192.168.2.1
Description: Sinus 1054 data #3 - Paketplaner-Miniport
DNS Server Search Order: 192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{C63631E2-A5A4-4CCD-83C2-1FB047753A30}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{C99EF27A-579D-4B3E-9272-23F7B5BFF7AA}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C63631E2-A5A4-4CCD-83C2-1FB047753A30}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C99EF27A-579D-4B3E-9272-23F7B5BFF7AA}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{E07B3D64-4269-4912-AEC6-A014247B34AA}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{C63631E2-A5A4-4CCD-83C2-1FB047753A30}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{C99EF27A-579D-4B3E-9272-23F7B5BFF7AA}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{C63631E2-A5A4-4CCD-83C2-1FB047753A30}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{C99EF27A-579D-4B3E-9272-23F7B5BFF7AA}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection
»»»»»»»»»»»»»»»»»»»»»»»» End
[/b]