Windows Warning Message + Antivirus 2008 IE gehen nicht weg |
||
---|---|---|
#0
| ||
10.09.2008, 17:58
Member
Beiträge: 27 |
||
|
||
10.09.2008, 22:34
Ehrenmitglied
Beiträge: 6028 |
#62
Neben DrWeb Cureit gibt es auch ein tool von Kaspersky Remove Tool
Benutze die auch mal http://www.virus-protect.org/artikel/tools/kaspersky.html Und scanne mit Ewido Micro http://downloads.ewido.net/ewido_micro.exe __________ MfG Argus |
|
|
||
14.09.2008, 18:29
...neu hier
Beiträge: 3 |
#63
Hi
ich habe mir auch das "Windows warning message" malware eingefangen ausserdem erfolgt bei links in mozilla immer ein redirect zu werbeseite AntiVir hilft nicht weiter, findet zwar und löscht aber trotzdem diese bitmap als hintergrund und redirect HJT sagt: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:30:46, on 14.09.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16441) Boot mode: Normal Running processes: C:\Windows\System32\smss.exe C:\Windows\system32\winlogon.exe C:\Windows\system32\services.exe C:\Windows\system32\lsass.exe C:\Windows\system32\svchost.exe C:\Windows\System32\svchost.exe C:\Windows\system32\svchost.exe C:\Programme\Citrix\ICA Client\ssonsvr.exe C:\Windows\system32\spoolsv.exe C:\Windows\Explorer.EXE C:\Programme\COMPAQ\Easy Access Button Support\StartEAK.exe C:\Programme\Analog Devices\SoundMAX\Smtray.exe C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe C:\Windows\system32\PROMon.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Windows\system32\RUNDLL32.EXE C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\Programme\Creative\Shared Files\CTSched.exe C:\Windows\system32\lphcjmgj0enfl.exe C:\Windows\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\Programme\Compaq\Easy Access Button Support\CPQEADM.EXE C:\Compaq\EAKDRV\EAUSBKBD.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Windows\system32\nvsvc32.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\Windows\System32\svchost.exe c:\programme\antivir personaledition classic\avcenter.exe C:\Programme\AntiVir PersonalEdition Classic\avscan.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe C:\Programme\Malwarebytes\mbam.exe C:\Programme\HJT\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/0407/bl8.asp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {140BD8E3-C167-11D4-B4A3-080000180323} - (no file) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O4 - HKLM\..\Run: [IgfxTray] C:\Windows\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\System32\hkcmd.exe O4 - HKLM\..\Run: [CPQEASYACC] C:\Programme\COMPAQ\Easy Access Button Support\StartEAK.exe O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe O4 - HKLM\..\Run: [DrvLsnr] C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [CreativeTaskScheduler] "C:\Programme\Creative\Shared Files\CTSched.exe" /logon O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [lphcjmgj0enfl] C:\Windows\system32\lphcjmgj0enfl.exe O4 - HKLM\..\Run: [inrhcnmgj0enfl] C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\.ttC8.tmp.exe /CR=5F8C0875B49BA02BB503A8EC828A17BC3AB383287993C2D512AC3AFFD86083F644EFD271DE827CAFA48F8ECF9088C31B85A62A022F77505A0BF2C520F9A3849C3C9D41FDF499D9F8B564F20063B672131C O4 - HKCU\..\Run: [CTFMON.EXE] C:\Windows\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\Windows\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\Windows\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\Windows\System32\NMSSvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\Windows\system32\nvsvc32.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe -- End of file - 7965 bytes ich hoffe Ihr könnt mir weiter helfen |
|
|
||
14.09.2008, 21:10
Moderator
Beiträge: 5694 |
#64
kroete1982
>> cleaner anwenden http://www.virus-protect.org/ccleaner.html >> Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor dem genannten Eintrag bei Zitat O4 - HKLM\..\Run: [lphcjmgj0enfl] C:\Windows\system32\lphcjmgj0enfl.exeund wähle fix checked. >> mache einen Scan mit Malwarebytes - http://virus-protect.org/artikel/tools/malwarebytes.html vergiss nicht, Mbam vor dem ersten Suchlauf zu aktualisieren und alles entfernen zu lassen, was gefunden wird >> wende Combofix an - Warnmeldung wegklicken + poste den report http://virus-protect.org/artikel/tools/combofix.html Gruss Swiss |
|
|
||
15.09.2008, 00:08
...neu hier
Beiträge: 3 |
#65
Danke Dir
fixes bei HJT haben die Anvirus XP Malware entfernt mit Malwarebytes habe ich jetzt keine "offentsichtlichen" Probleme mehr habe nur einen Quickscan durchführen können, da sonst immer PC abstürzte, werde morgen nochmal komplett scanen: Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1152 Windows 5.1.2600 Service Pack 2 14.09.2008 23:59:49 mbam-log-2008-09-14 (23-59-49).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 49470 Laufzeit: 5 minute(s), 31 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 3 Infizierte Registrierungswerte: 4 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 0 Infizierte Dateien: 23 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot. C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\.tt4.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\.tt5.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\.tt6.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\.tt7.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\.tt8.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\.tt9.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\.ttA.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\.ttB.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\.ttC.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\.ttD.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\.ttE.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\.ttF.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\system32\blphcjmgj0enfl.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\system32\lphcjmgj0enfl.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\system32\phcjmgj0enfl.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully. Vielen Dank |
|
|
||
15.09.2008, 01:43
Moderator
Beiträge: 5694 |
||
|
||
15.09.2008, 13:30
Member
Beiträge: 27 |
#67
@ Arnold
Hab mit Kaspersky gescannt und es wurde wohl auch einiges noch gefunden und beseitigt (Report im Anhang). Ewido Micro lässt sich runterladen. Beim Ausführen zeigt das Programm aber immer einen Fehler. Bin ünrigens jetzt oft unterwegs. Schaue in jeder freien Minute ins Forum. Kann aber immer ein bisschen dauern! Anhang: Kaspersky.zip
|
|
|
||
15.09.2008, 14:01
...neu hier
Beiträge: 3 |
#68
@tonstudio, also für einen Laien wie mich sehe ich nichts malwareriges:
ComboFix 08-09-14.06 - Administrator 2008-09-15 13:45:12.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.639 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt [color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color] . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\inst.exe C:\test.txt C:\Windows\system32\a.exe . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_TDSSSERV -------\Service_TDSSserv ((((((((((((((((((((((( Dateien erstellt von 2008-08-15 bis 2008-09-15 )))))))))))))))))))))))))))))) . 2008-09-15 00:15 . 2008-09-15 00:15 710,702 --a------ C:\zbaszyn.bmp 2008-09-14 23:50 . 2008-09-14 23:51 <DIR> d-------- C:\Programme\Malwarebytes 2008-09-14 23:50 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-09-14 23:50 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-09-14 18:33 . 2008-09-14 18:33 <DIR> d-------- C:\Programme\CCleaner 2008-09-14 17:20 . 2008-09-14 17:20 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ppStream 2008-09-14 17:20 . 2008-09-14 17:23 381 --a------ C:\WINDOWS\psnetwork.ini 2008-09-14 17:18 . 2008-09-14 17:18 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Synacast 2008-09-14 17:18 . 2008-09-14 17:18 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PPMate 2008-09-14 15:26 . 2008-09-14 23:41 <DIR> d-------- C:\Programme\HJT 2008-09-14 15:22 . 2008-09-14 15:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-09-14 15:22 . 2008-09-14 15:22 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes 2008-08-26 23:21 . 2008-08-26 23:21 <DIR> d-------- C:\Programme\Real 2008-08-26 23:21 . 2008-08-28 20:53 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Real 2008-08-19 18:51 . 2008-08-19 18:51 137,344 --a------ C:\WINDOWS\system32\drivers\hwpsgt.sys 2008-08-19 18:51 . 2008-08-19 18:51 9,472 --a------ C:\WINDOWS\system32\drivers\lemsgt.sys . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-09-14 17:55 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2008-09-14 15:20 --------- d-----w C:\Programme\MSN Messenger 2008-09-14 12:01 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\uTorrent 2008-09-07 01:52 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Skype 2008-08-19 17:04 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\foobar2000 2008-08-11 08:21 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Ascaron Entertainment 2008-02-04 13:25 47,360 ----a-w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\pcouffin.sys . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\Windows\system32\ctfmon.exe" [2004-08-04 15360] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-11-16 139264] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IgfxTray"="C:\Windows\System32\igfxtray.exe" [2002-05-14 155648] "HotKeysCmds"="C:\Windows\System32\hkcmd.exe" [2002-05-14 114688] "CPQEASYACC"="C:\Programme\COMPAQ\Easy Access Button Support\StartEAK.exe" [2001-12-14 32768] "Smapp"="C:\Programme\Analog Devices\SoundMAX\Smtray.exe" [2002-06-26 90112] "DrvLsnr"="C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe" [2002-04-20 69632] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-26 266497] "NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2006-10-22 7700480] "NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2006-10-22 86016] "NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784] "CreativeTaskScheduler"="C:\Programme\Creative\Shared Files\CTSched.exe" [2006-01-09 53340] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "PROMon.exe"="PROMon.exe" [2002-06-04 C:\WINDOWS\system32\PROMon.exe] "nwiz"="nwiz.exe" [2006-10-22 C:\WINDOWS\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\Windows\System32\CTFMON.EXE" [2004-08-04 15360] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk] [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "G:\\PES 6\\PES6.exe"= "C:\\Programme\\MSN Messenger\\msnmsgr.exe"= "C:\\Programme\\MSN Messenger\\livecall.exe"= "G:\\Civ IV\\Civilization4.exe"= "G:\\Civ IV\\Beyond the Sword\\Civ4BeyondSword.exe"= "G:\\Civ IV\\Beyond the Sword\\Civ4BeyondSword_PitBoss.exe"= "C:\\BACKUP\\Archive\\illegal_tools\\utorrent.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= R1 SSHDRV79;SSHDRV79;C:\Windows\system32\drivers\SSHDRV79.sys [2007-04-07 75264] R2 SVKP;SVKP;C:\Windows\system32\SVKP.sys [2008-03-24 2368] R3 V0260VID;Live! Cam Vista IM;C:\Windows\system32\DRIVERS\V0260Vid.sys [2006-11-04 178913] S3 ldiskl;ldiskl;C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\ldiskl.sys [ ] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ecc77e75-2e75-11dd-b2cd-000bcd1fc62f}] \shell\verb1\command - H:\desktop.exe *Newly Created Service* - NMSCFG . - - - - Entfernte verwaiste Registrierungseintr„ge - - - - BHO-{140BD8E3-C167-11D4-B4A3-080000180323} - (no file) . ------- Zus„tzlicher Scan ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\zrzowqww.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.de . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-15 13:50:11 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- Prozess: C:\Windows\system32\winlogon.exe -> C:\Programme\Citrix\ICA Client\pnsson.dll . ------------------------ Weitere, laufende Prozesse ------------------------ . C:\Programme\Citrix\ICA Client\ssonsvr.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\NMSSvc.Exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\Programme\COMPAQ\Easy Access Button Support\CPQEADM.exe C:\Compaq\eakdrv\EAUSBKBD.exe C:\PROGRA~1\COMPAQ\EASYAC~1\BttnServ.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\WINDOWS\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-09-15 13:56:28 - PC wurde neu gestartet [Administrator] ComboFix-quarantined-files.txt 2008-09-15 11:56:21 Pre-Run: 8,453,115,904 Bytes frei Post-Run: 9,434,247,168 Bytes frei 140 --- E O F --- 2007-05-09 19:36:25 |
|
|
||
17.09.2008, 15:12
Moderator
Beiträge: 5694 |
#69
kroete1982
>> ComboFix entfernen Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" >> Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. dann das Häkchen wieder rausnehmen.(also wieder aktivieren) >> Und scanne mit Ewido Micro http://downloads.ewido.net/ewido_micro.exe Gruss Swiss |
|
|
||
25.09.2008, 17:11
Member
Beiträge: 27 |
#70
@Arnold
Habe MBAM, ComboFix und HJT durchlaufen lassen. Logs findest Du im Anhang. Übrigens: der Task-Manager funktioniert wieder der "Ausführen"-Befehl ist auch wieder da. Scheint also, als hätte ich meine Admin-Rechte zurück! Anhang: fReTt_LOGS.txt
|
|
|
||
25.09.2008, 17:32
Ehrenmitglied
Beiträge: 6028 |
#71
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop.
Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Zitat File::CFScript.txt mit der rechten Maustaste auf das Symbol von Combofix ziehen Combofix noch mal anwenden poste dann nach neustart das neue Log __________ MfG Argus |
|
|
||
25.09.2008, 17:39
Member
Beiträge: 27 |
#72
ComboFix 08-09-24.12 - Fred 2008-09-25 17:37:02.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.642 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Fred\Desktop\ComboFix.exe Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Fred\Desktop\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt [color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color] FILE :: C:\p2hhr.bat C:\WINDOWS\system32\Drivers\Xek06.sys C:\WINDOWS\system32\urswdpws.tmp . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\p2hhr.bat C:\WINDOWS\system32\urswdpws.tmp . ((((((((((((((((((((((( Dateien erstellt von 2008-08-25 bis 2008-09-25 )))))))))))))))))))))))))))))) . 2008-09-25 08:54 . 2008-09-25 08:54 <DIR> d-------- C:\Programme\iTunes 2008-09-25 08:54 . 2008-09-25 08:54 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6} 2008-09-25 08:53 . 2008-09-25 15:56 <DIR> d-------- C:\Programme\Bonjour 2008-09-25 08:52 . 2008-09-25 08:53 <DIR> d-------- C:\Programme\QuickTime 2008-09-12 12:43 . 2008-09-12 15:49 616,480 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat 2008-09-12 12:43 . 2008-09-12 15:49 8,300 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx 2008-09-10 08:58 . 2008-09-10 09:41 <DIR> d-------- C:\Dokumente und Einstellungen\Fred\DoctorWeb 2008-09-09 13:17 . 2008-09-09 13:18 <DIR> d-------- C:\Fred 2008-09-08 18:00 . 2008-09-09 09:40 <DIR> d-------- C:\327882R2FWJFW 2008-09-08 15:11 . 2008-09-25 16:23 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-09-08 15:11 . 2008-09-08 15:11 <DIR> d-------- C:\Dokumente und Einstellungen\Fred\Anwendungsdaten\Malwarebytes 2008-09-08 15:11 . 2008-09-08 15:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-09-08 15:11 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-09-08 15:11 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-09-08 12:47 . 2008-09-08 12:47 <DIR> d-------- C:\Programme\Avira 2008-09-08 12:47 . 2008-09-08 12:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-09-08 12:19 . 2008-09-08 16:13 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\services 2008-09-08 12:16 . 2008-09-08 12:46 2 --a------ C:\2093688704 2008-09-08 11:43 . 2008-09-08 11:44 <DIR> d-------- C:\Programme\DivX 2008-09-08 11:43 . 2008-07-23 18:50 129,784 --------- C:\WINDOWS\system32\pxafs.dll 2008-09-08 11:43 . 2008-07-23 18:50 9,464 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys 2008-09-08 11:43 . 2008-07-23 18:50 9,336 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys 2008-09-08 11:40 . 2008-09-08 11:40 <DIR> d-------- C:\Dokumente und Einstellungen\Fred\Anwendungsdaten\DivX 2008-09-06 15:09 . 2008-09-06 15:09 90,112 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx 2008-09-06 15:09 . 2008-09-06 15:09 57,344 --a------ C:\WINDOWS\system32\QuickTime.qts 2008-09-03 10:36 . 2008-09-03 11:37 <DIR> d-------- C:\Dokumente und Einstellungen\Fred\.jenny 2008-09-02 11:20 . 2005-10-14 22:42 37,376 --a------ C:\WINDOWS\system32\hpz3l43a.dll 2008-09-02 11:17 . 2008-09-02 11:17 <DIR> d-------- C:\Programme\HP 2008-09-02 11:17 . 2005-03-14 12:03 278,584 --a------ C:\WINDOWS\system32\HPZidr12.dll 2008-09-02 11:17 . 2005-03-14 12:05 204,800 --a------ C:\WINDOWS\system32\HPZipr12.dll 2008-09-02 11:17 . 2005-03-08 11:55 94,208 --a------ C:\WINDOWS\system32\HPZipt12.dll 2008-09-02 11:17 . 2005-03-14 12:05 69,632 --a------ C:\WINDOWS\system32\HPZipm12.exe 2008-09-02 11:17 . 2005-03-14 13:39 65,536 --a------ C:\WINDOWS\system32\HPZinw12.exe 2008-09-02 11:17 . 2005-03-08 11:55 57,344 --a------ C:\WINDOWS\system32\HPZisn12.dll 2008-09-02 11:14 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys 2008-09-02 11:14 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\dllcache\usbprint.sys 2008-08-29 10:18 . 2008-08-29 10:18 87,336 --a------ C:\WINDOWS\system32\dns-sd.exe 2008-08-29 09:53 . 2008-08-29 09:53 61,440 --a------ C:\WINDOWS\system32\dnssd.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-09-25 14:13 --------- d-----w C:\Programme\Mozilla Thunderbird 2008-09-25 06:56 --------- d-----w C:\Programme\Apple Software Update 2008-09-25 06:54 --------- d-----w C:\Programme\iPod 2008-09-25 06:52 --------- d-----w C:\Programme\Gemeinsame Dateien\Apple 2008-07-25 08:36 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe 2008-07-23 16:50 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll 2008-07-23 16:50 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe 2008-07-23 16:50 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe 2008-07-23 16:48 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll 2008-07-23 16:48 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll 2008-07-23 16:46 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe 2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\dllcache\wups.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll 2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es.dll 2008-07-07 20:30 253,952 ------w C:\WINDOWS\system32\dllcache\es.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Apoint"="C:\Programme\Apoint\Apoint.exe" [2005-10-07 176128] "igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-09-20 94208] "igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-09-20 77824] "igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-09-20 114688] "SunJavaUpdateSched"="C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe" [2003-11-19 32881] "IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2004-10-30 385024] "Dell QuickSet"="C:\Programme\Dell\QuickSet\quickset.exe" [2005-09-01 684032] "DVDLauncher"="C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe" [2004-04-26 53248] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-09-06 413696] "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-09-10 289576] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360] C:\Dokumente und Einstellungen\Fred\Startmen\Programme\Autostart\ Adobe Gamma.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "AllowLegacyWebView"= 1 (0x1) "AllowUnhashedWebView"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless] 2004-09-07 18:08 110592 C:\Programme\Intel\Wireless\Bin\LgNotify.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Xek06.sys] @="Driver" [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\LeechFTP\\Leechftp.exe"= "C:\\Programme\\Mozilla Firefox\\firefox.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\WINDOWS\\system32\\winver.exe"= "C:\\Programme\\Bonjour\\mDNSResponder.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= R1 Asapi;Asapi;C:\WINDOWS\system32\drivers\Asapi.sys [2002-04-17 11264] R1 SSHDRV86;SSHDRV86;C:\WINDOWS\system32\drivers\SSHDRV86.sys [2006-05-28 81408] R2 AVMPORT;AVMPORT;C:\WINDOWS\system32\drivers\avmport.sys [2001-10-23 59520] R2 HPOPAR05;HPOPAR05;C:\WINDOWS\system32\drivers\HPOPAR05.SYS [1999-08-30 36128] R3 AVMWAN;NDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmwan.sys [2002-07-16 37568] R3 GTIPCI21;GTIPCI21;C:\WINDOWS\system32\DRIVERS\gtipci21.sys [2005-05-31 87936] S0 Xek06;Xek06;C:\WINDOWS\system32\Drivers\Xek06.sys [ ] S3 dtwmnic5;Telekom Eumex 604PC HomeNet;C:\WINDOWS\system32\DRIVERS\dtwmnic5.sys [ ] S3 FXUSBASE;Teledat X120 (WinXP/2000);C:\WINDOWS\system32\DRIVERS\fxusbase.sys [2002-07-16 498672] S3 NETPPPOI;PPP over ISDN;C:\WINDOWS\system32\DRIVERS\NETPPPOI.SYS [ ] S3 PDNMp50;PDNMp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNMp50.sys [2006-11-28 28224] S3 PDNSp50;PDNSp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNSp50.sys [2006-11-28 27072] S3 ulisa;Telekom ISDN-Adapter (USB);C:\WINDOWS\system32\Drivers\ulisa.sys [ ] *Newly Created Service* - CATCHME *Newly Created Service* - PROCEXP90 . Inhalt des "geplante Tasks" Ordners . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-25 17:37:48 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-09-25 17:39:04 ComboFix-quarantined-files.txt 2008-09-25 15:38:43 ComboFix2.txt 2008-09-25 15:05:07 Vor Suchlauf: 14 Verzeichnis(se), 31.866.929.152 Bytes frei Nach Suchlauf: 17 Verzeichnis(se), 31,853,441,024 Bytes frei 162 --- E O F --- 2008-09-10 09:30:47 |
|
|
||
25.09.2008, 17:53
Ehrenmitglied
Beiträge: 6028 |
#73
Nochmal
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Zitat File::CFScript.txt mit der rechten Maustaste auf das Symbol von Combofix ziehen Combofix noch mal anwenden poste dann nach neustart das neue Log __________ MfG Argus |
|
|
||
25.09.2008, 18:04
Member
Beiträge: 27 |
#74
ComboFix 08-09-24.12 - Fred 2008-09-25 18:01:32.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.619 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Fred\Desktop\ComboFix.exe Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Fred\Desktop\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt [color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color] FILE :: C:\WINDOWS\system32\Drivers\Xek06.sys . ((((((((((((((((((((((( Dateien erstellt von 2008-08-25 bis 2008-09-25 )))))))))))))))))))))))))))))) . 2008-09-25 08:54 . 2008-09-25 08:54 <DIR> d-------- C:\Programme\iTunes 2008-09-25 08:54 . 2008-09-25 08:54 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6} 2008-09-25 08:53 . 2008-09-25 15:56 <DIR> d-------- C:\Programme\Bonjour 2008-09-25 08:52 . 2008-09-25 08:53 <DIR> d-------- C:\Programme\QuickTime 2008-09-12 12:43 . 2008-09-12 15:49 616,480 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat 2008-09-12 12:43 . 2008-09-12 15:49 8,300 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx 2008-09-10 08:58 . 2008-09-10 09:41 <DIR> d-------- C:\Dokumente und Einstellungen\Fred\DoctorWeb 2008-09-09 13:17 . 2008-09-09 13:18 <DIR> d-------- C:\Fred 2008-09-08 18:00 . 2008-09-09 09:40 <DIR> d-------- C:\327882R2FWJFW 2008-09-08 15:11 . 2008-09-25 16:23 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-09-08 15:11 . 2008-09-08 15:11 <DIR> d-------- C:\Dokumente und Einstellungen\Fred\Anwendungsdaten\Malwarebytes 2008-09-08 15:11 . 2008-09-08 15:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-09-08 15:11 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-09-08 15:11 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-09-08 12:47 . 2008-09-08 12:47 <DIR> d-------- C:\Programme\Avira 2008-09-08 12:47 . 2008-09-08 12:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-09-08 12:19 . 2008-09-08 16:13 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\services 2008-09-08 12:16 . 2008-09-08 12:46 2 --a------ C:\2093688704 2008-09-08 11:43 . 2008-09-08 11:44 <DIR> d-------- C:\Programme\DivX 2008-09-08 11:43 . 2008-07-23 18:50 129,784 --------- C:\WINDOWS\system32\pxafs.dll 2008-09-08 11:43 . 2008-07-23 18:50 9,464 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys 2008-09-08 11:43 . 2008-07-23 18:50 9,336 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys 2008-09-08 11:40 . 2008-09-08 11:40 <DIR> d-------- C:\Dokumente und Einstellungen\Fred\Anwendungsdaten\DivX 2008-09-06 15:09 . 2008-09-06 15:09 90,112 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx 2008-09-06 15:09 . 2008-09-06 15:09 57,344 --a------ C:\WINDOWS\system32\QuickTime.qts 2008-09-03 10:36 . 2008-09-03 11:37 <DIR> d-------- C:\Dokumente und Einstellungen\Fred\.jenny 2008-09-02 11:20 . 2005-10-14 22:42 37,376 --a------ C:\WINDOWS\system32\hpz3l43a.dll 2008-09-02 11:17 . 2008-09-02 11:17 <DIR> d-------- C:\Programme\HP 2008-09-02 11:17 . 2005-03-14 12:03 278,584 --a------ C:\WINDOWS\system32\HPZidr12.dll 2008-09-02 11:17 . 2005-03-14 12:05 204,800 --a------ C:\WINDOWS\system32\HPZipr12.dll 2008-09-02 11:17 . 2005-03-08 11:55 94,208 --a------ C:\WINDOWS\system32\HPZipt12.dll 2008-09-02 11:17 . 2005-03-14 12:05 69,632 --a------ C:\WINDOWS\system32\HPZipm12.exe 2008-09-02 11:17 . 2005-03-14 13:39 65,536 --a------ C:\WINDOWS\system32\HPZinw12.exe 2008-09-02 11:17 . 2005-03-08 11:55 57,344 --a------ C:\WINDOWS\system32\HPZisn12.dll 2008-09-02 11:14 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys 2008-09-02 11:14 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\dllcache\usbprint.sys 2008-08-29 10:18 . 2008-08-29 10:18 87,336 --a------ C:\WINDOWS\system32\dns-sd.exe 2008-08-29 09:53 . 2008-08-29 09:53 61,440 --a------ C:\WINDOWS\system32\dnssd.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-09-25 14:13 --------- d-----w C:\Programme\Mozilla Thunderbird 2008-09-25 06:56 --------- d-----w C:\Programme\Apple Software Update 2008-09-25 06:54 --------- d-----w C:\Programme\iPod 2008-09-25 06:52 --------- d-----w C:\Programme\Gemeinsame Dateien\Apple 2008-07-25 08:36 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe 2008-07-23 16:50 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll 2008-07-23 16:50 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe 2008-07-23 16:50 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe 2008-07-23 16:48 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll 2008-07-23 16:48 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll 2008-07-23 16:46 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe 2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\dllcache\wups.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll 2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es.dll 2008-07-07 20:30 253,952 ------w C:\WINDOWS\system32\dllcache\es.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Apoint"="C:\Programme\Apoint\Apoint.exe" [2005-10-07 176128] "igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-09-20 94208] "igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-09-20 77824] "igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-09-20 114688] "SunJavaUpdateSched"="C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe" [2003-11-19 32881] "IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2004-10-30 385024] "Dell QuickSet"="C:\Programme\Dell\QuickSet\quickset.exe" [2005-09-01 684032] "DVDLauncher"="C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe" [2004-04-26 53248] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-09-06 413696] "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-09-10 289576] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360] C:\Dokumente und Einstellungen\Fred\Startmen\Programme\Autostart\ Adobe Gamma.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "AllowLegacyWebView"= 1 (0x1) "AllowUnhashedWebView"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless] 2004-09-07 18:08 110592 C:\Programme\Intel\Wireless\Bin\LgNotify.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\LeechFTP\\Leechftp.exe"= "C:\\Programme\\Mozilla Firefox\\firefox.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\WINDOWS\\system32\\winver.exe"= "C:\\Programme\\Bonjour\\mDNSResponder.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= R1 Asapi;Asapi;C:\WINDOWS\system32\drivers\Asapi.sys [2002-04-17 11264] R1 SSHDRV86;SSHDRV86;C:\WINDOWS\system32\drivers\SSHDRV86.sys [2006-05-28 81408] R2 AVMPORT;AVMPORT;C:\WINDOWS\system32\drivers\avmport.sys [2001-10-23 59520] R2 HPOPAR05;HPOPAR05;C:\WINDOWS\system32\drivers\HPOPAR05.SYS [1999-08-30 36128] R3 AVMWAN;NDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmwan.sys [2002-07-16 37568] R3 GTIPCI21;GTIPCI21;C:\WINDOWS\system32\DRIVERS\gtipci21.sys [2005-05-31 87936] S0 Xek06;Xek06;C:\WINDOWS\system32\Drivers\Xek06.sys [ ] S3 dtwmnic5;Telekom Eumex 604PC HomeNet;C:\WINDOWS\system32\DRIVERS\dtwmnic5.sys [ ] S3 FXUSBASE;Teledat X120 (WinXP/2000);C:\WINDOWS\system32\DRIVERS\fxusbase.sys [2002-07-16 498672] S3 NETPPPOI;PPP over ISDN;C:\WINDOWS\system32\DRIVERS\NETPPPOI.SYS [ ] S3 PDNMp50;PDNMp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNMp50.sys [2006-11-28 28224] S3 PDNSp50;PDNSp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNSp50.sys [2006-11-28 27072] S3 ulisa;Telekom ISDN-Adapter (USB);C:\WINDOWS\system32\Drivers\ulisa.sys [ ] *Newly Created Service* - CATCHME *Newly Created Service* - PROCEXP90 . Inhalt des "geplante Tasks" Ordners . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-25 18:02:19 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-09-25 18:03:36 ComboFix-quarantined-files.txt 2008-09-25 16:03:11 ComboFix2.txt 2008-09-25 15:05:07 Vor Suchlauf: 14 Verzeichnis(se), 31.842.209.792 Bytes frei Nach Suchlauf: 17 Verzeichnis(se), 31,828,688,896 Bytes frei 153 --- E O F --- 2008-09-10 09:30:47 |
|
|
||
25.09.2008, 18:09
Ehrenmitglied
Beiträge: 6028 |
||
|
||
Was sich verändert hat ist, dass sich das Fenster nun aber nicht mehr sofort schließt, sondern erst, wenn man eine Taste drückt.
Bis nächste Woche also, viel Spaß und tausend Dank!