Windows warning message auf dem desktop(virus, trojaner)Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
18.09.2008, 13:35
Ehrenmitglied
Beiträge: 6028 |
||
|
||
18.09.2008, 13:42
...neu hier
Beiträge: 8 |
#17
ok malware ist fertig, hier das dokument:
Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1166 Windows 5.1.2600 Service Pack 2 18.09.2008 13:30:19 mbam-log-2008-09-18 (13-30-19).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 116668 Laufzeit: 32 minute(s), 26 second(s) Infizierte Speicherprozesse: 1 Infizierte Speichermodule: 1 Infizierte Registrierungsschlüssel: 3 Infizierte Registrierungswerte: 6 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 12 Infizierte Speicherprozesse: C:\WINDOWS\system32\lphc1vej0e973.exe (Trojan.FakeAlert) -> Unloaded process successfully. Infizierte Speichermodule: C:\WINDOWS\system32\blphc1vej0e973.scr (Trojan.FakeAlert) -> Delete on reboot. Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphc1vej0e973 (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\inrhc5vej0e973 (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\schmidt\Anwendungsdaten\Desktopicon\eBayShortcuts.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\lphc1vej0e973.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\system32\blphc1vej0e973.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\schmidt\Lokale Einstellungen\Temp\.tt6.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. habe den laptop neu gestartet und lass das programm zur sicherheit noch mal durchlaufen. hat jemand schon eine idee wie ich forfahren könnte?! |
|
|
||
18.09.2008, 13:50
Ehrenmitglied
Beiträge: 6028 |
||
|
||
18.09.2008, 13:51
...neu hier
Beiträge: 8 |
#19
@ audipower: spybot hab ich jetzt mal gelöscht; denn ich wusste nicht wo genau ich diesem tea timer finden konnte.
.. dann mach ich mich mal dran die anleitung weiter abzuarbeiten...wünscht mir glück! so dass kam raus: ComboFix 08-09-16.05 - schmidt 2008-09-18 13:53:13.1 - [color=red]FAT32[/color]x86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1666 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\schmidt\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt [color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color] . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_TDSSSERV -------\Service_TDSSserv ((((((((((((((((((((((( Dateien erstellt von 2008-08-18 bis 2008-09-18 )))))))))))))))))))))))))))))) . 2008-09-18 12:54 . 2008-09-18 12:54 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-09-18 12:54 . 2008-09-18 12:54 <DIR> d-------- C:\Dokumente und Einstellungen\schmidt\Anwendungsdaten\Malwarebytes 2008-09-18 12:54 . 2008-09-18 12:54 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-09-18 12:54 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-09-18 12:54 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-09-18 12:44 . 2008-09-18 12:44 <DIR> d-------- C:\Programme\CCleaner 2008-09-18 11:34 . 2008-09-18 11:34 <DIR> d-------- C:\Programme\Trend Micro 2008-09-18 09:40 . 2008-09-18 09:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-09-16 09:10 . 2008-09-16 09:10 <DIR> d-------- C:\Dokumente und Einstellungen\schmidt\Anwendungsdaten\DivX 2008-09-15 12:37 . 2004-08-04 00:57 21,504 --a------ C:\WINDOWS\system32\hidserv.dll 2008-09-15 12:37 . 2004-08-04 00:57 21,504 --a------ C:\WINDOWS\system32\dllcache\hidserv.dll 2008-09-15 12:37 . 2004-08-04 00:46 14,848 --a------ C:\WINDOWS\system32\drivers\kbdhid.sys 2008-09-15 12:37 . 2004-08-04 00:46 14,848 --a------ C:\WINDOWS\system32\dllcache\kbdhid.sys 2008-09-11 00:10 . 2008-07-23 18:50 129,784 --------- C:\WINDOWS\system32\pxafs.dll 2008-09-11 00:10 . 2008-07-23 18:50 120,056 --------- C:\WINDOWS\system32\pxcpyi64.exe 2008-09-11 00:10 . 2008-07-23 18:50 118,520 --------- C:\WINDOWS\system32\pxinsi64.exe 2008-09-03 14:44 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl 2008-09-02 15:53 . 2008-09-02 15:53 <DIR> d-------- C:\WINDOWS\Neuer Ordner 2008-09-01 23:08 . 2008-09-01 23:08 <DIR> d-------- C:\Programme\Avira 2008-08-26 16:49 . 2008-08-26 16:49 <DIR> d-------- C:\Programme\Unlocker 2008-08-26 16:49 . 2008-08-26 16:49 <DIR> d-------- C:\Dokumente und Einstellungen\schmidt\Anwendungsdaten\Desktopicon 2008-08-21 19:18 . 2004-08-03 23:10 10,880 --a------ C:\WINDOWS\system32\drivers\NdisIP.sys 2008-08-21 19:18 . 2004-08-03 23:10 10,880 --a------ C:\WINDOWS\system32\dllcache\ndisip.sys 2008-08-21 19:18 . 2004-08-03 22:58 5,504 --a------ C:\WINDOWS\system32\drivers\MSTEE.sys 2008-08-21 19:18 . 2004-08-03 22:58 5,504 --a------ C:\WINDOWS\system32\dllcache\mstee.sys 2008-08-21 19:16 . 2004-08-04 00:58 91,136 --a------ C:\WINDOWS\system32\kswdmcap.ax 2008-08-21 19:16 . 2004-08-04 00:58 91,136 --a------ C:\WINDOWS\system32\dllcache\kswdmcap.ax 2008-08-21 19:16 . 2004-08-04 00:58 61,952 --a------ C:\WINDOWS\system32\kstvtune.ax 2008-08-21 19:16 . 2004-08-04 00:58 61,952 --a------ C:\WINDOWS\system32\dllcache\kstvtune.ax 2008-08-21 19:16 . 2004-08-04 00:57 54,272 --a------ C:\WINDOWS\system32\vfwwdm32.dll 2008-08-21 19:16 . 2004-08-04 00:57 54,272 --a------ C:\WINDOWS\system32\dllcache\vfwwdm32.dll 2008-08-21 19:16 . 2004-08-04 00:58 43,008 --a------ C:\WINDOWS\system32\ksxbar.ax 2008-08-21 19:16 . 2004-08-04 00:58 43,008 --a------ C:\WINDOWS\system32\dllcache\ksxbar.ax 2008-08-21 19:16 . 2004-08-04 00:58 28,672 --a------ C:\WINDOWS\system32\vidcap.ax 2008-08-21 19:16 . 2004-08-04 00:58 28,672 --a------ C:\WINDOWS\system32\dllcache\vidcap.ax 2008-08-21 19:14 . 2008-08-21 19:14 <DIR> d-------- C:\Programme\Gemeinsame Dateien\snpstd3 2008-08-21 19:14 . 2007-05-10 14:42 10,343,552 --a------ C:\WINDOWS\system32\drivers\snpstd3.sys 2008-08-21 19:14 . 2007-05-10 13:18 835,584 --------- C:\WINDOWS\vsnpstd3.exe 2008-08-21 19:14 . 2007-04-21 09:32 270,336 --a------ C:\WINDOWS\tsnpstd3.exe 2008-08-21 19:14 . 2007-04-10 10:47 172,032 --a------ C:\WINDOWS\system32\rsnpstd3.dll 2008-08-21 19:14 . 2006-07-03 10:31 94,208 --a------ C:\WINDOWS\amcap.exe 2008-08-21 19:14 . 2007-04-20 16:26 57,344 --a------ C:\WINDOWS\system32\vsnpstd3.dll 2008-08-21 19:14 . 2005-11-23 13:55 53,248 --a------ C:\WINDOWS\system32\csnpstd3.dll 2008-08-21 19:14 . 2005-11-23 13:55 53,248 --a------ C:\WINDOWS\csnpstd3.dll 2008-08-21 19:14 . 2004-02-27 17:36 15,498 --a------ C:\WINDOWS\snpstd3.ini 2008-08-21 19:14 . 2004-02-27 17:36 13,023 --a------ C:\WINDOWS\snpstd3.src 2008-08-21 19:13 . 2008-08-21 19:13 <DIR> d-------- C:\Dokumente und Einstellungen\schmidt\Anwendungsdaten\InstallShield . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-09-17 15:46 26,626 ----a-w C:\Dokumente und Einstellungen\schmidt\Anwendungsdaten\wklnhst.dat 2008-07-31 20:33 --------- d-----w C:\Programme\Picasa2 2008-07-31 20:33 --------- d-----w C:\Programme\Google 2008-07-25 08:36 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe 2008-07-24 12:14 891,158 ----a-w C:\WINDOWS\system32\Verbotene Liebe.scr 2008-07-23 16:50 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll 2008-07-23 16:48 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll 2008-07-23 16:48 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll 2008-07-23 16:46 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll 2008-06-09 14:06 96,016 ----a-w C:\Dokumente und Einstellungen\schmidt\Anwendungsdaten\GDIPFONTCACHEV1.DAT . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] "FFTI"="C:\Dokumente und Einstellungen\schmidt\Anwendungsdaten\Mozilla\Firefox\Profiles\yad28ple.default\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\ffti.exe" [2007-03-30 2526784] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-04-14 5562368] "HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2005-09-24 49152] "ToolBoxFX"="C:\Programme\HP\ToolBoxFX\bin\HPTLBXFX.exe" [2005-11-21 45056] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-02-13 185784] "tsnpstd3"="C:\WINDOWS\tsnpstd3.exe" [2007-04-21 270336] "snpstd3"="C:\WINDOWS\vsnpstd3.exe" [2007-05-10 835584] "UnlockerAssistant"="C:\Programme\Unlocker\UnlockerAssistant.exe" [2008-05-02 15872] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-06-29 286720] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "nwiz"="nwiz.exe" [2005-04-15 C:\WINDOWS\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"= ipxwersv.dll [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^ASUS ChkMail.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ASUS ChkMail.lnk backup=C:\WINDOWS\pss\ASUS ChkMail.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^AutoCAD-Startbeschleuniger.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\AutoCAD-Startbeschleuniger.lnk backup=C:\WINDOWS\pss\AutoCAD-Startbeschleuniger.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^schmidt^Startmenü^Programme^Autostart^Adobe Gamma.lnk] path=C:\Dokumente und Einstellungen\schmidt\Startmenü\Programme\Autostart\Adobe Gamma.lnk backup=C:\WINDOWS\pss\Adobe Gamma.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASUS Live Update] --a------ 2003-09-19 12:54 172032 C:\Programme\Asus\ASUS Live Update\ALU.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CHIPDRIVESmartcardManager] --a------ 2005-10-05 14:32 3208192 C:\Programme\CHIPDRIVE\Smartcard Manager\SCMgr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Control Center] --a------ 2005-04-13 19:12 1611264 C:\PROGRA~1\Asus\WLAN Card Utilities\Center.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] --a------ 2004-08-04 14:00 15360 C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HControl] --------- 2005-02-01 04:00 98304 C:\WINDOWS\ATK0100\HControl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ] --a------ 2008-08-24 17:14 173304 C:\Programme\ICQ6\ICQ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] --a------ 2007-07-10 09:18 270648 C:\Programme\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] --------- 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NB Probe] --a------ 2005-03-23 10:20 765952 C:\Programme\Asus\NB Probe\NBProbe.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] --a------ 2005-04-14 18:18 5562368 C:\WINDOWS\system32\nvcpl.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector] --a------ 2008-02-26 03:23 443968 C:\Programme\Picasa2\PicasaMediaDetector.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Power_Gear] --a------ 2004-09-21 16:55 81920 C:\Programme\Asus\Power4 Gear\BatteryLife.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2007-06-29 06:24 286720 C:\Programme\QuickTime\QTTask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] --a------ 2003-10-31 19:42 32768 C:\Programme\ASUSTek\ASUSDVD\PDVDServ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] --a------ 2007-03-30 13:34 25263144 C:\Programme\Skype\Phone\Skype.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2005-11-10 13:03 36975 C:\Programme\Java\jre1.5.0_06\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh] --a------ 2004-12-22 01:23 688218 C:\Programme\Synaptics\SynTP\SynTPEnh.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr] --a------ 2004-12-22 01:23 98394 C:\Programme\Synaptics\SynTP\SynTPLpr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz] --a------ 2005-04-15 00:18 1495040 C:\WINDOWS\system32\nwiz.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan] --a------ 2005-01-20 14:04 77824 C:\WINDOWS\soundman.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= "C:\\Programme\\ICQ6\\ICQ.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= R0 R592;R592;C:\WINDOWS\system32\DRIVERS\R592.sys [2004-10-15 57088] R0 risdpntk;risdpntk;C:\WINDOWS\system32\DRIVERS\risdpntk.sys [2004-10-15 27264] R2 SCM_Smart_Card_Office_Kernel;CHIPDRIVE Smartcard Office Kernel;C:\WINDOWS\system32\sokscmnt.exe [2005-10-13 964096] R3 ASNDIS5;ASNDIS5 Protocol Driver;C:\WINDOWS\system32\ASNDIS5.SYS [2002-09-09 16269] S3 HPFXBULK;HPFXBULK;C:\WINDOWS\system32\drivers\hpfxbulk.sys [2005-09-20 9344] S3 MBAMSwissArmy;MBAMSwissArmy;C:\WINDOWS\system32\drivers\mbamswissarmy.sys [2008-09-10 38528] S3 SCR33x USB Smart Card Reader;SCR33X USB Smart Card Reader;C:\WINDOWS\system32\DRIVERS\SCR33X2K.sys [2005-03-11 47215] S3 STC2DFU;STCII DFU Adapter;C:\WINDOWS\system32\DRIVERS\Stc2Dfu.SYS [2004-10-25 7796] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3564fd5e-6589-11dd-940f-0011d8d8704d}] \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe SAMSUNG-B56BD3C.vbs [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ed2d47b5-bf47-11db-90a6-0013d407fa59}] \Shell\AutoRun\command - I:\DTE_Privacy_launcher.exe . Inhalt des "geplante Tasks" Ordners . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKLM-Run-dic.exe - C:\Programme\Mozilla Firefox\dic.exe HKU-Default-Run-Spyware Doctor - C:\Programme\Spyware Doctor\swdoctor.exe Notify-wstdactx - C:\WINDOWS\system32\wstdactx.dll MSConfigStartUp-avgnt - C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe MSConfigStartUp-ccApp - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe MSConfigStartUp-IS CfgWiz - c:\Programme\Norton Internet Security\cfgwiz.exe MSConfigStartUp-MalwareWipe - C:\Programme\MalwareWipe\MalwareWipe.exe MSConfigStartUp-Spyware Doctor - C:\Programme\Spyware Doctor\swdoctor.exe MSConfigStartUp-SpywareQuake - C:\Programme\SpywareQuake.com\SpywareQuake.exe MSConfigStartUp-URLLSTCK - c:\Programme\Norton Internet Security\UrlLstCk.exe . ------- Zusätzlicher Suchlauf ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\schmidt\Anwendungsdaten\Mozilla\Firefox\Profiles\yad28ple.default\ FF -: plugin - c:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll FF -: plugin - C:\Programme\DivX\DivX Content Uploader\npUpload.dll FF -: plugin - C:\Programme\Mozilla Firefox\plugins\npitunes.dll . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-18 13:58:21 Windows 5.1.2600 Service Pack 2 FAT NTAPI Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Weitere laufende Prozesse ------------------------ . C:\WINDOWS\SYSTEM32\SCARDSVR.EXE C:\PROGRAMME\AVIRA\ANTIVIR PERSONALEDITION CLASSIC\SCHED.EXE C:\PROGRAMME\AVIRA\ANTIVIR PERSONALEDITION CLASSIC\AVGUARD.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\APPLE\MOBILE DEVICE SUPPORT\BIN\APPLEMOBILEDEVICESERVICE.EXE C:\WINDOWS\SYSTEM32\ASWLSVC.EXE C:\WINDOWS\SYSTEM32\NVSVC32.EXE C:\WINDOWS\SYSTEM32\SNMP.EXE C:\PROGRAMME\ASUS\NB PROBE\SPM\SPMGR.EXE C:\WINDOWS\system32\ASWL2K.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\imapi.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-09-18 14:00:36 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2008-09-18 12:00:30 Vor Suchlauf: 8,879,833,088 Bytes frei Nach Suchlauf: 8,833,236,992 Bytes frei 226 @arnold: hier das von hijack this. das kam raus bevor ich den ccleaner malware und combofix hab durchlaufen lassen. bin gerade dabei den noch mal laufen zu lassen und poste dann gleich das aktuelle, was rauskommt. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:35:10, on 18.09.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\WINDOWS\system32\ASWLSVC.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\sokscmnt.exe C:\WINDOWS\System32\snmp.exe C:\Programme\ASUS\NB Probe\SPM\spmgr.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ASWL2K.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wscntfy.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\HP\ToolBoxFX\bin\HPTLBXFX.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\tsnpstd3.exe C:\WINDOWS\vsnpstd3.exe C:\Programme\Unlocker\UnlockerAssistant.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\WINDOWS\system32\lphc1vej0e973.exe C:\Dokumente und Einstellungen\schmidt\Lokale Einstellungen\Temp\.tt196.tmp.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Spybot - Search & Destroy\SpybotSD.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.asus.com/ R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file) O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [ToolBoxFX] "C:\Programme\HP\ToolBoxFX\bin\HPTLBXFX.exe" /enum:on /alerts:on /systrayIcon:on O4 - HKLM\..\Run: [dic.exe] C:\Programme\Mozilla Firefox\dic.exe s O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [lphc1vej0e973] C:\WINDOWS\system32\lphc1vej0e973.exe O4 - HKLM\..\Run: [inrhc5vej0e973] C:\Dokumente und Einstellungen\schmidt\Lokale Einstellungen\Temp\.tt196.tmp.exe /CR=5F8C0875B49BA02BB503A8EC828A17BCCA5BCB3CAFEDD78717965D5202CB4B026FBA42D327302D7FDEBE2A5960C50FCCA9501AAA083C6DE1C920F9C784479939F84F13D67B342705A5DBC9F11DF22FFB5C O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\RunOnce: [FFTI] C:\Dokumente und Einstellungen\schmidt\Anwendungsdaten\Mozilla\Firefox\Profiles\yad28ple.default\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\ffti.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART /DestPath="C:\Dokumente und Einstellungen\schmidt\Anwendungsdaten\Mozilla\Firefox\Profiles/yad28ple.default\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com O16 - DPF: {6E718D87-6909-4FCE-92D4-EDCB2F725727} (Navigram Control) - http://www.navigram.com/engine/v911/Navigram.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: ipxwersv.dll O20 - Winlogon Notify: wstdactx - C:\WINDOWS\system32\wstdactx.dll (file missing) O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: ASWLSVC - Unknown owner - C:\WINDOWS\system32\ASWLSVC.exe O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: CHIPDRIVE Smartcard Office Kernel (SCM_Smart_Card_Office_Kernel) - CISCO Security Pte Ltd - C:\WINDOWS\system32\sokscmnt.exe O23 - Service: PC Tools Spyware Doctor (SDhelper) - Unknown owner - C:\Programme\Spyware Doctor\sdhelp.exe (file missing) O23 - Service: spmgr - Unknown owner - C:\Programme\ASUS\NB Probe\SPM\spmgr.exe -- End of file - 7911 bytes so: hier das ganz aktuelle: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:09:38, on 18.09.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\WINDOWS\system32\ASWLSVC.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\sokscmnt.exe C:\WINDOWS\System32\snmp.exe C:\Programme\ASUS\NB Probe\SPM\spmgr.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ASWL2K.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\HP\ToolBoxFX\bin\HPTLBXFX.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\tsnpstd3.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\notepad.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.asus.com/ R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file) O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [ToolBoxFX] "C:\Programme\HP\ToolBoxFX\bin\HPTLBXFX.exe" /enum:on /alerts:on /systrayIcon:on O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\RunOnce: [FFTI] C:\Dokumente und Einstellungen\schmidt\Anwendungsdaten\Mozilla\Firefox\Profiles\yad28ple.default\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\ffti.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART /DestPath="C:\Dokumente und Einstellungen\schmidt\Anwendungsdaten\Mozilla\Firefox\Profiles/yad28ple.default\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com O16 - DPF: {6E718D87-6909-4FCE-92D4-EDCB2F725727} (Navigram Control) - http://www.navigram.com/engine/v911/Navigram.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: ipxwersv.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: ASWLSVC - Unknown owner - C:\WINDOWS\system32\ASWLSVC.exe O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: CHIPDRIVE Smartcard Office Kernel (SCM_Smart_Card_Office_Kernel) - CISCO Security Pte Ltd - C:\WINDOWS\system32\sokscmnt.exe O23 - Service: PC Tools Spyware Doctor (SDhelper) - Unknown owner - C:\Programme\Spyware Doctor\sdhelp.exe (file missing) O23 - Service: spmgr - Unknown owner - C:\Programme\ASUS\NB Probe\SPM\spmgr.exe -- End of file - 6846 bytes Anhang: datFind.bat Dieser Beitrag wurde am 18.09.2008 um 14:11 Uhr von Monika1234 editiert.
|
|
|
||
18.09.2008, 15:25
Moderator
Beiträge: 5694 |
#20
Monika 1234
>> dein USB-Stick ist evtl verseucht: Hast du einen SAMSUNG Stick? >> Spybot S&D TeaTimer Bitte den TeaTimer von Spybot S & D deaktivieren: C:\Programme\Spybot - Search & Destroy\TeaTimer.exe abstellen! Starte dazu Spybot S&D, deaktiviere den "Resident "TeaTimer". Klicke auf "Advanced mode" >"JA">"Tools">Menu> klicke auf "Resident" > das Häkchen entfernen aus der "Resident TeaTimer" (Schutz aller Systemeinstellungen) > "exit". (der TeaTimer be- bzw. verhindert alle weiteren Reinigungmaßnahmen!) >> Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind) Zitat R3 - URLSearchHook: (no name) - - (no file)und wähle fix checked. Starte den Rechner neu. >> Scanne mit Dr.Web und poste das Log: http://board.protecus.de/t29351.htm Gruss Swiss [/u] |
|
|
||
18.09.2008, 18:23
...neu hier
Beiträge: 5 |
#21
hallo provisitor
hab mir gestern irgendwie das falsche programm runtergeladen (SpywareFighter) und damit gescannt. habs jetzt nochmal mit malwarebytes durchlaufen lassen... hier jetzt die letzte log: Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1166 Windows 5.1.2600 Service Pack 2 18.09.2008 18:23:29 mbam-log-2008-09-18 (18-23-29).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|) Durchsuchte Objekte: 157345 Laufzeit: 59 minute(s), 43 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 5 Infizierte Registrierungswerte: 3 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 4 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\TypeLib\{77d6ddfa-7834-4541-b2b3-a8b0fb0e3924} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{4bd2d6c3-31dc-b947-23d0-dc52ec4f0c4c} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\InstallProgram (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{3DA29395-966B-4F25-BFF2-7250FF716E79}\RP1\A0000019.scr (Fake.BlueScreenError) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{3DA29395-966B-4F25-BFF2-7250FF716E79}\RP1\A0000044.scr (Fake.BlueScreenError) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{3DA29395-966B-4F25-BFF2-7250FF716E79}\RP2\A0000105.scr (Fake.BlueScreenError) -> Quarantined and deleted successfully. hab trotz allem alles wieder zum laufen bekommen, also hierfür schonmal herzlichsten dank!!! |
|
|
||
18.09.2008, 19:21
...neu hier
Beiträge: 8 |
#22
@tonstudio: Wie deaktiviere ich den tea timer?! Heißt deaktivieren gleich löschen?
ich habe keinen usb von samsbung meiner is von p2..ansonsten ist eine komplett neue tastatur (vor 3 tagen gekauft) und eine maus (beides von logitech) an den laptop angeschlossen.. warum meinst du dass es an dem usb liegt? wie kann ich rausfinden, ob damit alles in ordnung ist?! ..so ich hab den tea timer ausgestellt.. dann wie hijack this angestellt und besagte drei datein gelöscht...dann kam folgender Hinweis von Spybot: Spybot hat festgestellt, dass ein weichtiger registrierungsdatenbak eintrag geändert wurde kartegorie: system startup user entry Änderung: FFTI ..ich ahb dann ein häckchen bei merke dieser entscheidung gemacht und auf erlauben geklickt .. danach kamm ein fenster indem stand, dass der wert gelöscht sei - hab ich das richtig gemacht?? nachtrag: Jetzt kommt beim Start statt dem Windows Security Warning so ein Assistent fpr das Suchen neuer hardware...?!?! Dieser Beitrag wurde am 18.09.2008 um 22:41 Uhr von Monika1234 editiert.
|
|
|
||
19.09.2008, 01:59
Moderator
Beiträge: 5694 |
#23
Hallo Monika
Bitte erstelle die Einträge wieder: >> HijackThis starten --> Drücke auf "VIEW THE LIST OF BACKUPS" Dann wähle den Eintrag: Zitat O4 - HKCU\..\RunOnce: [FFTI] C:\Dokumente und Einstellungen\schmidt\Anwendungsdaten\Mozilla\Firefox\Profiles\yad28ple.default\ extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\ffti.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART /DestPath="C:\Dokumente und Einstellungen\schmidt\Anwendungsdaten\Mozilla\Firefox\Profiles/yad28ple.default\ extensions\{B13721C7-F507-4982-B2E5-502A71474FED}"aus, und drücke auf "RESTORE". Dannach scanne erneut mit HJT und poste das neue Log. >> Wende SDFIX im abgesicherten Modus an und poste das Log: http://virus-protect.org/artikel/tools/sdfix.html Gruss Swiss |
|
|
||
19.09.2008, 09:38
...neu hier
Beiträge: 8 |
#24
Hallo Tonstudio!
Hijack This: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 08:16:33, on 19.09.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\WINDOWS\system32\ASWLSVC.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\sokscmnt.exe C:\WINDOWS\System32\snmp.exe C:\Programme\ASUS\NB Probe\SPM\spmgr.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ASWL2K.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\HP\ToolBoxFX\bin\HPTLBXFX.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\tsnpstd3.exe C:\WINDOWS\vsnpstd3.exe C:\Programme\Unlocker\UnlockerAssistant.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.asus.com/ O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file) O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [ToolBoxFX] "C:\Programme\HP\ToolBoxFX\bin\HPTLBXFX.exe" /enum:on /alerts:on /systrayIcon:on O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\RunOnce: [FFTI] C:\Dokumente und Einstellungen\schmidt\Anwendungsdaten\Mozilla\Firefox\Profiles\yad28ple.default\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\ffti.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART /DestPath="C:\Dokumente und Einstellungen\schmidt\Anwendungsdaten\Mozilla\Firefox\Profiles/yad28ple.default\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com O16 - DPF: {6E718D87-6909-4FCE-92D4-EDCB2F725727} (Navigram Control) - http://www.navigram.com/engine/v911/Navigram.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: ASWLSVC - Unknown owner - C:\WINDOWS\system32\ASWLSVC.exe O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: CHIPDRIVE Smartcard Office Kernel (SCM_Smart_Card_Office_Kernel) - CISCO Security Pte Ltd - C:\WINDOWS\system32\sokscmnt.exe O23 - Service: PC Tools Spyware Doctor (SDhelper) - Unknown owner - C:\Programme\Spyware Doctor\sdhelp.exe (file missing) O23 - Service: spmgr - Unknown owner - C:\Programme\ASUS\NB Probe\SPM\spmgr.exe -- End of file - 6801 bytes SDFix: SDFix: Version 1.227 Run by schmidt on 19.09.2008 at 08:31 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Checking Services : Restoring Default Security Values Restoring Default Hosts File Rebooting Checking Files : No Trojan Files Found Removing Temp Files ADS Check : Final Check : catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-19 09:32:11 Windows 5.1.2600 Service Pack 2 FAT NTAPI scanning hidden processes ... scanning hidden services ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services : Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes" "C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6" "C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype. Take a deep breath " [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" Remaining Files : Files with Hidden Attributes : Thu 31 Jul 2008 6,104,632 A..H. --- "C:\Programme\Picasa2\setup.exe" Mon 19 Feb 2007 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak" Mon 20 Oct 2003 73,688 ..SHR --- "C:\Programme\Autodesk\Autodesk DWF Viewer\Setup.exe" Wed 4 Feb 2004 18,432 A.SHR --- "C:\Programme\Autodesk\Autodesk DWF Viewer\_Setup.dll" Wed 4 Feb 2004 5,120 A.SHR --- "C:\Programme\Autodesk\Autodesk DWF Viewer\_Setupx.dll" Wed 7 Mar 2007 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp" Finished! Ich hab nochmal genau hingeschaut beim Hardware Assistent... Installation für PCI Modem .. was kann das sein?? Ist das etwas "normales"? Danke für die Hilfe bis jetzt! |
|
|
||
19.09.2008, 15:06
Moderator
Beiträge: 5694 |
#25
Hallo Monika
>> Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind) O23 - Service: PC Tools Spyware Doctor (SDhelper) - Unknown owner - C:\Programme\Spyware Doctor\sdhelp.exe (file missing) und wähle fix checked. Starte den Rechner neu. >> Hast du dann ein neues Modem angeschlossen? Aber die INET Verbindung läuft nach wie vor ohne Probleme?? Wie gehst du ins Internet, Modem über Kabel oder Router oder WLan? Gruss Swiss |
|
|
||
20.09.2008, 14:45
...neu hier
Beiträge: 8 |
#26
Hallo Tonstudio!
Habe alles so gemacht, wie du gesagt hast, aber wenn ich besagte datei ausgewählt hab und dann auf fix checked geklickt habe ist irgendwie nichts weiter passiert...also ich habe dann auf ja geklickt als gefragt wurde are you sure to delete this item irgendwie sowas und dann wurde in diesem hijack fenster alles weiß..habe den laptop neu gestartet .. hijack wieder angemacht .. datei war immer noch da.. was bedeutet das? was kann ich machen? .. hab kein neues modem angeschlossen..wie gesagt nur neue usb tastatur und dann hab ich meistens meine usb maus angeschlossen .. meine laptop tastatur ist anfang die woche kaputt gegangen .. kann das etwas damit zu tun haben? inet verbindung habe ich wlan.. wenn ich daheim bin (1 mal die woche) dann schließ ich ein kabel an .. glaube wir haben einen router..bin in so sachen nich so bewandert..sorry!! |
|
|
||
20.09.2008, 14:52
Ehrenmitglied
Beiträge: 6028 |
||
|
||
20.09.2008, 17:23
...neu hier
Beiträge: 8 |
#28
Hi! das mit dem ausführen etc hat wunderbar geklappt - danke!
Dieser Hardware Assisent kommt aber immer noch beim Starten?! |
|
|
||
Alles in Ordnung SDFix kannst du wieder entfernen
Happy Surfing
__________
MfG Argus