Google verlinkt mich Falsch, Maleware? Teilweise gelöst.Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
24.09.2008, 17:20
Member
Beiträge: 14 |
||
|
||
24.09.2008, 18:05
Member
Themenstarter Beiträge: 14 |
#2
So hab das mal gemacht, Danke Arnold für den anhang
da steht jetzt: "No actione taken" Muss ich auf : "Entferne Auswahl" Klicken ? Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1201 Windows 5.1.2600 Service Pack 2 24.09.2008 18:00:29 mbam-log-2008-09-24 (18-00-23).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 68093 Laufzeit: 16 minute(s), 35 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 3 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 10 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\c:/windows/downloaded program files/uninst.bat (Trojan.Agent) -> No action taken. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\Downloaded Program Files\uninst.bat (Trojan.Agent) -> No action taken. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\Downloaded Program Files\uninst.bat (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\drivers\svchost.exe (Heuristics.Reserved.Word.Exploit) -> No action taken. |
|
|
||
24.09.2008, 18:08
Moderator
Beiträge: 5694 |
#3
Arwena
Hast du das gefunden auch löschen lassen? >> Wende Combofix an und poste das Log: http://www.virus-protect.org/artikel/tools/combofix.html Gruss Swiss |
|
|
||
24.09.2008, 18:11
Ehrenmitglied
Beiträge: 6028 |
||
|
||
24.09.2008, 18:19
Member
Themenstarter Beiträge: 14 |
#5
Ok ist erledigt
Ich werde noch einmal Scannen und dannach den Log Posten (neustart hab ich auch gemacht) danach werde ich combofix installen und laufen lassen:::: Hier ist er: Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1201 Windows 5.1.2600 Service Pack 2 24.09.2008 18:44:18 mbam-log-2008-09-24 (18-44-18).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 67567 Laufzeit: 25 minute(s), 17 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\System Volume Information\_restore{9A2E0000-29D5-479B-AF94-452FD5BDA786}\RP80\A0015605.sys (Trojan.FakeAlert) -> Quarantined and deleted successfully. _________________________________________________________________ So hier der Combofix Log: ComboFix 08-09-22.06 - Tine 2008-09-24 18:49:00.1 - NTFSx86 ausgeführt von:: C:\Dokumente und Einstellungen\Tine\Desktop\ComboFix.exe [color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color] . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\Tine\Favoriten\Videos.url C:\WINDOWS\system32\odbclo.dll . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_TDSSSERV -------\Service_TDSSserv ((((((((((((((((((((((( Dateien erstellt von 2008-08-24 bis 2008-09-24 )))))))))))))))))))))))))))))) . 2008-09-24 17:41 . 2008-09-24 17:42 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-09-24 17:41 . 2008-09-24 17:41 <DIR> d-------- C:\Dokumente und Einstellungen\Tine\Anwendungsdaten\Malwarebytes 2008-09-24 17:41 . 2008-09-24 17:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-09-24 17:41 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-09-24 17:41 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-09-24 16:03 . 2008-09-24 16:03 <DIR> d-------- C:\Programme\CCleaner 2008-09-19 11:28 . 2008-09-24 15:49 <DIR> d-------- C:\Programme\Security Task Manager 2008-09-19 11:28 . 2008-09-19 11:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan 2008-09-18 16:20 . 2008-09-18 16:20 <DIR> d-------- C:\WINDOWS\Sun 2008-09-18 16:16 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl 2008-09-18 16:15 . 2008-09-18 16:16 <DIR> d-------- C:\Programme\Java 2008-09-18 16:15 . 2008-09-18 16:15 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java 2008-09-18 14:11 . 2008-09-24 15:18 <DIR> d-------- C:\WINDOWS\avxoscan 2008-09-18 14:09 . 2008-09-18 14:09 <DIR> d-------- C:\fsaua.data 2008-09-16 17:43 . 2008-09-16 17:43 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien 2008-09-16 17:38 . 2006-11-13 15:52 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2008-09-16 17:38 . 2006-11-13 15:43 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen 2008-09-16 17:38 . 2006-11-13 15:43 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2008-09-16 17:38 . 2006-11-13 15:43 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2008-09-16 17:38 . 2006-11-13 15:43 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten 2008-09-16 17:38 . 2006-11-13 15:43 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung 2008-09-16 17:38 . 2008-09-16 17:41 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2008-09-16 17:38 . 2008-09-16 17:43 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator 2008-09-16 10:20 . 2008-09-16 10:20 <DIR> d-------- C:\Programme\Trend Micro 2008-09-16 10:17 . 2008-09-24 15:18 5,120 --ahs---- C:\WINDOWS\system32\Thumbs.db 2008-09-03 12:49 . 2008-09-08 19:46 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-09-03 12:49 . 2008-09-03 12:49 1,409 --a------ C:\WINDOWS\QTFont.for 2008-09-01 13:43 . 2008-09-01 13:43 0 --a------ C:\WINDOWS\nsreg.dat . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-09-24 16:55 --------- d-----w C:\Dokumente und Einstellungen\Tine\Anwendungsdaten\Skype 2008-09-24 16:14 --------- d-----w C:\Dokumente und Einstellungen\Tine\Anwendungsdaten\skypePM 2008-09-17 13:18 --------- d-----w C:\Programme\Windows Live 2008-09-17 13:17 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-09-16 09:14 --------- d-----w C:\Programme\xp-AntiSpy 2008-09-16 09:13 --------- d-----w C:\Programme\RegCleaner 2008-09-16 09:13 --------- d-----w C:\Programme\QuickTime 2008-08-24 20:35 --------- d-----w C:\Dokumente und Einstellungen\Tine\Anwendungsdaten\MSN6 2008-08-20 09:48 --------- d-----w C:\Programme\Absolute Sound Recorder 2008-08-19 15:00 21,416 ----a-w C:\Dokumente und Einstellungen\Tine\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2008-08-15 22:52 --------- d-----w C:\Programme\Skype 2008-08-15 22:52 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype 2008-08-15 22:52 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype 2008-08-15 12:22 --------- d-----w C:\Dokumente und Einstellungen\Tine\Anwendungsdaten\AdobeUM 2008-08-12 19:34 499,712 ----a-w C:\WINDOWS\system32\msvcp71.dll 2008-08-12 19:34 --------- d-----w C:\Programme\Gemeinsame Dateien\xing shared 2008-08-12 19:34 --------- d-----w C:\Programme\Gemeinsame Dateien\Real 2008-08-10 16:24 73,216 ----a-w C:\WINDOWS\ST6UNST.EXE 2008-08-10 16:24 303,104 ------w C:\WINDOWS\Setup1.exe 2008-08-09 21:55 --------- d-----w C:\Dokumente und Einstellungen\Tine\Anwendungsdaten\mIRC 2008-08-09 21:18 --------- d-----w C:\Programme\mIRC 2008-08-09 16:23 --------- d-----w C:\Programme\SlySoft 2008-08-07 16:51 --------- d-----w C:\Programme\Windows Live Toolbar 2008-08-07 16:44 --------- d-----w C:\Programme\Launch Manager 2008-08-06 11:58 264 ---ha-w C:\hpothb07.dat 2008-08-03 18:45 --------- dcsh--w C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller 2008-08-03 18:35 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller 2008-07-31 18:52 --------- d-----w C:\Programme\Macrogaming 2008-07-31 18:45 --------- d-----w C:\Programme\ICQToolbar 2007-11-05 16:31 0 ---ha-w C:\Dokumente und Einstellungen\NetworkService\hpothb07.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360] "MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 1694208] "Skype"="C:\Programme\Skype\Phone\Skype.exe" [2008-08-12 21741864] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="NvQTwk" [X] "SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2001-08-02 94208] "SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2001-08-02 352256] "CloneCDTray"="C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" [2005-05-19 57344] "VirtualCloneDrive"="C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2004-02-10 45056] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-07-18 155648] "Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 57344] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-08-12 185896] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 15360] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "C:\\Programme\\mIRC\\mirc.exe"= "C:\\Program Files\\Real\\RealPlayer\\realplay.exe"= "C:\\GodFather\\mirc.exe"= "C:\\Programme\\Messenger\\msmsgs.exe"= "C:\\Programme\\MSN\\MSNCoreFiles\\msn6.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= R0 ElbyVCD;ElbyVCD;C:\WINDOWS\system32\DRIVERS\ElbyVCD.sys [2004-02-12 22528] R1 dmiproxy;dmiproxy;C:\WINDOWS\system32\drivers\dmiproxy.sys [2001-10-24 36680] R1 mmkmd;mmkmd;C:\WINDOWS\system32\drivers\mmkmd.sys [2002-01-14 2041] R1 nbmkmd;nbmkmd;C:\WINDOWS\system32\drivers\nbmkmd.sys [2001-10-24 4160] R2 ipasintf;ipasintf;C:\WINDOWS\System32\drivers\pas2k.sys [2000-10-03 78280] R3 ALiIRDA;ALi-Infrarotgerätetreiber;C:\WINDOWS\system32\DRIVERS\alifir.sys [2001-08-17 26624] R3 LucentSoftModem;Lucent Technologies Soft Modem;C:\WINDOWS\system32\DRIVERS\LTSM.sys [2002-03-26 806342] S3 avmeject;AVM Eject;C:\WINDOWS\system32\drivers\avmeject.sys [2006-12-28 4352] S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-12-28 265088] . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKLM-Run-UniKey - (no file) HKLM-RunServices-360SCProgram - (no file) . ------- Zusätzlicher Suchlauf ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\Tine\Anwendungsdaten\Mozilla\Firefox\Profiles\np2r7gj3.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.allmystery.de/ FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-24 18:54:26 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Weitere laufende Prozesse ------------------------ . C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Skype\Plugin Manager\skypePM.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-09-24 18:59:22 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2008-09-24 16:59:16 Vor Suchlauf: 3.289.477.120 Bytes frei Nach Suchlauf: 3,688,861,696 Bytes frei 155 --- E O F --- 2008-08-03 12:03:38 Dieser Beitrag wurde am 24.09.2008 um 19:06 Uhr von Arwena editiert.
|
|
|
||
24.09.2008, 19:20
Ehrenmitglied
Beiträge: 6028 |
#6
Download: Trend Micro Hijack This™
Doppelklick HJTInstall.exe und installiere das Tool in C:\Programme\Trend Micro\Hijack This Am Ende steht auf dein Desktop eine verknüpfung Starte Hijack This und klicke “Do a system scan and safe a logfile” Save log --> hijackthis.log - Save - es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" Windows Vista rechtsklick auf HijackThis.exe waehle "Run as Administrator". __________ MfG Argus |
|
|
||
24.09.2008, 19:29
Member
Themenstarter Beiträge: 14 |
#7
Das Proggi hatte ich sogar hat mir schon einige Dienste getätigt
Hier der Log:: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:27:38, on 24.09.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Windows Live\Messenger\MsnMsgr.Exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\notepad.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Windows Live\Messenger\usnsvc.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hssp://www.allmystery.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hssp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hssp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hssp://go.microsoft.com/fwlink/?LinkId=54896 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - hssp://support.f-secure.com/ols/fscax.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{E6D8AD54-561E-4C15-AAED-2C1C77A9DEB6}: NameServer = 213.191.74.18 62.109.123.196 O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe -- End of file - 5496 bytes |
|
|
||
24.09.2008, 19:35
Ehrenmitglied
Beiträge: 6028 |
#8
Start-->Ausführen kopiere rein:
sc delete gusvc Klicke OK CombiFix entfernen Start > Ausführen>Kopiere rein ComboFix /U OK Benutze ATF Cleaner Nur für XP und Windows 2000 Doppelklick ATFcleaner um das Program zu starten Auf tab “Main“ Select All anhaaken. Klicke den Knopf Empty selected Wenn man Opera als browser hat: Klicke auf tab “Opera“ Select All anhaaken. Willst du die durch Opera aufgehobene passwörter behalten Dan klickt man im Fenster was erscheint auf “No“ Klicke den Knopf Empty selected Wenn man Firefox als browser hat: Klicke auf tab “Firefox“ Select All anhaaken. Willst du die durch Firefox aufgehobene passwörter behalten Dan klickt man im Fenster was erscheint auf “No“ Klicke den Knopf Empty selected Geh zum tab“Main“und klicke Exit um das Program zu schliessen. Systemwiederherstellung Info: http://virus-protect.org/systemwiederherstellung.html Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. - dann wieder aktivieren SDFix Download SDFix zum Desktop Starte dein Recher in abgesicherten Modus SDFix.zip entpacken unter C:\ findet man nun den SDFix-Ordner Doppelklick RunThis.bat Schreibe: Y folge allen Anweisungen Dann wird der Rechner neustarten SDFix entfernt jetzt die gefundene Objekte Kopiere den Inhalt des Berichts SophosReport.txt der jetzt auf dein Desktop steht in diesen Thread Note:Wenn die Immunisierfunktion von Spybot s&d benutzt wird,nachher wieder installieren,weil SDFix sie entfernt Edit: Wo ist dein Up-to-date Virenscanner? __________ MfG Argus |
|
|
||
24.09.2008, 19:46
Member
Themenstarter Beiträge: 14 |
#9
Hab das Notebook von einer Freundin abgekauft, die, wie man sieht keinen installt hatte
Das problem mit google etc ist behoben, Aber ich werde die oben genannten Dinge trotzdem tun. |
|
|
||
24.09.2008, 19:57
Ehrenmitglied
Beiträge: 6028 |
||
|
||
24.09.2008, 20:20
Member
Themenstarter Beiträge: 14 |
#11
Danke Arnold für die Links,
Hier das Log von SDFix SDFix: Version 1.228 Run by Tine on 24.09.2008 at 20:03 Microsoft Windows XP [Version 5.1.2600] Running From: C:\Dokumente und Einstellungen\Tine\Desktop\SDFix Checking Services : Restoring Default Security Values Restoring Default Hosts File Rebooting Checking Files : Trojan Files Found: C:\Dokumente und Einstellungen\Tine\Favoriten\Programme downloaden.url - Deleted Removing Temp Files ADS Check : Final Check : catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-24 20:08:27 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden services & system hive ... scanning hidden registry entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services : Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger" "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)" "C:\\Programme\\mIRC\\mirc.exe"="C:\\Programme\\mIRC\\mirc.exe:*:Enabled:mIRC" "C:\\Program Files\\Real\\RealPlayer\\realplay.exe"="C:\\Program Files\\Real\\RealPlayer\\realplay.exe:*:Enabled:RealPlayer" "C:\\GodFather\\mirc.exe"="C:\\GodFather\\mirc.exe:*:Enabled:mIRC" "C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger" "C:\\Programme\\MSN\\MSNCoreFiles\\msn6.exe"="C:\\Programme\\MSN\\MSNCoreFiles\\msn6.exe:*:Enabled:msn" "C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger" "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)" Remaining Files : File Backups: - C:\DOKUME~1\Tine\Desktop\SDFix\backups\backups.zip Files with Hidden Attributes : Tue 2 Oct 2001 21,747 A.SHR --- "C:\WINDOWS\GERMANMSG.bak" Wed 15 Aug 2007 4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak" Wed 15 Aug 2007 401 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv17.bak" Sat 2 Aug 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\b76443b8c3e363672b10791338cc85db\BIT2.tmp" Finished! |
|
|
||
24.09.2008, 20:27
Ehrenmitglied
Beiträge: 6028 |
||
|
||
24.09.2008, 20:47
Member
Themenstarter Beiträge: 14 |
||
|
||
Alt bekannt, wen ich auch Google etwas suche und es gefunden habe, es anklicke,komme ich auf eine vollkommen andere seite.
Ich habe einige Threats hier gelesen und auch anweisungen befolgt
habe zum BEispiel CCleaner mir geladen,
in einer anweisung auf der seite stand das man Temps, Cookies etc Löschen soll
aber als ich den ordner in dem Ordner suchte fand ich ihn nicht O.o
Habs oben in der LEiste Per hand angegeben und da fand ich sie dann.
Nach einem Neustart Funktioniert sogar meine PennerBar (browsergame übersichts Tool)
Aber ich habe da eine Frage; Kann ich beim CCleaner bedenkenlos nach der Analyse auf "Starte CCleaner" drücken`?
weil wie ich sehe stehn da system23 datein drin
Ich wollte noch das Anti Maleware Proggi loaden aber ich kann es leider nicht, da ich nicht auf die seite komme...
Danke schon einmal