VIRUS ALERT! hat mich erwischt |
||
---|---|---|
#0
| ||
25.09.2008, 16:22
...neu hier
Beiträge: 8 |
||
|
||
25.09.2008, 16:30
Member
Beiträge: 325 |
#2
Hallo Zucky
Versuche Malwarebytes hier runterzuladen: http://www.malwarebytes.org/mbam/program/mbam-setup.exe |
|
|
||
25.09.2008, 16:36
...neu hier
Themenstarter Beiträge: 8 |
#3
Hallo Provisitor,
nein leider funktioniert es von dort auch nicht. aber wenn der link funktionieren solte kann ich es mit einem anderen PC herunterladen und dann überspielen mal sehen wenn es klappt poste ich gleich das log edit: es hat geklappt und der scan läuft wenn er zu lange dauert muss ich erst nochmal weg und bin heute abend wieder mit den logs da edit 2: (da doppelposts nicht funktionieren) so also den scan von Malwarebytes hab ich abgeschlosen und die Dateien gelöscht. er sagte mir, dass er nicht alle löschen kann und neustarten will, um den Rest zu löschen. gesagt - getan und er is sogar im nicht abgesicherten Modus ohne Probleme hochgefahren. Das Virus Alert! hinter den Uhrzeiten ist weg, taskmanager ist wieder aktiviert, Startmenü weiderhergestellt und alle Laufwerke tauchen wieder auf... Muss ich den Rest dann überhaupt noch machen (Combofix etc.) oder ist das dadurch überflüssig geworden? Hier ist auf jeden fall das Log von Malwarebytes: Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1204 Windows 5.1.2600 Service Pack 2 25.09.2008 20:10:57 mbam-log-2008-09-25 (20-10-57).txt Scan-Methode: Vollständiger Scan (C:\|D:\|K:\|N:\|) Durchsuchte Objekte: 477026 Laufzeit: 2 hour(s), 17 minute(s), 46 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 6 Infizierte Registrierungsschlüssel: 25 Infizierte Registrierungswerte: 3 Infizierte Dateiobjekte der Registrierung: 15 Infizierte Verzeichnisse: 3 Infizierte Dateien: 78 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: C:\WINDOWS\system32\lhojwjul.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\system32\ljJCssro.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\system32\tuvVOeDs.dll (Trojan.Vundo) -> Delete on reboot. C:\WINDOWS\system32\qzyjdv.dll (Trojan.Vundo) -> Delete on reboot. C:\WINDOWS\system32\enbugjtb.dll (Trojan.Vundo) -> Delete on reboot. C:\WINDOWS\system32\ymapzx.dll (Trojan.Vundo) -> Delete on reboot. Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{532ec1a4-c9c9-404e-82e3-243d2e7d1d31} (Trojan.Vundo.H) -> Delete on reboot. HKEY_CLASSES_ROOT\CLSID\{532ec1a4-c9c9-404e-82e3-243d2e7d1d31} (Trojan.Vundo.H) -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5aee532c-7c2f-4e5c-a044-096846cb9490} (Trojan.Vundo.H) -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\tuvvoeds (Trojan.Vundo.H) -> Delete on reboot. HKEY_CLASSES_ROOT\CLSID\{5aee532c-7c2f-4e5c-a044-096846cb9490} (Trojan.Vundo.H) -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f2cfa712-fa62-4985-a313-51495ecb5905} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{f2cfa712-fa62-4985-a313-51495ecb5905} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winpaa32 (Dialer) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\TypeLib\{03c56db8-a321-4cd1-bd9e-5a85ac0a5144} (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{be29f87a-8ede-46fb-bf2c-4e48438f8504} (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{d355a751-c166-4351-8112-0eb0775e1b16} (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\webvideo (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\fqbewlna.bqmg (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\fqbewlna.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR (Trojan.Downloader) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\MicroAV (Rogue.MicroAntivirus) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ec9072fd (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{5aee532c-7c2f-4e5c-a044-096846cb9490} (Trojan.Vundo) -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{d355a751-c166-4351-8112-0eb0775e1b16} (Trojan.FakeAlert) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\ljjcssro -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\ljjcssro -> Delete on reboot. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.Homepage) -> Bad: (http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2) Good: (http://www.google.com/) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductId (Trojan.FakeAlert) -> Bad: (VIRUS ALERT!) Good: (76497-OEM-0011903-00846) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\International\sTimeFormat (Trojan.FakeAlert) -> Bad: (HH:mm: VIRUS ALERT!) Good: (HH:mm:ss) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoStartMenuMorePrograms (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives (Hijack.Drives) -> Bad: (12) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoToolbarCustomize (Hijack.Explorer) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetFolders (Hijack.Explorer) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispCPL (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: C:\Programme\PCHealthCenter (Trojan.Fakealert) -> Quarantined and deleted successfully. C:\Programme\VSAdd-in (Adware.Agent) -> Quarantined and deleted successfully. C:\Programme\MicroAV (Rogue.MicroAntivirus) -> Quarantined and deleted successfully. Infizierte Dateien: C:\WINDOWS\system32\ljJCssro.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\system32\orssCJjl.ini (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\system32\orssCJjl.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\tuvVOeDs.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\system32\ymapzx.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\system32\lhojwjul.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\system32\lujwjohl.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\ruqlmigb.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\bgimlqur.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\ywvesknh.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\hnksevwy.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\qzyjdv.dll (Trojan.Vundo) -> Delete on reboot. C:\WINDOWS\system32\enbugjtb.dll (Trojan.Vundo) -> Delete on reboot. C:\x (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\1.exe.q_D178400_q (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\2.exe.q_D178000_q (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\3.exe.q_D177A00_q (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\4.exe.q_D177A00_q (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\7.exe.q_D17A001_q (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\YUR3.exe.q_8048400_q (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\YUR30.exe.q_804A001_q (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\YUR4.exe.q_8048000_q (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\YUR5.exe.q_8047A00_q (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\YUR6.exe.q_8047A00_q (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9ZO39S75\nd82m0[1] (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9ZO39S75\upd105320[1] (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Programme\MicroAV\MicroAV.cpl (Rogue.Agent) -> Quarantined and deleted successfully. C:\Programme\PCHealthCenter\0.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Programme\PCHealthCenter\5.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\eeqb.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\system32\bsvvos.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\flckyf.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\hlqxlb.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\hugphd.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\kxhlbjoc.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\MicroAV.cpl (Rogue.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\njfrby.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\ojkfqbax.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\pmbvashf.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\qxtjesyi.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\sjhxckdr.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\svklut.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\tcjphj.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\vlfhfwor.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\vmsttrrq.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\whqqxofw.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\wiyruixf.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\xmarwt.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\xxyvutTL.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Programme\PCHealthCenter\0.gif (Trojan.Fakealert) -> Quarantined and deleted successfully. C:\Programme\PCHealthCenter\1.gif (Trojan.Fakealert) -> Quarantined and deleted successfully. C:\Programme\PCHealthCenter\1.ico (Trojan.Fakealert) -> Quarantined and deleted successfully. C:\Programme\PCHealthCenter\2.gif (Trojan.Fakealert) -> Quarantined and deleted successfully. C:\Programme\PCHealthCenter\2.ico (Trojan.Fakealert) -> Quarantined and deleted successfully. C:\Programme\PCHealthCenter\3.gif (Trojan.Fakealert) -> Quarantined and deleted successfully. C:\Programme\PCHealthCenter\sc.html (Trojan.Fakealert) -> Quarantined and deleted successfully. C:\Programme\MicroAV\MicroAV.ooo (Rogue.MicroAntivirus) -> Quarantined and deleted successfully. C:\Programme\MicroAV\MicroAV0.dat (Rogue.MicroAntivirus) -> Quarantined and deleted successfully. C:\Programme\MicroAV\MicroAV1.dat (Rogue.MicroAntivirus) -> Quarantined and deleted successfully. C:\WINDOWS\system32\winpaa32.dll (Dialer) -> Quarantined and deleted successfully. C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\system32\1.ico (Malware.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\system32\2.ico (Malware.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\ddcya.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\fqbewlna.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\mqgldfvo.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Moritz\Anwendungsdaten\TmpRecentIcons\Micro Antivirus 2009.lnk (Rogue.Link) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Moritz\Favoriten\Error Cleaner.url (Rogue.Link) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Moritz\Favoriten\Privacy Protector.url (Rogue.Link) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Moritz\Favoriten\Spyware&Malware Protection.url (Rogue.Link) -> Quarantined and deleted successfully. Dieser Beitrag wurde am 25.09.2008 um 20:23 Uhr von Zucky editiert.
|
|
|
||
25.09.2008, 20:45
Member
Beiträge: 325 |
#4
Zitat Muss ich den Rest dann überhaupt noch machen (Combofix etc.) oder ist das dadurch überflüssig geworden?Ja Zucky, Scanne mit Combofix ( & kontrolliere ob die Downloads auch wieder funzen) -poste noch dessen Report und anschließend ein neues Hijackthis. Ggf. muß noch etwas manuell raus! Kontrolliere auch,- ob Dein Security Task-Manager noch (wieder) einwandfrei funktioniert, an diesem Programm wurde auch manipuliert. Dieser Beitrag wurde am 25.09.2008 um 20:49 Uhr von Provisitor editiert.
|
|
|
||
25.09.2008, 21:54
...neu hier
Themenstarter Beiträge: 8 |
#5
so also hier ist das Combofix log
Hijackthis kommt noch wenn nötig ComboFix 08-09-25.03 - Moritz 2008-09-25 21:42:45.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.628 [GMT 2:00] ausgeführt von:: G:\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt [color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color] . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\Moritz\Anwendungsdaten\.# C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_TDSSSERV -------\Service_TDSSserv ((((((((((((((((((((((( Dateien erstellt von 2008-08-25 bis 2008-09-25 )))))))))))))))))))))))))))))) . 2008-09-25 20:14 . 2008-09-25 21:46 921,120 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat 2008-09-25 20:14 . 2008-09-25 21:46 114,720 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat 2008-09-25 20:14 . 2008-09-25 21:46 9,324 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx 2008-09-25 20:14 . 2008-09-25 21:46 1,472 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx 2008-09-25 16:47 . 2008-09-25 16:47 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-09-25 16:47 . 2008-09-25 16:47 <DIR> d-------- C:\Dokumente und Einstellungen\Moritz\Anwendungsdaten\Malwarebytes 2008-09-25 16:47 . 2008-09-25 16:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-09-25 16:47 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-09-25 16:47 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-09-25 15:03 . 2008-09-25 15:03 <DIR> d-------- C:\Programme\CCleaner 2008-09-22 08:55 . 2008-09-24 13:38 1,662,978 ---hs---- C:\WINDOWS\system32\gqqylnwv.ini 2008-09-21 01:38 . 2008-09-22 08:50 1,107,295 ---hs---- C:\WINDOWS\system32\ysiherke.ini 2008-09-19 21:32 . 2008-09-21 01:38 1,106,995 ---hs---- C:\WINDOWS\system32\qujadrid.ini 2008-09-16 13:24 . 2008-09-19 15:25 1,106,815 ---hs---- C:\WINDOWS\system32\qykusfqb.ini 2008-09-15 21:44 . 2008-09-16 13:24 1,102,525 ---hs---- C:\WINDOWS\system32\gadsbeff.ini 2008-09-15 21:27 . 2003-06-25 16:05 266,360 --a------ C:\WINDOWS\system32\TweakUI.exe 2008-09-15 21:27 . 2002-06-21 15:09 160,217 --a------ C:\WINDOWS\system32\PowerToysLicense.rtf 2008-09-15 10:59 . 2008-09-16 13:27 96,976 --a------ C:\WINDOWS\system32\drivers\klin.dat 2008-09-15 10:59 . 2008-09-16 13:27 87,855 --a------ C:\WINDOWS\system32\drivers\klick.dat 2008-09-15 10:52 . 2008-09-15 10:52 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files 2008-09-06 23:26 . 2008-09-06 23:26 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Motion Playground Inc . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-09-25 18:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2008-09-25 13:10 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-09-25 13:09 --------- d-----w C:\Programme\My MP3 2008-09-24 18:46 --------- d-----w C:\Dokumente und Einstellungen\Moritz\Anwendungsdaten\teamspeak2 2008-09-23 19:20 --------- d-----w C:\Dokumente und Einstellungen\Moritz\Anwendungsdaten\Hamachi 2008-09-21 23:18 --------- d-----w C:\Programme\Trillian 2008-09-15 21:18 --------- d-----w C:\Dokumente und Einstellungen\Moritz\Anwendungsdaten\Skype 2008-09-15 09:12 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan 2008-09-15 08:57 --------- d-----w C:\Programme\Kaspersky Lab 2008-09-06 20:40 --------- d-----w C:\Dokumente und Einstellungen\Moritz\Anwendungsdaten\CyberLink 2008-07-29 14:52 --------- d-----w C:\Programme\Realtek 2008-07-27 11:35 --------- d-----w C:\Programme\Alcohol 120 2008-06-26 19:01 2,829 ----a-w C:\WINDOWS\War3Unin.pif 2008-06-26 19:01 139,264 ----a-w C:\WINDOWS\War3Unin.exe 2008-02-15 14:25 22,328 ----a-w C:\Dokumente und Einstellungen\Moritz\Anwendungsdaten\PnkBstrK.sys 2007-10-12 00:29 98,570 ----a-w C:\Programme\MyPicture.exe 2007-10-12 00:29 98,570 ----a-w C:\Dokumente und Einstellungen\Programme\MyPicture.exe 2007-10-12 00:26 0 ----a-w C:\Programme\MyPictures.ini 2007-06-19 08:34 24 ----a-w C:\Dokumente und Einstellungen\Moritz\launcher.dat 2006-02-10 11:10 251,214 ----a-w C:\Programme\setup.inx 2007-09-12 09:19 8,784 ----a-w C:\Programme\mozilla firefox\plugins\ractrlkeyhook.dll 2007-09-12 09:22 245,408 ----a-w C:\Programme\mozilla firefox\plugins\unicows.dll 2006-10-09 11:55 8 --sh--r C:\WINDOWS\system32\EC23ACB85A.sys 2006-10-09 11:55 4,704 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys 2007-04-29 16:35 616,002 --sh--w C:\WINDOWS\system32\lnnmp.bak1 2007-04-29 20:38 615,704 --sh--w C:\WINDOWS\system32\lnnmp.bak2 2007-04-29 21:05 619,036 --sh--w C:\WINDOWS\system32\lnnmp.ini2 2007-01-31 16:45 477,605 --sh--w C:\WINDOWS\system32\rtutv.bak1 2007-02-04 17:46 486,194 --sh--w C:\WINDOWS\system32\rtutv.bak2 . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-24 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SetIcon"="\Programme\SMSC\SetIcon.exe" [2004-04-28 42496] "type32"="C:\Programme\Microsoft IntelliType Pro\type32.exe" [2003-05-16 114688] "IntelliPoint"="C:\Programme\Microsoft IntelliPoint\point32.exe" [2003-05-16 163840] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 8523776] "RTHDCPL"="RTHDCPL.EXE" [2006-10-09 C:\WINDOWS\RTHDCPL.exe] "SkyTel"="SkyTel.EXE" [2006-10-09 C:\WINDOWS\SkyTel.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-24 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles "InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit] 2007-11-15 19:46 87352 C:\WINDOWS\system32\LMIinit.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.mkdmp3enc"= C:\PROGRA~1\HOMECI~1\MAGICD~1\Kernel\Burner\MKDMP3Enc.ACM "VIDC.ACDV"= ACDV.dll [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Moritz^Startmenü^Programme^Autostart^WINAMP.LNK] path=C:\Dokumente und Einstellungen\Moritz\Startmenü\Programme\Autostart\WINAMP.LNK backup=C:\WINDOWS\pss\WINAMP.LNKStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray] --a------ 2005-09-29 14:01 67584 C:\WINDOWS\ehome\ehtray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKey] --a------ 2006-11-03 17:13 81920 C:\Programme\hotkey\hotkey.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InstantOn] --------- 2006-06-21 17:29 93640 C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] --a------ 2008-03-30 10:36 267048 C:\Programme\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut] --a------ 2006-05-18 11:29 49152 C:\Programme\Home Cinema\PowerDVD\Language\Language.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogMeIn GUI] --a------ 2007-09-12 11:20 63048 C:\Programme\LogMeIn\x86\LogMeInSystray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] --a------ 2006-01-24 21:23 7094272 C:\Programme\MSN Messenger\msnmsgr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2006-01-12 16:40 155648 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] --a------ 2007-12-05 02:41 8523776 C:\WINDOWS\system32\nvcpl.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter] --a------ 2007-12-05 02:41 81920 C:\WINDOWS\system32\nvmctray.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2008-03-28 23:37 413696 C:\Programme\QuickTime\QTTask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] --a------ 2007-02-09 17:00 25388584 C:\Programme\Skype\Phone\Skype.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrayServer] --a------ 2006-10-04 16:41 86016 C:\Programme\Magix\Trayserver.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TVBroadcast] --a------ 2006-10-20 00:43 814080 C:\Programme\Sceneo\Bonavista\Services\ODSBC\ODSBCApp.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TVEService] --a------ 2006-10-19 15:00 151552 C:\Programme\Home Cinema\TV Enhance\TVEService.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Veoh] --a------ 2008-05-08 16:53 3640368 C:\Programme\Veoh Networks\Veoh\VeohClient.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz] --a------ 2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "C:\\WINDOWS\\system32\\sessmgr.exe"= "C:\\Programme\\Messenger\\msmsgs.exe"= "C:\\WINDOWS\\system32\\fxsclnt.exe"= "C:\\Programme\\NetMeeting\\Conf.exe"= "D:\\Moritz\\Spiele\\Battlefield demo\\BF2.exe"= "D:\\Moritz\\Spiele\\UT 3 Demo\\Binaries\\UT3Demo.exe"= "D:\\Moritz\\Spiele\\Unreal Tournament III\\Binaries\\UT3.exe"= "C:\\WINDOWS\\system32\\PnkBstrA.exe"= "C:\\WINDOWS\\system32\\PnkBstrB.exe"= "D:\\Moritz\\Spiele\\Supreme Commander Forged Alliance\\Supreme Commander - Forged Alliance\\bin\\ForgedAlliance.exe"= "D:\\Moritz\\Spiele\\Supreme Commander Forged Alliance\\GPGNet\\GPG.Multiplayer.Client.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= "C:\\Programme\\MSN Messenger\\msnmsgr.exe"= "D:\\Moritz\\Spiele\\Call of Duty 4\\iw3mp.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= R0 klbg;Kaspersky Lab Boot Guard Driver;C:\WINDOWS\system32\drivers\klbg.sys [2008-01-29 32784] R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-09-07 9728] R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys [2006-09-07 11264] R2 ACEDRV06;ACEDRV06;C:\WINDOWS\system32\drivers\ACEDRV06.sys [2007-05-07 99840] R2 LMIInfo;LogMeIn Kernel Information Provider;C:\Programme\LogMeIn\x86\RaInfo.sys [2007-09-12 12992] R2 LMIRfsDriver;LogMeIn Remote File System Driver;C:\WINDOWS\system32\drivers\LMIRfsDriver.sys [2007-09-12 46112] R3 3xHybrid;Philips SAA713x PCI Card;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2006-10-10 1105664] R3 KLFLTDEV;Kaspersky Lab KLFltDev;C:\WINDOWS\system32\DRIVERS\klfltdev.sys [2008-03-13 26640] R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2008-03-25 24592] R3 X10Hid;X10 Hid Device;C:\WINDOWS\system32\Drivers\x10hid.sys [2005-11-28 7040] S3 DMSKSSRh;DMSKSSRh;C:\DOKUME~1\Moritz\LOKALE~1\Temp\DMSKSSRh.sys [ ] S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Programme\Common\Database\bin\fbserver.exe [2005-11-17 1527900] S3 TVECapSvc;TVEnhance Background Capture Service (TBCS);C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe [2006-10-19 282709] S3 TVESched;TVEnhance Task Scheduler (TTS));C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe [2006-10-19 122971] S4 srvcPVR;Sceneo PVR Service;C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe [2006-10-24 1441280] . - - - - Entfernte verwaiste Registrierungseinträge - - - - SSODL-mgxfebsq-{A747C1EF-5BC6-4836-8A40-99A9FFB1448A} - (no file) Notify-pmnnl - C:\WINDOWS\system32\pmnnl.dll Notify-vtutr - C:\WINDOWS\system32\vtutr.dll Notify-iifddcy - iifddcy.dll MSConfigStartUp-amva - C:\WINDOWS\system32\amvo.exe MSConfigStartUp-avgnt - C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe MSConfigStartUp-BullGuard - C:\Programme\BullGuard Software\BullGuard\bullguard.exe MSConfigStartUp-ICQ Lite - C:\Programme\ICQ\ICQLite.exe . ------- Zusätzlicher Suchlauf ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\Moritz\Anwendungsdaten\Mozilla\Firefox\Profiles\xpv0jh8d.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - www.toool.de FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll FF -: plugin - C:\Programme\DivX\DivX Content Uploader\npUpload.dll FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll FF -: plugin - C:\Programme\Java\jre1.5.0_08\bin\NPJava11.dll FF -: plugin - C:\Programme\Java\jre1.5.0_08\bin\NPJava12.dll FF -: plugin - C:\Programme\Java\jre1.5.0_08\bin\NPJava13.dll FF -: plugin - C:\Programme\Java\jre1.5.0_08\bin\NPJava14.dll FF -: plugin - C:\Programme\Java\jre1.5.0_08\bin\NPJava32.dll FF -: plugin - C:\Programme\Java\jre1.5.0_08\bin\NPJPI150_08.dll FF -: plugin - C:\Programme\Java\jre1.5.0_08\bin\NPOJI610.dll FF -: plugin - C:\Programme\Mozilla Firefox\plugins\npRACtrl.dll FF -: plugin - C:\Programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-25 21:48:01 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet005\Services\MySQL] "ImagePath"="\"C:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt\" --defaults-file=\"C:\Programme\MySQL\MySQL Server 5.0\my.ini\" MySQL" . ------------------------ Weitere laufende Prozesse ------------------------ . C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\SMSC\SetIcon.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-09-25 21:50:55 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2008-09-25 19:50:52 Vor Suchlauf: 9.575.784.448 Bytes frei Nach Suchlauf: 15 Verzeichnis(se), 13,474,091,008 Bytes frei 222 |
|
|
||
25.09.2008, 22:32
Member
Beiträge: 325 |
#6
@ Zucky
poste am besten nochmal ein HJT (kann nie schaden).Mit Combofix wurde auch noch was gelöscht, ein paar Einträge könnten (!) evtl. noch schlecht sein.(in Sys32 und bei einem S3- Eintrag) bin mir aber nicht 100 pro sicher.Warten wir mal ab, was Arnold oder Swiss dazu schreibt.-nichts selber unternehmen!!! Auf jeden Fall mußt Du nochmal vorbeischauen, weil ganz am Schluß wieder Combofix entfernt werden muß.-Aber poste erstmal das HJT! |
|
|
||
25.09.2008, 22:47
...neu hier
Themenstarter Beiträge: 8 |
#7
ok
hier das HJT logfile (edit: ich werde warscheinlich erst morgen wieder reinschauen aber schonmal danke für die Hilfe bis jetzt) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:46:38, on 25.09.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\SMSC\SetIcon.exe C:\Programme\Microsoft IntelliType Pro\type32.exe C:\Programme\Microsoft IntelliPoint\point32.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\explorer.exe C:\Programme\Trillian\trillian.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll O4 - HKLM\..\Run: [SetIcon] \Programme\SMSC\SetIcon.exe O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe" O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - AutorunsDisabled - (no file) O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra button: Web traffic protection statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com/ O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1160402350437 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1161001832152 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\Common\Database\bin\fbserver.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe (file missing) O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol 120\StarWind\StarWindService.exe O23 - Service: TVEnhance Background Capture Service (TBCS) (TVECapSvc) - Unknown owner - C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe O23 - Service: TVEnhance Task Scheduler (TTS)) (TVESched) - Unknown owner - C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe O24 - Desktop Component 0: (no name) - (no file) -- End of file - 5423 bytes |
|
|
||
26.09.2008, 00:11
Ehrenmitglied
Beiträge: 6028 |
#8
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei Zitat O9 - Extra button: (no name) - AutorunsDisabled - (no file)klicke: Fix checked Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst CombiFix entfernen Start > Ausführen>Kopiere rein ComboFix /U OK Download ComboFix nochmal ComboFix(by sUBs) Download ComboFix und speichert es auf den Desktop! Alle Fenster schließen und combofix.exe starten Folge den Instruktionen in das Fenster Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt) nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen" Wenn dein Virenscanner meckert, ignorieren ! Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Zitat File::CFScript.txt mit der rechten Maustaste auf das Symbol von Combofix ziehen Combofix noch mal anwenden poste dann nach neustart das neue Log __________ MfG Argus |
|
|
||
26.09.2008, 14:31
...neu hier
Themenstarter Beiträge: 8 |
#9
so... ich habe jetzt die 4 sachen mit HJT gefixt, Combofix entfernt, neu runtergeladen und laufen gelassen.
die fix.bat datei habe ich erstellt [Hier nebenbei noch eine Frage: irgendwie zeigen sich bei mir die dateiendungen nicht mehr an (fix.bat wird als fix angezeigt) wo kann man das zurückstellen?] Zitat CFScript.txt mit der rechten Maustaste auf das Symbol von Combofix ziehenCFScript finde ich nicht. ist damit combofix.txt also das log vom ersten durchlauf gemeint? Also diese datei darübergezogen und combofix zum zweiten mal scanen lassen habe ich noch nicht gemacht aber hier ist das logfile des ersten durchlaufs ComboFix 08-09-25.05 - Moritz 2008-09-26 14:15:28.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.691 [GMT 2:00] ausgeführt von:: D:\Moritz\Treiber\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt [color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color] . ((((((((((((((((((((((( Dateien erstellt von 2008-08-26 bis 2008-09-26 )))))))))))))))))))))))))))))) . 2008-09-25 22:35 . 2008-09-25 22:35 <DIR> d-------- C:\Programme\Trend Micro 2008-09-25 20:14 . 2008-09-26 14:07 921,120 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat 2008-09-25 20:14 . 2008-09-26 14:07 114,720 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat 2008-09-25 20:14 . 2008-09-26 14:07 9,324 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx 2008-09-25 20:14 . 2008-09-26 14:07 1,472 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx 2008-09-25 16:47 . 2008-09-25 16:47 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-09-25 16:47 . 2008-09-25 16:47 <DIR> d-------- C:\Dokumente und Einstellungen\Moritz\Anwendungsdaten\Malwarebytes 2008-09-25 16:47 . 2008-09-25 16:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-09-25 16:47 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-09-25 16:47 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-09-25 15:03 . 2008-09-25 15:03 <DIR> d-------- C:\Programme\CCleaner 2008-09-22 08:55 . 2008-09-24 13:38 1,662,978 ---hs---- C:\WINDOWS\system32\gqqylnwv.ini 2008-09-21 01:38 . 2008-09-22 08:50 1,107,295 ---hs---- C:\WINDOWS\system32\ysiherke.ini 2008-09-19 21:32 . 2008-09-21 01:38 1,106,995 ---hs---- C:\WINDOWS\system32\qujadrid.ini 2008-09-16 13:24 . 2008-09-19 15:25 1,106,815 ---hs---- C:\WINDOWS\system32\qykusfqb.ini 2008-09-15 21:44 . 2008-09-16 13:24 1,102,525 ---hs---- C:\WINDOWS\system32\gadsbeff.ini 2008-09-15 21:27 . 2003-06-25 16:05 266,360 --a------ C:\WINDOWS\system32\TweakUI.exe 2008-09-15 21:27 . 2002-06-21 15:09 160,217 --a------ C:\WINDOWS\system32\PowerToysLicense.rtf 2008-09-15 10:59 . 2008-09-16 13:27 96,976 --a------ C:\WINDOWS\system32\drivers\klin.dat 2008-09-15 10:59 . 2008-09-16 13:27 87,855 --a------ C:\WINDOWS\system32\drivers\klick.dat 2008-09-15 10:52 . 2008-09-15 10:52 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files 2008-09-06 23:26 . 2008-09-06 23:26 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Motion Playground Inc . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-09-25 18:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2008-09-25 13:10 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-09-25 13:09 --------- d-----w C:\Programme\My MP3 2008-09-24 18:46 --------- d-----w C:\Dokumente und Einstellungen\Moritz\Anwendungsdaten\teamspeak2 2008-09-23 19:20 --------- d-----w C:\Dokumente und Einstellungen\Moritz\Anwendungsdaten\Hamachi 2008-09-21 23:18 --------- d-----w C:\Programme\Trillian 2008-09-15 21:18 --------- d-----w C:\Dokumente und Einstellungen\Moritz\Anwendungsdaten\Skype 2008-09-15 09:12 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan 2008-09-15 08:57 --------- d-----w C:\Programme\Kaspersky Lab 2008-09-06 20:40 --------- d-----w C:\Dokumente und Einstellungen\Moritz\Anwendungsdaten\CyberLink 2008-07-29 14:52 --------- d-----w C:\Programme\Realtek 2008-07-27 11:35 --------- d-----w C:\Programme\Alcohol 120 2008-06-26 19:01 2,829 ----a-w C:\WINDOWS\War3Unin.pif 2008-06-26 19:01 139,264 ----a-w C:\WINDOWS\War3Unin.exe 2008-02-15 14:25 22,328 ----a-w C:\Dokumente und Einstellungen\Moritz\Anwendungsdaten\PnkBstrK.sys 2007-10-12 00:29 98,570 ----a-w C:\Programme\MyPicture.exe 2007-10-12 00:29 98,570 ----a-w C:\Dokumente und Einstellungen\Programme\MyPicture.exe 2007-10-12 00:26 0 ----a-w C:\Programme\MyPictures.ini 2007-06-19 08:34 24 ----a-w C:\Dokumente und Einstellungen\Moritz\launcher.dat 2006-02-10 11:10 251,214 ----a-w C:\Programme\setup.inx 2007-09-12 09:19 8,784 ----a-w C:\Programme\mozilla firefox\plugins\ractrlkeyhook.dll 2007-09-12 09:22 245,408 ----a-w C:\Programme\mozilla firefox\plugins\unicows.dll 2006-10-09 11:55 8 --sh--r C:\WINDOWS\system32\EC23ACB85A.sys 2006-10-09 11:55 4,704 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys 2007-04-29 16:35 616,002 --sh--w C:\WINDOWS\system32\lnnmp.bak1 2007-04-29 20:38 615,704 --sh--w C:\WINDOWS\system32\lnnmp.bak2 2007-04-29 21:05 619,036 --sh--w C:\WINDOWS\system32\lnnmp.ini2 2007-01-31 16:45 477,605 --sh--w C:\WINDOWS\system32\rtutv.bak1 2007-02-04 17:46 486,194 --sh--w C:\WINDOWS\system32\rtutv.bak2 . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-24 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SetIcon"="\Programme\SMSC\SetIcon.exe" [2004-04-28 42496] "type32"="C:\Programme\Microsoft IntelliType Pro\type32.exe" [2003-05-16 114688] "IntelliPoint"="C:\Programme\Microsoft IntelliPoint\point32.exe" [2003-05-16 163840] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 8523776] "RTHDCPL"="RTHDCPL.EXE" [2006-10-09 C:\WINDOWS\RTHDCPL.exe] "SkyTel"="SkyTel.EXE" [2006-10-09 C:\WINDOWS\SkyTel.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-24 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles "InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit] 2007-11-15 19:46 87352 C:\WINDOWS\system32\LMIinit.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.mkdmp3enc"= C:\PROGRA~1\HOMECI~1\MAGICD~1\Kernel\Burner\MKDMP3Enc.ACM "VIDC.ACDV"= ACDV.dll [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Moritz^Startmenü^Programme^Autostart^WINAMP.LNK] path=C:\Dokumente und Einstellungen\Moritz\Startmenü\Programme\Autostart\WINAMP.LNK backup=C:\WINDOWS\pss\WINAMP.LNKStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray] --a------ 2005-09-29 14:01 67584 C:\WINDOWS\ehome\ehtray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKey] --a------ 2006-11-03 17:13 81920 C:\Programme\hotkey\hotkey.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InstantOn] --------- 2006-06-21 17:29 93640 C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] --a------ 2008-03-30 10:36 267048 C:\Programme\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut] --a------ 2006-05-18 11:29 49152 C:\Programme\Home Cinema\PowerDVD\Language\Language.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogMeIn GUI] --a------ 2007-09-12 11:20 63048 C:\Programme\LogMeIn\x86\LogMeInSystray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] --a------ 2006-01-24 21:23 7094272 C:\Programme\MSN Messenger\msnmsgr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2006-01-12 16:40 155648 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] --a------ 2007-12-05 02:41 8523776 C:\WINDOWS\system32\nvcpl.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter] --a------ 2007-12-05 02:41 81920 C:\WINDOWS\system32\nvmctray.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2008-03-28 23:37 413696 C:\Programme\QuickTime\QTTask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] --a------ 2007-02-09 17:00 25388584 C:\Programme\Skype\Phone\Skype.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrayServer] --a------ 2006-10-04 16:41 86016 C:\Programme\Magix\Trayserver.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TVBroadcast] --a------ 2006-10-20 00:43 814080 C:\Programme\Sceneo\Bonavista\Services\ODSBC\ODSBCApp.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TVEService] --a------ 2006-10-19 15:00 151552 C:\Programme\Home Cinema\TV Enhance\TVEService.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Veoh] --a------ 2008-05-08 16:53 3640368 C:\Programme\Veoh Networks\Veoh\VeohClient.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz] --a------ 2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "C:\\WINDOWS\\system32\\sessmgr.exe"= "C:\\Programme\\Messenger\\msmsgs.exe"= "C:\\WINDOWS\\system32\\fxsclnt.exe"= "C:\\Programme\\NetMeeting\\Conf.exe"= "D:\\Moritz\\Spiele\\Battlefield demo\\BF2.exe"= "D:\\Moritz\\Spiele\\UT 3 Demo\\Binaries\\UT3Demo.exe"= "D:\\Moritz\\Spiele\\Unreal Tournament III\\Binaries\\UT3.exe"= "C:\\WINDOWS\\system32\\PnkBstrA.exe"= "C:\\WINDOWS\\system32\\PnkBstrB.exe"= "D:\\Moritz\\Spiele\\Supreme Commander Forged Alliance\\Supreme Commander - Forged Alliance\\bin\\ForgedAlliance.exe"= "D:\\Moritz\\Spiele\\Supreme Commander Forged Alliance\\GPGNet\\GPG.Multiplayer.Client.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= "C:\\Programme\\MSN Messenger\\msnmsgr.exe"= "D:\\Moritz\\Spiele\\Call of Duty 4\\iw3mp.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= R0 klbg;Kaspersky Lab Boot Guard Driver;C:\WINDOWS\system32\drivers\klbg.sys [2008-01-29 32784] R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-09-07 9728] R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys [2006-09-07 11264] R2 ACEDRV06;ACEDRV06;C:\WINDOWS\system32\drivers\ACEDRV06.sys [2007-05-07 99840] R2 LMIInfo;LogMeIn Kernel Information Provider;C:\Programme\LogMeIn\x86\RaInfo.sys [2007-09-12 12992] R2 LMIRfsDriver;LogMeIn Remote File System Driver;C:\WINDOWS\system32\drivers\LMIRfsDriver.sys [2007-09-12 46112] R3 3xHybrid;Philips SAA713x PCI Card;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2006-10-10 1105664] R3 KLFLTDEV;Kaspersky Lab KLFltDev;C:\WINDOWS\system32\DRIVERS\klfltdev.sys [2008-03-13 26640] R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2008-03-25 24592] R3 X10Hid;X10 Hid Device;C:\WINDOWS\system32\Drivers\x10hid.sys [2005-11-28 7040] S3 DMSKSSRh;DMSKSSRh;C:\DOKUME~1\Moritz\LOKALE~1\Temp\DMSKSSRh.sys [ ] S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Programme\Common\Database\bin\fbserver.exe [2005-11-17 1527900] S3 TVECapSvc;TVEnhance Background Capture Service (TBCS);C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe [2006-10-19 282709] S3 TVESched;TVEnhance Task Scheduler (TTS));C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe [2006-10-19 122971] S4 srvcPVR;Sceneo PVR Service;C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe [2006-10-24 1441280] . . ------- Zusätzlicher Suchlauf ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\Moritz\Anwendungsdaten\Mozilla\Firefox\Profiles\xpv0jh8d.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - www.toool.de FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll FF -: plugin - C:\Programme\DivX\DivX Content Uploader\npUpload.dll FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll FF -: plugin - C:\Programme\Java\jre1.5.0_08\bin\NPJava11.dll FF -: plugin - C:\Programme\Java\jre1.5.0_08\bin\NPJava12.dll FF -: plugin - C:\Programme\Java\jre1.5.0_08\bin\NPJava13.dll FF -: plugin - C:\Programme\Java\jre1.5.0_08\bin\NPJava14.dll FF -: plugin - C:\Programme\Java\jre1.5.0_08\bin\NPJava32.dll FF -: plugin - C:\Programme\Java\jre1.5.0_08\bin\NPJPI150_08.dll FF -: plugin - C:\Programme\Java\jre1.5.0_08\bin\NPOJI610.dll FF -: plugin - C:\Programme\Mozilla Firefox\plugins\npRACtrl.dll FF -: plugin - C:\Programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-26 14:17:49 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet005\Services\MySQL] "ImagePath"="\"C:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt\" --defaults-file=\"C:\Programme\MySQL\MySQL Server 5.0\my.ini\" MySQL" . Zeit der Fertigstellung: 2008-09-26 14:18:32 ComboFix-quarantined-files.txt 2008-09-26 12:18:30 ComboFix2.txt 2008-09-25 19:50:56 Vor Suchlauf: 12 Verzeichnis(se), 13.528.100.864 Bytes frei Nach Suchlauf: 15 Verzeichnis(se), 13,483,933,696 Bytes frei 196 |
|
|
||
26.09.2008, 14:57
Ehrenmitglied
Beiträge: 6028 |
#10
Ich habe ein fehler gemacht,so muss es sein
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Zitat File::CFScript.txt mit der rechten Maustaste auf das Symbol von Combofix ziehen Combofix noch mal anwenden poste dann nach neustart das neue Log Und dein fehler ist " D:\Moritz\Treiber\ComboFix.exe" es soll auf dein Desktop stehen __________ MfG Argus |
|
|
||
26.09.2008, 15:07
...neu hier
Themenstarter Beiträge: 8 |
#11
Ich habe also jetzt cfscript.txt erstellt und mit rechts auf Combofix (Combofix ist jetzt auf dem Desktop) gezogen.
dann kam "öffnen mit" und ich habe Combofix gestartet neustarten wollte mein Computer nicht aber hier ist das log ComboFix 08-09-25.05 - Moritz 2008-09-26 15:02:47.3 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.608 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Moritz\Desktop\ComboFix.exe Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Moritz\Desktop\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt [color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color] FILE :: C:\DOKUME~1\Moritz\LOKALE~1\Temp\DMSKSSRh.sys C:\WINDOWS\system32\gadsbeff.ini C:\WINDOWS\system32\gqqylnwv.ini C:\WINDOWS\system32\lnnmp.bak1 C:\WINDOWS\system32\lnnmp.bak2 C:\WINDOWS\system32\lnnmp.ini2 C:\WINDOWS\system32\qujadrid.ini C:\WINDOWS\system32\qykusfqb.ini C:\WINDOWS\system32\rtutv.bak1 C:\WINDOWS\system32\rtutv.bak2 C:\WINDOWS\system32\ysiherke.ini . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\gadsbeff.ini C:\WINDOWS\system32\gqqylnwv.ini C:\WINDOWS\system32\lnnmp.bak1 C:\WINDOWS\system32\lnnmp.bak2 C:\WINDOWS\system32\lnnmp.ini2 C:\WINDOWS\system32\qujadrid.ini C:\WINDOWS\system32\qykusfqb.ini C:\WINDOWS\system32\rtutv.bak1 C:\WINDOWS\system32\rtutv.bak2 C:\WINDOWS\system32\ysiherke.ini . ((((((((((((((((((((((( Dateien erstellt von 2008-08-26 bis 2008-09-26 )))))))))))))))))))))))))))))) . 2008-09-25 22:35 . 2008-09-25 22:35 <DIR> d-------- C:\Programme\Trend Micro 2008-09-25 20:14 . 2008-09-26 14:07 921,120 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat 2008-09-25 20:14 . 2008-09-26 14:07 114,720 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat 2008-09-25 20:14 . 2008-09-26 14:07 9,324 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx 2008-09-25 20:14 . 2008-09-26 14:07 1,472 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx 2008-09-25 16:47 . 2008-09-25 16:47 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-09-25 16:47 . 2008-09-25 16:47 <DIR> d-------- C:\Dokumente und Einstellungen\Moritz\Anwendungsdaten\Malwarebytes 2008-09-25 16:47 . 2008-09-25 16:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-09-25 16:47 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-09-25 16:47 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-09-25 15:03 . 2008-09-25 15:03 <DIR> d-------- C:\Programme\CCleaner 2008-09-15 21:27 . 2003-06-25 16:05 266,360 --a------ C:\WINDOWS\system32\TweakUI.exe 2008-09-15 21:27 . 2002-06-21 15:09 160,217 --a------ C:\WINDOWS\system32\PowerToysLicense.rtf 2008-09-15 10:59 . 2008-09-16 13:27 96,976 --a------ C:\WINDOWS\system32\drivers\klin.dat 2008-09-15 10:59 . 2008-09-16 13:27 87,855 --a------ C:\WINDOWS\system32\drivers\klick.dat 2008-09-15 10:52 . 2008-09-15 10:52 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files 2008-09-06 23:26 . 2008-09-06 23:26 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Motion Playground Inc . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-09-25 18:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2008-09-25 13:10 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-09-25 13:09 --------- d-----w C:\Programme\My MP3 2008-09-24 18:46 --------- d-----w C:\Dokumente und Einstellungen\Moritz\Anwendungsdaten\teamspeak2 2008-09-23 19:20 --------- d-----w C:\Dokumente und Einstellungen\Moritz\Anwendungsdaten\Hamachi 2008-09-21 23:18 --------- d-----w C:\Programme\Trillian 2008-09-15 21:18 --------- d-----w C:\Dokumente und Einstellungen\Moritz\Anwendungsdaten\Skype 2008-09-15 09:12 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan 2008-09-15 08:57 --------- d-----w C:\Programme\Kaspersky Lab 2008-09-06 20:40 --------- d-----w C:\Dokumente und Einstellungen\Moritz\Anwendungsdaten\CyberLink 2008-07-29 14:52 --------- d-----w C:\Programme\Realtek 2008-07-27 11:35 --------- d-----w C:\Programme\Alcohol 120 2008-06-26 19:01 2,829 ----a-w C:\WINDOWS\War3Unin.pif 2008-06-26 19:01 139,264 ----a-w C:\WINDOWS\War3Unin.exe 2008-02-15 14:25 22,328 ----a-w C:\Dokumente und Einstellungen\Moritz\Anwendungsdaten\PnkBstrK.sys 2007-10-12 00:29 98,570 ----a-w C:\Programme\MyPicture.exe 2007-10-12 00:29 98,570 ----a-w C:\Dokumente und Einstellungen\Programme\MyPicture.exe 2007-10-12 00:26 0 ----a-w C:\Programme\MyPictures.ini 2007-06-19 08:34 24 ----a-w C:\Dokumente und Einstellungen\Moritz\launcher.dat 2006-02-10 11:10 251,214 ----a-w C:\Programme\setup.inx 2007-09-12 09:19 8,784 ----a-w C:\Programme\mozilla firefox\plugins\ractrlkeyhook.dll 2007-09-12 09:22 245,408 ----a-w C:\Programme\mozilla firefox\plugins\unicows.dll 2006-10-09 11:55 8 --sh--r C:\WINDOWS\system32\EC23ACB85A.sys 2006-10-09 11:55 4,704 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-24 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SetIcon"="\Programme\SMSC\SetIcon.exe" [2004-04-28 42496] "type32"="C:\Programme\Microsoft IntelliType Pro\type32.exe" [2003-05-16 114688] "IntelliPoint"="C:\Programme\Microsoft IntelliPoint\point32.exe" [2003-05-16 163840] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 8523776] "RTHDCPL"="RTHDCPL.EXE" [2006-10-09 C:\WINDOWS\RTHDCPL.exe] "SkyTel"="SkyTel.EXE" [2006-10-09 C:\WINDOWS\SkyTel.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-24 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles "InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit] 2007-11-15 19:46 87352 C:\WINDOWS\system32\LMIinit.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.mkdmp3enc"= C:\PROGRA~1\HOMECI~1\MAGICD~1\Kernel\Burner\MKDMP3Enc.ACM "VIDC.ACDV"= ACDV.dll [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Moritz^Startmenü^Programme^Autostart^WINAMP.LNK] path=C:\Dokumente und Einstellungen\Moritz\Startmenü\Programme\Autostart\WINAMP.LNK backup=C:\WINDOWS\pss\WINAMP.LNKStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray] --a------ 2005-09-29 14:01 67584 C:\WINDOWS\ehome\ehtray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKey] --a------ 2006-11-03 17:13 81920 C:\Programme\hotkey\hotkey.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InstantOn] --------- 2006-06-21 17:29 93640 C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] --a------ 2008-03-30 10:36 267048 C:\Programme\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut] --a------ 2006-05-18 11:29 49152 C:\Programme\Home Cinema\PowerDVD\Language\Language.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogMeIn GUI] --a------ 2007-09-12 11:20 63048 C:\Programme\LogMeIn\x86\LogMeInSystray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] --a------ 2006-01-24 21:23 7094272 C:\Programme\MSN Messenger\msnmsgr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2006-01-12 16:40 155648 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] --a------ 2007-12-05 02:41 8523776 C:\WINDOWS\system32\nvcpl.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter] --a------ 2007-12-05 02:41 81920 C:\WINDOWS\system32\nvmctray.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2008-03-28 23:37 413696 C:\Programme\QuickTime\QTTask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] --a------ 2007-02-09 17:00 25388584 C:\Programme\Skype\Phone\Skype.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrayServer] --a------ 2006-10-04 16:41 86016 C:\Programme\Magix\Trayserver.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TVBroadcast] --a------ 2006-10-20 00:43 814080 C:\Programme\Sceneo\Bonavista\Services\ODSBC\ODSBCApp.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TVEService] --a------ 2006-10-19 15:00 151552 C:\Programme\Home Cinema\TV Enhance\TVEService.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Veoh] --a------ 2008-05-08 16:53 3640368 C:\Programme\Veoh Networks\Veoh\VeohClient.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz] --a------ 2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "C:\\WINDOWS\\system32\\sessmgr.exe"= "C:\\Programme\\Messenger\\msmsgs.exe"= "C:\\WINDOWS\\system32\\fxsclnt.exe"= "C:\\Programme\\NetMeeting\\Conf.exe"= "D:\\Moritz\\Spiele\\Battlefield demo\\BF2.exe"= "D:\\Moritz\\Spiele\\UT 3 Demo\\Binaries\\UT3Demo.exe"= "D:\\Moritz\\Spiele\\Unreal Tournament III\\Binaries\\UT3.exe"= "C:\\WINDOWS\\system32\\PnkBstrA.exe"= "C:\\WINDOWS\\system32\\PnkBstrB.exe"= "D:\\Moritz\\Spiele\\Supreme Commander Forged Alliance\\Supreme Commander - Forged Alliance\\bin\\ForgedAlliance.exe"= "D:\\Moritz\\Spiele\\Supreme Commander Forged Alliance\\GPGNet\\GPG.Multiplayer.Client.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= "C:\\Programme\\MSN Messenger\\msnmsgr.exe"= "D:\\Moritz\\Spiele\\Call of Duty 4\\iw3mp.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= R0 klbg;Kaspersky Lab Boot Guard Driver;C:\WINDOWS\system32\drivers\klbg.sys [2008-01-29 32784] R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-09-07 9728] R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys [2006-09-07 11264] R2 ACEDRV06;ACEDRV06;C:\WINDOWS\system32\drivers\ACEDRV06.sys [2007-05-07 99840] R2 LMIInfo;LogMeIn Kernel Information Provider;C:\Programme\LogMeIn\x86\RaInfo.sys [2007-09-12 12992] R2 LMIRfsDriver;LogMeIn Remote File System Driver;C:\WINDOWS\system32\drivers\LMIRfsDriver.sys [2007-09-12 46112] R3 3xHybrid;Philips SAA713x PCI Card;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2006-10-10 1105664] R3 KLFLTDEV;Kaspersky Lab KLFltDev;C:\WINDOWS\system32\DRIVERS\klfltdev.sys [2008-03-13 26640] R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2008-03-25 24592] R3 X10Hid;X10 Hid Device;C:\WINDOWS\system32\Drivers\x10hid.sys [2005-11-28 7040] S3 DMSKSSRh;DMSKSSRh;C:\DOKUME~1\Moritz\LOKALE~1\Temp\DMSKSSRh.sys [ ] S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Programme\Common\Database\bin\fbserver.exe [2005-11-17 1527900] S3 TVECapSvc;TVEnhance Background Capture Service (TBCS);C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe [2006-10-19 282709] S3 TVESched;TVEnhance Task Scheduler (TTS));C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe [2006-10-19 122971] S4 srvcPVR;Sceneo PVR Service;C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe [2006-10-24 1441280] . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-26 15:03:52 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet005\Services\MySQL] "ImagePath"="\"C:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt\" --defaults-file=\"C:\Programme\MySQL\MySQL Server 5.0\my.ini\" MySQL" . Zeit der Fertigstellung: 2008-09-26 15:04:28 ComboFix-quarantined-files.txt 2008-09-26 13:04:26 ComboFix2.txt 2008-09-26 12:18:33 ComboFix3.txt 2008-09-25 19:50:56 Vor Suchlauf: 12 Verzeichnis(se), 13.469.487.104 Bytes frei Nach Suchlauf: 15 Verzeichnis(se), 13,420,216,320 Bytes frei 195 |
|
|
||
26.09.2008, 15:14
Ehrenmitglied
Beiträge: 6028 |
#12
CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK Systemwiederherstellung Info: http://virus-protect.org/systemwiederherstellung.html Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. - dann wieder aktivieren Benutze ATF Cleaner Doppelklick ATFcleaner um das Program zu starten Auf tab “Main“ Select All anhaaken. Klicke den Knopf Empty selected Wenn man Opera als browser hat: Klicke auf tab “Opera“ Select All anhaaken. Willst du die durch Opera aufgehobene passwörter behalten Dan klickt man im Fenster was erscheint auf “No“ Klicke den Knopf Empty selected Wenn man [b ]Firefox [/b] als browser hat: Klicke auf tab “Firefox“ Select All anhaaken. Willst du die durch Firefox aufgehobene passwörter behalten Dan klickt man im Fenster was erscheint auf “No“ Klicke den Knopf Empty selected Geh zum tab“Main“und klicke Exit um das Program zu schliessen. __________ MfG Argus |
|
|
||
26.09.2008, 15:32
...neu hier
Themenstarter Beiträge: 8 |
#13
gesagt... getan
nur nochmal... weißt du wie man das zurückstellt? Zitat Hier nebenbei noch eine Frage: irgendwie zeigen sich bei mir die dateiendungen nicht mehr an (fix.bat wird als fix angezeigt) wo kann man das zurückstellen?Gibt es dann noch etwas zu tun? |
|
|
||
26.09.2008, 15:37
Member
Beiträge: 325 |
#14
@ Zucky
Zitat [Hier nebenbei noch eine Frage: irgendwie zeigen sich bei mir die dateiendungen nicht mehr an (fix.bat wird als fix angezeigt) wo kann man das zurückstellen?]Ordneroptionen- siehe Bild im Anhang! Das Häkchen muß raus sein, sollte es schon draußen sein und es werden immer noch keine Dateiendungen angezeigt, dann kurzzeitig ein Häkchen setzen+übernehmen+ok,-dann wieder entfernen+übernehmen+ok,- damit das Bit (Reg-Wert) wieder eine Null bekommt.Wenn's nicht klappen sollte,berichte! Anhang: Einstellung.JPG
|
|
|
||
26.09.2008, 15:43
...neu hier
Themenstarter Beiträge: 8 |
#15
funktioniert...
mein PC scheint auch wieder i.O. zu sein. wenn noch was zu tun ist lasst es mich bitte wissen ansonsten Danke an Provisitor und Arnold für die gute und schnelle Hilfe |
|
|
||
wie anscheinend schon viele andere habe ich mir Virus Alert! eingefangen.
Und zwar glaube ich mit allem drum und dran:
taskmanager deaktiviert; Laufwerke sind unsichtbar; startmenü ist total umgestellt; dieses "tolle" rote Hintergrundbild (wobei ich das inzwischen wegbekommen habe) usw.
Im Moment arbeite ich vom abgesicherten Modus aus, weil sich der normale beim starten immer aufhängt.
Aber auch im abgesicherten Modus steht hinter den Uhrzeiten VIRUS ALERT!
es gab ja schon einige threats zu diesem Virus aber wegen den ganzen logs habe ich noch einmal einen neuen aufgemacht.
Malwarebytes und Combofix kann ich (wie alle anderen programme auf eurer seite) im Moment leider nicht runterladen (sind die downloadserver gerade inaktiv?)
sobald die links bei mir funktionieren werde ich Malwarebytes scanen lassen und das log posten
CCleaner habe ich schon laufen lassen
wenn mir jemand helfen kann wäre das super
schonmal Danke
Zucky