Habe ein "your computer is infected" |
||
---|---|---|
#0
| ||
12.10.2008, 10:52
Member
Beiträge: 29 |
||
|
||
12.10.2008, 11:10
Ehrenmitglied
Beiträge: 6028 |
#2
Malwarebytes Anti-Malware fuer Windows 2000,XP und Vista
Download MBAM Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet Klicke “Einstellungen“ haacke an “ Beende Inter Explorer während des Löschvorgangs “ Waehle bei Reiter “Scanner”> "Quickscan durchfuehren" . Waehle alle Laufwerke> Scan laufen lassen Wenn am Ende infizierungen gefunden werden,anhaacken und entfernen lassen Starte dein Rechner neu Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt) Poste dessen inhalt hier ins Forum Note: Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK Danach wird gefragt den Rechner neu zu starten,lass es zu Malwarebytes Anti-Malware kann man nachher behalten ! Später kann man noch ein "Vollständiger Suchlauf“durchführen __________ MfG Argus |
|
|
||
12.10.2008, 11:21
Member
Themenstarter Beiträge: 29 |
#3
Hallo Arnold
Ich hab das gemacht mit malwarebytes, ich hab das heute morgen schon mal gemacht da hat es relativ viel gefunden (135 objekte)! hier der bericht von jetzt: Malwarebytes' Anti-Malware 1.24 Datenbank Version: 1018 Windows 5.1.2600 Service Pack 3 11:17:23 12.10.2008 mbam-log-10-12-2008 (11-17-23).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 40728 Laufzeit: 3 minute(s), 4 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
|
|
||
12.10.2008, 11:33
Ehrenmitglied
Beiträge: 6028 |
#4
Hast du MBAM nicht ge-updated?
Deins Malwarebytes' Anti-Malware 1.24 Datenbank Version: 1018 Meins Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1259 __________ MfG Argus |
|
|
||
12.10.2008, 11:33
Member
Themenstarter Beiträge: 29 |
#5
Hier nochmal der malwarebytes bericht, ich war nicht geupdated, sorry, musste jetzt auch neustarten um alles zu entfernen!
Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1134 Windows 5.1.2600 Service Pack 3 12.10.2008 11:27:53 mbam-log-2008-10-12 (11-27-53).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 45634 Laufzeit: 2 minute(s), 20 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 2 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\CLSID\{32341DE7-18A1-1820-7CA3-04F68842C7BE} (Trojan.FakeAlert.H) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\webcommon (Trojan.FakeAlert.H) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wincomsys (Trojan.FakeAlert.H) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Programme\nnzmzcd\WebComMon.dll (Trojan.FakeAlert.H) -> Delete on reboot. C:\WINDOWS\system32\hyvilgfs.exe (Trojan.FakeAlert.H) -> Delete on reboot. So jetzt noch komplett ge-updated, sorry: Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1259 Windows 5.1.2600 Service Pack 3 12.10.2008 11:40:03 mbam-log-2008-10-12 (11-40-03).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 48199 Laufzeit: 4 minute(s), 1 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\wini104552633.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. Dieser Beitrag wurde am 12.10.2008 um 11:42 Uhr von Piterpan editiert.
|
|
|
||
12.10.2008, 11:59
Ehrenmitglied
Beiträge: 6028 |
#6
SDFix für Windows 2000 und Windows XP
Download SDFix zum Desktop Starte dein Recher in abgesicherten Modus SDFix.zip entpacken unter C:\ findet man nun den SDFix-Ordner Doppelklick RunThis.bat Schreibe: Y folge allen Anweisungen Dann wird der Rechner neustarten SDFix entfernt jetzt die gefundene Objekte Kopiere den Inhalt des Berichts SophosReport.txt in diesen Thread Note:Wenn die Immunisierfunktion von Spybot s&d benutzt wird,nachher wieder installieren,weil SDFix sie entfernt ComboFix(by sUBs) Download ComboFix und speichert es auf den Desktop! Befolge diese Anleitung und installiere auch den Wiederherstellungskonsole Schliesse alle Programme und Anwendungen mit Hintergrundwächtern inklusive der Firewall + Antivirusprogramme müssen deaktiviert sein Starte combofix.exe Folge den Instruktionen in das Fenster Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt) nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen" Und ein log von Hijack This __________ MfG Argus |
|
|
||
12.10.2008, 12:44
Member
Themenstarter Beiträge: 29 |
#7
So alles durch, hier die Berichte:
SDFix: Version 1.234 Run by User on 12.10.2008 at 12:24 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Checking Services : Restoring Default Security Values Restoring Default Hosts File Rebooting Checking Files : No Trojan Files Found Removing Temp Files ADS Check : Final Check : catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-12 12:32:32 Windows 5.1.2600 Service Pack 3 NTFS scanning hidden processes ... scanning hidden services & system hive ... [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg] "s1"=dword:2df9c43f "s2"=dword:110480d0 "h0"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "p0"="C:\Programme\DAEMON Tools\" "h0"=dword:00000000 "khjeh"=hex:f7,94,ab,08,b7,30,9c,c3,c1,44,55,6b,7b,f4,00,c3,ca,57,3c,ca,ec,.. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001] "a0"=hex:20,01,00,00,03,90,ff,a0,88,73,82,7b,7f,f0,eb,2e,f5,49,25,03,a5,.. "khjeh"=hex:4f,b8,83,20,34,05,96,a2,9c,ce,31,d4,c2,3c,eb,8e,14,66,a4,6a,0c,.. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40] "khjeh"=hex:b9,12,01,fd,ab,db,63,61,f0,d7,1e,ab,88,bd,bb,7d,4c,ad,cb,27,8f,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "p0"="C:\Programme\DAEMON Tools\" "h0"=dword:00000000 "khjeh"=hex:f7,94,ab,08,b7,30,9c,c3,c1,44,55,6b,7b,f4,00,c3,ca,57,3c,ca,ec,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001] "a0"=hex:20,01,00,00,03,90,ff,a0,88,73,82,7b,7f,f0,eb,2e,f5,49,25,03,a5,.. "khjeh"=hex:4f,b8,83,20,34,05,96,a2,9c,ce,31,d4,c2,3c,eb,8e,14,66,a4,6a,0c,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40] "khjeh"=hex:b9,12,01,fd,ab,db,63,61,f0,d7,1e,ab,88,bd,bb,7d,4c,ad,cb,27,8f,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "p0"="C:\Programme\DAEMON Tools\" "h0"=dword:00000000 "khjeh"=hex:f7,94,ab,08,b7,30,9c,c3,c1,44,55,6b,7b,f4,00,c3,ca,57,3c,ca,ec,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001] "a0"=hex:20,01,00,00,03,90,ff,a0,88,73,82,7b,7f,f0,eb,2e,f5,49,25,03,a5,.. "khjeh"=hex:4f,b8,83,20,34,05,96,a2,9c,ce,31,d4,c2,3c,eb,8e,14,66,a4,6a,0c,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40] "khjeh"=hex:b9,12,01,fd,ab,db,63,61,f0,d7,1e,ab,88,bd,bb,7d,4c,ad,cb,27,8f,.. scanning hidden registry entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services : Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\EA Games\\Command and Conquer Gener„le\\patchget.dat"="C:\\Programme\\EA Games\\Command and Conquer Gener„le\\patchget.dat:*:Enabledatchgrabber" "C:\\Programme\\EA Games\\Command and Conquer Gener„le\\game.dat"="C:\\Programme\\EA Games\\Command and Conquer Gener„le\\game.dat:*:Enabled:game" "C:\\Programme\\EA Games\\Command & Conquer Gener„le Stunde Null\\patchget.dat"="C:\\Programme\\EA Games\\Command & Conquer Gener„le Stunde Null\\patchget.dat:*:Enabledatchgrabber" "C:\\Programme\\EA Games\\Command & Conquer Gener„le Stunde Null\\game.dat"="C:\\Programme\\EA Games\\Command & Conquer Gener„le Stunde Null\\game.dat:*:Enabled:game" "C:\\Programme\\Westwood\\SUN\\GAME.ICD"="C:\\Programme\\Westwood\\SUN\\GAME.ICD:*:Enabled:Main executable for Tiberian Sun" "C:\\Programme\\Westwood\\SUN\\Game.exe"="C:\\Programme\\Westwood\\SUN\\Game.exe:*:Enabled:Main executable for Tiberian Sun" "C:\\Programme\\LimeWire\\LimeWire.exe"="C:\\Programme\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire" "C:\\Programme\\EA Games\\Command & Conquer Gener„le Stunde Null\\generals.exe"="C:\\Programme\\EA Games\\Command & Conquer Gener„le Stunde Null\\generals.exe:*:Enabled:Command & Conquer Gener„le Die Stunde Null " "C:\\WINDOWS\\system32\\dplaysvr.exe"="C:\\WINDOWS\\system32\\dplaysvr.exe:*:Enabled:Microsoft DirectPlay Helper" "C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Civilization4.exe"="C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Civilization4.exe:*:Enabled:Sid Meier's Civilization 4" "C:\\Programme\\Ubisoft\\Funatics\\Die Siedler II - Die n„chste Generation\\bin\\S2DNG.exe"="C:\\Programme\\Ubisoft\\Funatics\\Die Siedler II - Die n„chste Generation\\bin\\S2DNG.exe:*:Enabled:S2DNG" "C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Warlords\\Civ4Warlords.exe"="C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Warlords\\Civ4Warlords.exe:*:Enabled:Sid Meier's Civilization 4 Warlords" "C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Warlords\\Civ4Warlords_PitBoss.exe"="C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Warlords\\Civ4Warlords_PitBoss.exe:*:Enabled:Sid Meier's Civilization 4 Pitboss" "C:\\Programme\\Die Gilde 2\\GuildII.exe"="C:\\Programme\\Die Gilde 2\\GuildII.exe:*:Enabledie Gilde 2" "C:\\Program files\\Codemasters\\Operation Flashpoint\\FLASHPOINTRESISTANCE.EXE"="C:\\Program files\\Codemasters\\Operation Flashpoint\\FLASHPOINTRESISTANCE.EXE:*:Enabled:Operation Flashpoint" "C:\\Programme\\Firefly Studios\\Stronghold Legends\\StrongholdLegends.exe"="C:\\Programme\\Firefly Studios\\Stronghold Legends\\StrongholdLegends.exe:*:Enabled:Stronghold Legends" "C:\\Programme\\Anno 1701\\Anno1701.exe"="C:\\Programme\\Anno 1701\\Anno1701.exe:*:Enabled:Anno 1701" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\\Programme\\Bohemia Interactive\\ArmA\\arma.exe"="C:\\Programme\\Bohemia Interactive\\ArmA\\arma.exe:*:Enabled:ArmA" "C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger" "C:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Railroads!\\RailRoads.exe"="C:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Railroads!\\RailRoads.exe:*:Enabled:Sid Meier's Railroads!" "C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.0\\cnc3game.dat"="C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.0\\cnc3game.dat:*:Enabled:Command & Conquer 3 Tiberium Wars" "C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.4\\cnc3game.dat"="C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.4\\cnc3game.dat:*:Enabled:Command & Conquer 3 Tiberium Wars" "C:\\Programme\\Die Gilde 2 - Die Seer„uber der Hanse\\GuildII.exe"="C:\\Programme\\Die Gilde 2 - Die Seer„uber der Hanse\\GuildII.exe:*:Enabled:GuildII" "C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword.exe"="C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword.exe:*:Enabled:Sid Meier's Civilization 4 Beyond the Sword" "C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword_PitBoss.exe"="C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword_PitBoss.exe:*:Enabled:Sid Meier's Civilization 4 Beyond the Sword Pitboss" "C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.8\\cnc3game.dat"="C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.8\\cnc3game.dat:*:Enabled:Command & Conquer 3 Tiberium Wars" "C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\WINDOWS\\system32\\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test" "C:\\Programme\\SEGA\\Medieval II Total War\\medieval2.exe"="C:\\Programme\\SEGA\\Medieval II Total War\\medieval2.exe:*:Enabled:Medieval 2: Total War" "C:\\Programme\\SEGA\\Medieval II Total War\\kingdoms.exe"="C:\\Programme\\SEGA\\Medieval II Total War\\kingdoms.exe:*:Enabled:Medieval 2 Total War: Kingdoms" "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger" "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)" "C:\\Programme\\Firefly Studios\\Stronghold Crusader\\Stronghold_Crusader_Extreme.exe"="C:\\Programme\\Firefly Studios\\Stronghold Crusader\\Stronghold_Crusader_Extreme.exe:*:Enabled:Stronghold Crusader" "C:\\Programme\\Firefly Studios\\Stronghold Crusader\\Stronghold Crusader.exe"="C:\\Programme\\Firefly Studios\\Stronghold Crusader\\Stronghold Crusader.exe:*:Enabled:Stronghold Crusader" "C:\\Dokumente und Einstellungen\\User\\Desktop\\TT\\TTDLOADW.OVL"="C:\\Dokumente und Einstellungen\\User\\Desktop\\TT\\TTDLOADW.OVL:*:Enabled:TTDLOADW" "C:\\Programme\\DNA\\btdna.exe"="C:\\Programme\\DNA\\btdna.exe:*:EnabledNA" "C:\\Programme\\OpenTTD\\openttd.exe"="C:\\Programme\\OpenTTD\\openttd.exe:*:Enabled:OpenTTD" "C:\\Programme\\Bonjour\\mDNSResponder.exe"="C:\\Programme\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour" "C:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Civilization IV Colonization\\Colonization.exe"="C:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Civilization IV Colonization\\Colonization.exe:*:Enabled:Sid Meier's Civilization IV Colonization" "C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger" "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)" Remaining Files : Files with Hidden Attributes : Mon 3 Dec 2007 6,219,320 A..H. --- "C:\Programme\Picasa2\setup.exe" Thu 21 Sep 2006 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak" Thu 14 Dec 2006 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp" Sun 12 Oct 2008 3,428 ...HR --- "C:\Dokumente und Einstellungen\User\Anwendungsdaten\SecuROM\UserData\securom_v7_01.bak" Finished! ----- ComboFix 08-10-11.02 - User 2008-10-12 12:39:17.3 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.589 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\User\Desktop\ComboFix.exe [COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR] . ((((((((((((((((((((((( Dateien erstellt von 2008-09-12 bis 2008-10-12 )))))))))))))))))))))))))))))) . 2008-10-12 12:23 . 2008-10-12 12:23 580,096 --a--c--- C:\WINDOWS\system32\dllcache\user32.dll 2008-10-12 12:20 . 2008-10-12 12:20 <DIR> d-------- C:\WINDOWS\ERUNT 2008-10-12 12:17 . 2008-10-12 12:34 <DIR> d-------- C:\SDFix 2008-10-12 01:20 . 2008-10-12 11:29 <DIR> d-------- C:\Programme\nnzmzcd 2008-10-12 01:20 . 2008-10-12 01:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gharalqr 2008-10-05 13:36 . 2008-10-05 13:36 <DIR> d-------- C:\Programme\iTunes 2008-10-05 13:36 . 2008-10-05 13:36 <DIR> d-------- C:\Programme\iPod 2008-10-05 13:36 . 2008-10-05 13:36 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6} 2008-09-29 10:11 . 2008-09-29 10:11 <DIR> d-------- C:\WINDOWS\system32\de 2008-09-29 10:11 . 2008-09-29 10:11 <DIR> d-------- C:\WINDOWS\system32\bits 2008-09-29 10:11 . 2008-09-29 10:11 <DIR> d-------- C:\WINDOWS\l2schemas 2008-09-26 15:24 . 2007-05-16 16:45 3,497,832 --a------ C:\WINDOWS\system32\d3dx9_34.dll 2008-09-26 15:24 . 2007-05-16 16:45 1,124,720 --a------ C:\WINDOWS\system32\D3DCompiler_34.dll 2008-09-26 15:24 . 2007-05-16 16:45 443,752 --a------ C:\WINDOWS\system32\d3dx10_34.dll 2008-09-26 15:24 . 2007-06-20 20:46 266,088 --a------ C:\WINDOWS\system32\xactengine2_8.dll 2008-09-26 15:24 . 2007-06-20 20:45 18,280 --a------ C:\WINDOWS\system32\x3daudio1_2.dll 2008-09-24 13:21 . 2008-09-24 13:21 <DIR> d-------- C:\Programme\QuickTime 2008-09-24 13:21 . 2008-09-24 13:21 <DIR> d-------- C:\Programme\Bonjour 2008-09-15 18:09 . 2008-09-15 18:09 <DIR> d-------- C:\Programme\OpenTTD 2008-09-13 10:12 . 2008-09-13 10:12 <DIR> d--hs---- C:\found.000 . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-12 10:14 --------- d-----w C:\Dokumente und Einstellungen\User\Anwendungsdaten\DNA 2008-10-12 09:24 --------- d-----w C:\Programme\Malwarebytes' Anti-Malware 2008-09-29 08:40 --------- d-----w C:\Programme\DNA 2008-09-26 13:28 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll 2008-09-26 13:24 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-09-24 11:21 --------- d-----w C:\Programme\Gemeinsame Dateien\Apple 2008-09-09 22:04 38,528 ----a-w C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-09-09 22:03 17,200 ----a-w C:\WINDOWS\system32\drivers\mbam.sys 2008-08-29 08:18 87,336 ----a-w C:\WINDOWS\system32\dns-sd.exe 2008-08-29 07:53 61,440 ----a-w C:\WINDOWS\system32\dnssd.dll 2008-08-23 17:52 --------- d-----w C:\Programme\Apple Software Update 2008-07-31 07:03 2,650 ----a-w C:\WINDOWS\system32\tmp.reg 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe 2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll 2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll 2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll . ((((((((((((((((((((((((((((( snapshot_2008-10-12_11.03.38.64 ))))))))))))))))))))))))))))))))))))))))) . + 2008-08-07 14:27:04 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE + 2008-10-12 10:21:01 4,820,992 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000001\ntuser.dat + 2008-10-12 10:21:01 368,640 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat + 2008-08-07 14:27:04 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE + 2008-10-12 10:20:50 4,820,992 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000001\ntuser.dat + 2008-10-12 10:20:50 368,640 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-04-04 165784] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360] "BitTorrent DNA"="C:\Programme\DNA\btdna.exe" [2008-09-29 289088] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-02-12 339968] "type32"="C:\Programme\Microsoft IntelliType Pro\type32.exe" [2004-03-19 184320] "IntelliPoint"="C:\Programme\Microsoft IntelliPoint\point32.exe" [2004-03-19 212992] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 262401] "QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-09-06 413696] "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-10-01 289576] "High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 C:\WINDOWS\system32\HdAShCut.exe] "SoundMan"="SOUNDMAN.EXE" [2006-06-17 C:\WINDOWS\SoundMan.exe] "AlcWzrd"="ALCWZRD.EXE" [2006-06-17 C:\WINDOWS\alcwzrd.exe] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Mountit.lnk - C:\Programme\Roxio\WinOnCD 6 DVD\MountIt.exe [2003-05-08 1159232] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\EA Games\\Command and Conquer Generäle\\patchget.dat"= "C:\\Programme\\EA Games\\Command and Conquer Generäle\\game.dat"= "C:\\Programme\\EA Games\\Command & Conquer Generäle Stunde Null\\patchget.dat"= "C:\\Programme\\EA Games\\Command & Conquer Generäle Stunde Null\\game.dat"= "C:\\Programme\\Westwood\\SUN\\GAME.ICD"= "C:\\Programme\\Westwood\\SUN\\Game.exe"= "C:\\Programme\\LimeWire\\LimeWire.exe"= "C:\\Programme\\EA Games\\Command & Conquer Generäle Stunde Null\\generals.exe"= "C:\\WINDOWS\\system32\\dplaysvr.exe"= "C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Civilization4.exe"= "C:\\Programme\\Ubisoft\\Funatics\\Die Siedler II - Die nächste Generation\\bin\\S2DNG.exe"= "C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Warlords\\Civ4Warlords.exe"= "C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Warlords\\Civ4Warlords_PitBoss.exe"= "C:\\Programme\\Die Gilde 2\\GuildII.exe"= "C:\\Program files\\Codemasters\\Operation Flashpoint\\FLASHPOINTRESISTANCE.EXE"= "C:\\Programme\\Firefly Studios\\Stronghold Legends\\StrongholdLegends.exe"= "C:\\Programme\\Anno 1701\\Anno1701.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\Bohemia Interactive\\ArmA\\arma.exe"= "C:\\Programme\\Messenger\\msmsgs.exe"= "C:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Railroads!\\RailRoads.exe"= "C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.0\\cnc3game.dat"= "C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.4\\cnc3game.dat"= "C:\\Programme\\Die Gilde 2 - Die Seeräuber der Hanse\\GuildII.exe"= "C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword.exe"= "C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword_PitBoss.exe"= "C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.8\\cnc3game.dat"= "C:\\WINDOWS\\system32\\dpvsetup.exe"= "C:\\Programme\\SEGA\\Medieval II Total War\\medieval2.exe"= "C:\\Programme\\SEGA\\Medieval II Total War\\kingdoms.exe"= "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "C:\\Programme\\Firefly Studios\\Stronghold Crusader\\Stronghold_Crusader_Extreme.exe"= "C:\\Programme\\Firefly Studios\\Stronghold Crusader\\Stronghold Crusader.exe"= "C:\\Dokumente und Einstellungen\\User\\Desktop\\TT\\TTDLOADW.OVL"= "C:\\Programme\\DNA\\btdna.exe"= "C:\\Programme\\OpenTTD\\openttd.exe"= "C:\\Programme\\Bonjour\\mDNSResponder.exe"= "C:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Civilization IV Colonization\\Colonization.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= R0 c2scsi;c2scsi;C:\WINDOWS\system32\DRIVERS\c2scsi.sys [2003-03-18 215936] R1 SSHDRV76;SSHDRV76;C:\WINDOWS\system32\drivers\SSHDRV76.sys [2006-07-23 53760] R3 A3AB;D-Link AirPro 802.11a/b Wireless Adapter Service(A3AB);C:\WINDOWS\system32\DRIVERS\A3AB.sys [2004-09-03 396480] S3 bDMusicb;bDMusicb;C:\DOKUME~1\User\LOKALE~1\Temp\bDMusicb.sys [ ] . Inhalt des "geplante Tasks" Ordners 2008-10-01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34] . . ------- Zusätzlicher Suchlauf ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\x4qo6677.default\ FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-12 12:40:19 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... C:\DOKUME~1\User\LOKALE~1\Temp\RGI4.tmp Scan erfolgreich abgeschlossen versteckte Dateien: 1 ************************************************************************** . Zeit der Fertigstellung: 2008-10-12 12:41:37 ComboFix-quarantined-files.txt 2008-10-12 10:41:30 ComboFix2.txt 2008-10-12 09:04:11 Vor Suchlauf: 6'761'734'144 Bytes frei Nach Suchlauf: 6,751,641,600 Bytes frei 160 --- E O F --- 2008-10-06 20:10:11 ---- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:41:57, on 12.10.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\WINDOWS\ATKKBService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\ALCWZRD.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Microsoft IntelliType Pro\type32.exe C:\Programme\Microsoft IntelliPoint\point32.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\QuickTime\QTTask.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\DAEMON Tools\daemon.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\DNA\btdna.exe C:\WINDOWS\System32\svchost.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\notepad.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe" O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe" O4 - Global Startup: Mountit.lnk = C:\Programme\Roxio\WinOnCD 6 DVD\MountIt.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1151603956094 O16 - DPF: {D27CDC6B-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe -- End of file - 5327 bytes |
|
|
||
12.10.2008, 14:09
Ehrenmitglied
Beiträge: 29434 |
#8
Hallo Piterpan
«« Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern Zitat KILLALL::Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden. cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen Dann erscheint ein "öffnen mit" -bestätigen - und Combofix startet neu in C:\ComboFix.txt ist alles gespeichert, kopiere es ab __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.10.2008, 14:44
Member
Themenstarter Beiträge: 29 |
#9
Hallo Sabina
Danke für die Antwort, das habe ich jetzt gemacht, ich hoffe das hat geklappt!? Hier der Bericht: ComboFix 08-10-11.02 - User 2008-10-12 14:28:43.4 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.665 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\User\Desktop\ComboFix.exe Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\User\Desktop\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt [COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR] . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gharalqr C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gharalqr\grenozsl.exe C:\Programme\nnzmzcd . ((((((((((((((((((((((( Dateien erstellt von 2008-09-12 bis 2008-10-12 )))))))))))))))))))))))))))))) . 2008-10-12 12:41 . 2008-10-12 12:41 <DIR> d-------- C:\Programme\Trend Micro 2008-10-12 12:23 . 2008-10-12 12:23 580,096 --a--c--- C:\WINDOWS\system32\dllcache\user32.dll 2008-10-12 12:20 . 2008-10-12 12:20 <DIR> d-------- C:\WINDOWS\ERUNT 2008-10-12 12:17 . 2008-10-12 12:34 <DIR> d-------- C:\SDFix 2008-10-05 13:36 . 2008-10-05 13:36 <DIR> d-------- C:\Programme\iTunes 2008-10-05 13:36 . 2008-10-05 13:36 <DIR> d-------- C:\Programme\iPod 2008-10-05 13:36 . 2008-10-05 13:36 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6} 2008-09-29 10:11 . 2008-09-29 10:11 <DIR> d-------- C:\WINDOWS\system32\de 2008-09-29 10:11 . 2008-09-29 10:11 <DIR> d-------- C:\WINDOWS\system32\bits 2008-09-29 10:11 . 2008-09-29 10:11 <DIR> d-------- C:\WINDOWS\l2schemas 2008-09-26 15:24 . 2007-05-16 16:45 3,497,832 --a------ C:\WINDOWS\system32\d3dx9_34.dll 2008-09-26 15:24 . 2007-05-16 16:45 1,124,720 --a------ C:\WINDOWS\system32\D3DCompiler_34.dll 2008-09-26 15:24 . 2007-05-16 16:45 443,752 --a------ C:\WINDOWS\system32\d3dx10_34.dll 2008-09-26 15:24 . 2007-06-20 20:46 266,088 --a------ C:\WINDOWS\system32\xactengine2_8.dll 2008-09-26 15:24 . 2007-06-20 20:45 18,280 --a------ C:\WINDOWS\system32\x3daudio1_2.dll 2008-09-24 13:21 . 2008-09-24 13:21 <DIR> d-------- C:\Programme\QuickTime 2008-09-24 13:21 . 2008-09-24 13:21 <DIR> d-------- C:\Programme\Bonjour 2008-09-15 18:09 . 2008-09-15 18:09 <DIR> d-------- C:\Programme\OpenTTD 2008-09-13 10:12 . 2008-09-13 10:12 <DIR> d--hs---- C:\found.000 . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-12 12:24 --------- d-----w C:\Dokumente und Einstellungen\User\Anwendungsdaten\DNA 2008-10-12 09:24 --------- d-----w C:\Programme\Malwarebytes' Anti-Malware 2008-09-29 08:40 --------- d-----w C:\Programme\DNA 2008-09-26 13:24 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-09-24 11:21 --------- d-----w C:\Programme\Gemeinsame Dateien\Apple 2008-09-09 22:04 38,528 ----a-w C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-09-09 22:03 17,200 ----a-w C:\WINDOWS\system32\drivers\mbam.sys 2008-08-23 17:52 --------- d-----w C:\Programme\Apple Software Update . ((((((((((((((((((((((((((((( snapshot_2008-10-12_11.03.38.64 ))))))))))))))))))))))))))))))))))))))))) . + 2008-08-07 14:27:04 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE + 2008-10-12 10:21:01 4,820,992 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000001\ntuser.dat + 2008-10-12 10:21:01 368,640 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat + 2008-08-07 14:27:04 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE + 2008-10-12 10:20:50 4,820,992 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000001\ntuser.dat + 2008-10-12 10:20:50 368,640 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-04-04 165784] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360] "BitTorrent DNA"="C:\Programme\DNA\btdna.exe" [2008-09-29 289088] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-02-12 339968] "type32"="C:\Programme\Microsoft IntelliType Pro\type32.exe" [2004-03-19 184320] "IntelliPoint"="C:\Programme\Microsoft IntelliPoint\point32.exe" [2004-03-19 212992] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 262401] "QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-09-06 413696] "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-10-01 289576] "High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 C:\WINDOWS\system32\HdAShCut.exe] "SoundMan"="SOUNDMAN.EXE" [2006-06-17 C:\WINDOWS\SoundMan.exe] "AlcWzrd"="ALCWZRD.EXE" [2006-06-17 C:\WINDOWS\alcwzrd.exe] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Mountit.lnk - C:\Programme\Roxio\WinOnCD 6 DVD\MountIt.exe [2003-05-08 1159232] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\EA Games\\Command and Conquer Generäle\\patchget.dat"= "C:\\Programme\\EA Games\\Command and Conquer Generäle\\game.dat"= "C:\\Programme\\EA Games\\Command & Conquer Generäle Stunde Null\\patchget.dat"= "C:\\Programme\\EA Games\\Command & Conquer Generäle Stunde Null\\game.dat"= "C:\\Programme\\Westwood\\SUN\\GAME.ICD"= "C:\\Programme\\Westwood\\SUN\\Game.exe"= "C:\\Programme\\LimeWire\\LimeWire.exe"= "C:\\Programme\\EA Games\\Command & Conquer Generäle Stunde Null\\generals.exe"= "C:\\WINDOWS\\system32\\dplaysvr.exe"= "C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Civilization4.exe"= "C:\\Programme\\Ubisoft\\Funatics\\Die Siedler II - Die nächste Generation\\bin\\S2DNG.exe"= "C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Warlords\\Civ4Warlords.exe"= "C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Warlords\\Civ4Warlords_PitBoss.exe"= "C:\\Programme\\Die Gilde 2\\GuildII.exe"= "C:\\Program files\\Codemasters\\Operation Flashpoint\\FLASHPOINTRESISTANCE.EXE"= "C:\\Programme\\Firefly Studios\\Stronghold Legends\\StrongholdLegends.exe"= "C:\\Programme\\Anno 1701\\Anno1701.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\Bohemia Interactive\\ArmA\\arma.exe"= "C:\\Programme\\Messenger\\msmsgs.exe"= "C:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Railroads!\\RailRoads.exe"= "C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.0\\cnc3game.dat"= "C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.4\\cnc3game.dat"= "C:\\Programme\\Die Gilde 2 - Die Seeräuber der Hanse\\GuildII.exe"= "C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword.exe"= "C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword_PitBoss.exe"= "C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.8\\cnc3game.dat"= "C:\\WINDOWS\\system32\\dpvsetup.exe"= "C:\\Programme\\SEGA\\Medieval II Total War\\medieval2.exe"= "C:\\Programme\\SEGA\\Medieval II Total War\\kingdoms.exe"= "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "C:\\Programme\\Firefly Studios\\Stronghold Crusader\\Stronghold_Crusader_Extreme.exe"= "C:\\Programme\\Firefly Studios\\Stronghold Crusader\\Stronghold Crusader.exe"= "C:\\Dokumente und Einstellungen\\User\\Desktop\\TT\\TTDLOADW.OVL"= "C:\\Programme\\DNA\\btdna.exe"= "C:\\Programme\\OpenTTD\\openttd.exe"= "C:\\Programme\\Bonjour\\mDNSResponder.exe"= "C:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Civilization IV Colonization\\Colonization.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= R0 c2scsi;c2scsi;C:\WINDOWS\system32\DRIVERS\c2scsi.sys [2003-03-18 215936] R1 SSHDRV76;SSHDRV76;C:\WINDOWS\system32\drivers\SSHDRV76.sys [2006-07-23 53760] R3 A3AB;D-Link AirPro 802.11a/b Wireless Adapter Service(A3AB);C:\WINDOWS\system32\DRIVERS\A3AB.sys [2004-09-03 396480] S3 bDMusicb;bDMusicb;C:\DOKUME~1\User\LOKALE~1\Temp\bDMusicb.sys [ ] . Inhalt des "geplante Tasks" Ordners 2008-10-01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34] . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-12 14:32:38 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Weitere laufende Prozesse ------------------------ . C:\WINDOWS\system32\ati2evxx.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\ati2evxx.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\WINDOWS\ATKKBService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-10-12 14:41:05 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2008-10-12 12:41:01 ComboFix2.txt 2008-10-12 10:41:38 ComboFix3.txt 2008-10-12 09:04:11 Vor Suchlauf: 6'737'842'176 Bytes frei Nach Suchlauf: 6,725,115,904 Bytes frei 163 --- E O F --- 2008-10-06 20:10:11 MFG Piterpan |
|
|
||
12.10.2008, 15:38
Ehrenmitglied
Beiträge: 29434 |
#10
Hallo Piterpan
Es sollte wieder alles i.o. sein... « Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" «« scanne mit dem Antivirus im abgesicherten Modus - Vollscan « wenn es noch Probleme geben sollte...melde dich __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.10.2008, 18:10
Member
Themenstarter Beiträge: 29 |
#11
Ok, ich habe deb PC im abgesicherten Modus gescannt! Habe leider doch noch was gefunden! Hier der Bericht:
Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <HD 1> C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\ComboFix\nircmd.com [FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 496402d4.qua erstellt ( QUARANTÄNE ) C:\WINDOWS\system32\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'D:\' <HD 2> Danke für deine Bemühungen MFG Piterpan |
|
|
||
12.10.2008, 19:09
Ehrenmitglied
Beiträge: 29434 |
#12
der scaner hat combofix gefunden ...das solltest du eigentlich schon deinstalliert haben...
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.10.2008, 19:23
Member
Themenstarter Beiträge: 29 |
#13
Hmmm, das habe ich auch schon deinstalliert, und wenn ich es jetzt nochmal probiere findet es die Datei nicht!?
|
|
|
||
12.10.2008, 19:24
Ehrenmitglied
Beiträge: 29434 |
||
|
||
12.10.2008, 21:05
Member
Themenstarter Beiträge: 29 |
#15
Das heisst ich kann sie dort einfach löschen, oder wie?
|
|
|
||
hier der antivirbericht:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 12. Oktober 2008 09:41
Es wird nach 1677110 Virenstämmen gesucht.
Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: User
Computername: PIT-PC
Versionsinformationen:
BUILD.DAT : 8.1.00.295 16479 Bytes 09.04.2008 16:22:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 18.03.2008 09:02:52
AVSCAN.DLL : 8.1.1.0 57601 Bytes 30.01.2008 15:10:50
LUKE.DLL : 8.1.2.9 151809 Bytes 28.02.2008 08:41:20
LUKERES.DLL : 8.1.2.0 12545 Bytes 19.02.2008 08:39:40
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 09:34:07
ANTIVIR2.VDF : 7.0.7.12 4066816 Bytes 08.10.2008 22:01:37
ANTIVIR3.VDF : 7.0.7.28 120320 Bytes 11.10.2008 22:01:41
Engineversion : 8.1.1.35
AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21
AESCRIPT.DLL : 8.1.0.76 319867 Bytes 18.09.2008 18:44:52
AESCN.DLL : 8.1.0.23 119156 Bytes 31.07.2008 09:34:21
AERDL.DLL : 8.1.1.2 438644 Bytes 18.09.2008 18:44:51
AEPACK.DLL : 8.1.2.3 364918 Bytes 24.09.2008 13:08:55
AEOFFICE.DLL : 8.1.0.25 196986 Bytes 18.09.2008 18:44:50
AEHEUR.DLL : 8.1.0.59 1438071 Bytes 18.09.2008 18:44:50
AEHELP.DLL : 8.1.0.15 115063 Bytes 31.07.2008 09:34:16
AEGEN.DLL : 8.1.0.36 315764 Bytes 20.08.2008 18:40:47
AEEMU.DLL : 8.1.0.7 430452 Bytes 02.08.2008 16:35:21
AECORE.DLL : 8.1.1.11 172406 Bytes 03.09.2008 17:38:59
AEBB.DLL : 8.1.0.1 53617 Bytes 31.07.2008 09:34:14
AVWINLL.DLL : 1.0.0.7 14593 Bytes 23.01.2008 17:05:55
AVPREF.DLL : 8.0.0.1 25857 Bytes 18.02.2008 10:29:37
AVREP.DLL : 8.0.0.2 98344 Bytes 02.08.2008 16:35:20
AVREG.DLL : 8.0.0.0 30977 Bytes 23.01.2008 17:05:52
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28.02.2008 08:31:27
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23.01.2008 17:06:34
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10.03.2008 14:34:46
RCTEXT.DLL : 8.0.32.0 86273 Bytes 06.03.2008 11:58:49
Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: C:\Programme\Avira\AntiVir PersonalEdition Classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: reparieren
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche Speicher..............: aus
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,
Beginn des Suchlaufs: Sonntag, 12. Oktober 2008 09:41
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATKKBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hyvilgfs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'btdna.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'brastk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QTTask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'point32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'type32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiptaxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alcwzrd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SoundMan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '39' Prozesse mit '39' Modulen durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '39' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\' <HD 1>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <HD 2>
Ende des Suchlaufs: Sonntag, 12. Oktober 2008 10:48
Benötigte Zeit: 1:06:45 min
Der Suchlauf wurde vollständig durchgeführt.
12265 Verzeichnisse wurden überprüft
381449 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
381449 Dateien ohne Befall
1670 Archive wurden durchsucht
2 Warnungen
0 Hinweise