Noch ein "Your computer is infected" |
||
---|---|---|
#0
| ||
15.10.2008, 03:15
...neu hier
Beiträge: 2 |
||
|
||
15.10.2008, 12:21
Ehrenmitglied
Beiträge: 29434 |
||
|
||
15.10.2008, 17:24
Moderator
Beiträge: 5694 |
#3
Sorry dass ich so spät komme
Also folgendes Vorgehen: >> antivbs.zip - laden - entzippen + anwenden http://virus-protect.org/zip/antivbs.zip >> Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern Zitat KILLALL::Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden. cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen http://virus-protect.org/artikel/bilder/cfscript.gif >> poste das Neue Log von Combofix ------------------------------------------------------------------ >> Lade bitte SDfix, wende es im abgesicherten Modus an + poste hier den Report, der nach Neustart erscheint http://virus-protect.org/artikel/tools/sdfix.html >> Arbeite datfindbat ab - poste von jedem log nur die Daten der letzten drei monate: http://www.virus-protect.org/datfindbat.html >> Installier Dir ein Antivirenprogramm z.B. Avira: http://virus-protect.org/virenscanner.html Gruss Swiss |
|
|
||
15.10.2008, 21:33
...neu hier
Themenstarter Beiträge: 2 |
#4
So, ich denke, ich habe alles erledigt.
Vorab erstmal: Hast Du Deinen Eintrag geändert? Laut der ursprünglichen Variante sollte ich doch auch zwei Registry-Einträge manuell ändern. Das habe ich jedenfalls auch gemacht. So folgendes ist erledigt und hat die jeweils eingefügten Log-Files erzeugt: +++++++++++++++ 1. antivbs Ist erledigt. Es wurde zwar ein Fehler bezüglich eines nicht bereiten Laufwerks ausgeworfen. Es wurden im Tool aber alle Laufwerke angezeigt und auch geprüft. Es wurde nichts gefunden. +++++++++++++++ 2. Angegebenes Script in Combofix schieben Beim Starten von Combofix ist das automatische Update fehlgeschlagen. Das war gestern auch schon so. Ansonsten ist Combofix durchgelaufen (siehe Log-Datei). Den ersten Text Deiner Arbeitsanweisung konnte man auch so verstehen, dass ich Combofix nach dem ersten Lauf noch einmal starten soll. Ich hab's jetzt aber nur einmal (mit dem Script) laufen lassen. Das Ergebnis ist: ComboFix 08-10-15.01 - Teje 2008-10-15 18:59:25.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.43 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Teje\Desktop\ComboFix.exe Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Teje\Desktop\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt [COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR] FILE :: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\onyw.dat C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tomyzufif.dat C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\yxogamaron.com C:\Dokumente und Einstellungen\Teje\Anwendungsdaten\acyzozijyj.bat C:\Dokumente und Einstellungen\Teje\Anwendungsdaten\guzi.reg C:\Programme\Gemeinsame Dateien\hyna.bin C:\Programme\Gemeinsame Dateien\lifibu.dl C:\Programme\Gemeinsame Dateien\ofamytuba.dbC:\Programme\Gemeinsame Dateien\eqylikow._sy C:\Programme\Gemeinsame Dateien\qynux.scr C:\WINDOWS\awopepar.dll C:\WINDOWS\eruriga.reg C:\WINDOWS\hykiqe._dl C:\WINDOWS\isozeji.dat C:\WINDOWS\kikypuduz.reg C:\WINDOWS\kugu.vbs C:\WINDOWS\mujyrozoku.db C:\WINDOWS\owyguke.dat C:\WINDOWS\system32\edycikif.dl C:\WINDOWS\system32\fugupo.sys C:\WINDOWS\system32\hysoh._sy C:\WINDOWS\system32\liconopyv.inf C:\WINDOWS\system32\sokoro.pif C:\WINDOWS\system32\umyhany.lib C:\WINDOWS\telu.com . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\onyw.dat C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\qngjwlsx C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tomyzufif.dat C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\yxogamaron.com C:\Dokumente und Einstellungen\Teje\Anwendungsdaten\acyzozijyj.bat C:\Dokumente und Einstellungen\Teje\Anwendungsdaten\guzi.reg C:\Programme\Gemeinsame Dateien\hyna.bin C:\Programme\Gemeinsame Dateien\lifibu.dl C:\Programme\Gemeinsame Dateien\qynux.scr C:\Programme\qsgjurf C:\Programme\qsgjurf\WebChkProc.dll C:\WINDOWS\awopepar.dll C:\WINDOWS\eruriga.reg C:\WINDOWS\hykiqe._dl C:\WINDOWS\isozeji.dat C:\WINDOWS\kikypuduz.reg C:\WINDOWS\kugu.vbs C:\WINDOWS\mujyrozoku.db C:\WINDOWS\owyguke.dat C:\WINDOWS\system32\edycikif.dl C:\WINDOWS\system32\fugupo.sys C:\WINDOWS\system32\hysoh._sy C:\WINDOWS\system32\liconopyv.inf C:\WINDOWS\system32\sokoro.pif C:\WINDOWS\system32\umyhany.lib C:\WINDOWS\telu.com . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_SJYPKT -------\Service_SjyPkt ((((((((((((((((((((((( Dateien erstellt von 2008-09-15 bis 2008-10-15 )))))))))))))))))))))))))))))) . 2008-10-15 01:49 . 2008-10-15 01:49 <DIR> d-------- C:\Programme\Trend Micro 2008-10-14 19:25 . 2008-10-14 19:26 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-10-14 19:25 . 2008-10-14 19:25 <DIR> d-------- C:\Dokumente und Einstellungen\Teje\Anwendungsdaten\Malwarebytes 2008-10-14 19:25 . 2008-10-14 19:25 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-10-14 19:25 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-10-14 19:25 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-10-14 10:44 . 2008-10-14 10:44 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files 2008-10-13 22:25 . 2008-10-13 22:51 <DIR> d-------- C:\WINDOWS\system32\CatRoot_bak . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-15 07:49 --------- d-----w C:\Programme\Mozilla Thunderbird 2008-10-14 08:52 17,724 ----a-w C:\Programme\Gemeinsame Dateien\ofamytuba.db 2008-10-14 08:28 16,555 ----a-w C:\Programme\Gemeinsame Dateien\eqylikow._sy 2008-08-30 00:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HPSSUPPLY 2008-01-21 17:27 24,304 ----a-w C:\Dokumente und Einstellungen\Teje\Anwendungsdaten\GDIPFONTCACHEV1.DAT . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 106496] "LVCOMSX"="C:\WINDOWS\System32\LVCOMSX.EXE" [2005-07-19 221184] "D-Link AirPlus G"="C:\Programme\D-Link\AirPlus G\AirGCFG.exe" [2005-11-23 1544192] "ANIWZCS2Service"="C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2005-10-19 49152] "HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2007-03-11 49152] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-12-30 185896] "SoundMan"="SOUNDMAN.EXE" [2003-11-13 C:\WINDOWS\SOUNDMAN.EXE] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 15360] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [2007-03-11 210520] OnlineControl.lnk - C:\Programme\OnlineControl\ocontrol.exe [2007-09-05 126976] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.ffds"= ffdshow.ax [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech Desktop Messenger.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Logitech Desktop Messenger.lnk backup=C:\WINDOWS\pss\Logitech Desktop Messenger.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Teje^Startmenü^Programme^Autostart^RocketDock.lnk] path=C:\Dokumente und Einstellungen\Teje\Startmenü\Programme\Autostart\RocketDock.lnk backup=C:\WINDOWS\pss\RocketDock.lnkStartup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Teje^Startmenü^Programme^Autostart^WinMySQLadmin.lnk] path=C:\Dokumente und Einstellungen\Teje\Startmenü\Programme\Autostart\WinMySQLadmin.lnk backup=C:\WINDOWS\pss\WinMySQLadmin.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] --a------ 2008-01-11 23:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD] --a------ 2007-09-20 11:35 1077032 C:\Programme\Nero\Nero8\InCD\InCD.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] --a------ 2006-02-23 16:45 278528 C:\Programme\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechSoftwareUpdate] --a------ 2005-06-08 14:44 196608 C:\Programme\Logitech\Video\ManifestEngine.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair] --a------ 2005-06-08 15:24 458752 C:\Programme\Logitech\Video\ISStart.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray] --a------ 2005-06-08 15:14 217088 C:\Programme\Logitech\Video\LogiTray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan] --a------ 2007-09-20 10:51 1836328 C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2007-03-01 16:57 153136 C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Personal ID] --a------ 2007-08-08 18:12 1423872 C:\PROGRA~1\COOLSP~1\PERSON~1\pid.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2006-05-15 22:38 282624 C:\Programme\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SecurDisc] --a------ 2007-09-20 11:36 2044712 C:\Programme\Nero\Nero8\InCD\NBHGui.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SiS Windows KeyHook] --a------ 2003-10-30 14:09 249856 C:\WINDOWS\system32\Keyhook.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2007-09-25 01:11 132496 C:\Programme\Java\jre1.6.0_03\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] --a------ 2007-12-30 02:54 185896 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] --a------ 2007-05-15 00:22 35328 C:\Programme\Winamp\winampa.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "stllssvr"=3 (0x3) "ose"=3 (0x3) "NMIndexingService"=3 (0x3) "LightScribeService"=2 (0x2) "IDriverT"=3 (0x3) "Nero BackItUp Scheduler 3"=2 (0x2) "InCDsrv"=2 (0x2) "iPodService"=3 (0x3) [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Messenger\\msmsgs.exe"= "C:\\Programme\\Azureus\\Azureus.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= "C:\\WINDOWS\\system32\\rtcshare.exe"= "C:\\Programme\\NetMeeting\\conf.exe"= "C:\\Programme\\MSN Messenger\\msnmsgr.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= "C:\\Programme\\EasyProf 2.7\\jvmwin\\bin\\javaw.exe"= "C:\\xampp\\mysql\\bin\\mysqld.exe"= "C:\\xampp\\apache\\bin\\apache.exe"= "C:\\totalcmd\\TOTALCMD.EXE"= "C:\\Programme\\Secret City\\Secret City QA\\SecretCity.exe"= "C:\\Programme\\Nero\\Nero8\\Nero ShowTime\\ShowTime.exe"= "C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"= "C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"= "C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"= "C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"= "C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"= "C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"= "C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"= "C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"= "C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"= "C:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"= "C:\\Programme\\Mozilla Firefox\\firefox.exe"= "C:\\Programme\\Zattoo\\zattood.exe"= "C:\\Programme\\Zattoo\\Zattoo2.exe"= "C:\\Programme\\Real\\RealPlayer\\realplay.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009 R3 AN983;ADMtek AN983/AN985/ADM951X 10/100Mbps Fast Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\AN983.sys [2002-05-21 38528] S3 RTLWUSB;802.11g USB2.0 WLAN Dongle;C:\WINDOWS\system32\DRIVERS\RTL8187.sys [ ] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12 hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc . Inhalt des "geplante Tasks" Ordners 2008-10-14 C:\WINDOWS\Tasks\WebReg Photosmart C5200 series.job - C:\Programme\HP\Digital Imaging\bin\hpqwrg.exe [2007-03-11 22:27] . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-15 19:08:25 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Weitere laufende Prozesse ------------------------ . C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\HP\Digital Imaging\bin\hpqste08.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-10-15 19:19:20 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2008-10-15 17:19:13 ComboFix2.txt 2008-10-14 23:41:06 Vor Suchlauf: 6.244.794.368 Bytes frei Nach Suchlauf: 6,243,221,504 Bytes frei 236 --- E O F --- 2008-09-10 01:05:27 +++++++++++++++++++ 3. Registry-Änderung (UpdatesDisableNotify und AntiVirusDisableNotify) im Security Center Sind beide auf 0 gesetzt worden. ++++++++++++++++++++ 4. SDFix Wurde angewendet und erzeugte folgendes Log: SDFix: Version 1.235 Run by Teje on 15.10.2008 at 19:46 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Checking Services : Restoring Default Security Values Restoring Default Hosts File Rebooting Checking Files : No Trojan Files Found Removing Temp Files ADS Check : Final Check : catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-15 20:13:00 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden services & system hive ... scanning hidden registry entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services : Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger" "C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes" "C:\\WINDOWS\\system32\\rtcshare.exe"="C:\\WINDOWS\\system32\\rtcshare.exe:*:Enabled:RTC-Gemeinsame Nutzung von Anwendungen" "C:\\Programme\\NetMeeting\\conf.exe"="C:\\Programme\\NetMeeting\\conf.exe:*:Enabled:Windows© NetMeeting©" "C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5" "C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype" "C:\\Programme\\EasyProf 2.7\\jvmwin\\bin\\javaw.exe"="C:\\Programme\\EasyProf 2.7\\jvmwin\\bin\\javaw.exe:*:Enabled:Java(TM) 2 Platform Standard Edition binary" "C:\\xampp\\mysql\\bin\\mysqld.exe"="C:\\xampp\\mysql\\bin\\mysqld.exe:*:Enabled:mysqld" "C:\\xampp\\apache\\bin\\apache.exe"="C:\\xampp\\apache\\bin\\apache.exe:*:Enabled:Apache HTTP Server" "C:\\totalcmd\\TOTALCMD.EXE"="C:\\totalcmd\\TOTALCMD.EXE:*:Enabled:Total Commander 32 bit international version, file manager replacement for Windows" "C:\\Programme\\Secret City\\Secret City QA\\SecretCity.exe"="C:\\Programme\\Secret City\\Secret City QA\\SecretCity.exe:*:Enabled:SecretCity" "C:\\Programme\\Nero\\Nero8\\Nero ShowTime\\ShowTime.exe"="C:\\Programme\\Nero\\Nero8\\Nero ShowTime\\ShowTime.exe:*:Enabled:Nero ShowTime" "C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe:*:Enabled:hpqtra08.exe" "C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe:*:Enabled:hpqste08.exe" "C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe:*:Enabled:hpofxm08.exe" "C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe:*:Enabled:hposfx08.exe" "C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe:*:Enabled:hposid01.exe" "C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe:*:Enabled:hpqscnvw.exe" "C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe:*:Enabled:hpqkygrp.exe" "C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe:*:Enabled:hpzwiz01.exe" "C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe:*:Enabled:hpoews01.exe" "C:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe:*:Enabled:hpqnrs08.exe" "C:\\Programme\\Mozilla Firefox\\firefox.exe"="C:\\Programme\\Mozilla Firefox\\firefox.exe:*isabled:Firefox" "C:\\Programme\\Zattoo\\zattood.exe"="C:\\Programme\\Zattoo\\zattood.exe:*:Enabled:zattood" "C:\\Programme\\Zattoo\\Zattoo2.exe"="C:\\Programme\\Zattoo\\Zattoo2.exe:*:Enabled: " "C:\\Programme\\Real\\RealPlayer\\realplay.exe"="C:\\Programme\\Real\\RealPlayer\\realplay.exe:*isabled:RealPlayer" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5" Remaining Files : Files with Hidden Attributes : Sun 16 Sep 2007 260 ...H. --- "C:\Programme\IDM COMPUTER SOLUTIONS\ULTRAEDIT-32\uedit32.reg" Thu 2 Nov 2006 7,168 A..H. --- "C:\Swsetup\Monitors\SP34288\HPx64DRV.exe" Finished! ++++++++++++++++++++ 5. datfindbat Habe ich angewendet. Folgendes Log generiert: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: D850-FEE8 Verzeichnis von c:\ 15.10.2008 21:01 0 dirdat.txt 15.10.2008 20:08 352.321.536 pagefile.sys 15.10.2008 19:19 13.806 ComboFix.txt 13.10.2008 14:28 190.815 treeinfo.wc 23.07.2008 06:59 8.957 artpdbg.log 17 Datei(en) 353.385.794 Bytes 0 Verzeichnis(se), 6.228.021.248 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: D850-FEE8 Verzeichnis von C:\WINDOWS\system32 15.10.2008 20:09 2.206 wpa.dbl 15.10.2008 11:15 562.683 TEST.log 15.10.2008 10:50 80.342 RECV.log 15.10.2008 10:50 48.963 SENT.log 15.08.2008 03:10 487.388 TZLog.log 18.07.2008 22:10 94.920 cdm.dll 18.07.2008 22:10 53.448 wuauclt.exe 18.07.2008 22:10 45.768 wups2.dll 18.07.2008 22:10 36.552 wups.dll 18.07.2008 22:10 33.992 wucltui.dll.mui 18.07.2008 22:09 29.896 wuaucpl.cpl.mui 18.07.2008 22:09 29.896 wuapi.dll.mui 18.07.2008 22:09 325.832 wucltui.dll 18.07.2008 22:09 215.752 wuaucpl.cpl 18.07.2008 22:09 563.912 wuapi.dll 18.07.2008 22:09 205.000 wuweb.dll 18.07.2008 22:09 1.811.656 wuaueng.dll 18.07.2008 22:08 21.192 wuaueng.dll.mui 14.07.2008 13:09 62.976 tzchange.exe 07.07.2008 22:30 253.952 es.dll 03.07.2008 11:42 374.272 xpsp3res.dll 2152 Datei(en) 470.231.815 Bytes 0 Verzeichnis(se), 6.227.894.272 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: D850-FEE8 Verzeichnis von C:\WINDOWS 15.10.2008 21:00 211 wiadebug.log 15.10.2008 20:42 1.285.177 WindowsUpdate.log 15.10.2008 20:08 50 wiaservc.log 15.10.2008 20:08 2.048 bootstat.dat 15.10.2008 19:35 32.622 SchedLgU.Txt 15.10.2008 19:08 227 system.ini 15.10.2008 16:55 69 NeroDigital.ini 15.10.2008 11:16 4.355 wincmd.ini 15.10.2008 09:42 1.100 wcx_ftp.ini 14.10.2008 19:22 162.721 hpoins21.dat 14.10.2008 19:16 712 win.ini 01.09.2008 12:39 38 AviSplitter.INI 07.08.2008 20:12 1.027.761 setupapi.log.0.old 111 Datei(en) 19.990.300 Bytes 0 Verzeichnis(se), 6.227.902.464 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: D850-FEE8 Verzeichnis von C:\DOKUME~1\Teje\LOKALE~1\Temp 15.10.2008 20:51 47.122 DIO8.tmp 15.10.2008 20:50 47.122 DIO7.tmp 15.10.2008 20:43 307 hpqddusr.log 15.10.2008 20:43 47.122 DIO6.tmp 15.10.2008 20:43 1.285 MAR5.tmp 15.10.2008 20:43 1.342 MAR4.tmp 15.10.2008 20:43 16.384 ~DFF02F.tmp 7 Datei(en) 160.684 Bytes 0 Verzeichnis(se), 6.227.910.656 Bytes frei ++++++++++++++++++++ 6. Virenschutz reaktivieren Mache ich jetzt. Wisst Ihr, ob mich Kaspersky 7.0 mit den neuesten Virendefinitionen zukünftig vor diesem Mit schützen kann? Danke und Gruß Frank |
|
|
||
15.10.2008, 23:12
Moderator
Beiträge: 5694 |
#5
>>
Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere in das weisse Feld: Zitat Files to delete:- schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten) - Klicke: Execute - bestätige, dass der Rechner neu gestartet wird - klicke "yes" - nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen >> loesche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb >> Combofix entfernen: Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" (oder, wenn es nicht funktioniert: C:\QooBox löschen) >> Mach einen Onlinescan mit Bitdefender und berichte: http://virus-protect.org/artikel/tools/bitdefender.html >> Jedes Antivirenprogramm nützt. Aber es kommt auch auf die Surfgewohnheiten des Users an, also diese überdenken. Gruss Swiss Gruss Swiss[/u] |
|
|
||
Ich hoffe, es wird Euch nicht zu penetrant, aber ich hatte leider auch mit besagtem Schädling zu kämpfen.
Ich habe zur Sicherheit einen vollständigen Scan mit MBAM vorgenommen und nach dem Entfernen der schadhaften Dateien und Einträge erst Combofix laufen lassen und dann noch den HijackThis-Scan vorgenommen.
Es wäre schön, wenn ein Fachmann auch nochmal einen Blick auf meine Logs werfen kann. Dafür schon mal ein riesiges "Danke schön" im voraus.
By the way ... wie fängt man sich dieses Mistvieh eigentlich ein? Wenn ich das Verhalten meines Rechners rückwirkend betrachte, scheine ich gestern ein böse Website besucht zu haben. Runtergeladen habe ich jedenfalls nix, und auch keine E-Mail mit Dateianhang bekommen.
Und wie schütze ich mich zukünftig vor dem Schädling? Reicht mein Kaspersky 7 mit den neuesten Virendefinitionen?
So, hier nun das MBAM-Log:
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1268
Windows 5.1.2600 Service Pack 2
15.10.2008 01:06:28
mbam-log-2008-10-15 (01-06-28).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|)
Durchsuchte Objekte: 580719
Laufzeit: 3 hour(s), 19 minute(s), 27 second(s)
Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 32
Infizierte Registrierungswerte: 6
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 5
Infizierte Dateien: 80
Infizierte Speicherprozesse:
C:\WINDOWS\system32\drivers\svchost.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{0656a137-b161-cadd-9777-e37a75727e78} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0b682cc1-fb40-4006-a5dd-99edd3c9095d} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0e1230f8-ea50-42a9-983c-d22abc2eeb4c} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{9dd4258a-7138-49c4-8d34-587879a5c7a4} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{b8c0220d-763d-49a4-95f4-61dfdec66ee6} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{c3bcc488-1ae7-11d4-ab82-0010a4ec2338} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{000000da-0786-4633-87c6-1aa7a4429ef1} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{54645654-2225-4455-44a1-9f4543d34545} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{5c7f15e1-f31a-44fd-aa1a-2ec63aaffd3a} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9dd4258a-7138-49c4-8d34-587879a5c7a4} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b8c0220d-763d-49a4-95f4-61dfdec66ee6} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c3bcc488-1ae7-11d4-ab82-0010a4ec2338} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{000000da-0786-4633-87c6-1aa7a4429ef1} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\XP_Antispyware (Rogue.XPAntiSpyware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\dpcproxy (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\logons (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\typelib (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\HOL5_VXIEWER.FULL.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Classes\hol5_vxiewer.full.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Classes\applications\accessdiver.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\fwbd (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\HolLol (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Inet Delivery (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Inet Delivery (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mslagent (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Invictus (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Golden Palace Casino PT (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Golden Palace Casino NEW (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\iTunesMusic (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\rdriv (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\wkey (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\mwc (Malware.Trace) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\aplapiproc (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\brastk (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\glsalukvmt (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\xp antispyware 2009 (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\SystemCheck2 (Trojan.Agent) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
C:\WINDOWS\mslagent (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\akl (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\Inet Delivery (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\smp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\XP_AntiSpyware (Rogue.XPAntiSpyware) -> Quarantined and deleted successfully.
Infizierte Dateien:
C:\WINDOWS\system32\wvipmjej.exe (Trojan.FakeAlert.H) -> Delete on reboot.
C:\WINDOWS\system32\brastk.exe (Trojan.FakeAlert.H) -> Delete on reboot.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\qngjwlsx\mlafqdaz.exe (Trojan.FakeAlert.H) -> Delete on reboot.
C:\Programme\XP_AntiSpyware\AVEngn.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{500597EA-F0F4-4DC4-9493-E1E421255A41}\RP625\A0072480.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\WINDOWS\karna.dat (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\karna.dat (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\mslagent\2_mslagent.dll (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\WINDOWS\mslagent\mslagent.exe (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\WINDOWS\mslagent\uninstall.exe (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\akl\akl.dll (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\akl\akl.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\akl\uninstall.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\akl\unsetup.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\Inet Delivery\inetdl.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\Inet Delivery\intdel.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\smp\msrc.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\XP_AntiSpyware\htmlayout.dll (Rogue.XPAntiSpyware) -> Quarantined and deleted successfully.
C:\Programme\XP_AntiSpyware\Uninstall.exe (Rogue.XPAntiSpyware) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\a.bat (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\base64.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\FVProtect.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\userconfig9x.dll (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\winsystem.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\zip1.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\zip2.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\zip3.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\zipped.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\bdn.com (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\iTunesMusic.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\mssecu.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\akttzn.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\anticipator.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\awtoolb.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\bdn.com (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\bsva-egihsg52.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dpcproxy.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\emesx.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hoproxy.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hxiwlgpm.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hxiwlgpm.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\medup012.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\medup020.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\msgp.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\msnbho.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mssecu.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\msvchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mtr2.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mwin32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\netode.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\newsd32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ps1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\psof1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\psoft1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\regc64.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\regm64.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\Rundl1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sncntr.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ssurf022.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ssvchost.com (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ssvchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sysreq.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\taack.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\taack.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\temp#01.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\thun.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\thun32.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\VBIEWER.OCX (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vcatchpi.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\winlogonpc.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\winsystem.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\WINWGPX.EXE (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\beep.sys (Fake.Beep.Sys) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dllcache\beep.sys (Fake.Beep.Sys) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vbsys2.dll (Trojan.Clicker) -> Quarantined and deleted successfully.
C:\WINDOWS\brastk.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\_scui.cpl (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wini104552663.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
... und hier das Combofix-Log:
ComboFix 08-10-14.07 - Teje 2008-10-15 1:17:39.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.39 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Teje\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
[COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR]
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Dokumente und Einstellungen\Teje\Cookies\kycesak.vbs
C:\Dokumente und Einstellungen\Teje\Lokale Einstellungen\Temporary Internet Files\atyzadaro.lib
C:\Dokumente und Einstellungen\Teje\Lokale Einstellungen\Temporary Internet Files\kilywodi.scr
C:\Dokumente und Einstellungen\Teje\Lokale Einstellungen\Temporary Internet Files\nohysequwa.pif
C:\Dokumente und Einstellungen\Teje\Lokale Einstellungen\Temporary Internet Files\potehemaf.pif
C:\Dokumente und Einstellungen\Teje\Lokale Einstellungen\Temporary Internet Files\qyvu.lib
C:\Dokumente und Einstellungen\Teje\Lokale Einstellungen\Temporary Internet Files\vizyqadoso.lib
C:\Dokumente und Einstellungen\Teje\Lokale Einstellungen\Temporary Internet Files\ynocuges.dl
C:\WINDOWS\system32\AutoRun.inf
.
((((((((((((((((((((((( Dateien erstellt von 2008-09-14 bis 2008-10-14 ))))))))))))))))))))))))))))))
.
2008-10-14 19:25 . 2008-10-14 19:26 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-10-14 19:25 . 2008-10-14 19:25 <DIR> d-------- C:\Dokumente und Einstellungen\Teje\Anwendungsdaten\Malwarebytes
2008-10-14 19:25 . 2008-10-14 19:25 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-14 19:25 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-14 19:25 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-14 10:52 . 2008-10-14 10:52 17,228 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tomyzufif.dat
2008-10-14 10:52 . 2008-10-14 10:52 16,869 --a------ C:\WINDOWS\telu.com
2008-10-14 10:52 . 2008-10-14 10:52 16,021 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\onyw.dat
2008-10-14 10:52 . 2008-10-14 10:52 14,992 --a------ C:\WINDOWS\owyguke.dat
2008-10-14 10:52 . 2008-10-14 10:52 13,546 --a------ C:\WINDOWS\kikypuduz.reg
2008-10-14 10:52 . 2008-10-14 10:52 12,837 --a------ C:\WINDOWS\system32\liconopyv.inf
2008-10-14 10:52 . 2008-10-14 10:52 11,977 --a------ C:\WINDOWS\eruriga.reg
2008-10-14 10:52 . 2008-10-14 10:52 11,526 --a------ C:\WINDOWS\awopepar.dll
2008-10-14 10:52 . 2008-10-14 10:52 10,766 --a------ C:\WINDOWS\kugu.vbs
2008-10-14 10:44 . 2008-10-14 10:44 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2008-10-14 10:28 . 2008-10-14 10:28 19,974 --a------ C:\Programme\Gemeinsame Dateien\qynux.scr
2008-10-14 10:28 . 2008-10-14 10:28 19,024 --a------ C:\Programme\Gemeinsame Dateien\hyna.bin
2008-10-14 10:28 . 2008-10-14 10:28 18,728 --a------ C:\WINDOWS\isozeji.dat
2008-10-14 10:28 . 2008-10-14 10:28 18,387 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\yxogamaron.com
2008-10-14 10:28 . 2008-10-14 10:28 16,607 --a------ C:\WINDOWS\system32\fugupo.sys
2008-10-14 10:28 . 2008-10-14 10:28 16,222 --a------ C:\WINDOWS\system32\edycikif.dl
2008-10-14 10:28 . 2008-10-14 10:28 16,001 --a------ C:\Dokumente und Einstellungen\Teje\Anwendungsdaten\guzi.reg
2008-10-14 10:28 . 2008-10-14 10:28 15,706 --a------ C:\WINDOWS\hykiqe._dl
2008-10-14 10:28 . 2008-10-14 10:28 14,270 --a------ C:\WINDOWS\mujyrozoku.db
2008-10-14 10:28 . 2008-10-14 10:28 11,175 --a------ C:\Dokumente und Einstellungen\Teje\Anwendungsdaten\acyzozijyj.bat
2008-10-14 10:28 . 2008-10-14 10:28 10,664 --a------ C:\WINDOWS\system32\hysoh._sy
2008-10-14 10:28 . 2008-10-14 10:28 10,326 --a------ C:\WINDOWS\system32\umyhany.lib
2008-10-14 10:28 . 2008-10-14 10:28 10,223 --a------ C:\WINDOWS\system32\sokoro.pif
2008-10-14 10:22 . 2008-10-14 10:22 <DIR> d-------- C:\Programme\qsgjurf
2008-10-14 10:21 . 2008-10-15 01:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\qngjwlsx
2008-10-13 22:25 . 2008-10-13 22:51 <DIR> d-------- C:\WINDOWS\system32\CatRoot_bak
2008-09-22 20:16 . 2008-09-22 20:16 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-09-22 20:16 . 2008-09-22 20:16 1,409 --a------ C:\WINDOWS\QTFont.for
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-14 08:52 17,724 ----a-w C:\Programme\Gemeinsame Dateien\ofamytuba.db
2008-10-14 08:28 16,555 ----a-w C:\Programme\Gemeinsame Dateien\eqylikow._sy
2008-10-14 08:28 12,453 ----a-w C:\Programme\Gemeinsame Dateien\lifibu.dl
2008-10-14 05:54 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-08-30 00:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HPSSUPPLY
2008-01-21 17:27 24,304 ----a-w C:\Dokumente und Einstellungen\Teje\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 106496]
"LVCOMSX"="C:\WINDOWS\System32\LVCOMSX.EXE" [2005-07-19 221184]
"D-Link AirPlus G"="C:\Programme\D-Link\AirPlus G\AirGCFG.exe" [2005-11-23 1544192]
"ANIWZCS2Service"="C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2005-10-19 49152]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2007-03-11 49152]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-12-30 185896]
"SoundMan"="SOUNDMAN.EXE" [2003-11-13 C:\WINDOWS\SOUNDMAN.EXE]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 15360]
C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [2007-03-11 210520]
OnlineControl.lnk - C:\Programme\OnlineControl\ocontrol.exe [2007-09-05 126976]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.ffds"= ffdshow.ax
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk
backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech Desktop Messenger.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Logitech Desktop Messenger.lnk
backup=C:\WINDOWS\pss\Logitech Desktop Messenger.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Teje^Startmenü^Programme^Autostart^RocketDock.lnk]
path=C:\Dokumente und Einstellungen\Teje\Startmenü\Programme\Autostart\RocketDock.lnk
backup=C:\WINDOWS\pss\RocketDock.lnkStartup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Teje^Startmenü^Programme^Autostart^WinMySQLadmin.lnk]
path=C:\Dokumente und Einstellungen\Teje\Startmenü\Programme\Autostart\WinMySQLadmin.lnk
backup=C:\WINDOWS\pss\WinMySQLadmin.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
--a------ 2007-09-20 11:35 1077032 C:\Programme\Nero\Nero8\InCD\InCD.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2006-02-23 16:45 278528 C:\Programme\iTunes\iTunesHelper.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechSoftwareUpdate]
--a------ 2005-06-08 14:44 196608 C:\Programme\Logitech\Video\ManifestEngine.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]
--a------ 2005-06-08 15:24 458752 C:\Programme\Logitech\Video\ISStart.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]
--a------ 2005-06-08 15:14 217088 C:\Programme\Logitech\Video\LogiTray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
--a------ 2007-09-20 10:51 1836328 C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-01 16:57 153136 C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Personal ID]
--a------ 2007-08-08 18:12 1423872 C:\PROGRA~1\COOLSP~1\PERSON~1\pid.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-05-15 22:38 282624 C:\Programme\QuickTime\qttask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SecurDisc]
--a------ 2007-09-20 11:36 2044712 C:\Programme\Nero\Nero8\InCD\NBHGui.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SiS Windows KeyHook]
--a------ 2003-10-30 14:09 249856 C:\WINDOWS\system32\Keyhook.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-25 01:11 132496 C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2007-12-30 02:54 185896 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2007-05-15 00:22 35328 C:\Programme\Winamp\winampa.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"stllssvr"=3 (0x3)
"ose"=3 (0x3)
"NMIndexingService"=3 (0x3)
"LightScribeService"=2 (0x2)
"IDriverT"=3 (0x3)
"Nero BackItUp Scheduler 3"=2 (0x2)
"InCDsrv"=2 (0x2)
"iPodService"=3 (0x3)
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\WINDOWS\\system32\\rtcshare.exe"=
"C:\\Programme\\NetMeeting\\conf.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\EasyProf 2.7\\jvmwin\\bin\\javaw.exe"=
"C:\\xampp\\mysql\\bin\\mysqld.exe"=
"C:\\xampp\\apache\\bin\\apache.exe"=
"C:\\totalcmd\\TOTALCMD.EXE"=
"C:\\Programme\\Secret City\\Secret City QA\\SecretCity.exe"=
"C:\\Programme\\Nero\\Nero8\\Nero ShowTime\\ShowTime.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Zattoo\\zattood.exe"=
"C:\\Programme\\Zattoo\\Zattoo2.exe"=
"C:\\Programme\\Real\\RealPlayer\\realplay.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
R3 AN983;ADMtek AN983/AN985/ADM951X 10/100Mbps Fast Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\AN983.sys [2002-05-21 38528]
S3 RTLWUSB;802.11g USB2.0 WLAN Dongle;C:\WINDOWS\system32\DRIVERS\RTL8187.sys [ ]
S3 SjyPkt;SjyPkt;C:\WINDOWS\System32\Drivers\SjyPkt.sys [ ]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners
2008-10-14 C:\WINDOWS\Tasks\WebReg Photosmart C5200 series.job
- C:\Programme\HP\Digital Imaging\bin\hpqwrg.exe [2007-03-11 22:27]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
MSConfigStartUp-BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
MSConfigStartUp-updateMgr - C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Teje\Anwendungsdaten\Mozilla\Firefox\Profiles\roj0l6uf.default\
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-15 01:30:17
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MySql]
"ImagePath"="c:/xampp/mysql/bin/mysqld-nt.exe"
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MySql]
"ImagePath"="c:/xampp/mysql/bin/mysqld-nt.exe"
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\xampp\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\HP\Digital Imaging\bin\hpqste08.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-15 1:41:04 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-10-14 23:40:55
Vor Suchlauf: 4.061.827.072 Bytes frei
Nach Suchlauf: 5,701,775,360 Bytes frei
228 --- E O F --- 2008-09-10 01:05:27
... und last but not least das HijackThis-Log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:49:59, on 15.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
c:\xampp\mysql\bin\mysqld-nt.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Programme\D-Link\AirPlus G\AirGCFG.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\OnlineControl\ocontrol.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\explorer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Secret City - {D401C3A2-12EF-4D1D-A086-F3AB10B565BF} - C:\PROGRA~1\SECRET~1\SECRET~1\SECRET~1.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1147722243437
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: MySql - Unknown owner - c:/xampp/mysql/bin/mysqld-nt.exe
--
End of file - 4482 bytes