Noch ein "Your computer is infected"

#0
15.10.2008, 03:15
...neu hier

Beiträge: 2
#1 Hallo erstmal.

Ich hoffe, es wird Euch nicht zu penetrant, aber ich hatte leider auch mit besagtem Schädling zu kämpfen.

Ich habe zur Sicherheit einen vollständigen Scan mit MBAM vorgenommen und nach dem Entfernen der schadhaften Dateien und Einträge erst Combofix laufen lassen und dann noch den HijackThis-Scan vorgenommen.

Es wäre schön, wenn ein Fachmann auch nochmal einen Blick auf meine Logs werfen kann. Dafür schon mal ein riesiges "Danke schön" im voraus.

By the way ... wie fängt man sich dieses Mistvieh eigentlich ein? Wenn ich das Verhalten meines Rechners rückwirkend betrachte, scheine ich gestern ein böse Website besucht zu haben. Runtergeladen habe ich jedenfalls nix, und auch keine E-Mail mit Dateianhang bekommen.

Und wie schütze ich mich zukünftig vor dem Schädling? Reicht mein Kaspersky 7 mit den neuesten Virendefinitionen?




So, hier nun das MBAM-Log:



Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1268
Windows 5.1.2600 Service Pack 2

15.10.2008 01:06:28
mbam-log-2008-10-15 (01-06-28).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|)
Durchsuchte Objekte: 580719
Laufzeit: 3 hour(s), 19 minute(s), 27 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 32
Infizierte Registrierungswerte: 6
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 5
Infizierte Dateien: 80

Infizierte Speicherprozesse:
C:\WINDOWS\system32\drivers\svchost.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{0656a137-b161-cadd-9777-e37a75727e78} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0b682cc1-fb40-4006-a5dd-99edd3c9095d} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0e1230f8-ea50-42a9-983c-d22abc2eeb4c} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{9dd4258a-7138-49c4-8d34-587879a5c7a4} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{b8c0220d-763d-49a4-95f4-61dfdec66ee6} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{c3bcc488-1ae7-11d4-ab82-0010a4ec2338} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{000000da-0786-4633-87c6-1aa7a4429ef1} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{54645654-2225-4455-44a1-9f4543d34545} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{5c7f15e1-f31a-44fd-aa1a-2ec63aaffd3a} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9dd4258a-7138-49c4-8d34-587879a5c7a4} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b8c0220d-763d-49a4-95f4-61dfdec66ee6} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c3bcc488-1ae7-11d4-ab82-0010a4ec2338} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{000000da-0786-4633-87c6-1aa7a4429ef1} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\XP_Antispyware (Rogue.XPAntiSpyware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\dpcproxy (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\logons (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\typelib (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\HOL5_VXIEWER.FULL.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Classes\hol5_vxiewer.full.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Classes\applications\accessdiver.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\fwbd (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\HolLol (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Inet Delivery (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Inet Delivery (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mslagent (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Invictus (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Golden Palace Casino PT (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Golden Palace Casino NEW (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\iTunesMusic (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\rdriv (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\wkey (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\mwc (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\aplapiproc (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\brastk (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\glsalukvmt (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\xp antispyware 2009 (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\SystemCheck2 (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\WINDOWS\mslagent (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\akl (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\Inet Delivery (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\smp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\XP_AntiSpyware (Rogue.XPAntiSpyware) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\wvipmjej.exe (Trojan.FakeAlert.H) -> Delete on reboot.
C:\WINDOWS\system32\brastk.exe (Trojan.FakeAlert.H) -> Delete on reboot.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\qngjwlsx\mlafqdaz.exe (Trojan.FakeAlert.H) -> Delete on reboot.
C:\Programme\XP_AntiSpyware\AVEngn.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{500597EA-F0F4-4DC4-9493-E1E421255A41}\RP625\A0072480.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\WINDOWS\karna.dat (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\karna.dat (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\mslagent\2_mslagent.dll (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\WINDOWS\mslagent\mslagent.exe (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\WINDOWS\mslagent\uninstall.exe (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\akl\akl.dll (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\akl\akl.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\akl\uninstall.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\akl\unsetup.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\Inet Delivery\inetdl.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\Inet Delivery\intdel.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\smp\msrc.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\XP_AntiSpyware\htmlayout.dll (Rogue.XPAntiSpyware) -> Quarantined and deleted successfully.
C:\Programme\XP_AntiSpyware\Uninstall.exe (Rogue.XPAntiSpyware) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\a.bat (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\base64.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\FVProtect.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\userconfig9x.dll (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\winsystem.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\zip1.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\zip2.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\zip3.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\zipped.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\bdn.com (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\iTunesMusic.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\mssecu.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\akttzn.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\anticipator.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\awtoolb.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\bdn.com (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\bsva-egihsg52.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dpcproxy.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\emesx.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hoproxy.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hxiwlgpm.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hxiwlgpm.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\medup012.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\medup020.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\msgp.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\msnbho.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mssecu.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\msvchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mtr2.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mwin32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\netode.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\newsd32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ps1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\psof1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\psoft1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\regc64.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\regm64.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\Rundl1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sncntr.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ssurf022.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ssvchost.com (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ssvchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sysreq.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\taack.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\taack.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\temp#01.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\thun.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\thun32.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\VBIEWER.OCX (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vcatchpi.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\winlogonpc.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\winsystem.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\WINWGPX.EXE (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\beep.sys (Fake.Beep.Sys) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dllcache\beep.sys (Fake.Beep.Sys) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vbsys2.dll (Trojan.Clicker) -> Quarantined and deleted successfully.
C:\WINDOWS\brastk.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\_scui.cpl (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wini104552663.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.



... und hier das Combofix-Log:



ComboFix 08-10-14.07 - Teje 2008-10-15 1:17:39.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.39 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Teje\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Teje\Cookies\kycesak.vbs
C:\Dokumente und Einstellungen\Teje\Lokale Einstellungen\Temporary Internet Files\atyzadaro.lib
C:\Dokumente und Einstellungen\Teje\Lokale Einstellungen\Temporary Internet Files\kilywodi.scr
C:\Dokumente und Einstellungen\Teje\Lokale Einstellungen\Temporary Internet Files\nohysequwa.pif
C:\Dokumente und Einstellungen\Teje\Lokale Einstellungen\Temporary Internet Files\potehemaf.pif
C:\Dokumente und Einstellungen\Teje\Lokale Einstellungen\Temporary Internet Files\qyvu.lib
C:\Dokumente und Einstellungen\Teje\Lokale Einstellungen\Temporary Internet Files\vizyqadoso.lib
C:\Dokumente und Einstellungen\Teje\Lokale Einstellungen\Temporary Internet Files\ynocuges.dl
C:\WINDOWS\system32\AutoRun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2008-09-14 bis 2008-10-14 ))))))))))))))))))))))))))))))
.

2008-10-14 19:25 . 2008-10-14 19:26 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-10-14 19:25 . 2008-10-14 19:25 <DIR> d-------- C:\Dokumente und Einstellungen\Teje\Anwendungsdaten\Malwarebytes
2008-10-14 19:25 . 2008-10-14 19:25 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-14 19:25 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-14 19:25 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-14 10:52 . 2008-10-14 10:52 17,228 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tomyzufif.dat
2008-10-14 10:52 . 2008-10-14 10:52 16,869 --a------ C:\WINDOWS\telu.com
2008-10-14 10:52 . 2008-10-14 10:52 16,021 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\onyw.dat
2008-10-14 10:52 . 2008-10-14 10:52 14,992 --a------ C:\WINDOWS\owyguke.dat
2008-10-14 10:52 . 2008-10-14 10:52 13,546 --a------ C:\WINDOWS\kikypuduz.reg
2008-10-14 10:52 . 2008-10-14 10:52 12,837 --a------ C:\WINDOWS\system32\liconopyv.inf
2008-10-14 10:52 . 2008-10-14 10:52 11,977 --a------ C:\WINDOWS\eruriga.reg
2008-10-14 10:52 . 2008-10-14 10:52 11,526 --a------ C:\WINDOWS\awopepar.dll
2008-10-14 10:52 . 2008-10-14 10:52 10,766 --a------ C:\WINDOWS\kugu.vbs
2008-10-14 10:44 . 2008-10-14 10:44 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2008-10-14 10:28 . 2008-10-14 10:28 19,974 --a------ C:\Programme\Gemeinsame Dateien\qynux.scr
2008-10-14 10:28 . 2008-10-14 10:28 19,024 --a------ C:\Programme\Gemeinsame Dateien\hyna.bin
2008-10-14 10:28 . 2008-10-14 10:28 18,728 --a------ C:\WINDOWS\isozeji.dat
2008-10-14 10:28 . 2008-10-14 10:28 18,387 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\yxogamaron.com
2008-10-14 10:28 . 2008-10-14 10:28 16,607 --a------ C:\WINDOWS\system32\fugupo.sys
2008-10-14 10:28 . 2008-10-14 10:28 16,222 --a------ C:\WINDOWS\system32\edycikif.dl
2008-10-14 10:28 . 2008-10-14 10:28 16,001 --a------ C:\Dokumente und Einstellungen\Teje\Anwendungsdaten\guzi.reg
2008-10-14 10:28 . 2008-10-14 10:28 15,706 --a------ C:\WINDOWS\hykiqe._dl
2008-10-14 10:28 . 2008-10-14 10:28 14,270 --a------ C:\WINDOWS\mujyrozoku.db
2008-10-14 10:28 . 2008-10-14 10:28 11,175 --a------ C:\Dokumente und Einstellungen\Teje\Anwendungsdaten\acyzozijyj.bat
2008-10-14 10:28 . 2008-10-14 10:28 10,664 --a------ C:\WINDOWS\system32\hysoh._sy
2008-10-14 10:28 . 2008-10-14 10:28 10,326 --a------ C:\WINDOWS\system32\umyhany.lib
2008-10-14 10:28 . 2008-10-14 10:28 10,223 --a------ C:\WINDOWS\system32\sokoro.pif
2008-10-14 10:22 . 2008-10-14 10:22 <DIR> d-------- C:\Programme\qsgjurf
2008-10-14 10:21 . 2008-10-15 01:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\qngjwlsx
2008-10-13 22:25 . 2008-10-13 22:51 <DIR> d-------- C:\WINDOWS\system32\CatRoot_bak
2008-09-22 20:16 . 2008-09-22 20:16 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-09-22 20:16 . 2008-09-22 20:16 1,409 --a------ C:\WINDOWS\QTFont.for

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-14 08:52 17,724 ----a-w C:\Programme\Gemeinsame Dateien\ofamytuba.db
2008-10-14 08:28 16,555 ----a-w C:\Programme\Gemeinsame Dateien\eqylikow._sy
2008-10-14 08:28 12,453 ----a-w C:\Programme\Gemeinsame Dateien\lifibu.dl
2008-10-14 05:54 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-08-30 00:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HPSSUPPLY
2008-01-21 17:27 24,304 ----a-w C:\Dokumente und Einstellungen\Teje\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 106496]
"LVCOMSX"="C:\WINDOWS\System32\LVCOMSX.EXE" [2005-07-19 221184]
"D-Link AirPlus G"="C:\Programme\D-Link\AirPlus G\AirGCFG.exe" [2005-11-23 1544192]
"ANIWZCS2Service"="C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2005-10-19 49152]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2007-03-11 49152]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-12-30 185896]
"SoundMan"="SOUNDMAN.EXE" [2003-11-13 C:\WINDOWS\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [2007-03-11 210520]
OnlineControl.lnk - C:\Programme\OnlineControl\ocontrol.exe [2007-09-05 126976]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.ffds"= ffdshow.ax

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk
backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech Desktop Messenger.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Logitech Desktop Messenger.lnk
backup=C:\WINDOWS\pss\Logitech Desktop Messenger.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Teje^Startmenü^Programme^Autostart^RocketDock.lnk]
path=C:\Dokumente und Einstellungen\Teje\Startmenü\Programme\Autostart\RocketDock.lnk
backup=C:\WINDOWS\pss\RocketDock.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Teje^Startmenü^Programme^Autostart^WinMySQLadmin.lnk]
path=C:\Dokumente und Einstellungen\Teje\Startmenü\Programme\Autostart\WinMySQLadmin.lnk
backup=C:\WINDOWS\pss\WinMySQLadmin.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
--a------ 2007-09-20 11:35 1077032 C:\Programme\Nero\Nero8\InCD\InCD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2006-02-23 16:45 278528 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechSoftwareUpdate]
--a------ 2005-06-08 14:44 196608 C:\Programme\Logitech\Video\ManifestEngine.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]
--a------ 2005-06-08 15:24 458752 C:\Programme\Logitech\Video\ISStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]
--a------ 2005-06-08 15:14 217088 C:\Programme\Logitech\Video\LogiTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
--a------ 2007-09-20 10:51 1836328 C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-01 16:57 153136 C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Personal ID]
--a------ 2007-08-08 18:12 1423872 C:\PROGRA~1\COOLSP~1\PERSON~1\pid.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-05-15 22:38 282624 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SecurDisc]
--a------ 2007-09-20 11:36 2044712 C:\Programme\Nero\Nero8\InCD\NBHGui.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SiS Windows KeyHook]
--a------ 2003-10-30 14:09 249856 C:\WINDOWS\system32\Keyhook.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-25 01:11 132496 C:\Programme\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2007-12-30 02:54 185896 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2007-05-15 00:22 35328 C:\Programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"stllssvr"=3 (0x3)
"ose"=3 (0x3)
"NMIndexingService"=3 (0x3)
"LightScribeService"=2 (0x2)
"IDriverT"=3 (0x3)
"Nero BackItUp Scheduler 3"=2 (0x2)
"InCDsrv"=2 (0x2)
"iPodService"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\WINDOWS\\system32\\rtcshare.exe"=
"C:\\Programme\\NetMeeting\\conf.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\EasyProf 2.7\\jvmwin\\bin\\javaw.exe"=
"C:\\xampp\\mysql\\bin\\mysqld.exe"=
"C:\\xampp\\apache\\bin\\apache.exe"=
"C:\\totalcmd\\TOTALCMD.EXE"=
"C:\\Programme\\Secret City\\Secret City QA\\SecretCity.exe"=
"C:\\Programme\\Nero\\Nero8\\Nero ShowTime\\ShowTime.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Zattoo\\zattood.exe"=
"C:\\Programme\\Zattoo\\Zattoo2.exe"=
"C:\\Programme\\Real\\RealPlayer\\realplay.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R3 AN983;ADMtek AN983/AN985/ADM951X 10/100Mbps Fast Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\AN983.sys [2002-05-21 38528]
S3 RTLWUSB;802.11g USB2.0 WLAN Dongle;C:\WINDOWS\system32\DRIVERS\RTL8187.sys [ ]
S3 SjyPkt;SjyPkt;C:\WINDOWS\System32\Drivers\SjyPkt.sys [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners

2008-10-14 C:\WINDOWS\Tasks\WebReg Photosmart C5200 series.job
- C:\Programme\HP\Digital Imaging\bin\hpqwrg.exe [2007-03-11 22:27]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
MSConfigStartUp-updateMgr - C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Teje\Anwendungsdaten\Mozilla\Firefox\Profiles\roj0l6uf.default\
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-15 01:30:17
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MySql]
"ImagePath"="c:/xampp/mysql/bin/mysqld-nt.exe"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MySql]
"ImagePath"="c:/xampp/mysql/bin/mysqld-nt.exe"
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\xampp\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\HP\Digital Imaging\bin\hpqste08.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-15 1:41:04 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-10-14 23:40:55

Vor Suchlauf: 4.061.827.072 Bytes frei
Nach Suchlauf: 5,701,775,360 Bytes frei

228 --- E O F --- 2008-09-10 01:05:27



... und last but not least das HijackThis-Log:



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:49:59, on 15.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
c:\xampp\mysql\bin\mysqld-nt.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Programme\D-Link\AirPlus G\AirGCFG.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\OnlineControl\ocontrol.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\explorer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Secret City - {D401C3A2-12EF-4D1D-A086-F3AB10B565BF} - C:\PROGRA~1\SECRET~1\SECRET~1\SECRET~1.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1147722243437
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: MySql - Unknown owner - c:/xampp/mysql/bin/mysqld-nt.exe

--
End of file - 4482 bytes
Seitenanfang Seitenende
15.10.2008, 12:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Tonstudio wird gleich ein Script einstellen ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.10.2008, 17:24
Moderator

Beiträge: 5694
#3 Sorry dass ich so spät komme ;)

Also folgendes Vorgehen:

>>
antivbs.zip - laden - entzippen + anwenden
http://virus-protect.org/zip/antivbs.zip

>>
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern



Zitat

KILLALL::

Driver::
SjyPkt

File::
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tomyzufif.dat
C:\WINDOWS\telu.com
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\onyw.dat
C:\WINDOWS\owyguke.dat
C:\WINDOWS\kikypuduz.reg
C:\WINDOWS\system32\liconopyv.inf
C:\WINDOWS\eruriga.reg
C:\WINDOWS\awopepar.dll
C:\WINDOWS\kugu.vbs
C:\Programme\Gemeinsame Dateien\qynux.scr
C:\Programme\Gemeinsame Dateien\hyna.bin
C:\WINDOWS\isozeji.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\yxogamaron.com
C:\WINDOWS\system32\fugupo.sys
C:\WINDOWS\system32\edycikif.dl
C:\Dokumente und Einstellungen\Teje\Anwendungsdaten\guzi.reg
C:\WINDOWS\hykiqe._dl
C:\WINDOWS\mujyrozoku.db
C:\Dokumente und Einstellungen\Teje\Anwendungsdaten\acyzozijyj.bat
C:\WINDOWS\system32\hysoh._sy
C:\WINDOWS\system32\umyhany.lib
C:\WINDOWS\system32\sokoro.pif
C:\Programme\Gemeinsame Dateien\ofamytuba.dbC:\Programme\Gemeinsame Dateien\eqylikow._sy
C:\Programme\Gemeinsame Dateien\lifibu.dl

Folder::
C:\Programme\qsgjurf
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\qngjwlsx
Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen

http://virus-protect.org/artikel/bilder/cfscript.gif

>>
poste das Neue Log von Combofix

------------------------------------------------------------------

>>
Lade bitte SDfix, wende es im abgesicherten Modus an + poste hier den Report, der nach Neustart erscheint
http://virus-protect.org/artikel/tools/sdfix.html

>>
Arbeite datfindbat ab - poste von jedem log nur die Daten der letzten drei monate:
http://www.virus-protect.org/datfindbat.html

>>
Installier Dir ein Antivirenprogramm z.B. Avira:
http://virus-protect.org/virenscanner.html

Gruss Swiss
Seitenanfang Seitenende
15.10.2008, 21:33
...neu hier

Themenstarter

Beiträge: 2
#4 So, ich denke, ich habe alles erledigt.

Vorab erstmal: Hast Du Deinen Eintrag geändert? Laut der ursprünglichen Variante sollte ich doch auch zwei Registry-Einträge manuell ändern. Das habe ich jedenfalls auch gemacht.

So folgendes ist erledigt und hat die jeweils eingefügten Log-Files erzeugt:


+++++++++++++++

1. antivbs

Ist erledigt.

Es wurde zwar ein Fehler bezüglich eines nicht bereiten Laufwerks ausgeworfen. Es wurden im Tool aber alle Laufwerke angezeigt und auch geprüft.
Es wurde nichts gefunden.



+++++++++++++++

2. Angegebenes Script in Combofix schieben

Beim Starten von Combofix ist das automatische Update fehlgeschlagen. Das war gestern auch schon so. Ansonsten ist Combofix durchgelaufen (siehe Log-Datei).

Den ersten Text Deiner Arbeitsanweisung konnte man auch so verstehen, dass ich Combofix nach dem ersten Lauf noch einmal starten soll. Ich hab's jetzt aber nur einmal (mit dem Script) laufen lassen.

Das Ergebnis ist:



ComboFix 08-10-15.01 - Teje 2008-10-15 18:59:25.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.43 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Teje\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Teje\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR]

FILE ::
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\onyw.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tomyzufif.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\yxogamaron.com
C:\Dokumente und Einstellungen\Teje\Anwendungsdaten\acyzozijyj.bat
C:\Dokumente und Einstellungen\Teje\Anwendungsdaten\guzi.reg
C:\Programme\Gemeinsame Dateien\hyna.bin
C:\Programme\Gemeinsame Dateien\lifibu.dl
C:\Programme\Gemeinsame Dateien\ofamytuba.dbC:\Programme\Gemeinsame Dateien\eqylikow._sy
C:\Programme\Gemeinsame Dateien\qynux.scr
C:\WINDOWS\awopepar.dll
C:\WINDOWS\eruriga.reg
C:\WINDOWS\hykiqe._dl
C:\WINDOWS\isozeji.dat
C:\WINDOWS\kikypuduz.reg
C:\WINDOWS\kugu.vbs
C:\WINDOWS\mujyrozoku.db
C:\WINDOWS\owyguke.dat
C:\WINDOWS\system32\edycikif.dl
C:\WINDOWS\system32\fugupo.sys
C:\WINDOWS\system32\hysoh._sy
C:\WINDOWS\system32\liconopyv.inf
C:\WINDOWS\system32\sokoro.pif
C:\WINDOWS\system32\umyhany.lib
C:\WINDOWS\telu.com
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\onyw.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\qngjwlsx
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tomyzufif.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\yxogamaron.com
C:\Dokumente und Einstellungen\Teje\Anwendungsdaten\acyzozijyj.bat
C:\Dokumente und Einstellungen\Teje\Anwendungsdaten\guzi.reg
C:\Programme\Gemeinsame Dateien\hyna.bin
C:\Programme\Gemeinsame Dateien\lifibu.dl
C:\Programme\Gemeinsame Dateien\qynux.scr
C:\Programme\qsgjurf
C:\Programme\qsgjurf\WebChkProc.dll
C:\WINDOWS\awopepar.dll
C:\WINDOWS\eruriga.reg
C:\WINDOWS\hykiqe._dl
C:\WINDOWS\isozeji.dat
C:\WINDOWS\kikypuduz.reg
C:\WINDOWS\kugu.vbs
C:\WINDOWS\mujyrozoku.db
C:\WINDOWS\owyguke.dat
C:\WINDOWS\system32\edycikif.dl
C:\WINDOWS\system32\fugupo.sys
C:\WINDOWS\system32\hysoh._sy
C:\WINDOWS\system32\liconopyv.inf
C:\WINDOWS\system32\sokoro.pif
C:\WINDOWS\system32\umyhany.lib
C:\WINDOWS\telu.com

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SJYPKT
-------\Service_SjyPkt


((((((((((((((((((((((( Dateien erstellt von 2008-09-15 bis 2008-10-15 ))))))))))))))))))))))))))))))
.

2008-10-15 01:49 . 2008-10-15 01:49 <DIR> d-------- C:\Programme\Trend Micro
2008-10-14 19:25 . 2008-10-14 19:26 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-10-14 19:25 . 2008-10-14 19:25 <DIR> d-------- C:\Dokumente und Einstellungen\Teje\Anwendungsdaten\Malwarebytes
2008-10-14 19:25 . 2008-10-14 19:25 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-14 19:25 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-14 19:25 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-14 10:44 . 2008-10-14 10:44 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2008-10-13 22:25 . 2008-10-13 22:51 <DIR> d-------- C:\WINDOWS\system32\CatRoot_bak

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-15 07:49 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-10-14 08:52 17,724 ----a-w C:\Programme\Gemeinsame Dateien\ofamytuba.db
2008-10-14 08:28 16,555 ----a-w C:\Programme\Gemeinsame Dateien\eqylikow._sy
2008-08-30 00:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HPSSUPPLY
2008-01-21 17:27 24,304 ----a-w C:\Dokumente und Einstellungen\Teje\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 106496]
"LVCOMSX"="C:\WINDOWS\System32\LVCOMSX.EXE" [2005-07-19 221184]
"D-Link AirPlus G"="C:\Programme\D-Link\AirPlus G\AirGCFG.exe" [2005-11-23 1544192]
"ANIWZCS2Service"="C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2005-10-19 49152]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2007-03-11 49152]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-12-30 185896]
"SoundMan"="SOUNDMAN.EXE" [2003-11-13 C:\WINDOWS\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [2007-03-11 210520]
OnlineControl.lnk - C:\Programme\OnlineControl\ocontrol.exe [2007-09-05 126976]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.ffds"= ffdshow.ax

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk
backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech Desktop Messenger.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Logitech Desktop Messenger.lnk
backup=C:\WINDOWS\pss\Logitech Desktop Messenger.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Teje^Startmenü^Programme^Autostart^RocketDock.lnk]
path=C:\Dokumente und Einstellungen\Teje\Startmenü\Programme\Autostart\RocketDock.lnk
backup=C:\WINDOWS\pss\RocketDock.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Teje^Startmenü^Programme^Autostart^WinMySQLadmin.lnk]
path=C:\Dokumente und Einstellungen\Teje\Startmenü\Programme\Autostart\WinMySQLadmin.lnk
backup=C:\WINDOWS\pss\WinMySQLadmin.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
--a------ 2007-09-20 11:35 1077032 C:\Programme\Nero\Nero8\InCD\InCD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2006-02-23 16:45 278528 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechSoftwareUpdate]
--a------ 2005-06-08 14:44 196608 C:\Programme\Logitech\Video\ManifestEngine.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]
--a------ 2005-06-08 15:24 458752 C:\Programme\Logitech\Video\ISStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]
--a------ 2005-06-08 15:14 217088 C:\Programme\Logitech\Video\LogiTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
--a------ 2007-09-20 10:51 1836328 C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-01 16:57 153136 C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Personal ID]
--a------ 2007-08-08 18:12 1423872 C:\PROGRA~1\COOLSP~1\PERSON~1\pid.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-05-15 22:38 282624 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SecurDisc]
--a------ 2007-09-20 11:36 2044712 C:\Programme\Nero\Nero8\InCD\NBHGui.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SiS Windows KeyHook]
--a------ 2003-10-30 14:09 249856 C:\WINDOWS\system32\Keyhook.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-25 01:11 132496 C:\Programme\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2007-12-30 02:54 185896 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2007-05-15 00:22 35328 C:\Programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"stllssvr"=3 (0x3)
"ose"=3 (0x3)
"NMIndexingService"=3 (0x3)
"LightScribeService"=2 (0x2)
"IDriverT"=3 (0x3)
"Nero BackItUp Scheduler 3"=2 (0x2)
"InCDsrv"=2 (0x2)
"iPodService"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\Azureus\\Azureus.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\WINDOWS\\system32\\rtcshare.exe"=
"C:\\Programme\\NetMeeting\\conf.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\EasyProf 2.7\\jvmwin\\bin\\javaw.exe"=
"C:\\xampp\\mysql\\bin\\mysqld.exe"=
"C:\\xampp\\apache\\bin\\apache.exe"=
"C:\\totalcmd\\TOTALCMD.EXE"=
"C:\\Programme\\Secret City\\Secret City QA\\SecretCity.exe"=
"C:\\Programme\\Nero\\Nero8\\Nero ShowTime\\ShowTime.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Zattoo\\zattood.exe"=
"C:\\Programme\\Zattoo\\Zattoo2.exe"=
"C:\\Programme\\Real\\RealPlayer\\realplay.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R3 AN983;ADMtek AN983/AN985/ADM951X 10/100Mbps Fast Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\AN983.sys [2002-05-21 38528]
S3 RTLWUSB;802.11g USB2.0 WLAN Dongle;C:\WINDOWS\system32\DRIVERS\RTL8187.sys [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners

2008-10-14 C:\WINDOWS\Tasks\WebReg Photosmart C5200 series.job
- C:\Programme\HP\Digital Imaging\bin\hpqwrg.exe [2007-03-11 22:27]
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-15 19:08:25
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\HP\Digital Imaging\bin\hpqste08.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-15 19:19:20 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-10-15 17:19:13
ComboFix2.txt 2008-10-14 23:41:06

Vor Suchlauf: 6.244.794.368 Bytes frei
Nach Suchlauf: 6,243,221,504 Bytes frei

236 --- E O F --- 2008-09-10 01:05:27



+++++++++++++++++++

3. Registry-Änderung (UpdatesDisableNotify und AntiVirusDisableNotify) im Security Center

Sind beide auf 0 gesetzt worden.



++++++++++++++++++++

4. SDFix

Wurde angewendet und erzeugte folgendes Log:




SDFix: Version 1.235
Run by Teje on 15.10.2008 at 19:46

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-15 20:13:00
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\WINDOWS\\system32\\rtcshare.exe"="C:\\WINDOWS\\system32\\rtcshare.exe:*:Enabled:RTC-Gemeinsame Nutzung von Anwendungen"
"C:\\Programme\\NetMeeting\\conf.exe"="C:\\Programme\\NetMeeting\\conf.exe:*:Enabled:Windows© NetMeeting©"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"C:\\Programme\\EasyProf 2.7\\jvmwin\\bin\\javaw.exe"="C:\\Programme\\EasyProf 2.7\\jvmwin\\bin\\javaw.exe:*:Enabled:Java(TM) 2 Platform Standard Edition binary"
"C:\\xampp\\mysql\\bin\\mysqld.exe"="C:\\xampp\\mysql\\bin\\mysqld.exe:*:Enabled:mysqld"
"C:\\xampp\\apache\\bin\\apache.exe"="C:\\xampp\\apache\\bin\\apache.exe:*:Enabled:Apache HTTP Server"
"C:\\totalcmd\\TOTALCMD.EXE"="C:\\totalcmd\\TOTALCMD.EXE:*:Enabled:Total Commander 32 bit international version, file manager replacement for Windows"
"C:\\Programme\\Secret City\\Secret City QA\\SecretCity.exe"="C:\\Programme\\Secret City\\Secret City QA\\SecretCity.exe:*:Enabled:SecretCity"
"C:\\Programme\\Nero\\Nero8\\Nero ShowTime\\ShowTime.exe"="C:\\Programme\\Nero\\Nero8\\Nero ShowTime\\ShowTime.exe:*:Enabled:Nero ShowTime"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe:*:Enabled:hpqtra08.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe:*:Enabled:hpqste08.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe:*:Enabled:hpofxm08.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe:*:Enabled:hposfx08.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe:*:Enabled:hposid01.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe:*:Enabled:hpqscnvw.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe:*:Enabled:hpzwiz01.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe:*:Enabled:hpoews01.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe:*:Enabled:hpqnrs08.exe"
"C:\\Programme\\Mozilla Firefox\\firefox.exe"="C:\\Programme\\Mozilla Firefox\\firefox.exe:*;)isabled:Firefox"
"C:\\Programme\\Zattoo\\zattood.exe"="C:\\Programme\\Zattoo\\zattood.exe:*:Enabled:zattood"
"C:\\Programme\\Zattoo\\Zattoo2.exe"="C:\\Programme\\Zattoo\\Zattoo2.exe:*:Enabled: "
"C:\\Programme\\Real\\RealPlayer\\realplay.exe"="C:\\Programme\\Real\\RealPlayer\\realplay.exe:*;)isabled:RealPlayer"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"

Remaining Files :



Files with Hidden Attributes :

Sun 16 Sep 2007 260 ...H. --- "C:\Programme\IDM COMPUTER SOLUTIONS\ULTRAEDIT-32\uedit32.reg"
Thu 2 Nov 2006 7,168 A..H. --- "C:\Swsetup\Monitors\SP34288\HPx64DRV.exe"

Finished!




++++++++++++++++++++

5. datfindbat

Habe ich angewendet. Folgendes Log generiert:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D850-FEE8

Verzeichnis von c:\

15.10.2008 21:01 0 dirdat.txt
15.10.2008 20:08 352.321.536 pagefile.sys
15.10.2008 19:19 13.806 ComboFix.txt
13.10.2008 14:28 190.815 treeinfo.wc
23.07.2008 06:59 8.957 artpdbg.log
17 Datei(en) 353.385.794 Bytes
0 Verzeichnis(se), 6.228.021.248 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D850-FEE8

Verzeichnis von C:\WINDOWS\system32

15.10.2008 20:09 2.206 wpa.dbl
15.10.2008 11:15 562.683 TEST.log
15.10.2008 10:50 80.342 RECV.log
15.10.2008 10:50 48.963 SENT.log
15.08.2008 03:10 487.388 TZLog.log
18.07.2008 22:10 94.920 cdm.dll
18.07.2008 22:10 53.448 wuauclt.exe
18.07.2008 22:10 45.768 wups2.dll
18.07.2008 22:10 36.552 wups.dll
18.07.2008 22:10 33.992 wucltui.dll.mui
18.07.2008 22:09 29.896 wuaucpl.cpl.mui
18.07.2008 22:09 29.896 wuapi.dll.mui
18.07.2008 22:09 325.832 wucltui.dll
18.07.2008 22:09 215.752 wuaucpl.cpl
18.07.2008 22:09 563.912 wuapi.dll
18.07.2008 22:09 205.000 wuweb.dll
18.07.2008 22:09 1.811.656 wuaueng.dll
18.07.2008 22:08 21.192 wuaueng.dll.mui
14.07.2008 13:09 62.976 tzchange.exe
07.07.2008 22:30 253.952 es.dll
03.07.2008 11:42 374.272 xpsp3res.dll
2152 Datei(en) 470.231.815 Bytes
0 Verzeichnis(se), 6.227.894.272 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D850-FEE8

Verzeichnis von C:\WINDOWS

15.10.2008 21:00 211 wiadebug.log
15.10.2008 20:42 1.285.177 WindowsUpdate.log
15.10.2008 20:08 50 wiaservc.log
15.10.2008 20:08 2.048 bootstat.dat
15.10.2008 19:35 32.622 SchedLgU.Txt
15.10.2008 19:08 227 system.ini
15.10.2008 16:55 69 NeroDigital.ini
15.10.2008 11:16 4.355 wincmd.ini
15.10.2008 09:42 1.100 wcx_ftp.ini
14.10.2008 19:22 162.721 hpoins21.dat
14.10.2008 19:16 712 win.ini
01.09.2008 12:39 38 AviSplitter.INI
07.08.2008 20:12 1.027.761 setupapi.log.0.old
111 Datei(en) 19.990.300 Bytes
0 Verzeichnis(se), 6.227.902.464 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D850-FEE8

Verzeichnis von C:\DOKUME~1\Teje\LOKALE~1\Temp

15.10.2008 20:51 47.122 DIO8.tmp
15.10.2008 20:50 47.122 DIO7.tmp
15.10.2008 20:43 307 hpqddusr.log
15.10.2008 20:43 47.122 DIO6.tmp
15.10.2008 20:43 1.285 MAR5.tmp
15.10.2008 20:43 1.342 MAR4.tmp
15.10.2008 20:43 16.384 ~DFF02F.tmp
7 Datei(en) 160.684 Bytes
0 Verzeichnis(se), 6.227.910.656 Bytes frei



++++++++++++++++++++

6. Virenschutz reaktivieren

Mache ich jetzt. Wisst Ihr, ob mich Kaspersky 7.0 mit den neuesten Virendefinitionen zukünftig vor diesem Mit schützen kann?


Danke und Gruß

Frank
Seitenanfang Seitenende
15.10.2008, 23:12
Moderator

Beiträge: 5694
#5 >>
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere in das weisse Feld:

Zitat

Files to delete:
C:\Programme\Gemeinsame Dateien\ofamytuba.db
C:\Programme\Gemeinsame Dateien\eqylikow._sy
- schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

- Klicke: Execute

- bestätige, dass der Rechner neu gestartet wird - klicke "yes"
- nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen

>>
loesche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

>>
Combofix entfernen:
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"
(oder, wenn es nicht funktioniert: C:\QooBox löschen)

>>
Mach einen Onlinescan mit Bitdefender und berichte:
http://virus-protect.org/artikel/tools/bitdefender.html

>>
Jedes Antivirenprogramm nützt. Aber es kommt auch auf die Surfgewohnheiten des Users an, also diese überdenken.

Gruss Swiss

Gruss Swiss[/u]
Seitenanfang Seitenende