Virus ALert unten rechts weg bekommen...aber möchte sicher gehn.

#0
17.10.2008, 17:22
Member

Beiträge: 50
#1 Hallo liebes Protecus Team.
Meine liebe Schwester hat gestern eine Demo von Adobe Illustrator installiert und hat irgend sonen doofen crack dafür gehabt. Den hat sie geöfften und dann haben sich diese Schwarzen fenster( Dos-Box...denk ich) dauernd geöffnet odre besser gesagt öfters hintereinander.

Nach Neustart des Systems stand unten in der Taskleiste"Virus Alert".
Hab dann Anti Vir durchlaufen lassen. Hab den Trojaner "TR/DldrZlob.gen gelöscht.

Hab dann Combo Fix anwendet...und tada alles klappt wieder einwadfrei. Aber jetzt möchte ich ganz sicher gehn und den Log von Combo Fix posten...und auch ein Hijackthis file. Ich hoffe da is noch alles ok. Ich Danke euch im vorraus.

Combo FixLogFile(auch im Anhang):

Zitat

ComboFix 08-10-16.08 - Ferdaus 2008-10-17 16:44:39.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.550 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Ferdaus\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML
C:\Dokumente und Einstellungen\Gast\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML
C:\WINDOWS\esmf.exe
C:\WINDOWS\rosqxvmn.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\mljgddb.dll
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\nnnljhhG.dll
C:\WINDOWS\system32\oWDNonmp.ini
C:\WINDOWS\system32\oWDNonmp.ini2
C:\WINDOWS\system32\pmnoNDWo.dll
C:\WINDOWS\system32\qoMccDUk.dll
C:\WINDOWS\system32\qoMdBUkl.dll
C:\WINDOWS\system32\vtuts.dll
C:\WINDOWS\system32\yaywxWnL.dll
.
---- Previous Run -------
.

.
((((((((((((((((((((((( Dateien erstellt von 2008-09-17 bis 2008-10-17 ))))))))))))))))))))))))))))))
.

2008-10-17 15:21 . 2008-10-17 15:21 355 --a------ C:\WINDOWS\system32\MRT.INI
2008-10-16 21:00 . 2008-10-16 21:00 <DIR> d-------- C:\Dokumente und Einstellungen\Ferdaus\Anwendungsdaten\TmpRecentIcons
2008-10-16 20:39 . 2008-10-16 21:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ejerynun
2008-10-16 20:39 . 2008-10-16 18:18 86,016 --a------ C:\WINDOWS\lomxeqsn.exe
2008-10-11 15:18 . 2008-10-11 15:18 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-10-11 15:18 . 2008-10-11 15:18 1,409 --a------ C:\WINDOWS\QTFont.for
2008-10-06 19:26 . 2008-10-07 14:56 <DIR> d-------- C:\Programme\NOS
2008-10-06 19:26 . 2008-10-07 16:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NOS
2008-10-06 18:54 . 2008-10-06 18:54 <DIR> d-------- C:\Programme\AskBarDis
2008-10-06 18:54 . 2008-10-06 18:54 <DIR> d-------- C:\DVDVideoSoft
2008-10-06 18:53 . 2008-10-06 18:53 <DIR> d-------- C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-10-06 18:53 . 2008-10-06 18:53 <DIR> d-------- C:\Programme\DVDVideoSoft
2008-10-06 16:19 . 2008-10-06 16:19 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Yahoo!
2008-10-06 16:09 . 2008-10-06 16:09 <DIR> d---s---- C:\Dokumente und Einstellungen\LocalService\Favoriten
2008-10-02 18:19 . 2008-10-02 18:19 279,712 --a------ C:\WINDOWS\system32\drivers\atksgt.sys
2008-10-02 18:19 . 2008-10-02 18:19 25,888 --a------ C:\WINDOWS\system32\drivers\lirsgt.sys
2008-10-02 17:33 . 2008-10-02 17:33 <DIR> d-------- C:\WINDOWS\Logs
2008-10-02 17:15 . 2008-10-02 17:15 <DIR> d-------- C:\Programme\Deep Silver
2008-09-21 18:38 . 2008-09-21 18:38 <DIR> d-------- C:\Dokumente und Einstellungen\Ferdaus\Anwendungsdaten\TeamViewer
2008-09-21 18:37 . 2008-09-21 18:37 <DIR> d-------- C:\Dokumente und Einstellungen\Ferdaus\temp
2008-09-21 17:24 . 2008-10-01 22:45 <DIR> d-------- C:\Programme\MediaCoder
2008-09-20 16:47 . 2008-09-20 16:47 <DIR> d-------- C:\Programme\Gemeinsame Dateien\xing shared

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-17 15:01 --------- d-----w C:\Programme\Steam
2008-10-16 17:38 --------- d-----w C:\Dokumente und Einstellungen\Ferdaus\Anwendungsdaten\Download Manager
2008-10-16 15:58 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-10-15 16:58 --------- d-----w C:\Dokumente und Einstellungen\Ferdaus\Anwendungsdaten\Azureus
2008-10-11 19:36 --------- d-----w C:\Dokumente und Einstellungen\Ferdaus\Anwendungsdaten\dvdcss
2008-10-06 17:15 --------- d-----w C:\Programme\MDL ISIS Draw 2.5
2008-10-06 17:10 --------- d-----w C:\Programme\ICQLite
2008-10-06 14:19 --------- d-----w C:\Programme\MSN Messenger
2008-09-24 18:52 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-09-20 14:47 499,712 ----a-w C:\WINDOWS\system32\msvcp71.dll
2008-09-20 14:47 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2008-09-15 15:37 1,846,144 ----a-w C:\WINDOWS\system32\win32k.sys
2008-09-07 13:31 --------- d-----w C:\Programme\themexp
2008-09-01 18:33 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-09-01 18:30 --------- d-----w C:\Programme\Lavasoft
2008-08-29 14:26 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-08-29 13:18 --------- d-----w C:\Programme\Avira
2008-08-29 13:18 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-08-28 10:04 333,056 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-08-26 07:57 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-08-14 13:35 2,145,280 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
2008-08-14 13:35 2,023,424 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll
2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll
2007-04-21 15:08 174,163 ----a-w C:\Dokumente und Einstellungen\cc\cc_20070421_1708.reg
2007-01-12 21:03 682 ----a-w C:\Dokumente und Einstellungen\Ferdaus\Anwendungsdaten\wklnhst.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2008-08-26 10:32 279944 --a------ C:\Programme\AskBarDis\bar\bin\askBar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "C:\Programme\AskBarDis\bar\bin\askBar.dll" [2008-08-26 279944]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "C:\Programme\AskBarDis\bar\bin\askBar.dll" [2008-08-26 279944]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 15360]
"TOSCDSPD"="C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-12 65536]
"Veoh"="C:\Programme\Veoh Networks\Veoh\VeohClient.exe" [2008-04-01 3587120]
"msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]
"Steam"="c:\programme\steam\steam.exe" [2008-10-08 1410296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-08-05 64512]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-05-01 7557120]
"NVRotateSysTray"="C:\WINDOWS\system32\nvsysrot.dll" [2006-05-01 49152]
"THotkey"="C:\Programme\Toshiba\Toshiba Applet\thotkey.exe" [2006-08-25 356352]
"Tvs"="C:\Programme\TOSHIBA\Tvs\TvsTray.exe" [2006-02-02 73728]
"IntelZeroConfig"="C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" [2006-08-02 802816]
"IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2006-08-02 696320]
"System Files Updater"="C:\WINDOWS\FlyakiteOSX\Tools\System Files Updater.exe" [2006-02-26 118485]
"Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 483328]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"AnyDVD"="C:\Programme\SlySoft\AnyDVD\AnyDVD.exe" [2007-09-26 463872]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-03 761948]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-03-28 413696]
"nwiz"="nwiz.exe" [2006-05-01 C:\WINDOWS\system32\nwiz.exe]
"TPSMain"="TPSMain.exe" [2005-08-03 C:\WINDOWS\system32\TPSMain.exe]
"NDSTray.exe"="NDSTray.exe" [BU]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-10 C:\WINDOWS\system32\bthprops.cpl]
"TFncKy"="TFncKy.exe" [BU]
"RTHDCPL"="RTHDCPL.EXE" [2006-05-05 C:\WINDOWS\RTHDCPL.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2005-12-13 C:\WINDOWS\agrsmmsg.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 15360]
"msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]

C:\Dokumente und Einstellungen\Ferdaus\Startmen\Autostart\
Stardock ObjectDock.lnk - C:\Programme\ObjectDock\ObjectDock.exe [2005-07-15 1802309]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
OnlineControl.lnk - C:\Programme\OnlineControl\ocontrol.exe [2007-02-09 126976]
RAMASST.lnk - C:\WINDOWS\system32\RAMASST.exe [2006-12-02 155648]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableLockWorkstation"= 0 (0x0)
"NoClose"= 0 (0x0)
"DisableChangePassword"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoLogOff"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2006-03-13 233472]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= l3codecp.acm
"msacm.l3codec"= l3codecp.acm

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SweetIM]
-ra------ 2006-12-27 16:53 73840 C:\Programme\Macrogaming\SweetIM\SweetIM.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"DAEMON Tools Lite"="C:\Programme\DAEMON Tools Lite\daemon.exe"
"STYLEXP"=C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"lxccmon.exe"="C:\Programme\Lexmark 3300 Series\lxccmon.exe"
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\THQ\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\XR_3DA.exe"=
"C:\\Programme\\THQ\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\dedicated\\XR_3DA.exe"=
"C:\\Programme\\Azureus\\Azureus.exe"=
"C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
"C:\\Programme\\Steam\\steamapps\\serious__sanke\\counter-strike\\hl.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"135:TCP"= 135:TCP:TCP Port 135
"5000:TCP"= 5000:TCP:TCP Port 5000
"5001:TCP"= 5001:TCP:TCP Port 5001
"5002:TCP"= 5002:TCP:TCP Port 5002
"5003:TCP"= 5003:TCP:TCP Port 5003
"5004:TCP"= 5004:TCP:TCP Port 5004
"5005:TCP"= 5005:TCP:TCP Port 5005
"5006:TCP"= 5006:TCP:TCP Port 5006
"5007:TCP"= 5007:TCP:TCP Port 5007
"5008:TCP"= 5008:TCP:TCP Port 5008
"5009:TCP"= 5009:TCP:TCP Port 5009
"5010:TCP"= 5010:TCP:TCP Port 5010
"5011:TCP"= 5011:TCP:TCP Port 5011
"5012:TCP"= 5012:TCP:TCP Port 5012
"5013:TCP"= 5013:TCP:TCP Port 5013
"5014:TCP"= 5014:TCP:TCP Port 5014
"5015:TCP"= 5015:TCP:TCP Port 5015
"5016:TCP"= 5016:TCP:TCP Port 5016
"5017:TCP"= 5017:TCP:TCP Port 5017
"5018:TCP"= 5018:TCP:TCP Port 5018
"5019:TCP"= 5019:TCP:TCP Port 5019
"5020:TCP"= 5020:TCP:TCP Port 5020
"12600:TCP"= 12600:TCP:BitComet 12600 TCP
"12600:UDP"= 12600:UDP:BitComet 12600 UDP
"43078:TCP"= 43078:TCP:*;)isabled:TCP Port 43078
"43078:UDP"= 43078:UDP:*;)isabled:UDP Port 43078

R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2006-10-04 61440]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-10 14336]
R3 X10Hid;X10 Hid Device;C:\WINDOWS\system32\Drivers\x10hid.sys [2005-11-28 7040]
S2 setup_7.0.0.180_25.03.2008_17-28;setup_7.0.0.180_25.03.2008_17-28;C:\Dokumente und Einstellungen\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_25.03.2008_17-28.exe [ ]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [2006-10-04 17280]
S3 PAC207;Trust WB-1400T Webcam;C:\WINDOWS\system32\DRIVERS\pfc027.sys [ ]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-01-05 306432]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
tapisrv REG_MULTI_SZ Tapisrv

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2008-10-10 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2008\OneClick.exe [2007-12-14 14:17]

2008-05-28 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 14:57]

2008-10-17 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job
- C:\Programme\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 12:20]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{EC72AB33-3049-4253-96F1-2DD1AEDA35F7} - C:\WINDOWS\system32\nnnljhhG.dll
BHO-{F1D4DE69-4E3A-4098-8B8F-9B2F83298E4B} - C:\WINDOWS\system32\pmnoNDWo.dll
Toolbar-{148BDBE0-051C-4B70-84B3-889274D33E60} - C:\WINDOWS\rosqxvmn.dll
HKLM-Explorer_Run-c7zfyYDYZu - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ejerynun\ebspifqn.exe
ShellExecuteHooks-{EC72AB33-3049-4253-96F1-2DD1AEDA35F7} - C:\WINDOWS\system32\nnnljhhG.dll


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Ferdaus\Anwendungsdaten\Mozilla\Firefox\Profiles\h6fcnb3d.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://google.de/
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-17 16:57:33
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwEnumerateKey, ZwEnumerateValueKey, ZwQueryDirectoryFile, ZwQuerySystemInformation

Scanne versteckte Prozesse...

C:\WINDOWS\system32\.93d904861ed5f0c8\93d904861ed5f0c8.exe [1404] 0x85459020

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


C:\WINDOWS\TEMP\tmp24.tmp.93d904861ed5f0c8.tmp 22115 bytes executable
C:\WINDOWS\TEMP\tmp21.tmp.93d904861ed5f0c8.tmp 22115 bytes executable
C:\WINDOWS\TEMP\tmp13.tmp.93d904861ed5f0c8.tmp 22115 bytes executable
C:\WINDOWS\TEMP\tmp1A.tmp.93d904861ed5f0c8.tmp 22115 bytes executable
C:\WINDOWS\system32\.93d904861ed5f0c8

Scan erfolgreich abgeschlossen
versteckte Dateien: 5

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\93d904861ed5f0c8]
"ImagePath"="C:\WINDOWS\system32\.93d904861ed5f0c8\93d904861ed5f0c8.exe"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINDOWS\explorer.exe
-> C:\Programme\ObjectDock\DockShellHook.dll
-> C:\WINDOWS\system32\nview.dll
-> C:\WINDOWS\system32\.93d904861ed5f0c8\93d904861ed5f0c8.core.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Toshiba\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\WINDOWS\ehome\ehrecvr.exe
C:\WINDOWS\ehome\ehSched.exe
C:\WINDOWS\ehome\ehRec.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\PAStiSvc.exe
C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe
C:\PROGRA~1\COMMON~1\X10\Common\X10nets.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\ehome\ehmsas.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\Toshiba\TOSHIBA Controls\TFncKy.exe
C:\Programme\Synaptics\SynTP\Toshiba.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-17 17:13:06 - PC wurde neu gestartet [Ferdaus]
ComboFix-quarantined-files.txt 2008-10-17 15:11:59

Vor Suchlauf: 29 Verzeichnis(se), 13,599,936,512 Bytes frei
Nach Suchlauf: 28 Verzeichnis(se), 13,581,955,072 Bytes frei

302 --- E O F --- 2008-10-17 13:31:12



Hijackthis Logfile:



Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:15:59, on 17.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\TOSHIBA\Tvs\TvsTray.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Synaptics\SynTP\Toshiba.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\OnlineControl\ocontrol.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Programme\ObjectDock\ObjectDock.exe
C:\WINDOWS\explorer.exe
C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\TuneUp Utilities 2008\OneClick.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\TuneUp Utilities 2008\RegistryCleaner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ie/defaults/sb/yme/*http://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ie/defaults/su/yme/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Lexmark Symbolleiste - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Programme\Lexmark Toolbar\toolband.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Programme\Windows Desktop Search\dsWebAllow.dll
O2 - BHO: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.3558\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Lexmark Symbolleiste - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Programme\Lexmark Toolbar\toolband.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [NVRotateSysTray] rundll32.exe C:\WINDOWS\system32\nvsysrot.dll,Enable
O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [System Files Updater] C:\WINDOWS\FlyakiteOSX\Tools\System Files Updater.exe /S
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\ObjectDock\ObjectDock.exe
O4 - Global Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?6504cc11a64e4872a322d6651ce99b85
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?6504cc11a64e4872a322d6651ce99b85
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{5CF4F34C-A06E-47A6-9142-8FD0477FFDB1}: NameServer = 192.168.2.1
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Unknown owner - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe (file missing)
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: setup_7.0.0.180_25.03.2008_17-28 - Unknown owner - C:\Dokumente und Einstellungen\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_25.03.2008_17-28.exe (file missing)
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe (file missing)
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 14535 bytes

Zitat



Anhang: log.txt
Seitenanfang Seitenende
17.10.2008, 23:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo Serious_Sam

das Sytem ist voller Rootkits.. wahrscheinlich auch im Masterbootrecord ;)

1.
http://virus-protect.org/artikel/tools/otmoveIt.html
Download OTMoveIt zum Desktop
- öffne: OTMoveIt.exe
- Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move

Zitat

[kill explorer]
EmptyTemp
purity
[start explorer]
- Klicke auf den Roten MoveIt!


2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
- setze ein Häkchen in: "Automatically disable any rootkits found"
- Das Häkchen "Scan for Rootkits" ist schon automatisch angehakt.

kopiere in das weisse Feld:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\93d904861ed5f0c8
Files to delete:
C:\WINDOWS\lomxeqsn.exe
C:\WINDOWS\TEMP\tmp24.tmp.93d904861ed5f0c8.tmp
C:\WINDOWS\TEMP\tmp21.tmp.93d904861ed5f0c8.tmp
C:\WINDOWS\TEMP\tmp13.tmp.93d904861ed5f0c8.tmp
C:\WINDOWS\TEMP\tmp1A.tmp.93d904861ed5f0c8.tmp
Folders to delete:
C:\WINDOWS\system32\.93d904861ed5f0c8
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ejerynun
- schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

- Klicke: Execute

- bestätige, dass der Rechner neu gestartet wird - klicke "yes"


-----------------

3.
wende sdfix im abgesicherten modus an - poste dann den report nach neustart hier
http://virus-protect.org/artikel/tools/sdfix.html

--------------------------------------------------------

4.
mbr.exe auf C:\ laden (oder aufs Desktop laden und dann auf C:\ verschieben)
http://www2.gmer.net/mbr/mbr.exe
http://virus-protect.org/artikel/tools/mbr.html

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.bat mit 'Speichern unter' auf C:\
Gebe bei Dateityp 'Alle Dateien' an.

mbr.exe -f

Du solltest jetzt in C:\ diese Datei fix.bat finden.
Doppelklick auf fix.bat
Es wird ein Log erstellt ( mbr.log )und poste dessen Inhalt in deinen Beitrag

-------------------
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.10.2008, 18:12
Member

Themenstarter

Beiträge: 50
#3 Hallo Sabina,

ich habe nun die folgenden Schritte durchgeführt. Hier sind die Berichte von Schritt 3 und 4.

Zitat

SDFix: Version 1.236
Run by Ferdaus on 18.10.2008 at 17:32

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File
Restoring Windows Product ID To Remove Fake Virus Alert

Rebooting


Checking Files :

Trojan Files Found:

C:\Dokumente und Einstellungen\Ferdaus\Favoriten\Malware Defender.url - Deleted
C:\Dokumente und Einstellungen\Ferdaus\Favoriten\Protect Your Privacy.url - Deleted
C:\Dokumente und Einstellungen\Ferdaus\Favoriten\System Error Fixer.url - Deleted
C:\Dokumente und Einstellungen\Ferdaus\Anwendungsdaten\wklnhst.dat - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-18 17:46:46
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000d18010895]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:d8,5d,ba,74,8e,02,67,27,80,61,bc,1d,ce,be,25,14,8c,aa,49,72,83,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,26,84,4a,10,af,32,18,30,92,98,66,a7,b6,ae,e6,fc,c8,..
"khjeh"=hex:cd,82,a1,2a,99,8a,d1,f5,a5,59,af,86,a6,0b,3e,34,f9,20,8e,26,90,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:0a,b2,45,32,15,54,2f,c9,cf,24,92,9f,37,8e,af,38,a3,6c,88,9b,7c,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\000d18010895]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:d8,5d,ba,74,8e,02,67,27,80,61,bc,1d,ce,be,25,14,8c,aa,49,72,83,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,26,84,4a,10,af,32,18,30,92,98,66,a7,b6,ae,e6,fc,c8,..
"khjeh"=hex:cd,82,a1,2a,99,8a,d1,f5,a5,59,af,86,a6,0b,3e,34,f9,20,8e,26,90,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:0a,b2,45,32,15,54,2f,c9,cf,24,92,9f,37,8e,af,38,a3,6c,88,9b,7c,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Programme\\Bonjour\\mDNSResponder.exe"="C:\\Programme\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Programme\\uTorrent\\uTorrent.exe"="C:\\Programme\\uTorrent\\uTorrent.exe:*:Enabled:æTorrent"
"C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"="C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\THQ\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\XR_3DA.exe"="C:\\Programme\\THQ\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\XR_3DA.exe:*:Enabled:S.T.A.L.K.E.R. - Shadow of Chernobyl (CLI)"
"C:\\Programme\\THQ\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\dedicated\\XR_3DA.exe"="C:\\Programme\\THQ\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\dedicated\\XR_3DA.exe:*:Enabled:S.T.A.L.K.E.R. - Shadow of Chernobyl (SRV)"
"C:\\Programme\\Azureus\\Azureus.exe"="C:\\Programme\\Azureus\\Azureus.exe:*;)isabled:Azureus"
"C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"="C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe:*:Enabled:Veoh Client"
"C:\\Programme\\Steam\\steamapps\\serious__sanke\\counter-strike\\hl.exe"="C:\\Programme\\Steam\\steamapps\\serious__sanke\\counter-strike\\hl.exe:*:Enabled:Half-Life Launcher"
"C:\\Programme\\Vuze\\Azureus.exe"="C:\\Programme\\Vuze\\Azureus.exe:*:Enabled:Azureus"
"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"="C:\\Program Files\\Real\\RealPlayer\\realplay.exe:*:Enabled:RealPlayer"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Tue 4 Sep 2007 48 ..SH. --- "C:\WINDOWS\S8ED8A942.tmp"
Mon 11 Dec 2006 4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Wed 15 Oct 2008 72 A..H. --- "C:\System Volume Information\_restore{391197E0-8C57-4C06-9C98-32E013C26E86}\RP575\A0279522.sys"
Wed 15 Oct 2008 72 A..H. --- "C:\System Volume Information\_restore{391197E0-8C57-4C06-9C98-32E013C26E86}\RP575\A0279539.sys"
Thu 16 Oct 2008 72 A..H. --- "C:\System Volume Information\_restore{391197E0-8C57-4C06-9C98-32E013C26E86}\RP576\A0280539.sys"
Thu 16 Oct 2008 72 A..H. --- "C:\System Volume Information\_restore{391197E0-8C57-4C06-9C98-32E013C26E86}\RP577\A0280743.sys"
Thu 16 Oct 2008 72 A..H. --- "C:\System Volume Information\_restore{391197E0-8C57-4C06-9C98-32E013C26E86}\RP577\A0280755.sys"
Thu 16 Oct 2008 72 A..H. --- "C:\System Volume Information\_restore{391197E0-8C57-4C06-9C98-32E013C26E86}\RP577\A0282755.sys"
Fri 17 Oct 2008 72 A..H. --- "C:\System Volume Information\_restore{391197E0-8C57-4C06-9C98-32E013C26E86}\RP578\A0282895.sys"
Fri 17 Oct 2008 72 A..H. --- "C:\System Volume Information\_restore{391197E0-8C57-4C06-9C98-32E013C26E86}\RP578\A0283881.sys"
Fri 17 Oct 2008 72 A..H. --- "C:\System Volume Information\_restore{391197E0-8C57-4C06-9C98-32E013C26E86}\RP578\A0284200.sys"
Fri 17 Oct 2008 72 A..H. --- "C:\System Volume Information\_restore{391197E0-8C57-4C06-9C98-32E013C26E86}\RP579\A0284303.sys"
Fri 17 Oct 2008 72 A..H. --- "C:\System Volume Information\_restore{391197E0-8C57-4C06-9C98-32E013C26E86}\RP580\A0284416.sys"
Sat 18 Oct 2008 72 A..H. --- "C:\System Volume Information\_restore{391197E0-8C57-4C06-9C98-32E013C26E86}\RP580\A0284492.sys"
Sat 18 Oct 2008 72 A..H. --- "C:\System Volume Information\_restore{391197E0-8C57-4C06-9C98-32E013C26E86}\RP580\A0284508.sys"
Sat 18 Oct 2008 72 A..H. --- "C:\System Volume Information\_restore{391197E0-8C57-4C06-9C98-32E013C26E86}\RP580\A0284529.sys"
Thu 7 Aug 2008 1,024 A..H. --- "C:\System Volume Information\_restore{391197E0-8C57-4C06-9C98-32E013C26E86}\RP582\A0284565.sys"
Sat 18 Oct 2008 72 A..H. --- "C:\System Volume Information\_restore{391197E0-8C57-4C06-9C98-32E013C26E86}\RP583\A0284818.sys"
Fri 9 Mar 2007 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"
Sat 18 Oct 2008 72 A..H. --- "C:\Programme\Common Files\X10\Common\x10prod.sys"
Sat 12 May 2007 444 ...HR --- "C:\Dokumente und Einstellungen\Ferdaus\Anwendungsdaten\SecuROM\UserData\securom_v7_01.bak"

Finished!

Zitat

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Seitenanfang Seitenende
18.10.2008, 19:03
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 es hat geklappt - alles wieder sauber ;)
scanne noch mal mit Malwarebytes im abgesicherten Modus (Tiefenscann)

«
und entferne Combofix
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

««
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
dann das Häkchen wieder rausnehmen.(also wieder aktivieren)

«
gibt es noch Probleme mit dem Alert ???
Oder alles i.o. ?
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.10.2008, 22:03
Member

Themenstarter

Beiträge: 50
#5 Nabend Sabina (=

Danke dir vielmals für deine Hilfe. Freu mich total das jetzt alles sauber ist und ich diesen Alert vom Hals hab. Alles ist wieder in Ordnung. Dankeeeee (=

Schönes Wochenende!
Seitenanfang Seitenende
23.10.2008, 19:55
Member

Themenstarter

Beiträge: 50
#6 Hallo Sabina,

hab gerade Warnungen bekommen bezüglich Viren und manche konnte Malwarebytes nicht löschen :/ (Hab eine externe Festplatte mit ganz vielen Filmen bekommen/angeschlossen, danach gingen die Viren-Warnungen los)

Hier ist eine Log-Datei nach dem Quick-Scan mit Malwarebytes:

Zitat

Malwarebytes' Anti-Malware 1.29
Datenbank Version: 1286
Windows 5.1.2600 Service Pack 2

23.10.2008 19:47:22
mbam-log-2008-10-23 (19-47-22).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 57619
Laufzeit: 5 minute(s), 22 second(s)

Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 3
Infizierte Registrierungsschlüssel: 8
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 4
Infizierte Dateien: 34

Infizierte Speicherprozesse:
C:\Programme\AntiSpywareXP2009\AntiSpywareXP2009.exe (Rogue.AntispywareXP) -> Unloaded process successfully.
C:\WINDOWS\system32\drivers\svchost.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.

Infizierte Speichermodule:
C:\Programme\AntiSpywareXP2009\AVEngn.dll (Rogue.AntispywareXP) -> Delete on reboot.
C:\Programme\AntiSpywareXP2009\htmlayout.dll (Rogue.AntispywareXP) -> Delete on reboot.
C:\Programme\AntiSpywareXP2009\pthreadVC2.dll (Rogue.AntispywareXP) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\antispywarexp2009 (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\antispywarexp2009 (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\WakeNet (Trojan.Adware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\rosqxvmn.bnml (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\rosqxvmn.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\antispywarexp 2009 (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\brastk (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\brastk (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\ -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\ -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Programme\Live_TV (Adware.Agent) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareXP2009 (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareXP2009\data (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareXP2009\Microsoft.VC80.CRT (Rogue.AntispywareXP) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\drivers\svchost.exe (Trojan.FakeAlert.H) -> Delete on reboot.
C:\WINDOWS\karna.dat (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\karna.dat (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Programme\Live_TV\INSTALL.LOG (Adware.Agent) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareXP2009\AntiSpywareXP2009.cfg (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareXP2009\AntiSpywareXP2009.exe (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareXP2009\AVEngn.dll (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareXP2009\htmlayout.dll (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareXP2009\pthreadVC2.dll (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareXP2009\Uninstall.exe (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareXP2009\wscui.cpl (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareXP2009\data\daily.cvd (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareXP2009\Microsoft.VC80.CRT\Microsoft.VC80.CRT.manifest (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareXP2009\Microsoft.VC80.CRT\msvcm80.dll (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareXP2009\Microsoft.VC80.CRT\msvcp80.dll (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareXP2009\Microsoft.VC80.CRT\msvcr80.dll (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\delself.bat (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\beep.sys (Fake.Beep.Sys) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dllcache\beep.sys (Fake.Beep.Sys) -> Quarantined and deleted successfully.
C:\WINDOWS\brastk.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\_scui.cpl (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wini10801.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\brastk.exe (Trojan.FakeAlert) -> Delete on reboot.
C:\Dokumente und Einstellungen\Ferdaus\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\AntiSpywareXP2009.lnk (Rogue.Antispyware) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSScfum.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSSlxwp.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSSnmxh.log (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\TDSSnrsr.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSSofxh.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSSoiqh.log (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\TDSSrhym.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSSriqp.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\TDSSpqxt.sys (Rootkit.Agent) -> Delete on reboot.
Seitenanfang Seitenende
23.10.2008, 21:58
Member

Beiträge: 3716
#7 Hi,
schließe die platte mal mit an deinen rechner an!
1. lade erneut combofix führe es wie oben aus.
poste das log.
2. update malwarebytes wähle alle laufwerke scannen und komplettscan dann funde wie oben löschen.
3. die logs + neues hijackthis-log posten.
Seitenanfang Seitenende