pandasoftware sagt ich hab malware?? |
||
---|---|---|
#0
| ||
20.10.2008, 14:19
Member
Beiträge: 17 |
||
|
||
20.10.2008, 15:45
Moderator
Beiträge: 7805 |
#2
Was Panda da findet sind Teile von Combofix. Das kannst du ignorieren.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
20.10.2008, 15:53
Member
Themenstarter Beiträge: 17 |
#3
also brauche ich mir keine sorgen machen..gut! danke schön
combofix hatte ich aber erst danach installiert bzw. davor hatte ich es auch schon mal, aber dann eigentlich gelöscht wieder vor nem jahr oder so) |
|
|
||
20.10.2008, 16:27
Ehrenmitglied
Beiträge: 6028 |
#4
Download OTCleanIt. by OldTimer zum Desktop
Schliesse alle Fenster Doppelklick: OTCleanIt. Klicke: CleanUp Wenn gefragt wird “Do you want to reboot now?”klicke “Yes” Dein Rechner wird neu gestartet Damit werden Reste von benutzten Programme wieder entfernt Benutze CleanUp! Systemwiederherstellung Info: http://virus-protect.org/systemwiederherstellung.html Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. Rechner neu starten Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen wieder entfernen bei Systemwiederherstellung OK __________ MfG Argus |
|
|
||
20.10.2008, 17:59
Member
Themenstarter Beiträge: 17 |
#5
habe ich gemacht Arnold. Danke nur otcleanup finde ich nicht mehr auf dem PC
Ich habe eine Frage und hoffe, dass du mir eine Antwort gibst. wie oft und was sollte ich machen, um meinen PC zu kontrollieren in bezug auf Virus, malware usw.. das was ich heute alles gemacht habe jeden Monat einmal? wäre sehr hilfreich, wenn du mir einen Tip geben könntest ein freund hat mir atf-cleaner empfohlen, womit ich jede woche einmal alles lösche auf firefox und den papierkorb..guter tip? und was war das mit "systemwiederherstellung"? wozu ist das gut bitte? und nochmal vielen Dank an dich und an raman Dieser Beitrag wurde am 20.10.2008 um 18:03 Uhr von denise222 editiert.
|
|
|
||
20.10.2008, 18:46
Ehrenmitglied
Beiträge: 6028 |
#6
Stimmt,es entfernt sichselber auch,gut nicht?
Zitat Danke nur otcleanup finde ich nicht mehr auf dem PCIch kenne Antivir nicht,kann man es irgendwoh einstellen das es Automatisch scannt? Hier die Anleitung http://www.free-av.com/documents/products/pdf/de/man_avira_antivir-personal_de.pdf Benutze ATF Cleaner Nur fuer XP und Windows 2000 Doppelklick ATFcleaner um das Program zu starten Auf tab “Main“ Select All anhaaken. Klicke den Knopf Empty selected Wenn man Opera als browser hat: Klicke auf tab “Opera“ Select All anhaaken. Willst du die durch Opera aufgehobene passwörter behalten Dan klickt man im Fenster was erscheint auf “No“ Klicke den Knopf Empty selected Wenn man Firefox als browser hat: Klicke auf tab “Firefox“ Select All anhaaken. Willst du die durch Firefox aufgehobene passwörter behalten Dan klickt man im Fenster was erscheint auf “No“ Klicke den Knopf Empty selected Geh zum tab“Main“und klicke Exit um das Program zu schliessen. http://de.wikipedia.org/wiki/Systemwiederherstellung Wenn dein Rechner aber infiziert ist mit viren und du benutzt die Systemwiederherstellung um nach Heute zurück zu keren hast du die Vierchen auch wieder Darum ab und wieder einschalten __________ MfG Argus |
|
|
||
20.10.2008, 20:30
Member
Themenstarter Beiträge: 17 |
#7
ja..der antivir scannt alle 2-3 Tage..hat mir jemand so eingestellt..also reicht das aus? zusätzlich muss ich nichts machen so wie heute?
und mit der systemwiederherstellung habe ich nicht verstanden..soll ich das alle 2-3 monate, wenn alles in Ordnung ist, so machen wie du es beschrieben hattest...also häkchen weg und runterfahren und wieder häkchen hin? |
|
|
||
20.10.2008, 21:08
Ehrenmitglied
Beiträge: 6028 |
#8
Wenn mein Scanner in C:\System Volume Information\_restore etwas findet dan de-aktiviere das System
Ich kenne Leute die lesen von hinten nach vorne Zitat also häkchen weg und runterfahren und wieder häkchen hin? Anhang: Systemwiederherstellung.JPG __________ MfG Argus |
|
|
||
20.10.2008, 21:41
Member
Themenstarter Beiträge: 17 |
#9
nein, nein.. ich habe das genau so gemacht wie du beschrieben hast. Ich hatte nur keine Zeit zu gucken, was in den postings vorher stand..ich war am kochen
|
|
|
||
20.10.2008, 22:42
Ehrenmitglied
Beiträge: 6028 |
||
|
||
21.10.2008, 12:18
Member
Themenstarter Beiträge: 17 |
#11
also mit dem antivir bin ich gut unterwegs? wenn der alle paar tage durchläuft, dann ist alles in Ordnung?
Avira AntiVir Personal Erstellungsdatum der Reportdatei: Dienstag, 21. Oktober 2008 12:09 Es wird nach 1692263 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149886-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 3) [5.1.2600] Boot Modus: Normal gebootet Benutzername: SYSTEM Computername: Denise Versionsinformationen: BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00 AVSCAN.EXE : 8.1.4.7 315649 Bytes 17.07.2008 21:16:44 AVSCAN.DLL : 8.1.4.0 48897 Bytes 17.07.2008 21:16:43 LUKE.DLL : 8.1.4.5 164097 Bytes 17.07.2008 21:16:44 LUKERES.DLL : 8.1.4.0 12545 Bytes 17.07.2008 21:16:44 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 18:12:58 ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 12:11:48 ANTIVIR2.VDF : 7.0.7.12 4066816 Bytes 08.10.2008 18:45:07 ANTIVIR3.VDF : 7.0.7.58 315904 Bytes 17.10.2008 21:30:55 Engineversion : 8.2.0.5 AEVDF.DLL : 8.1.0.6 102772 Bytes 15.10.2008 19:31:11 AESCRIPT.DLL : 8.1.1.9 319867 Bytes 16.10.2008 19:31:04 AESCN.DLL : 8.1.1.3 123252 Bytes 15.10.2008 19:31:09 AERDL.DLL : 8.1.1.2 438644 Bytes 21.09.2008 23:28:08 AEPACK.DLL : 8.1.2.4 369014 Bytes 15.10.2008 19:31:09 AEOFFICE.DLL : 8.1.0.28 196987 Bytes 15.10.2008 19:31:08 AEHEUR.DLL : 8.1.0.59 1438071 Bytes 21.09.2008 23:28:07 AEHELP.DLL : 8.1.1.2 115062 Bytes 15.10.2008 19:31:07 AEGEN.DLL : 8.1.0.41 319861 Bytes 15.10.2008 19:31:07 AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 19:31:06 AECORE.DLL : 8.1.2.6 172406 Bytes 15.10.2008 19:31:06 AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 19:31:05 AVWINLL.DLL : 1.0.0.12 15105 Bytes 17.07.2008 21:16:44 AVPREF.DLL : 8.0.2.0 38657 Bytes 17.07.2008 21:16:43 AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 20:20:04 AVREG.DLL : 8.0.0.1 33537 Bytes 17.07.2008 21:16:43 AVARKT.DLL : 1.0.0.23 307457 Bytes 16.04.2008 09:53:44 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 17.07.2008 21:16:43 SQLITE3.DLL : 3.3.17.1 339968 Bytes 16.04.2008 09:53:44 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 17.07.2008 21:16:44 NETNT.DLL : 8.0.0.1 7937 Bytes 16.04.2008 09:53:44 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 17.07.2008 21:16:41 RCTEXT.DLL : 8.0.52.0 86273 Bytes 17.07.2008 21:16:41 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: aus Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, D:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Dienstag, 21. Oktober 2008 12:09 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'update.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Matrox.PowerDesk.Services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CFSvcs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'agrsmsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ACU.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NDSTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'acs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '33' Prozesse mit '33' Modulen durchsucht Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '59' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'D:\' <Data> Ende des Suchlaufs: Dienstag, 21. Oktober 2008 12:22 Benötigte Zeit: 12:58 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 3225 Verzeichnisse wurden überprüft 170439 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 170438 Dateien ohne Befall 1222 Archive wurden durchsucht 1 Warnungen 0 Hinweise da ist eine Warnung bei mir bei antivir..hat das was zu bedeuten? Dieser Beitrag wurde am 21.10.2008 um 12:26 Uhr von denise222 editiert.
|
|
|
||
21.10.2008, 12:27
Ehrenmitglied
Beiträge: 6028 |
#12
Antivir und MBAM und vielleicht noch Spybot s&d bist gut gesichert
Hier gibt es noch eine Anleitung fuer Antivir http://board.protecus.de/t23979.htm __________ MfG Argus |
|
|
||
21.10.2008, 12:53
Member
Themenstarter Beiträge: 17 |
#13
danke für avira infos..habe ich gerade gemacht..habe aber wohl eine neuere version; darum konnte ich 2 Dinge nicht anklicken
was bitte ist MBAM bzw. wo kann ich das downloaden..das gleiche gilt für spybot s&d..(und wie oft soll ich das dann durchlaufen lassen? 1x im Monat?) kann ich xp-antispy dann also wieder deinstallieren, weil es unnötig ist und atf-cleaner auch? ich möchte meinen computer nicht zuinstallieren danke schon mal für die Hilfe bis jetzt arnold Dieser Beitrag wurde am 21.10.2008 um 13:06 Uhr von denise222 editiert.
|
|
|
||
21.10.2008, 13:42
Ehrenmitglied
Beiträge: 6028 |
#14
MBAM=Malwarebytes' Anti-Malware 1.29
Auf ein Rechner können mehrere Anti Spyware Programme nebeneinander benutzt werden Spybot s&d http://www.safer-networking.org/de/index.html Wie oft du es benutzen sollst kann ich nicht sagen,liegt auch daran wie und wo du surfst __________ MfG Argus |
|
|
||
21.10.2008, 15:57
Member
Themenstarter Beiträge: 17 |
#15
search & destroy hat dies gefunden:
BlueStreak: Verfolgender Cookie (Firefox: default) (Cookie, nothing done) ??? was bedeutet dies bitte? |
|
|
||
PROTECTIONS: 1
MALWARE: 2
SUSPECTS: 0
;********************************************************* PROTECTIONS
Description Version Active Updated
Avira AntiVir PersonalEdition 8.0.1.27 Yes Yes
;========================================================= MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;=========================================================
01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{8F03C794-54C4-4072-AB39-2063B82419B9}\RP302\A0046061.exe
03738686 Generic Malware Virus/Trojan No 0 No No D:\System Volume Information\_restore{8F03C794-54C4-4072-AB39-2063B82419B9}\RP311\A0046650.exe[327882R2FWJFW\catchme.cfexe]
;========================================================= SUSPECTS
Sent Location k
;========================================================= VULNERABILITIES
Id Severity Description k
;=========================================================
hier der andere log von malwarebytes:
Malwarebytes' Anti-Malware 1.29
Datenbank Version: 1297
Windows 5.1.2600 Service Pack 3
20.10.2008 14:40:26
mbam-log-2008-10-20 (14-40-26).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 75857
Laufzeit: 15 minute(s), 17 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
hier combofix:
ComboFix 08-10-19.04 - denise 2008-10-20 14:46:24.4 - NTFSx86
ausgeführt von:: D:\ComboFix.exe
[COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR]
.
((((((((((((((((((((((( Dateien erstellt von 2008-09-20 bis 2008-10-20 ))))))))))))))))))))))))))))))
.
2008-10-20 14:23 . 2008-10-20 14:23 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-10-20 14:23 . 2008-10-16 20:25 38,496 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-20 14:23 . 2008-10-16 20:25 15,504 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-20 13:47 . 2008-10-20 13:47 <DIR> d-------- C:\Dokumente und Einstellungen\denise\.housecall6.6
2008-10-20 13:47 . 2008-10-20 13:47 102,664 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
2008-10-20 13:04 . 2008-06-19 17:24 28,544 --a------ C:\WINDOWS\system32\drivers\pavboot.sys
2008-10-20 13:03 . 2008-10-20 13:04 <DIR> d-------- C:\WINDOWS\LastGood
2008-10-03 22:50 . 2001-08-18 04:55 139,776 --a------ C:\WINDOWS\system32\sndvol32.exe
2008-10-03 22:50 . 2001-08-18 04:55 139,776 --a--c--- C:\WINDOWS\system32\dllcache\sndvol32.exe
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-20 11:01 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-10-16 14:21 --------- d-----w C:\Programme\Opera
2008-10-14 15:36 --------- d-----w C:\Dokumente und Einstellungen\denise\Anwendungsdaten\Skype
2008-10-14 14:51 --------- d-----w C:\Dokumente und Einstellungen\denise\Anwendungsdaten\skypePM
2008-09-17 19:35 --------- d-----w C:\Dokumente und Einstellungen\denise\Anwendungsdaten\AdobeUM
2008-09-10 22:54 --------- d-----w C:\Programme\xp-AntiSpy
2008-09-08 13:49 --------- d-----w C:\Dokumente und Einstellungen\denise\Anwendungsdaten\SUPERAntiSpyware.com
2008-09-07 18:52 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-08-29 18:00 50,688 ----a-w C:\Programme\ATF-Cleaner.exe
2008-08-27 13:56 --------- d-----w C:\Programme\Java
2008-08-27 13:55 15,810,512 ----a-w C:\Programme\j2re-1_4_2_17-windows-i586-p.exe
2008-08-26 21:37 15,984,024 ----a-w C:\Programme\jre-6u7-windows-i586-p-s.exe
2008-08-26 20:26 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-08-26 14:36 --------- d-----w C:\Dokumente und Einstellungen\denise\Anwendungsdaten\Malwarebytes
2008-08-26 14:36 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-20 18:26 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-06-22 16:56 15,439,008 ----a-w C:\Programme\tws40_install.exe
2008-06-22 16:50 5,138,846 ----a-w C:\Programme\atrader4_setup_de_4327b2.exe
2007-11-20 12:59 1,164,456 ----a-w C:\Programme\install_flash_player.exe
2006-12-12 09:13 32,768 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EBLib.dll
2006-07-28 14:25 19,456 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LPCFilter.sys
2003-12-30 21:00 69,632 ----a-w C:\Dokumente und Einstellungen\denise\setup.exe
2003-12-30 21:00 1,505,032 ----a-w C:\Dokumente und Einstellungen\denise\InstMsiW.exe
2003-12-30 21:00 1,494,280 ----a-w C:\Dokumente und Einstellungen\denise\InstMsi.exe
2008-05-06 19:06 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008050620080507\index.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2007-07-25 94208]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2007-07-25 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2007-07-25 118784]
"HWSetup"="C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe" [2004-05-01 28672]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]
"ACU"="C:\Programme\Atheros\ACU.exe" [2007-04-17 372825]
"PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2003-11-10 406016]
"Matrox PowerDesk SE"="C:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk SE.exe" [2006-10-19 237568]
"Easy-PrintToolBox"="C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2006-10-17 398944]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"RTHDCPL"="RTHDCPL.EXE" [2007-07-25 C:\WINDOWS\RTHDCPL.exe]
"NDSTray.exe"="NDSTray.exe" [BU]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]
C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 65588]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= vdrcodec.dll
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Acrobat Assistant.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk
backup=C:\WINDOWS\pss\Acrobat Assistant.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"de_serv"=3 (0x3)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\TOSHIBA\\ConfigFree\\CFXFER.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Java\\j2re1.4.2_17\\bin\\java.exe"=
"C:\\Programme\\Opera\\opera.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
R0 VOBID;VOBID;C:\WINDOWS\system32\DRIVERS\vobid.sys [2003-08-01 29239]
R1 vobiw;vobiw;C:\WINDOWS\system32\drivers\vobiw.sys [2004-09-01 188416]
R2 Matrox Centering Service;Matrox Centering Service;C:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk.Services.exe [2006-10-19 233472]
R2 MtxIic;MtxIic;C:\WINDOWS\system32\drivers\MtxIicKrnlNT.sys [2005-10-03 20992]
R3 cdrdrv;Cdrdrv;C:\WINDOWS\system32\Drivers\Cdrdrv.sys [2004-08-03 62976]
R3 WSIMD;wsimd Service;C:\WINDOWS\system32\DRIVERS\wsimd.sys [2007-03-28 57024]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5b9818ca-85a1-11dd-98f4-001b9e257e70}]
\Shell\AutoRun\command - G:\AutoRun.exe
*Newly Created Service* - TMCOMM
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\denise\Anwendungsdaten\Mozilla\Firefox\Profiles\oi7sp5sf.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.traderzlounge.de/Forum/index.php
FF -: plugin - C:\Programme\Yahoo!\Shared\npYState.dll
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-20 14:47:26
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**********************************************************
.
Zeit der Fertigstellung: 2008-10-20 14:48:43
ComboFix-quarantined-files.txt 2008-10-20 12:48:34
ComboFix2.txt 2008-08-26 16:16:02
Vor Suchlauf: 9 Verzeichnis(se), 49.475.362.816 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 49,465,733,120 Bytes frei
118 --- E O F --- 2008-08-20 19:01:57
hier nun hijakthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:57:00, on 20.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk SE.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk.Services.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [HWSetup] C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [ACU] C:\Programme\Atheros\ACU.exe -nogui
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [Matrox PowerDesk SE] "C:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk SE.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {439B6D3C-A359-4D73-8515-2AFE8CF90C08} (TradeSignal 5 Web Edition) - http://www.tradesignalonline.com/gallery/components/axts5we.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Atheros-Konfigurationsdienst (ACS) - Atheros - C:\WINDOWS\system32\acs.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Matrox Centering Service - Unknown owner - C:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk.Services.exe
--
End of file - 5995 bytes
ist alles in Ordnung? warum hat denn malware was gefunden?