Tr/vundo.gen.....mist |
||
---|---|---|
#0
| ||
29.10.2008, 14:31
Member
Beiträge: 15 |
||
|
||
29.10.2008, 15:17
Member
Beiträge: 694 |
#2
Hi,
drei Probleme (mindestens): O4 - HKCU\..\Run: [kava] C:\WINXP\system32\kavo.exe O4 - HKCU\..\Run: [tava] C:\WINXP\system32\tavo.exe O4 - HKCU\..\Run: [kamsoft] C:\WINXP\system32\ckvo.exe Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen http://www.virustotal.com/flash/index_en.html Zitat C:\WINXP\system32\kavo.exePoste das Ergebniss pro File mit Filename! Also wenn alle Files erkannt wurden, hier weiter,nicht erkannt sonst rausnehmen: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool [url=http://swandog46.geekstogo.com/avenger.exe]Avenger[/url] und speichere es auf dem Desktop: 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code Files to delete:3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet. 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code O4 - HKCU\..\Run: [kava] C:\WINXP\system32\kavo.exeDanach MAM und combofix: Malwarebytes Antimalware (MAM). Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html Fullscan und alles bereinigen lassen! Log posten. Combofix Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird Chris |
|
|
||
29.10.2008, 15:23
Member
Themenstarter Beiträge: 15 |
#3
Danke aber alle drei dateien können nicht gefunden werden!!!!!!
|
|
|
||
29.10.2008, 15:37
Member
Beiträge: 694 |
#4
Hi,
MAM hat sie auch nicht gelöscht, im HJ-Log tauchen sie auf, bitte wie angegeben verfahren und auf jeden Fall noch ComboFix von der Leine lassen! chris |
|
|
||
29.10.2008, 15:47
Member
Themenstarter Beiträge: 15 |
#5
Ohhh vielleicht liegt es daran dass ich erst HJ dann MAM gepostet habe...hier nochmal HJ
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:46:21, on 29.10.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.20861) Boot mode: Normal Running processes: C:\WINXP\System32\smss.exe C:\WINXP\system32\winlogon.exe C:\WINXP\system32\services.exe C:\WINXP\system32\lsass.exe C:\WINXP\system32\svchost.exe C:\WINXP\System32\svchost.exe C:\WINXP\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINXP\Explorer.EXE C:\Programme\Analog Devices\Core\smax4pnp.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe C:\WINXP\tsnp2std.exe C:\WINXP\vsnp2std.exe C:\WINXP\system32\RUNDLL32.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINXP\system32\ctfmon.exe C:\Programme\Electronic Arts\EADM\Core.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE C:\Programme\Paltalk Messenger\paltalk.exe C:\Programme\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINXP\system32\DRIVERS\CDANTSRV.EXE C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe C:\WINXP\system32\nvsvc32.exe C:\WINXP\system32\PnkBstrA.exe C:\Programme\RapidSolution\Scramby\ScrambyServer.exe C:\WINXP\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\Programme\Opera\opera.exe C:\Programme\EA Sports\FIFA 09\FIFA09.exe C:\WINXP\system32\taskmgr.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINXP\JM\JMInsIDE.exe O4 - HKLM\..\Run: [JMB36X Configure] C:\WINXP\system32\JMRaidSetup.exe boot O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINXP\system32\NeroCheck.exe O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [tsnp2std] C:\WINXP\tsnp2std.exe O4 - HKLM\..\Run: [snp2std] C:\WINXP\vsnp2std.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [UVS11 Preload] C:\Programme\Ulead Systems\Ulead VideoStudio 11\uvPL.exe O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [TrayServer] C:\Programme\MAGIX\Video_deluxe_2008_PLUS\TrayServer.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKCU\..\Run: [EA Core] C:\Programme\Electronic Arts\EADM\Core.exe -silent O4 - HKCU\..\Run: [kava] C:\WINXP\system32\kavo.exe O4 - HKCU\..\Run: [kamsoft] C:\WINXP\system32\ckvo.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O4 - Startup: Picture Motion Browser Medien-Prüfung.lnk = C:\Programme\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O4 - Global Startup: PalTalk.lnk = C:\Programme\Paltalk Messenger\paltalk.exe O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab O16 - DPF: {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} (Facebook Photo Uploader 4 Control) - http://upload.facebook.com/controls/FacebookPhotoUploader3.cab O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F554} (Flatcast Viewer 4.16) - http://data.flatcast.com/data/objects/NpFv41629.dll O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F557} (Flatcast Viewer 5.0) - http://www.flatcast-data.com/data/objects/NpFv501.dll O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{2D0BE963-F186-4C9C-81D7-7FAD9BF8CC56}: NameServer = 192.168.1.1 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINXP\system32\DRIVERS\CDANTSRV.EXE O23 - Service: Capture Device Service - InterVideo Inc. - C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINXP\system32\PnkBstrA.exe O23 - Service: Scramby Server (ScrambyServer) - RapidSolution Software AG - C:\Programme\RapidSolution\Scramby\ScrambyServer.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINXP\System32\TuneUpDefragService.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe -- End of file - 9224 bytes |
|
|
||
30.10.2008, 01:14
Ehrenmitglied
Beiträge: 6028 |
#6
ComboFix(by sUBs)
Download ComboFix und speichert es auf den Desktop! Download ComboFix1 Download ComboFix2 Note:Wenn wehrend du Combofix runterlaedst oder anwendet ein Meldung deines Virenscanner kommt ode ein anderen Realtime scanner Schalte diese scanner dann aus und download ComboFix erneut Es gibt scanner die bestimmte komponente die durch CF benutzt werden als verdaechtig ansehen und versucht sie zu blokkieren oder zu entfernen Starte combofix.exe Folge den Instruktionen in das Fenster Wenn ComboFix schon vorher benutzt worden ist kann es sein das du eine Meldung bekommst das es ein Update gibt Erlaube diesen Update und klicke OK im "NirCmd“ fenster klicke nach ablauf auf "ja“um den Scan zu starten Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt) nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen" zusammen mit ein neuen log von HijackThis __________ MfG Argus |
|
|
||
30.10.2008, 18:15
Member
Themenstarter Beiträge: 15 |
#7
habe ich gemacht...hier combofix
ComboFix 08-10-30.07 - Administrator 2008-10-30 18:09:21.4 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1533 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Autorun.inf . ((((((((((((((((((((((( Dateien erstellt von 2008-09-28 bis 2008-10-30 )))))))))))))))))))))))))))))) . 2008-10-29 14:50 . 2008-10-29 14:50 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-10-29 14:50 . 2008-10-22 16:10 38,496 --a------ C:\WINXP\system32\drivers\mbamswissarmy.sys 2008-10-29 14:50 . 2008-10-22 16:10 15,504 --a------ C:\WINXP\system32\drivers\mbam.sys 2008-10-29 14:35 . 2008-10-29 14:35 <DIR> d-------- C:\Programme\Trend Micro 2008-10-29 13:58 . 2008-10-29 13:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-10-24 20:42 . 2008-10-24 20:42 <DIR> d-------- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Xfire 2008-10-24 20:41 . 2008-10-24 20:47 <DIR> d-------- C:\Programme\Xfire 2008-10-24 20:41 . 2008-10-28 15:39 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Xfire 2008-10-24 14:05 . 2008-10-15 17:54 339,456 --------- C:\WINXP\system32\dllcache\netapi32.dll 2008-10-24 11:26 . 2008-10-24 11:26 <DIR> d-------- C:\WINXP\system32\AGEIA 2008-10-24 11:26 . 2008-10-24 11:26 <DIR> d-------- C:\Programme\AGEIA Technologies 2008-10-24 11:26 . 2008-10-07 12:33 201,157 --a------ C:\WINXP\system32\nvapps.nvb 2008-10-24 11:25 . 2008-10-24 11:26 <DIR> d-------- C:\WINXP\NV37123708.TMP 2008-10-09 01:48 . 2008-10-09 01:48 42,320 --a------ C:\WINXP\system32\xfcodec.dll 2008-10-07 12:33 . 2008-10-07 12:33 13,574,144 --a------ C:\WINXP\system32\SET235.tmp 2008-10-07 12:33 . 2008-10-07 12:33 6,058,112 --a------ C:\WINXP\system32\SET22B.tmp 2008-10-07 12:33 . 2008-10-07 12:33 475,136 --a------ C:\WINXP\system32\SET22F.tmp 2008-10-07 12:33 . 2008-10-07 12:33 122,880 --a------ C:\WINXP\system32\SET25B.tmp 2008-10-07 12:33 . 2008-10-07 12:33 86,016 --a------ C:\WINXP\system32\SET237.tmp 2008-10-04 16:07 . 2008-10-04 16:07 <DIR> d-------- C:\Programme\Electronic Arts 2008-10-04 16:07 . 2008-10-04 16:07 <DIR> d-------- C:\ProgramData 2008-10-03 14:56 . 2008-10-03 14:56 <DIR> d-------- C:\Programme\Astonsoft 2008-10-03 14:56 . 2008-10-03 14:59 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\DeepBurner 2008-10-01 12:53 . 2008-10-01 12:53 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SecuROM 2008-09-30 16:10 . 2008-09-30 16:10 <DIR> d-------- C:\WINXP\system32\xircom 2008-09-30 16:10 . 2008-09-30 16:10 <DIR> d-------- C:\Programme\microsoft frontpage 2008-09-30 15:03 . 2008-09-30 15:03 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-09-30 15:03 . 2008-09-30 15:03 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes 2008-09-30 14:21 . 2008-09-30 14:21 <DIR> d-------- C:\Programme\Avira 2008-09-30 13:54 . 2008-10-04 16:07 1,562 --a------ C:\WINXP\system32\ealregsnapshot1.reg 2008-09-19 14:08 . 2008-03-05 14:56 3,786,760 --a------ C:\WINXP\system32\D3DX9_37.dll 2008-09-19 14:06 . 2008-09-19 14:07 <DIR> d-------- C:\FIFA 09 Demo 2008-09-17 22:55 . 2008-09-17 22:55 13,574,144 --a------ C:\WINXP\system32\SET9A.tmp 2008-09-17 22:55 . 2008-09-17 22:55 6,057,472 --a------ C:\WINXP\system32\SET90.tmp 2008-09-17 22:55 . 2008-09-17 22:55 475,136 --a------ C:\WINXP\system32\SET94.tmp 2008-09-17 22:55 . 2008-09-17 22:55 163,908 --a------ C:\WINXP\system32\SET92.tmp 2008-09-17 22:55 . 2008-09-17 22:55 122,880 --a------ C:\WINXP\system32\SETC0.tmp 2008-09-17 22:55 . 2008-09-17 22:55 86,016 --a------ C:\WINXP\system32\SET9C.tmp 2008-09-14 14:34 . 2001-08-17 12:56 7,552 --a------ C:\WINXP\system32\drivers\SONYPVU1.SYS 2008-09-14 12:13 . 2008-09-14 12:24 <DIR> d-------- C:\WINXP\system32\CatRoot_bak 2008-09-04 08:31 . 2008-09-04 08:31 288,024 --a------ C:\WINXP\system32\PhysXCplUI.exe 2008-09-04 08:31 . 2008-09-04 08:31 181,528 --a------ C:\WINXP\system32\PhysX.cpl . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-30 16:47 137,480 ----a-w C:\WINXP\system32\drivers\PnkBstrK.sys 2008-10-30 16:46 183,120 ----a-w C:\WINXP\system32\PnkBstrB.exe 2008-10-27 12:41 --------- d-----w C:\Programme\Opera 2008-10-24 10:54 106,496 ----a-w C:\WINXP\DUMP80a9.tmp 2008-10-24 10:52 106,496 ----a-w C:\WINXP\DUMP7d7d.tmp 2008-10-24 10:29 106,496 ----a-w C:\WINXP\DUMP7e19.tmp 2008-10-24 10:26 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-10-21 13:41 --------- d-----w C:\Programme\Microsoft Silverlight 2008-10-12 17:22 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared 2008-10-12 17:22 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec 2008-10-07 11:33 453,152 ----a-w C:\WINXP\system32\nvudisp.exe 2008-10-04 14:43 --------- d-----w C:\Programme\EA Sports 2008-10-02 08:07 453,152 ----a-w C:\WINXP\system32\NVUNINST.EXE 2008-09-30 13:02 107,888 ----a-w C:\WINXP\system32\CmdLineExt.dll 2008-09-14 20:15 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help 2008-08-29 06:57 70,936 ----a-w C:\WINXP\system32\PhysXLoader.dll 2008-08-12 12:54 307,968 ----a-w C:\WINXP\system32\TuneUpDefragService.exe 2008-07-18 20:10 94,920 ----a-w C:\WINXP\system32\cdm.dll 2008-07-18 20:10 53,448 ----a-w C:\WINXP\system32\wuauclt.exe 2008-07-18 20:10 45,768 ----a-w C:\WINXP\system32\wups2.dll 2008-07-18 20:10 36,552 ----a-w C:\WINXP\system32\wups.dll 2008-07-18 20:09 563,912 ----a-w C:\WINXP\system32\wuapi.dll 2008-07-18 20:09 325,832 ----a-w C:\WINXP\system32\wucltui.dll 2008-07-18 20:09 205,000 ----a-w C:\WINXP\system32\wuweb.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINXP\system32\wuaueng.dll 2008-07-18 20:07 270,880 ----a-w C:\WINXP\system32\mucltui.dll 2008-07-18 20:07 210,976 ----a-w C:\WINXP\system32\muweb.dll 2008-07-07 20:16 253,952 ----a-w C:\WINXP\system32\es.dll 2008-07-07 20:16 253,952 ------w C:\WINXP\system32\dllcache\es.dll 2008-06-10 15:05 22,328 ----a-w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PnkBstrK.sys 2008-04-29 14:09 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat 2006-06-23 06:48 32,768 ----a-r C:\WINXP\inf\UpdateUSB.exe . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINXP\system32\ctfmon.exe" [2004-08-03 15360] "DAEMON Tools Lite"="C:\Programme\DAEMON Tools Lite\daemon.exe" [2008-02-14 486856] "EA Core"="C:\Programme\Electronic Arts\EADM\Core.exe" [2008-07-22 2772992] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2006-12-18 868352] "JMB36X IDE Setup"="C:\WINXP\JM\JMInsIDE.exe" [2006-10-30 36864] "JMB36X Configure"="C:\WINXP\system32\JMRaidSetup.exe" [2006-10-30 1953792] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] "NeroFilterCheck"="C:\WINXP\system32\NeroCheck.exe" [2001-07-09 155648] "GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648] "tsnp2std"="C:\WINXP\tsnp2std.exe" [2006-01-06 110592] "snp2std"="C:\WINXP\vsnp2std.exe" [2006-01-06 344064] "NvCplDaemon"="C:\WINXP\system32\NvCpl.dll" [2007-12-05 8523776] "UVS11 Preload"="C:\Programme\Ulead Systems\Ulead VideoStudio 11\uvPL.exe" [2007-07-23 341232] "TrayServer"="C:\Programme\MAGIX\Video_deluxe_2008_PLUS\TrayServer.exe" [2007-03-29 90112] "NvMediaCenter"="C:\WINXP\system32\NvMcTray.dll" [2007-12-05 81920] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "nwiz"="nwiz.exe" [2007-12-05 C:\WINXP\system32\nwiz.exe] "Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 C:\WINXP\KHALMNPR.Exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINXP\system32\CTFMON.EXE" [2004-08-03 15360] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "nltide_2"="shell32" [X] "nltide_3"="advpack.dll" [2008-06-23 C:\WINXP\system32\advpack.dll] C:\Dokumente und Einstellungen\Administrator\Startmen�\Programme\Autostart\ Picture Motion Browser Medien-Pr�fung.lnk - C:\Programme\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe [2008-06-25 385024] C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\ Adobe Reader Speed Launch.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696] Logitech SetPoint.lnk - C:\Programme\Logitech\SetPoint\SetPoint.exe [2008-08-17 805392] PalTalk.lnk - C:\Programme\Paltalk Messenger\paltalk.exe [2008-05-08 10452992] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn] 2008-05-02 01:42 72208 c:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTWLgn.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.dvacm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\Vio\Dvacm.acm "msacm.MPEGacm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\MPEG\MPEGacm.acm "msacm.ulmp3acm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\MPEG\ulmp3acm.acm "VIDC.XFR1"= xfcodec.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup] @="" [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Messenger\\msmsgs.exe"= "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "C:\\WINXP\\system32\\PnkBstrA.exe"= "C:\\WINXP\\system32\\PnkBstrB.exe"= "C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"= "C:\\Programme\\LimeWire\\LimeWire.exe"= "C:\\Programme\\ICQ6\\ICQ.exe"= "C:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx9.exe"= "C:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx10.exe"= "C:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Launcher.exe"= "C:\\WINXP\\pchealth\\helpctr\\binaries\\HelpCtr.exe"= "C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"= "C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"= "C:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"= "C:\\Programme\\Electronic Arts\\EADM\\Core.exe"= "C:\\Programme\\EA Sports\\FIFA 09\\FIFA09.exe"= "C:\\Programme\\Opera\\opera.exe"= "C:\\Programme\\Xfire\\xfire.exe"= "C:\\Programme\\Paltalk Messenger\\paltalk.exe"= R2 acedrv10;acedrv10;C:\WINXP\system32\drivers\acedrv10.sys [2007-07-27 330144] R2 acehlp10;acehlp10;C:\WINXP\system32\drivers\acehlp10.sys [2007-07-27 251680] R2 ScrambyServer;Scramby Server;C:\Programme\RapidSolution\Scramby\ScrambyServer.exe [2007-09-14 344064] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINXP\System32\svchost.exe [2004-08-03 14336] R3 scramby_out;Scramby Output;C:\WINXP\system32\drivers\scramby_out.sys [2007-08-08 23840] R3 SNP2STD;USB2.0 PC Camera (SNP2STD);C:\WINXP\system32\DRIVERS\snp2sxp.sys [2006-05-13 10305664] S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Programme\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 1527900] S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINXP\System32\TuneUpDefragService.exe [2008-08-12 307968] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5804eee4-9524-11dd-85c2-001d60175bf6}] \Shell\AutoRun\command - E:\ypjq1.cmd \Shell\explore\Command - E:\ypjq1.cmd \Shell\open\Command - E:\ypjq1.cmd . Inhalt des "geplante Tasks" Ordners 2008-10-30 C:\WINXP\Tasks\1-Klick-Wartung.job - C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe [2008-02-29 08:58] 2008-10-15 C:\WINXP\Tasks\AppleSoftwareUpdate.job - C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34] . . ------- Zusätzlicher Suchlauf ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\o2r2c3lg.default\ FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll FF -: plugin - C:\Programme\Mozilla Firefox\plugins\NpFv41629.dll FF -: plugin - C:\Programme\Mozilla Firefox\plugins\NpFv501.dll FF -: plugin - C:\Programme\Opera\program\plugins\NpFv501.dll FF -: plugin - C:\Programme\Yahoo!\Shared\npYState.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-30 18:11:31 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-10-30 18:12:39 ComboFix-quarantined-files.txt 2008-10-30 17:12:32 ComboFix2.txt 2008-10-05 00:16:40 Vor Suchlauf: 19 Verzeichnis(se), 402.843.430.912 Bytes frei Nach Suchlauf: 19 Verzeichnis(se), 402,835,316,736 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINXP [operating systems] C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microsoft Windows XP Professional" /noexecute=optin /fastdetect 220 --- E O F --- 2008-10-24 13:52:46 und hier HijackThis Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:14:45, on 30.10.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.20861) Boot mode: Normal Running processes: C:\WINXP\System32\smss.exe C:\WINXP\system32\winlogon.exe C:\WINXP\system32\services.exe C:\WINXP\system32\lsass.exe C:\WINXP\system32\svchost.exe C:\WINXP\System32\svchost.exe C:\WINXP\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Analog Devices\Core\smax4pnp.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe C:\WINXP\tsnp2std.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINXP\system32\ctfmon.exe C:\Programme\DAEMON Tools Lite\daemon.exe C:\Programme\Electronic Arts\EADM\Core.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Paltalk Messenger\paltalk.exe C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE C:\Programme\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe C:\Programme\Opera\opera.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINXP\system32\DRIVERS\CDANTSRV.EXE C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe C:\WINXP\system32\nvsvc32.exe C:\WINXP\system32\PnkBstrA.exe C:\Programme\RapidSolution\Scramby\ScrambyServer.exe C:\WINXP\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\WINXP\system32\imapi.exe C:\WINXP\explorer.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINXP\JM\JMInsIDE.exe O4 - HKLM\..\Run: [JMB36X Configure] C:\WINXP\system32\JMRaidSetup.exe boot O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINXP\system32\NeroCheck.exe O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [tsnp2std] C:\WINXP\tsnp2std.exe O4 - HKLM\..\Run: [snp2std] C:\WINXP\vsnp2std.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [UVS11 Preload] C:\Programme\Ulead Systems\Ulead VideoStudio 11\uvPL.exe O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [TrayServer] C:\Programme\MAGIX\Video_deluxe_2008_PLUS\TrayServer.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKCU\..\Run: [EA Core] C:\Programme\Electronic Arts\EADM\Core.exe -silent O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O4 - Startup: Picture Motion Browser Medien-Prüfung.lnk = C:\Programme\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O4 - Global Startup: PalTalk.lnk = C:\Programme\Paltalk Messenger\paltalk.exe O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab O16 - DPF: {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} (Facebook Photo Uploader 4 Control) - http://upload.facebook.com/controls/FacebookPhotoUploader3.cab O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F554} (Flatcast Viewer 4.16) - http://data.flatcast.com/data/objects/NpFv41629.dll O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F557} (Flatcast Viewer 5.0) - http://www.flatcast-data.com/data/objects/NpFv501.dll O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{2D0BE963-F186-4C9C-81D7-7FAD9BF8CC56}: NameServer = 192.168.1.1 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINXP\system32\DRIVERS\CDANTSRV.EXE O23 - Service: Capture Device Service - InterVideo Inc. - C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINXP\system32\PnkBstrA.exe O23 - Service: Scramby Server (ScrambyServer) - RapidSolution Software AG - C:\Programme\RapidSolution\Scramby\ScrambyServer.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINXP\System32\TuneUpDefragService.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe -- End of file - 8985 bytes Ich hoffe dass ich die dinger losbekomme Dieser Beitrag wurde am 31.10.2008 um 13:36 Uhr von Halikarnassos editiert.
|
|
|
||
jetzt kann ich nicht mal was anklicken, HJT geht nicht bricht ab...
so endlich ...
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:44:05, on 29.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20861)
Boot mode: Normal
Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINXP\Explorer.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINXP\tsnp2std.exe
C:\WINXP\vsnp2std.exe
C:\WINXP\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Electronic Arts\EADM\Core.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Paltalk Messenger\paltalk.exe
C:\Programme\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINXP\system32\DRIVERS\CDANTSRV.EXE
C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\PnkBstrA.exe
C:\Programme\RapidSolution\Scramby\ScrambyServer.exe
C:\WINXP\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINXP\system32\wscntfy.exe
C:\WINXP\system32\wuauclt.exe
C:\Programme\Logitech\SetPoint\LU\LULnchr.exe
C:\Programme\Logitech\SetPoint\LU\LogitechUpdate.exe
C:\WINXP\system32\NOTEPAD.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINXP\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINXP\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINXP\system32\NeroCheck.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [tsnp2std] C:\WINXP\tsnp2std.exe
O4 - HKLM\..\Run: [snp2std] C:\WINXP\vsnp2std.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [UVS11 Preload] C:\Programme\Ulead Systems\Ulead VideoStudio 11\uvPL.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [TrayServer] C:\Programme\MAGIX\Video_deluxe_2008_PLUS\TrayServer.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [EA Core] C:\Programme\Electronic Arts\EADM\Core.exe -silent
O4 - HKCU\..\Run: [kava] C:\WINXP\system32\kavo.exe
O4 - HKCU\..\Run: [tava] C:\WINXP\system32\tavo.exe
O4 - HKCU\..\Run: [kamsoft] C:\WINXP\system32\ckvo.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: Picture Motion Browser Medien-Prüfung.lnk = C:\Programme\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: PalTalk.lnk = C:\Programme\Paltalk Messenger\paltalk.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
O16 - DPF: {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} (Facebook Photo Uploader 4 Control) - http://upload.facebook.com/controls/FacebookPhotoUploader3.cab
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F554} (Flatcast Viewer 4.16) - http://data.flatcast.com/data/objects/NpFv41629.dll
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F557} (Flatcast Viewer 5.0) - http://www.flatcast-data.com/data/objects/NpFv501.dll
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D0BE963-F186-4C9C-81D7-7FAD9BF8CC56}: NameServer = 192.168.1.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINXP\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Capture Device Service - InterVideo Inc. - C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINXP\system32\PnkBstrA.exe
O23 - Service: Scramby Server (ScrambyServer) - RapidSolution Software AG - C:\Programme\RapidSolution\Scramby\ScrambyServer.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINXP\System32\TuneUpDefragService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
--
End of file - 9658 bytes
und jetzt ein Bericht von Malware
Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1335
Windows 5.1.2600 Service Pack 2
29.10.2008 15:11:21
mbam-log-2008-10-29 (15-11-21).txt
Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|J:\|)
Durchsuchte Objekte: 133007
Laufzeit: 19 minute(s), 47 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 9
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
C:\WINXP\system32\tavo0.dll (Rootkit.Agent) -> Delete on reboot.
Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\tava (Rootkit.Agent) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\WINXP\system32\kavo0.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\WINXP\system32\ckvo0.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINXP\system32\ckvo1.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\ewatr.cmd (Trojan.Agent) -> Quarantined and deleted successfully.
C:\n6t1h.cmd (Trojan.Agent) -> Quarantined and deleted successfully.
C:\ypjq1.cmd (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINXP\system32\tavo0.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINXP\system32\tavo1.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINXP\system32\tavo.exe (Rootkit.Agent) -> Quarantined and deleted successfully.