virus per msn geschickt bekommen . wie werd ich den wieder los? |
||
---|---|---|
#0
| ||
07.11.2008, 23:08
Member
Beiträge: 12 |
||
|
||
07.11.2008, 23:45
Ehrenmitglied
Beiträge: 6028 |
#2
1.
Malwarebytes Anti-Malware fuer Windows 2000,XP und Vista Download MBAM Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet Wähle bei Reiter: “Scanner”> "Quickscan durchfuehren". “Update “> klicke “Suche nache Aktualisierungen“ “Einstellungen“ hake an “Beende Inter Explorer während des Löschvorgangs“ Scan laufen lassen Wenn am Ende infizierungen gefunden werden,anhaken und entfernen lassen Starte dein Rechner neu Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt) Poste dessen inhalt hier ins Forum Note: Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK Danach wird gefragt den Rechner neu zu starten,lass es zu Malwarebytes Anti-Malware kann man nachher behalten ! Später kann man noch ein "Vollständiger Suchlauf“durchführen 2. ComboFix(by sUBs) Download ComboFix und speichert es auf den Desktop! Schliesse alle Programme und Anwendungen mit Hintergrundwächtern inklusive der Firewall + Antivirusprogramme müssen deaktiviert sein Starte combofix.exe Folge den Instruktionen in das Fenster Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt) nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen" 3. Download: Trend Micro Hijack This™ Lade/entpacke HijackThis in einen extra Ordner z.b C:\Programme\Hijack This Doppelklick HJTInstall.exe und installiere das Tool in C:\Programme\Hijack This Am Ende steht auf dein Desktop eine verknüpfung Starte Hijack This und klicke “Do a system scan and safe a logfile” Save log --> hijackthis.log - Save - es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" Windows Vista rechtsklick auf HijackThis.exe waehle "Run as Administrator". __________ MfG Argus |
|
|
||
08.11.2008, 01:06
Member
Themenstarter Beiträge: 12 |
#3
maleware log :
Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1202 Windows 5.1.2600 Service Pack 2 24.09.2008 19:53:31 mbam-log-2008-09-24 (19-53-31).txt Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|) Durchsuchte Objekte: 91670 Laufzeit: 29 minute(s), 54 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 11 Infizierte Registrierungswerte: 6 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 11 Infizierte Dateien: 9 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\Interface\{1601d447-7424-4866-8dcc-acf98a2a41e1} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{ceb9c60d-f0ad-4b73-a3ab-4fc822e38d66} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{ceb9c60d-f0ad-4b73-a3ab-4fc822e38d66} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Typelib\{c3c0ec2c-2c1c-495c-9ad0-1f0ef833d7b5} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\AppID\{8d71eeb8-a1a7-4733-8fa2-1cac015c967d} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\rhc1p2j0en7t (Rogue.Multiple) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\AppID\Sidebar.DLL (Adware.BHO) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\AdvRemoteDbg (Adware.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\smrhc1p2j0en7t (Rogue.AntivirusXP2008) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\rhc1p2j0en7t (Rogue.AntivirusXP2008) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphc5p2j0en7t (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_CLASSES_ROOT\regfile\shell\open\command\ (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully. Infizierte Verzeichnisse: C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\rhc1p2j0en7t (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\rhc1p2j0en7t\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\rhc1p2j0en7t\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\rhc1p2j0en7t\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\rhc1p2j0en7t\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\rhc1p2j0en7t\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\rhc1p2j0en7t\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\rhc1p2j0en7t\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\rhc1p2j0en7t\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\rhc1p2j0en7t\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\rhc1p2j0en7t\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully. Infizierte Dateien: C:\Dokumente und Einstellungen\Admin\Desktop\Winamp Pro v5.54 Multilingual Incl Keymaker-CORE\CORE10k.EXE (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot. combofix log ComboFix 08-11-07.01 - Admin 2008-11-08 0:24:56.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.145 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Admin\Desktop\ComboFix.exe . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\cbffukfd.dll c:\windows\system32\cjxmkfex.dll c:\windows\system32\csecwlgt.dll c:\windows\system32\helkhxad.dll c:\windows\system32\kstmesmc.dll c:\windows\system32\ksuqfo.dll c:\windows\system32\tlqnjwva.ini2 c:\windows\system32\tlqnjwva.tmp c:\windows\system32\ttsBLkkj.ini c:\windows\system32\ttsBLkkj.ini2 c:\windows\system32\wauclt.exe c:\windows\system32\xefkmxjc.ini . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_TDSSSERV -------\Service_TDSSserv ((((((((((((((((((((((( Dateien erstellt von 2008-10-07 bis 2008-11-07 )))))))))))))))))))))))))))))) . 2008-11-08 00:31 . 2008-11-08 00:31 <DIR> d-------- c:\windows\LastGood 2008-11-08 00:19 . 2008-11-08 00:19 200,704 --------- c:\windows\SysNotifier.exe 2008-11-07 23:50 . 2008-11-07 23:50 527 --a------ c:\windows\system32\TDSSiero.dat 2008-11-07 23:44 . 2008-11-07 23:44 <DIR> d-------- c:\programme\CCleaner 2008-11-07 23:17 . 2008-11-07 23:17 401,408 --a------ c:\windows\system32\CF25238.exe.vir 2008-11-07 23:14 . 2008-11-07 23:14 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2008-11-07 23:14 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2008-11-07 23:14 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2008-11-07 22:25 . 2008-11-07 22:25 <DIR> d-------- c:\programme\AxBx 2008-11-07 17:02 . 2008-11-07 17:02 <DIR> d--hs---- C:\found.001 2008-11-06 18:54 . 2008-11-06 18:54 <DIR> d-------- c:\programme\Trend Micro 2008-11-06 18:45 . 2008-11-08 00:19 <DIR> d-a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP 2008-10-14 17:56 . 2008-10-14 17:56 <DIR> d-------- c:\programme\Veoh Networks 2008-10-12 19:13 . 2008-10-12 19:13 <DIR> d-------- C:\Downloads . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-11-07 23:35 52 ----a-w c:\dokumente und einstellungen\Admin\LWT.dat 2008-11-07 18:34 --------- d-----w c:\programme\Warcraft III 2008-11-07 16:48 --------- d-----w c:\dokumente und einstellungen\Admin\Anwendungsdaten\teamspeak2 2008-11-06 18:12 --------- d--h--w c:\programme\InstallShield Installation Information 2008-11-06 18:12 --------- d-----w c:\programme\Windows Live 2008-10-20 06:41 --------- d-----w c:\programme\wtvClient0.95.00 2008-10-06 21:57 --------- d-----w c:\programme\DotA Gaming Network 2008-10-01 17:40 --------- d-----w c:\programme\inKline Global 2008-10-01 17:39 36,864 ----a-w c:\windows\pass.exe 2008-10-01 16:59 --------- d-----w c:\dokumente und einstellungen\Admin\Anwendungsdaten\TuneUp Software 2008-10-01 16:58 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software 2008-09-30 19:12 --------- d-----w c:\programme\Avira 2008-09-30 19:12 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira 2008-09-30 18:21 --------- d-----w c:\programme\Spybot - Search & Destroy 2008-09-30 18:20 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-09-30 18:12 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg8 2008-09-30 09:04 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\FreeRIP 2008-09-29 19:37 --------- d-----w c:\programme\BearShare 2008-09-24 17:20 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-09-24 17:20 --------- d-----w c:\dokumente und einstellungen\Admin\Anwendungsdaten\Malwarebytes 2008-09-22 18:38 --------- d-----w c:\programme\Winamp 2008-09-22 18:38 --------- d-----w c:\dokumente und einstellungen\Admin\Anwendungsdaten\Winamp 2008-09-15 14:40 1,495,112 ----a-w C:\install_flash_player.exe 2008-09-14 17:22 --------- d-----w c:\programme\Gemeinsame Dateien\Teleca Shared 2008-09-14 17:21 --------- d-----w c:\dokumente und einstellungen\Admin\Anwendungsdaten\Juce VST Host 2008-09-14 14:45 --------- d-----w c:\programme\Warsow 2008-09-13 22:46 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\nView_Profiles 2008-09-09 14:46 --------- d-----w c:\dokumente und einstellungen\Admin\Anwendungsdaten\Yahoo! 2007-12-09 18:28 3,498,312 ----a-w c:\programme\BSLITEINSTALL525.exe 2007-12-06 13:29 210,416 ----a-w c:\programme\zasuiteSetup_de.exe 2007-09-02 19:44 268,777 ----a-w c:\programme\CustomKeys.txt 2007-08-27 13:21 11,006,799 ----a-w c:\programme\GGClient_setup.exe 2007-03-14 14:46 17,976,688 ----a-w c:\programme\Install_Messenger.exe 2007-03-14 13:35 666,748 ----a-w c:\programme\www.ingame.de_lwt.zip 2007-03-14 13:34 815,877 ----a-w c:\programme\[inwc.de]replay_explorer_2.zip 2007-03-14 13:34 5,862,994 ----a-w c:\programme\[inwc.de]teamspeak_client_2.2.exe 2007-03-14 13:34 371,652 ----a-w c:\programme\[inwc.de]keycraft_2.01.exe 2007-03-14 12:58 6,135,808 ----a-w c:\programme\icq5_1_setup.exe 2007-03-14 12:50 6,718,976 ----a-w c:\programme\winamp533_full_emusic-7plus.exe 2007-03-14 12:47 1,121,961 ----a-w c:\programme\wtvClient0.95.00.zip 2008-11-07 22:49 299,008 ----a-w c:\programme\internet explorer\plugins\rcconf.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1CAD29DF-1D6D-41A2-8C55-EAA2C7EDCDEB}] 2008-11-07 23:49 299008 --a------ c:\programme\Internet Explorer\Plugins\rcconf.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2006-02-28 15360] "Veoh"="c:\programme\Veoh Networks\Veoh\VeohClient.exe" [2008-02-22 3537968] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-04-03 7311360] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-04-03 86016] "NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648] "Lescos Warcraft Toolkit"="c:\programme\www.ingame.de_lwt\LWT.exe" [2005-08-20 1317376] "WinampAgent"="c:\programme\Winamp\winampa.exe" [2008-04-01 36352] "avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2005-01-07 c:\windows\system32\HdAShCut.exe] "nwiz"="nwiz.exe" [2006-04-03 c:\windows\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-02-28 15360] c:\dokumente und einstellungen\Admin\Startmen\Programme\Autostart\ Warkeys Update.exe.lnk - c:\programme\Warkeys\update\Warkeys Update.exe [2006-08-03 225411] Warkeys Update.lnk - c:\programme\Warkeys\update\Warkeys Update.exe [2006-08-03 225411] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rcconf] 2008-11-07 23:49 299008 c:\programme\Internet Explorer\Plugins\rcconf.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 "AntiVirusOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\wtvClient0.95.00\\wtvClient.exe"= "c:\\WINDOWS\\system32\\usmt\\migwiz.exe"= "c:\\Programme\\Valve by p! an Finger Weg!!! (Jan-philipp)\\hl.exe"= R1 oxmf;OXPCI Bus enumerator;c:\windows\system32\DRIVERS\oxmf.sys [2004-07-22 15872] R1 oxser;OX16C95x Serial port driver;c:\windows\system32\DRIVERS\oxser.sys [2004-07-22 50048] R3 Oxmfuf;Filter driver for OX16PCI95x ports;c:\windows\system32\DRIVERS\oxmfuf.sys [2004-07-22 4992] R3 scrusb2a;SmartCard-Reader Keyboard USB 2A;c:\windows\system32\DRIVERS\scrusb2a.sys [2005-10-05 74474] S3 cusbohcn;cusbohcn;c:\dokume~1\Admin\LOKALE~1\Temp\cusbohcn.sys [ ] S3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;c:\windows\system32\DRIVERS\sis163u.sys [2006-07-03 217600] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{46f2bdd7-c7fb-11db-b8f1-003005a4e6f1}] \Shell\AutoRun\command - e:\programs\nu2menu\nu2menu.exe . Inhalt des "geplante Tasks" Ordners 2008-11-07 c:\windows\Tasks\1-Klick-Wartung.job - c:\programme\TuneUp Utilities 2007\SystemOptimizer.exe [] . - - - - Entfernte verwaiste Registrierungseinträge - - - - BHO-{0300E74B-33F6-4DEB-AB77-D4B5ECB47E7a} - c:\windows\system32\gbafmhxb.dll BHO-{0877A808-8F32-433D-8EC7-48BAD4AFCDAC} - c:\windows\system32\jkkLBstt.dll BHO-{57d61f19-a7ee-470e-88ea-de38ea18a19e} - c:\windows\system32\jekdqy.dll HKCU-Run-MsnMsgr - c:\programme\Windows Live\Messenger\MsnMsgr.Exe HKLM-Run-Generic Host - wauclt.exe SafeBoot-TDSSifdt.sys . ------- Zusätzlicher Suchlauf ------- . FireFox -: Profile - c:\dokumente und einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\7zx2vrtd.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.schuelervz.net/Profile/88dce530f2ede757|http://www.dota-league.com/|https://freemailng1807.web.de/online/frame.htm?si=2XiI0.1kIBKC.32APDU.3k*&v=1|http://www.google.de/ FF -: plugin - c:\programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-11-08 00:33:33 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- Prozess: c:\windows\system32\winlogon.exe -> c:\programme\Internet Explorer\Plugins\rcconf.dll Prozess: c:\windows\explorer.exe -> c:\programme\Internet Explorer\Plugins\rcconf.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\scardsvr.exe c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe c:\windows\system32\nvsvc32.exe c:\windows\system32\wdfmgr.exe c:\windows\system32\imapi.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-11-08 0:38:18 - PC wurde neu gestartet [Admin] ComboFix-quarantined-files.txt 2008-11-07 23:38:12 ComboFix2.txt 2008-09-24 18:19:54 Vor Suchlauf: 17 Verzeichnis(se), 30,065,332,224 Bytes frei Nach Suchlauf: 17 Verzeichnis(se), 29,959,790,592 Bytes frei 179 --- E O F --- 2008-09-10 20:29:55 HiJackThis log Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 01:06:01, on 08.11.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\explorer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.bearshare.com/de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http://proxy.pdb.fsc.net:81 O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [Lescos Warcraft Toolkit] "C:\Programme\www.ingame.de_lwt\LWT.exe" -minimized O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide O4 - HKCU\..\Run: [XPShield] C:\PROGRA~1\XPShield\XP-SHI~1.EXE O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Warkeys Update.exe.lnk = C:\Programme\Warkeys\update\Warkeys Update.exe O4 - Startup: Warkeys Update.lnk = C:\Programme\Warkeys\update\Warkeys Update.exe O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?d9d03d17d4eb45a0a9af42c4a93b9c3d O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?d9d03d17d4eb45a0a9af42c4a93b9c3d O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1172755930578 O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 4495 bytes |
|
|
||
08.11.2008, 01:23
Ehrenmitglied
Beiträge: 6028 |
||
|
||
08.11.2008, 01:29
Member
Themenstarter Beiträge: 12 |
#5
Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1373 Windows 5.1.2600 Service Pack 2 08.11.2008 01:28:57 mbam-log-2008-11-08 (01-28-56).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 45470 Laufzeit: 3 minute(s), 21 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 2 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 1 Infizierte Dateien: 7 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\XPShield (Rogue.XPShield) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\XP-Shield (Rogue.XPShield) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\xpshield (Rogue.XPShield) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: C:\Programme\XPShield (Rogue.XPShield) -> Quarantined and deleted successfully. Infizierte Dateien: C:\WINDOWS\SysNotifier.exe (Rogue.Installer) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\temp\SysNotifier.exe (Rogue.Installer) -> Quarantined and deleted successfully. C:\Programme\XPShield\INSTALL.LOG (Rogue.XPShield) -> Quarantined and deleted successfully. C:\Programme\XPShield\UNWISE.EXE (Rogue.XPShield) -> Quarantined and deleted successfully. C:\Programme\XPShield\XP-Shield Web Site.url (Rogue.XPShield) -> Quarantined and deleted successfully. C:\Programme\XPShield\XP-Shield.exe (Rogue.XPShield) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Admin\Desktop\XP-Shield.lnk (Rogue.XPShield) -> Quarantined and deleted successfully. |
|
|
||
08.11.2008, 02:01
Ehrenmitglied
Beiträge: 6028 |
#6
Virustotal
Verborgene Dateien sichtbar machen Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren Prüfe mal diese Datei(en) bei Virustotal http://www.virustotal.com/flash/index_en.html Zitat c:\windows\pass.exeNote: Wenn bei ViruTotal die Meldung kommt ” Die Datei wurde bereits analysiert “wähle „Analysiere die Datei“ Poste nur die URL am Ende __________ MfG Argus |
|
|
||
08.11.2008, 02:16
Member
Themenstarter Beiträge: 12 |
#7
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.11.7.1 2008.11.07 - AntiVir 7.9.0.26 2008.11.07 SPR/PassView.O.1 Authentium 5.1.0.4 2008.11.07 - Avast 4.8.1248.0 2008.11.07 Win32:Trojan-gen {Other} AVG 8.0.0.161 2008.11.08 HackTool.FII BitDefender 7.2 2008.11.08 - CAT-QuickHeal 9.50 2008.11.07 PSWTool.FirePass.bf (Not a Virus) ClamAV 0.94.1 2008.11.08 - DrWeb 4.44.0.09170 2008.11.08 - eSafe 7.0.17.0 2008.11.06 Suspicious File eTrust-Vet 31.6.6198 2008.11.07 - Ewido 4.0 2008.11.07 Not-A-Virus.PSWTool.Win32.FirePass.bf F-Prot 4.4.4.56 2008.11.07 - F-Secure 8.0.14332.0 2008.11.08 PSWTool.Win32.FirePass.bf Fortinet 3.117.0.0 2008.11.07 - GData 19 2008.11.08 Win32:Trojan-gen {Other} Ikarus T3.1.1.45.0 2008.11.07 - K7AntiVirus 7.10.519 2008.11.07 Trojan.Win32.Malware.1 Kaspersky 7.0.0.125 2008.11.08 not-a-virusSWTool.Win32.FirePass.bf McAfee 5427 2008.11.07 - Microsoft 1.4104 2008.11.08 - NOD32 3596 2008.11.07 - Norman 5.80.02 2008.11.07 - Panda 9.0.0.4 2008.11.07 - PCTools 4.4.2.0 2008.11.07 - Prevx1 V2 2008.11.08 Worm Rising 21.02.42.00 2008.11.07 - SecureWeb-Gateway 6.7.6 2008.11.08 Riskware.PassView.O.1 Sophos 4.35.0 2008.11.08 - Sunbelt 3.1.1783.2 2008.11.05 - Symantec 10 2008.11.08 - TheHacker 6.3.1.1.145 2008.11.08 - TrendMicro 8.700.0.1004 2008.11.07 - VBA32 3.12.8.9 2008.11.07 - ViRobot 2008.11.7.1457 2008.11.07 Not_a_virusSWTool.FirePass.36864 VirusBuster 4.5.11.0 2008.11.07 - weitere Informationen File size: 36864 bytes MD5...: 52835bd6c99c141c74eb428fbd0cf22a SHA1..: 34e8e733db8d1e624ad8f00c5745e20fa5d45f3b SHA256: 26e2bebe9c4233fa5de1f29649333281f3271ba41f63acc22c7ab15c0e94180f SHA512: c7d180eab890f43acdb989a6793324d225b3da68b3df6d125ae04d63e3199ea1 3a1043394f03eda9df0fffdb2c5fe13a42f0c3627d8bc2fa68fbe163ba895d14 PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser TrID..: File type identification UPX compressed Win32 Executable (39.5%) Win32 EXE Yoda's Crypter (34.3%) Win32 Executable Generic (11.0%) Win32 Dynamic Link Library (generic) (9.8%) Generic Win/DOS Executable (2.5%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x415d10 timedatestamp.....: 0x48b4725c (Tue Aug 26 21:15:08 2008) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 UPX0 0x1000 0xe000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e UPX1 0xf000 0x7000 0x7000 7.88 c022b4bd4f8b0b3623c1d73568a97d6b .rsrc 0x16000 0x2000 0x1c00 4.75 0d27de93963ce7f564fc6b355f3b46c1 ( 9 imports ) > KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, ExitProcess > ADVAPI32.dll: RegCloseKey > COMCTL32.dll: - > comdlg32.dll: FindTextW > GDI32.dll: SetBkMode > msvcrt.dll: exit > ole32.dll: CoInitialize > SHELL32.dll: SHGetMalloc > USER32.dll: GetDC ( 0 exports ) Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=AC2E658F00A30BF5903A009E89D38500903AC814 packers (Avast): UPX packers (F-Prot): UPX |
|
|
||
08.11.2008, 02:21
Ehrenmitglied
Beiträge: 6028 |
#8
Prüfe diese auch mal
c:\programme\Internet Explorer\Plugins\rcconf.dll Und bitte nur den URL =www.virus........ __________ MfG Argus |
|
|
||
08.11.2008, 02:32
Member
Themenstarter Beiträge: 12 |
#9
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=DC38003000392979901804E30154B900C0D7FC5D
ist das der url?^^ oder der link oben in der leiste http://www.virustotal.com/de/analisis/7cb494e2682f47edfa8a49b9010c693d |
|
|
||
08.11.2008, 02:37
Ehrenmitglied
Beiträge: 6028 |
#10
cfscript
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Zitat File::CFScript.txt mit der rechten Maustaste auf das Symbol von Combofix ziehen Combofix noch mal anwenden poste dann nach Neustart das neue Log __________ MfG Argus |
|
|
||
08.11.2008, 02:49
Member
Themenstarter Beiträge: 12 |
#11
ComboFix 08-11-07.01 - Admin 2008-11-08 2:44:00.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.173 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Admin\Desktop\ComboFix.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Admin\Desktop\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt FILE :: c:\windows\pass.exe c:\windows\system32\CF25238.exe.vir c:\windows\system32\TDSSiero.dat . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\programme\Internet Explorer\Plugins\rcconf.dll\ c:\windows\pass.exe c:\windows\system32\CF25238.exe.vir c:\windows\system32\TDSSiero.dat . ((((((((((((((((((((((( Dateien erstellt von 2008-10-08 bis 2008-11-08 )))))))))))))))))))))))))))))) . 2008-11-08 02:05 . 2008-11-08 02:06 <DIR> d-------- c:\programme\TuneUp Utilities 2007 2008-11-08 02:05 . 2007-03-29 04:42 29,704 --a------ c:\windows\system32\uxtuneup.dll 2008-11-08 02:04 . 2008-11-08 02:04 <DIR> d-------- c:\programme\Gemeinsame Dateien\Wise Installation Wizard 2008-11-08 01:36 . 2008-11-08 02:39 200,704 --a------ c:\windows\SysNotifier.exe 2008-11-08 01:02 . 2008-11-08 01:02 409,991 --a------ c:\dokumente und einstellungen\Admin\XPShieldSetup.exe 2008-11-08 00:31 . 2008-11-08 00:31 <DIR> d-------- c:\windows\LastGood 2008-11-07 23:44 . 2008-11-07 23:44 <DIR> d-------- c:\programme\CCleaner 2008-11-07 23:14 . 2008-11-07 23:14 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2008-11-07 23:14 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2008-11-07 23:14 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2008-11-07 22:25 . 2008-11-07 22:25 <DIR> d-------- c:\programme\AxBx 2008-11-07 17:02 . 2008-11-07 17:02 <DIR> d--hs---- C:\found.001 2008-11-06 18:54 . 2008-11-06 18:54 <DIR> d-------- c:\programme\Trend Micro 2008-11-06 18:45 . 2008-11-08 00:19 <DIR> d-a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP 2008-10-14 17:56 . 2008-10-14 17:56 <DIR> d-------- c:\programme\Veoh Networks 2008-10-12 19:13 . 2008-10-12 19:13 <DIR> d-------- C:\Downloads . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-11-08 01:18 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\WLInstaller 2008-11-08 01:04 --------- d-----w c:\programme\Windows Live 2008-11-07 23:35 52 ----a-w c:\dokumente und einstellungen\Admin\LWT.dat 2008-11-07 18:34 --------- d-----w c:\programme\Warcraft III 2008-11-07 16:48 --------- d-----w c:\dokumente und einstellungen\Admin\Anwendungsdaten\teamspeak2 2008-11-06 18:12 --------- d--h--w c:\programme\InstallShield Installation Information 2008-10-20 06:41 --------- d-----w c:\programme\wtvClient0.95.00 2008-10-06 21:57 --------- d-----w c:\programme\DotA Gaming Network 2008-10-01 17:40 --------- d-----w c:\programme\inKline Global 2008-10-01 16:59 --------- d-----w c:\dokumente und einstellungen\Admin\Anwendungsdaten\TuneUp Software 2008-10-01 16:58 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software 2008-09-30 19:12 --------- d-----w c:\programme\Avira 2008-09-30 19:12 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira 2008-09-30 18:21 --------- d-----w c:\programme\Spybot - Search & Destroy 2008-09-30 18:20 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-09-30 18:12 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg8 2008-09-30 09:04 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\FreeRIP 2008-09-29 19:37 --------- d-----w c:\programme\BearShare 2008-09-24 17:20 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-09-24 17:20 --------- d-----w c:\dokumente und einstellungen\Admin\Anwendungsdaten\Malwarebytes 2008-09-22 18:38 --------- d-----w c:\programme\Winamp 2008-09-22 18:38 --------- d-----w c:\dokumente und einstellungen\Admin\Anwendungsdaten\Winamp 2008-09-15 14:40 1,495,112 ----a-w C:\install_flash_player.exe 2008-09-14 17:22 --------- d-----w c:\programme\Gemeinsame Dateien\Teleca Shared 2008-09-14 17:21 --------- d-----w c:\dokumente und einstellungen\Admin\Anwendungsdaten\Juce VST Host 2008-09-14 14:45 --------- d-----w c:\programme\Warsow 2008-09-13 22:46 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\nView_Profiles 2008-09-09 14:46 --------- d-----w c:\dokumente und einstellungen\Admin\Anwendungsdaten\Yahoo! 2007-12-09 18:28 3,498,312 ----a-w c:\programme\BSLITEINSTALL525.exe 2007-12-06 13:29 210,416 ----a-w c:\programme\zasuiteSetup_de.exe 2007-09-02 19:44 268,777 ----a-w c:\programme\CustomKeys.txt 2007-08-27 13:21 11,006,799 ----a-w c:\programme\GGClient_setup.exe 2007-03-14 14:46 17,976,688 ----a-w c:\programme\Install_Messenger.exe 2007-03-14 13:35 666,748 ----a-w c:\programme\www.ingame.de_lwt.zip 2007-03-14 13:34 815,877 ----a-w c:\programme\[inwc.de]replay_explorer_2.zip 2007-03-14 13:34 5,862,994 ----a-w c:\programme\[inwc.de]teamspeak_client_2.2.exe 2007-03-14 13:34 371,652 ----a-w c:\programme\[inwc.de]keycraft_2.01.exe 2007-03-14 12:58 6,135,808 ----a-w c:\programme\icq5_1_setup.exe 2007-03-14 12:50 6,718,976 ----a-w c:\programme\winamp533_full_emusic-7plus.exe 2007-03-14 12:47 1,121,961 ----a-w c:\programme\wtvClient0.95.00.zip 2008-11-07 22:49 299,008 ----a-w c:\programme\internet explorer\plugins\rcconf.dll . ((((((((((((((((((((((((((((( snapshot@2008-11-08_ 0.37.27.92 ))))))))))))))))))))))))))))))))))))))))) . + 2008-11-08 01:21:39 29,926 ----a-r c:\windows\Installer\{2B091530-69AA-442E-AB09-39ED06B58220}\MsblIco.Exe - 2008-10-31 15:29:37 77,096 ----a-w c:\windows\system32\perfc007.dat + 2008-11-07 23:35:13 77,096 ----a-w c:\windows\system32\perfc007.dat - 2008-10-31 15:29:37 63,606 ----a-w c:\windows\system32\perfc009.dat + 2008-11-07 23:35:13 63,606 ----a-w c:\windows\system32\perfc009.dat - 2008-10-31 15:29:37 421,602 ----a-w c:\windows\system32\perfh007.dat + 2008-11-07 23:35:13 421,602 ----a-w c:\windows\system32\perfh007.dat - 2008-10-31 15:29:37 406,024 ----a-w c:\windows\system32\perfh009.dat + 2008-11-07 23:35:13 406,024 ----a-w c:\windows\system32\perfh009.dat + 2007-10-18 10:31:46 51,224 ----a-w c:\windows\system32\sirenacm.dll + 2006-06-05 13:14:28 479,232 ----a-w c:\windows\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.163_x-ww_681e29fb\msvcm80.dll + 2006-06-05 13:14:28 548,864 ----a-w c:\windows\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.163_x-ww_681e29fb\msvcp80.dll + 2006-06-05 13:14:28 626,688 ----a-w c:\windows\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.163_x-ww_681e29fb\msvcr80.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1CAD29DF-1D6D-41A2-8C55-EAA2C7EDCDEB}] 2008-11-07 23:49 299008 --a------ c:\programme\Internet Explorer\Plugins\rcconf.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2006-02-28 15360] "Veoh"="c:\programme\Veoh Networks\Veoh\VeohClient.exe" [2008-02-22 3537968] "MsnMsgr"="c:\programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-04-03 7311360] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-04-03 86016] "NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648] "Lescos Warcraft Toolkit"="c:\programme\www.ingame.de_lwt\LWT.exe" [2005-08-20 1317376] "WinampAgent"="c:\programme\Winamp\winampa.exe" [2008-04-01 36352] "avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2005-01-07 c:\windows\system32\HdAShCut.exe] "nwiz"="nwiz.exe" [2006-04-03 c:\windows\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-02-28 15360] c:\dokumente und einstellungen\Admin\Startmen\Programme\Autostart\ Warkeys Update.exe.lnk - c:\programme\Warkeys\update\Warkeys Update.exe [2006-08-03 225411] Warkeys Update.lnk - c:\programme\Warkeys\update\Warkeys Update.exe [2006-08-03 225411] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rcconf] 2008-11-07 23:49 299008 c:\programme\Internet Explorer\Plugins\rcconf.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 "AntiVirusOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\wtvClient0.95.00\\wtvClient.exe"= "c:\\WINDOWS\\system32\\usmt\\migwiz.exe"= "c:\\Programme\\Valve by p! an Finger Weg!!! (Jan-philipp)\\hl.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programme\\Windows Live\\Messenger\\livecall.exe"= R1 oxmf;OXPCI Bus enumerator;c:\windows\system32\DRIVERS\oxmf.sys [2004-07-22 15872] R1 oxser;OX16C95x Serial port driver;c:\windows\system32\DRIVERS\oxser.sys [2004-07-22 50048] R3 Oxmfuf;Filter driver for OX16PCI95x ports;c:\windows\system32\DRIVERS\oxmfuf.sys [2004-07-22 4992] R3 scrusb2a;SmartCard-Reader Keyboard USB 2A;c:\windows\system32\DRIVERS\scrusb2a.sys [2005-10-05 74474] S2 UxTuneUp;TuneUp Designerweiterung;c:\windows\System32\svchost.exe [2006-02-28 14336] S3 cusbohcn;cusbohcn;c:\dokume~1\Admin\LOKALE~1\Temp\cusbohcn.sys [ ] S3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;c:\windows\system32\DRIVERS\sis163u.sys [2006-07-03 217600] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{46f2bdd7-c7fb-11db-b8f1-003005a4e6f1}] \Shell\AutoRun\command - e:\programs\nu2menu\nu2menu.exe *Newly Created Service* - UXTUNEUP *Newly Created Service* - WLSETUPSVC . Inhalt des "geplante Tasks" Ordners 2008-11-08 c:\windows\Tasks\1-Klick-Wartung.job - c:\programme\TuneUp Utilities 2007\SystemOptimizer.exe [2007-04-27 05:08] . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-11-08 02:46:36 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- Prozess: c:\windows\system32\winlogon.exe -> c:\programme\Internet Explorer\Plugins\rcconf.dll . Zeit der Fertigstellung: 2008-11-08 2:48:27 ComboFix-quarantined-files.txt 2008-11-08 01:48:11 ComboFix2.txt 2008-11-07 23:38:19 ComboFix3.txt 2008-09-24 18:19:54 Vor Suchlauf: 17 Verzeichnis(se), 29.741.850.624 Bytes frei Nach Suchlauf: 17 Verzeichnis(se), 29,730,488,320 Bytes frei 173 --- E O F --- 2008-09-10 20:29:55 |
|
|
||
08.11.2008, 03:05
Ehrenmitglied
Beiträge: 6028 |
#12
Starte Malwarebytes’Anti-Malware wähle Reiter " Weitere Programme "
Klicke "Programm ausführen " unter FileASSASSIN Suche c:\windows\SysNotifier.exe und klicke OK CombiFix entfernen Start > Ausführen> Kopiere rein ComboFix /U OK Benutze CCleaner, und saubere die Registry Systemwiederherstellung Info: http://virus-protect.org/systemwiederherstellung.html Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. Rechner neu starten dann wieder aktivieren Scanne mit dein Up-to-date Antivir und stelle die Heuristic auf Mittel ein http://www.free-av.com/documents/products/pdf/de/man_avira_antivir-personal_de.pdf __________ MfG Argus |
|
|
||
08.11.2008, 03:26
Member
Themenstarter Beiträge: 12 |
#13
Scanne mit dein Up-to-date Antivir und stelle die Heuristic auf Mittel ein
http://www.free-av.com/documents/products/pdf/de/man_avira_antivir-personal_de.pdf wie was ? soll ich jetz nen scan mit antivir machen? log: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Samstag, 8. November 2008 03:23 Es wird nach 1019829 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Boot Modus: Normal gebootet Benutzername: SYSTEM Computername: GERRIT Versionsinformationen: BUILD.DAT : 8.2.0.334 16933 Bytes 16.10.2008 14:53:00 AVSCAN.EXE : 8.1.4.7 315649 Bytes 26.06.2008 08:57:49 AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06 LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16 LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 15:31:20 ANTIVIR1.VDF : 7.1.0.21 130560 Bytes 31.10.2008 15:31:24 ANTIVIR2.VDF : 7.1.0.44 139264 Bytes 06.11.2008 18:54:39 ANTIVIR3.VDF : 7.1.0.55 139776 Bytes 07.11.2008 18:58:18 Engineversion : 8.2.0.29 AEVDF.DLL : 8.1.0.6 102772 Bytes 15.10.2008 21:13:23 AESCRIPT.DLL : 8.1.1.13 332156 Bytes 06.11.2008 18:54:48 AESCN.DLL : 8.1.1.5 123251 Bytes 07.11.2008 18:58:29 AERDL.DLL : 8.1.1.3 438645 Bytes 06.11.2008 18:54:47 AEPACK.DLL : 8.1.3.3 393591 Bytes 06.11.2008 18:54:45 AEOFFICE.DLL : 8.1.0.30 196986 Bytes 07.11.2008 18:58:28 AEHEUR.DLL : 8.1.0.71 1487222 Bytes 07.11.2008 18:58:26 AEHELP.DLL : 8.1.1.3 119157 Bytes 07.11.2008 18:58:21 AEGEN.DLL : 8.1.1.0 319859 Bytes 07.11.2008 18:58:20 AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 21:13:15 AECORE.DLL : 8.1.4.1 172405 Bytes 07.11.2008 18:58:19 AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 21:13:13 AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02 AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58 AVREP.DLL : 8.0.0.2 98344 Bytes 30.09.2008 19:14:28 AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37 AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46 SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36 NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01 RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Samstag, 8. November 2008 03:23 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'scardsvr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '28' Prozesse mit '28' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. C:\Programme\Internet Explorer\Plugins\rcconf.dll [FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/Fraud.XPShield.O [WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003 [WARNUNG] Die Datei konnte nicht gelöscht werden! [HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen. [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bf5026f.qua' verschoben! Die Registry wurde durchsucht ( '47' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\ARK3.tmp [FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/Fraud.XPShield.O [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 495ff87f.qua erstellt ( QUARANTÄNE ) [WARNUNG] Die Datei konnte nicht gelöscht werden! [HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen. [HINWEIS] Die Datei wurde gelöscht. C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Admin\Eigene Dateien\winamp552_full_emusic-7plus_de-de.exe [0] Archivtyp: NSIS --> ProgramFilesDir/el-vis - soundscape III (skupers remix).avs [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\System Volume Information\_restore{B21F31B3-BED4-4070-83B3-FF9BEF1FD70D}\RP2\A0000032.exe [FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/FraudTool.XPShield.D [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4944fc8c.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\WINDOWS\SysNotifier.exe [FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/FraudTool.XPShield.D [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4987fcd9.qua erstellt ( QUARANTÄNE ) [WARNUNG] Die Datei konnte nicht gelöscht werden! [HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen. [HINWEIS] Die Datei wurde gelöscht. Ende des Suchlaufs: Samstag, 8. November 2008 03:50 Benötigte Zeit: 27:41 Minute(n) Dieser Beitrag wurde am 08.11.2008 um 04:01 Uhr von megagrit editiert.
|
|
|
||
08.11.2008, 04:34
Ehrenmitglied
Beiträge: 6028 |
||
|
||
08.11.2008, 11:18
Member
Beiträge: 3716 |
#15
hallo, da doch noch einiges gefunden wird. stelle bei dateisuchmodus alle dateien ein, die heuristik auf hoch (bei avira meine ich) update noch mal scanne, funde in quarantäne und log posten
|
|
|
||
ne freundin hat mir ne datein geschickt und sowas ich hab mir nix dabei gedacht weil nen netter text dabei stand.. also hab ich drauf geklickt und soweiter
dann haben sich nacheinander die unterhaltungs fenster meiner gesamten msn liste geöfnet und wieder geschlossen . mein pc hat gar nix mehr gemacht..
reflex reaktion --> ich hab den pc ausgeschaltet
wie auch immer das ding is immer noch da.. mein antivirus sagt mir seit dem immer wieder das ich trojaner oder anzeichen für einen wurm habe..
aber die leistung meines pc hat das ding bisher noch nicht beeinflusst..
ich hoffe dazu kommt es auch nicht.
hilfe bitte :)
..
mfg megagrit!