Massig Viren entfernt, sind noch welche da? |
||
---|---|---|
#0
| ||
04.12.2008, 13:11
...neu hier
Beiträge: 6 |
||
|
||
04.12.2008, 14:13
Ehrenmitglied
Beiträge: 6028 |
#2
Verborgene Dateien sichtbar machen
Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren Prüfe mal diese Datei(en) bei Virustotal http://www.virustotal.com/flash/index_en.html Zitat c:\windows\system32\yrnmqamp.dllNote: Wenn bei ViruTotal die Meldung kommt ” Die Datei wurde bereits analysiert “wähle „Analysiere die Datei“ Poste nur die URL am Ende(der link oben in der leiste) Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: (no name) - - (no file) O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O20 - AppInit_DLLs: cunshy.dll klicke: Fix checked Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst Malwarebytes Anti-Malware fuer Windows 2000,XP und Vista Download MalwareBytes' Anti-Malware Download1 MalwareBytes' Anti-Malware Download2 MalwareBytes' Anti-Malware Download3 MalwareBytes' Anti-Malware Download4 MalwareBytes' Anti-Malware Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet Wähle bei Reiter: “Scanner”> "Quickscan durchfuehren". “Update “> klicke “Suche nache Aktualisierungen“ “Einstellungen“ hake an “Beende Inter Explorer während des Löschvorgangs“ Scan laufen lassen Wenn am Ende infizierungen gefunden werden,anhaken und entfernen lassen Starte dein Rechner neu Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt) Poste dessen inhalt hier ins Forum Note: Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK Danach wird gefragt den Rechner neu zu starten,lass es zu Malwarebytes Anti-Malware kann man nachher behalten ! Später kann man noch ein "Vollständiger Suchlauf“durchführen __________ MfG Argus |
|
|
||
04.12.2008, 16:46
...neu hier
Themenstarter Beiträge: 6 |
#3
So. Hier erstmal die 3 gescannten dll`s:
http://www.virustotal.com/de/analisis/9d9fb87225097616a3af948e5b037ae6 http://www.virustotal.com/de/analisis/7a798ea422378ca55f189c798bd2ab32 http://www.virustotal.com/de/analisis/2e2165ca9709b2f911540538c7870859 Und hier das Logfile: Malwarebytes' Anti-Malware 1.31 Datenbank Version: 1460 Windows 5.1.2600 Service Pack 2 04.12.2008 16:41:32 mbam-log-2008-12-04 (16-41-32).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 48330 Laufzeit: 2 minute(s), 29 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 2 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) mfG |
|
|
||
04.12.2008, 16:59
Ehrenmitglied
Beiträge: 6028 |
#4
Start > Ausführen> Kopiere rein ComboFix /U OK
Starte Malwarebytes’Anti-Malware wähle Reiter " Weitere Programme " Klicke "Programm ausführen " unter FileASSASSIN Suche c:\windows\system32\yrnmqamp.dll und klicke OK Jetzt wird c:\windows\system32\yrnmqamp.dll entgültig entfernt Mach dasselbe mit c:\windows\system32\jcegr.dll c:\windows\system32\aykxtbg.dll Java Dein Java software ist veraltet, Download Java Runtime Environment (JRE) 6u11 zum Desktop Entferne ueber "Start -> Einstellungen -> Systemsteuerung -> Software Die aeltere Versionen von Java Runtime Environment (JRE of J2SE) Nachdem alles entfernt wurde --->Rechner neu starten Schliesse alle Programme auch dein Webbrowser Installiere jetzt vom Desktop aus ---> jre-6u11-windows-i586-p-s.exe Benutze ATF Cleaner Nur für XP und Windows 2000 Doppelklick ATFcleaner um das Program zu starten Auf tab “Main“ Select All anhaaken. Klicke den Knopf Empty selected Wenn man Opera als browser hat: Klicke auf tab “Opera“ Select All anhaaken. Willst du die durch Opera aufgehobene passwörter behalten Dan klickt man im Fenster was erscheint auf “No“ Klicke den Knopf Empty selected Wenn man Firefox als browser hat: Klicke auf tab “Firefox“ Select All anhaaken. Willst du die durch Firefox aufgehobene passwörter behalten Dan klickt man im Fenster was erscheint auf “No“ Klicke den Knopf Empty selected Geh zum tab“Main“und klicke Exit um das Program zu schliessen. __________ MfG Argus |
|
|
||
Ich habe heute meinen Computer nichtsahnend gestartet und direkt am Start bekam ich 100te Meldungen über einen Viren fund. Ich konnte sie weder löschen noch ignorieren, sie kamen immer wieder. Auch der Taskmanager ging nicht und jede Taste die ich drückte rief eine neue Virus box hervor. Habe neugestartet und Antivir bevor es melden konnte deaktiviert. Dann Combofix benutzt, welches anscheind auch die Viren entfernt hat. Nun wollte ich wissen ob noch irgendwelche Viren da sind.
Combofix Log:
ComboFix 08-12-03.03 - Besitzer 2008-12-04 12:52:13.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1572 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Besitzer\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
[COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR]
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\qmdispatch.dll
c:\windows\system32\cunshy.dll
c:\windows\system32\dccsaplw.dll
c:\windows\system32\kjmauxxr.dll
c:\windows\system32\ljJAQGAp.dll
c:\windows\system32\qoMcyxyy.dll
c:\windows\system32\rxxuamjk.ini
c:\windows\system32\yayaWNHX.dll
c:\windows\system32\yyxycMoq.ini
c:\windows\system32\yyxycMoq.ini2
c:\windows\Tasks\zogdiccb.job
.
((((((((((((((((((((((( Dateien erstellt von 2008-11-04 bis 2008-12-04 ))))))))))))))))))))))))))))))
.
2012-04-22 17:54 . 2008-08-05 05:30 <DIR> d-------- c:\programme\free-downloads.net
2012-04-22 17:54 . 2012-04-22 17:54 <DIR> d-------- c:\programme\Conduit
2012-04-22 17:54 . 2012-04-22 17:54 <DIR> d-------- c:\programme\Alcohol Soft
2008-12-03 21:22 . 2008-12-03 21:22 40,960 --a------ c:\windows\system32\yrnmqamp.dll
2008-11-30 08:47 . 2008-11-30 08:47 <DIR> d-------- c:\programme\OpenAL
2008-11-30 08:47 . 2008-11-30 08:47 409,600 --a------ c:\windows\system32\wrap_oal.dll
2008-11-30 08:47 . 2008-11-30 08:47 114,688 --a------ c:\windows\system32\OpenAL32.dll
2008-11-30 08:44 . 2008-11-30 08:44 <DIR> d-------- c:\programme\Bohemia Interactive
2008-11-27 16:36 . 2008-11-30 10:23 304 --a------ C:\config.ini
2008-11-21 22:13 . 2008-11-21 22:18 <DIR> d-------- c:\programme\PANZERS - Phase1
2008-11-21 20:45 . 2008-11-21 20:45 <DIR> d--h-c--- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{6ABA9AFC-BC32-41F6-AE1E-C0C9C137DB7B}
2008-11-21 13:33 . 2008-11-21 13:33 <DIR> d-------- c:\programme\THQ
2008-11-20 21:44 . 2008-11-20 21:44 42,320 --a------ c:\windows\system32\xfcodec.dll
2008-11-20 13:48 . 2008-11-20 13:48 <DIR> d-------- c:\programme\PianoFX
2008-11-18 17:42 . 2007-04-22 09:04 36,864 --a------ c:\windows\system32\jcegr.dll
2008-11-18 15:16 . 2008-11-18 15:16 <DIR> d-------- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\InstallShield
2008-11-18 15:14 . 2007-04-22 16:04 36,864 --a------ c:\windows\system32\adt.dll
2008-11-17 19:53 . 2007-04-22 09:04 36,864 --a------ c:\windows\system32\aykxtbg.dll
2008-11-14 18:16 . 2008-11-14 18:16 <DIR> d-------- c:\programme\Windows Media Connect 2
2008-11-14 18:15 . 2008-11-14 18:15 <DIR> d-------- c:\windows\system32\drivers\UMDF
2008-11-14 14:33 . 2006-12-07 06:29 2,374,472 --a------ c:\windows\system32\OLD7C.tmp
2008-11-13 06:39 . 2008-11-13 06:39 <DIR> d-------- c:\programme\MSXML 6.0
2008-11-13 06:38 . 2008-11-13 06:38 <DIR> d-------- c:\programme\MSXML 4.0
2008-11-12 18:34 . 2008-10-24 12:25 455,936 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-04 11:58 --------- d-----w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Vidalia
2008-12-04 11:57 --------- d-----w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\tor
2008-12-02 13:55 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2008-11-29 11:50 --------- d-----w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Xfire
2008-11-28 17:14 136,888 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2008-11-28 17:14 111,928 ----a-w c:\windows\system32\PnkBstrB.exe
2008-11-28 14:37 --------- d-----w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\teamspeak2
2008-11-27 18:01 --------- d-----w c:\programme\Xfire
2008-11-27 17:45 --------- d-----w c:\dokumente und einstellungen\LocalService\Anwendungsdaten\PhotoParade
2008-11-27 17:44 --------- d-----w c:\programme\phase5
2008-11-27 14:01 --------- d-----w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\FileZilla
2008-11-21 19:45 --------- dc-h--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{0151C9FC-719D-4459-B1E2-4685CC6E62A8}
2008-11-21 12:33 --------- d--h--w c:\programme\InstallShield Installation Information
2008-11-18 14:12 --------- d-----w c:\programme\QMacro
2008-11-11 13:40 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\HDD Thermometer
2008-11-01 11:11 --------- d-----w c:\programme\Cain
2008-10-30 12:40 --------- d-----w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\TrueCrypt
2008-10-30 12:32 235,840 ----a-w c:\windows\system32\drivers\truecrypt.sys
2008-10-30 12:32 --------- d-----w c:\programme\TrueCrypt
2008-10-26 18:27 --------- d-----w c:\programme\Sytexis Software
2008-10-26 18:27 --------- d-----w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Sytexis Software
2008-10-26 18:15 --------- d-----w c:\programme\URLSnooper2
2008-10-26 18:08 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\DonationCoder
2008-10-26 18:01 --------- d-----w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Winamp
2008-10-26 18:00 --------- d-----w c:\programme\Winamp
2008-10-25 12:37 --------- d-----w c:\programme\Tunatic
2008-10-24 11:25 455,936 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-21 11:46 --------- d-----w c:\programme\ShotOnline
2008-10-19 18:04 151,552 ----a-w c:\windows\system32\nvRegDev.dll
2008-10-19 18:04 --------- d-----w c:\programme\NVIDIA Corporation
2008-10-17 21:47 --------- d-----w c:\programme\Rainmeter
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll
2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll
2008-10-15 07:47 107,888 ----a-w c:\windows\system32\CmdLineExt.dll
2008-10-15 07:39 669,184 ----a-w c:\windows\system32\pbsvc.exe
2008-10-15 07:39 66,872 ----a-w c:\windows\system32\PnkBstrA.exe
2008-10-15 07:39 22,328 ----a-w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\PnkBstrK.sys
2008-10-15 07:31 --------- d-----w c:\programme\Electronic Arts
2008-10-15 07:17 --------- d-----w c:\programme\Ubisoft
2008-10-14 21:06 --------- d-----w c:\programme\Criline Search and Replace
2008-10-13 10:18 --------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2008-10-06 14:21 --------- d-----w c:\programme\BitrateView
2008-10-05 20:39 --------- d-----w c:\programme\Intelore
2008-10-05 08:28 --------- d-----w c:\programme\Skispringen 2006
2008-10-05 07:47 97,792 ----a-w c:\windows\system32\drivers\ACEDRV05.sys
2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-09-15 15:13 1,847,040 ----a-w c:\windows\system32\win32k.sys
2008-09-04 16:32 1,106,944 ----a-w c:\windows\system32\msxml3.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{000E148C-F7A7-445A-9044-93BF6CE09ECB}"= "c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Toolbars\Toolbar fuer eBay\ebay.dll" [2008-08-14 2484224]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{000E148C-F7A7-445A-9044-93BF6CE09ECB}"= "c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Toolbars\Toolbar fuer eBay\ebay.dll" [2008-08-14 2484224]
[HKEY_CLASSES_ROOT\clsid\{000e148c-f7a7-445a-9044-93bf6ce09ecb}]
[HKEY_CLASSES_ROOT\TBSB03968.TBSB03968.3]
[HKEY_CLASSES_ROOT\TypeLib\{77AA25E8-6083-4949-A831-9CB11861DC10}]
[HKEY_CLASSES_ROOT\TBSB03968.TBSB03968]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"Vidalia"="c:\programme\Vidalia Bundle\Vidalia\vidalia.exe" [2007-11-22 12889088]
"ICQ"="c:\programme\ICQ6\ICQ.exe" [2008-09-01 173304]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-03 13529088]
"AOLDialer"="c:\programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" [2004-02-25 496752]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 925696]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-08-06 266497]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 144784]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-03 86016]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-09-06 413696]
"RealTray"="c:\programme\Real\RealPlayer\RealPlay.exe" [2008-04-21 26112]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2007-11-28 c:\windows\system32\hdashcut.exe]
"nwiz"="nwiz.exe" [2008-05-03 c:\windows\system32\nwiz.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
AOL 9.0 Tray-Symbol.lnk - c:\programme\AOL 9.0\aoltray.exe [2008-04-21 156784]
Microsoft-Indexerstellung.lnk - c:\programme\Microsoft Office\Office\FINDFAST.EXE [1997-10-21 111376]
Office-Start.lnk - c:\programme\Microsoft Office\Office\OSA.EXE [1997-10-21 51984]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=cunshy.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.iv31"= c:\windows\system32\ir32_32.dll
"vidc.iv32"= c:\windows\system32\ir32_32.dll
"VIDC.XFR1"= xfcodec.dll
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\AOL 9.0\\waol.exe"=
"c:\\Gamigo Games\\Smash Online\\SmashOnline.exe"=
"c:\\Alien Arena 2008\\crx.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"c:\\Programme\\Sierra\\FEARCombat\\FEARServer.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\Xfire\\xfire.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"c:\\Programme\\Atari\\BOILING POINT\\Xenus.exe"=
"c:\\Programme\\Speedball2 Demo\\Speedball2.exe"=
"c:\\Dokumente und Einstellungen\\All Users\\Dokumente\\AOL Downloads\\Stronghold Crusader\\Stronghold Crusader.exe"=
"d:\\Lan\\Neuer Ordner\\Em4Deluxe.exe"=
"c:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"d:\\WC3\\Warcraft III.exe"=
"c:\\Programme\\Silkroadbot\\nuConnector71.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Programme\\TeamViewer3\\TeamViewer.exe"=
"c:\\Dokumente und Einstellungen\\All Users\\Dokumente\\AOL Downloads\\d\\nuConnector75.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"d:\\LevelR\\LevelR\\LevelR.bin"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\Miranda IM\\miranda32.exe"=
"c:\\Programme\\Ubisoft\\SilentHunterIII\\sh3.exe"=
"c:\\Programme\\Sierra\\FEARCombat\\fpupdate.exe"=
"c:\\Programme\\Sierra\\FEARCombat\\FEARMP.exe"=
"c:\\Programme\\Cain\\Cain.exe"=
"c:\\WINDOWS\\system32\\mmc.exe"=
"c:\\Programme\\Electronic Arts\\EADM\\Core.exe"=
"d:\\Crytek\\Crysis Wars\\Bin32\\Crysis.exe"=
R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\DRIVERS\xfilt.sys [2008-04-21 11264]
R1 ATMhelpr;ATMhelpr;c:\windows\system32\drivers\ATMhelpr.sys [2008-05-03 4064]
S3 lac97inf;lac97inf;\??\c:\dokume~1\Besitzer\LOKALE~1\Temp\lac97inf.sys []
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2007-11-06 34064]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{074603e7-3456-11dd-bc4f-00038a000015}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL autorun.exe
.
Inhalt des "geplante Tasks" Ordners
2008-12-01 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
2008-11-18 c:\windows\Tasks\test.job
- c:\dokumente und einstellungen\Besitzer\Desktop\test.bat []
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
BHO-{BED42446-0139-465C-8881-FC7BDB03EADB} - c:\windows\system32\qoMcyxyy.dll
BHO-{eda445dc-5227-406f-8901-e5ced97a50f1} - c:\windows\system32\cunshy.dll
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
uInternet Settings,ProxyOverride = *.local
IE: &NeoTrace It! - c:\progra~1\NEOTRA~1\NTXcontext.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
c:\windows\Downloaded Program Files\OberonGameHost.dll - O16 -: {D0C0F75C-683A-4390-A791-1ACFD5599AB8}
hxxp://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
c:\windows\Downloaded Program Files\OberonGameHost_dbg.inf
FireFox -: Profile - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\zifcysfa.default\
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-04 12:57:21
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\progra~1\GEMEIN~1\aol\ACS\AOLacsd.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\UAService7.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\wscntfy.exe
c:\programme\Vidalia Bundle\Tor\tor.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-12-04 13:00:05 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-12-04 12:00:02
ComboFix2.txt 2008-09-04 17:24:33
Vor Suchlauf: 2.397.798.400 Bytes frei
Nach Suchlauf: 2,344,771,584 Bytes frei
245 --- E O F --- 2008-11-25 12:11:14
Hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:05:28, on 04.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\UAService7.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_06\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\QuickTime\QTTask.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Vidalia Bundle\Tor\tor.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Java\jre1.6.0_06\bin\jucheck.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Toolbar fuer eBay - {000E148C-F7A7-445A-9044-93BF6CE09ECB} - C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Toolbars\Toolbar fuer eBay\ebay.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Vidalia] "C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe"
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: cunshy.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
--
End of file - 8454 bytes
Hoffe das nichts mehr da ist, danke für die Hilfe im vorraus^^
mfG