Warning! Security report Your Computer is infectet! |
||
---|---|---|
#0
| ||
04.12.2008, 23:27
...neu hier
Beiträge: 4 |
||
|
||
04.12.2008, 23:53
Ehrenmitglied
Beiträge: 6028 |
#2
Update Malwarebytes Anti-malware und scanne nochmal
Deins Malwarebytes' Anti-Malware 1.30 Datenbank Version: 1306 Meins Malwarebytes' Anti-Malware 1.31 Datenbank Version: 1460 Und nochmals ein Log von Hijack This __________ MfG Argus |
|
|
||
05.12.2008, 17:08
...neu hier
Themenstarter Beiträge: 4 |
#3
Hallo
Danke erstmals für die schnelle Reaktion Beim Update von Malwarebytes gabs dann auch mal ne Fehlermeldung Fehler C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll DLL\OCX konnte nicht registriert werden: RegSvr32-Aufruf scheiterte mit Exit-Code 0x1. Sagte mir dann aber, dass dann doch erfolgreich installiert wurde Hab dann einen Systemscan mit Malwarebytes (neue Version) gemacht : Da gab es dann 26 infizierte Dateien und einige konnten nicht gelöscht werden Log : Malwarebytes' Anti-Malware 1.31 Datenbank Version: 1463 Windows 5.1.2600 Service Pack 2 05.12.2008 17:06:06 mbam-log-2008-12-05 (17-06-06).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 53559 Laufzeit: 5 minute(s), 7 second(s) Infizierte Speicherprozesse: 3 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 3 Infizierte Registrierungswerte: 3 Infizierte Dateiobjekte der Registrierung: 9 Infizierte Verzeichnisse: 2 Infizierte Dateien: 8 Infizierte Speicherprozesse: C:\WINDOWS\system32\ntdll64.exe (Trojan.Agent) -> Unloaded process successfully. C:\WINDOWS\system32\frmwrk32.exe (Trojan.FakeAlert) -> Unloaded process successfully. C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Twain\Twain.exe (Trojan.Agent) -> Unloaded process successfully. Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\homeview (Trojan.DNSChanger) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gadcom (Trojan.Downloader) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Framework Windows (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\twain (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\userinit.exe -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\userinit.exe -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\activedesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: C:\Programme\Webtools (Trojan.Agent) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\gadcom (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Dateien: C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\gadcom\gadcom.exe (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\system32\hgGawTml.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\ntdll64.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\warning.gif (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\system32\ahtn.htm (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\system32\frmwrk32.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\mousehook.dll (Trojan.FakeAlert) -> Delete on reboot. C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Twain\Twain.exe (Trojan.Agent) -> Quarantined and deleted successfully. |
|
|
||
05.12.2008, 17:11
Ehrenmitglied
Beiträge: 6028 |
#4
ComboFix(by sUBs)
Download ComboFix und speichert es auf den Desktop! Schliesse alle Programme und Anwendungen mit Hintergrundwächtern inklusive der Firewall + Antivirusprogramme müssen deaktiviert sein Starte combofix.exe Note: Wenn ComboFix schon eher benutzt worden ist, kann es sein das eine Meldung kommt das es ein Update gibt Lass es zu das ComboFix ge-updatet wird Klicke OK im "NirCmd") Fenster klicke ja um Combofix zu starten Folge den Instruktionen in das Fenster Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt) nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen" zusammen mit ein neuen log von HijackThis __________ MfG Argus |
|
|
||
05.12.2008, 17:43
...neu hier
Themenstarter Beiträge: 4 |
#5
Der Desktop und die Taskleiste sehen optisch wieder sauber aus
Ist der Pc wieder clean ? Die Combofix-log : ComboFix 08-12-04.05 - Daniel 2008-12-05 17:29:26.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.158 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Daniel\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat c:\dokumente und einstellungen\Daniel\Lokale Einstellungen\Temporary Internet Files\bestwiner.stt c:\dokumente und einstellungen\Daniel\Lokale Einstellungen\Temporary Internet Files\fbk.sts c:\windows\IE4 Error Log.txt c:\windows\rasqervy.dll c:\windows\sdfinacs.dll c:\windows\sdfixwcs.dll c:\windows\Tasks\gmhafvfe.job c:\windows\wuasirvy.dll D:\Autorun.inf D:\resycled d:\resycled\boot.com ----- BITS: Eventuell infizierte Webseiten ----- hxxp://childhe.com [color=blue]Infizierte Kopie von c:\windows\system32\userinit.exe wurde gefunden und desinfiziert Kopie von - c:\qoobox\Quarantine\C\\WINDOWS\system32\userinit.exe.vir wurde wiederhergestellt[/COLOR] . ((((((((((((((((((((((( Dateien erstellt von 2008-11-05 bis 2008-12-05 )))))))))))))))))))))))))))))) . 2008-12-05 16:53 . 2008-12-05 17:06 <DIR> d-------- c:\dokumente und einstellungen\Daniel\Anwendungsdaten\Twain 2008-12-04 23:09 . 2008-12-04 23:09 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo! Companion 2008-12-01 19:06 . 2008-12-01 19:06 <DIR> d-------- c:\programme\CCleaner 2008-12-01 19:03 . 2008-12-01 19:03 <DIR> d-------- c:\programme\Trend Micro 2008-12-01 18:39 . 2008-12-01 18:39 3,186 --a------ c:\windows\system32\tmp.reg 2008-12-01 18:37 . 2007-09-05 23:22 289,144 --a------ c:\windows\system32\VCCLSID.exe 2008-12-01 18:37 . 2006-04-27 16:49 288,417 --a------ c:\windows\system32\SrchSTS.exe 2008-12-01 18:37 . 2008-10-01 14:51 87,552 --a------ c:\windows\system32\VACFix.exe 2008-12-01 18:37 . 2008-11-29 17:58 82,944 --a------ c:\windows\system32\o4Patch.exe 2008-12-01 18:37 . 2008-05-18 20:40 82,944 --a------ c:\windows\system32\IEDFix.exe 2008-12-01 18:37 . 2008-11-29 17:58 82,944 --a------ c:\windows\system32\IEDFix.C.exe 2008-12-01 18:37 . 2008-08-18 11:19 82,432 --a------ c:\windows\system32\404Fix.exe 2008-12-01 18:37 . 2003-06-05 20:13 53,248 --a------ c:\windows\system32\Process.exe 2008-12-01 18:37 . 2004-07-31 17:50 51,200 --a------ c:\windows\system32\dumphive.exe 2008-12-01 18:37 . 2007-10-03 23:36 25,600 --a------ c:\windows\system32\WS2Fix.exe 2008-12-01 18:19 . 2008-12-05 17:00 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2008-12-01 18:19 . 2008-12-01 18:19 <DIR> d-------- c:\dokumente und einstellungen\Daniel\Anwendungsdaten\Malwarebytes 2008-12-01 18:19 . 2008-12-01 18:19 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-12-01 18:19 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2008-12-01 18:19 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2008-12-01 18:13 . 2008-12-04 22:49 461 --a------ c:\windows\system32\win32hlp.cnf 2008-12-01 17:57 . 2008-12-01 17:57 1 --a------ c:\windows\system32\uniq.tll 2008-12-01 17:57 . 2008-12-01 17:57 1 --a------ c:\windows\system32\test.ttt 2008-11-30 13:59 . 2008-11-30 13:59 54,156 --ah----- c:\windows\QTFont.qfn 2008-11-30 13:59 . 2008-11-30 13:59 1,409 --a------ c:\windows\QTFont.for 2008-11-30 13:46 . 2008-11-30 13:46 297,709 --a------ c:\windows\system32\SpywareRemover.exe 2008-11-27 19:53 . 2008-11-27 19:53 27,904 --a------ c:\windows\system32\drivers\ndisprot.sys 2008-11-24 19:13 . 2008-11-24 19:13 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\LogMeIn 2008-11-24 19:13 . 2008-10-16 20:35 83,288 --a------ c:\windows\system32\LMIRfsClientNP.dll 2008-11-24 19:13 . 2008-07-24 18:46 47,640 --a------ c:\windows\system32\drivers\LMIRfsDriver.sys 2008-11-24 19:13 . 2008-10-16 20:35 28,984 --a------ c:\windows\system32\LMIport.dll 2008-11-24 19:12 . 2008-10-16 20:35 87,352 --a------ c:\windows\system32\LMIinit.dll 2008-11-24 19:12 . 2008-11-24 19:12 1,024 --a------ C:\.rnd 2008-11-15 02:39 . 2008-11-15 02:39 152,576 --a------ c:\windows\system32\1$.tmp 2008-11-05 21:08 . 2008-11-05 21:08 <DIR> d-------- c:\dokumente und einstellungen\Daniel\Anwendungsdaten\InstallShield . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-12-05 16:30 25,088 ----a-w c:\windows\system32\userinit.exe 2008-12-04 17:45 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater 2008-12-01 18:06 --------- d-----w c:\programme\Yahoo! 2008-12-01 17:04 --------- d-----w c:\programme\DrWeb 2008-11-30 12:24 --------- d-----w c:\programme\Trillian 2008-11-25 17:10 --------- d-----w c:\programme\Microsoft ActiveSync 2008-11-25 17:09 --------- d-----w c:\programme\Winamp 2008-11-20 19:23 --------- d-----w c:\programme\GrandBilliards 2008-11-09 01:33 --------- d-----w c:\dokumente und einstellungen\Daniel\Anwendungsdaten\MB-Ruler 2008-11-06 16:51 77,824 ----atw c:\windows\system32\DRWEBSP.DLL 2008-11-05 20:09 --------- d--h--w c:\programme\InstallShield Installation Information 2008-11-01 17:18 --------- d-----w c:\dokumente und einstellungen\Daniel\Anwendungsdaten\Skype 2008-10-30 19:38 --------- d-----w c:\programme\DivX 2008-10-16 19:35 23,736 ----a-w c:\windows\system32\lmimirr.dll 2008-10-16 19:35 10,040 ----a-w c:\windows\system32\lmimirr2.dll 2008-09-16 00:14 524,288 ----a-w c:\windows\system32\DivXsm.exe 2008-09-16 00:14 3,596,288 ----a-w c:\windows\system32\qt-dx331.dll 2008-09-16 00:12 81,920 ----a-w c:\windows\system32\dpl100.dll 2008-09-16 00:12 593,920 ----a-w c:\windows\system32\dpuGUI11.dll 2008-09-16 00:12 57,344 ----a-w c:\windows\system32\dpv11.dll 2008-09-16 00:12 53,248 ----a-w c:\windows\system32\dpuGUI10.dll 2008-09-16 00:12 344,064 ----a-w c:\windows\system32\dpus11.dll 2008-09-16 00:12 294,912 ----a-w c:\windows\system32\dpu11.dll 2008-09-16 00:12 294,912 ----a-w c:\windows\system32\dpu10.dll 2008-09-16 00:12 200,704 ----a-w c:\windows\system32\ssldivx.dll 2008-09-16 00:12 196,608 ----a-w c:\windows\system32\dtu100.dll 2008-09-16 00:12 1,044,480 ----a-w c:\windows\system32\libdivx.dll 2008-09-16 00:11 823,296 ----a-w c:\windows\system32\divx_xx0c.dll 2008-09-16 00:11 823,296 ----a-w c:\windows\system32\divx_xx07.dll 2008-09-16 00:11 815,104 ----a-w c:\windows\system32\divx_xx0a.dll 2008-09-16 00:11 802,816 ----a-w c:\windows\system32\divx_xx11.dll 2008-09-16 00:11 683,520 ----a-w c:\windows\system32\DivX.dll 2008-09-16 00:11 161,096 ----a-w c:\windows\system32\DivXCodecVersionChecker.exe 2008-09-16 00:11 12,288 ----a-w c:\windows\system32\DivXWMPExtType.dll 2008-03-26 18:19 14,852 ----a-w c:\programme\settings.dat 2008-01-16 20:36 80 --sh--r c:\windows\system32\D8A2E8AE2F.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2005-09-08 94208] "H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NVMixerTray"="c:\programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-06-03 131072] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480] "CloneCDTray"="c:\programme\SlySoft\CloneCD\CloneCDTray.exe" [2004-09-02 57344] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] "PCSuiteTrayApplication"="c:\programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2006-11-08 222208] "PRISMSVR.EXE"="c:\programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE" [2004-07-02 295001] "DrWebScheduler"="c:\programme\DrWeb\drwebscd.exe" [2008-05-05 283888] "SpIDerMail"="c:\programme\DrWeb\spiderml.exe" [2008-06-10 501080] "SpIDerNT"="c:\progra~1\DrWeb\spiderui.exe" [2008-10-23 197896] "SpywareCleaner"="c:\windows\system32\SpywareRemover.exe" [2008-11-30 297709] "nwiz"="nwiz.exe" [2006-10-22 c:\windows\system32\nwiz.exe] "NvMediaCenter"="NvMCTray.dll" [2006-10-22 c:\windows\system32\nvmctray.dll] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] "WIAWizardMenu"="c:\windows\system32\sti_ci.dll" [2004-08-03 137216] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360] "PcSync"="c:\programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-11-09 1634304] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ BTTray.lnk - c:\programme\MICROSTAR\Bluetooth Software\BTTray.exe [2003-01-16 360509] Gigaset WLAN Adapter Monitor.lnk - c:\programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe [2005-02-16 323584] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\MCPClient] 2005-01-31 14:13 49152 c:\progra~1\GEMEIN~1\stardock\MCPStub.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit] 2008-10-16 20:35 87352 c:\windows\system32\LMIinit.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=rqxzhq.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.iv41"= ir41_32.dll "msacm.l3acm"= L3codecp.acm "vidc.asv2"= asusasv2.dll "vidc.div3"= DivXc32.dll "vidc.div4"= DivXc32f.dll "vidc.ap41"= DivXc32f.dll "vidc.mjpg"= m3jpeg32.dll "vidc.dmb1"= m3jpeg32.dll "vidc.rud0"= rududu.dll "vidc.mj2c"= M3JP2K32.dll "vidc.mmes"= DigiVCap.dll "vidc.vixl"= Miroxl32.dll "vidc.sony"= sonydv.dll "vidc.dv25"= DigiVCap.dll "vidc.dv50"= DigiVCap.dll "vidc.msmc"= DigiVCap.dll "vidc.mmjp"= DigiVCap.dll "vidc.3ivx"= 3ivxVfWCodec.dll "vidc.vssv"= vsscodec.dll "vidc.pim1"= PCLEPIM1.dll "vidc.advs"= Dvc.dll "vidc.asv1"= asusasv1.dll "vidc.aflc"= flccodec32.dll "vidc.aasc"= Aasc32.dll "vidc.avrn"= AvidAVICodec.dll "VIDC.mszh"= avimszh.dll "vidc.zlib"= avizlib.dll "vidc.mwv1"= icmw_32.dll "vidc.bt20"= btvvc32.drv "vidc.y41p"= btvvc32.drv "vidc.cscd"= camcodec.dll "vidc.cdvc"= cdvccodc.dll "vidc.ddvc"= CSCdvsd.DLL "vidc.dps0"= DpsAviCC.dll "MSVideo"= DPSVidCap.drv "vidc.dvx4"= divx4.dll "vidc.em2v"= EtxCodec.dll "vidc.frwd"= frwd.dll "vidc.frwt"= frwt.dll "vidc.frwu"= frwu.dll "vidc.glzw"= GLZW.dll "vidc.gpeg"= GPEG.dll "vidc.i263"= i263_32.drv "vidc.ir21"= IR21_R.DLL "vidc.rt21"= IR21_R.DLL "wave1"= c_213277.nls "mixer1"= c_213277.nls "vidc.dvsd"= dvc.dll "aux1"= c_213277.nls "mixer2"= c_213277.nls "midi2"= c_213277.nls "wave2"= c_213277.nls "midi1"= c_213277.nls "aux2"= c_213277.nls "09213308"= 38303133423941362d433846382d344244442d394436312d443539443836304430434330 "09213297"= "09213327"= b092cb132d697d8fb619d8dc1b6c471d959d6222d7785275ee3002e5d9c4cb04c5 "09213307"= [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"= "c:\\Programme\\Yahoo!\\Messenger\\YServer.exe"= "c:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\nsl_host_process.exe"= "c:\\Programme\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"= "c:\\Programme\\Java\\jre1.5.0_11\\bin\\java.exe"= "c:\\Dokumente und Einstellungen\\Daniel\\Eigene Dateien\\Software\\test\\Emule\\emule.exe"= "c:\\3dsmax5\\backburner2\\server.exe"= "c:\\Programme\\SopCast\\SopCast.exe"= "c:\\Dokumente und Einstellungen\\Daniel\\Anwendungsdaten\\SopCast\\adv\\SopAdver.exe"= "c:\\Programme\\Macromedia\\Flash MX\\Flash.exe"= "c:\\Programme\\FlashFXP\\FlashFXP.exe"= "c:\\Programme\\VideoLAN\\VLC\\vlc.exe"= "c:\\Programme\\Pinnacle\\Pinnacle PCTV\\TeleText\\WebServer.exe"= "c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application "c:\\Programme\\Mozilla Firefox\\firefox.exe"= "c:\\Programme\\Trillian\\trillian.exe"= "c:\\Programme\\Winamp Remote\\bin\\Orb.exe"= "c:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"= "c:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe"= "c:\\Programme\\Java\\jre1.6.0_07\\bin\\javaw.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service "5900:TCP"= 5900:TCP:vnc1 "5900:UDP"= 5900:UDP:vnc2 "30206:TCP"= 30206:TCP:em "14518:UDP"= 14518:UDP:em1 PP2 SPIDERNT;SpIDer Guard for Windows;c:\progra~1\DrWeb\spidernt.exe [2008-11-05 197896] R0 PrecSim;PrecSim;c:\windows\system32\DRIVERS\precsim.sys [2002-03-20 62688] R2 LMIRfsDriver;LogMeIn Remote File System Driver;\??\c:\windows\system32\drivers\LMIRfsDriver.sys [2008-11-24 47640] R2 SPIDER;SpIDer Guard File System Monitor;\??\c:\progra~1\DrWeb\spider.sys [2008-11-05 268040] R3 pctvvbi;PCTVVBI;c:\windows\system32\DRIVERS\pctvvbi.sys [2007-02-23 6400] R3 SE4501D;Gigaset USB Adapter 54 Driver;c:\windows\system32\DRIVERS\SE4501D.sys [2005-01-25 352032] S1 SideWnd;SideWnd;c:\windows\system32\DRIVERS\innvmini.sys [2005-07-12 3712] S2 LMIInfo;LogMeIn Kernel Information Provider;\??\c:\programme\LogMeIn\x86\RaInfo.sys [] S3 Fdctennt;Fdctennt; [] S3 Ndisprot;ArcNet NDIS Protocol Driver;\??\c:\windows\system32\drivers\Ndisprot.sys [2008-11-27 27904] S4 LMIRfsClientNP;LMIRfsClientNP; [] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Inhalt des "geplante Tasks" Ordners 2008-12-05 c:\windows\Tasks\1-Klick-Wartung.job - c:\programme\TuneUp Utilities 2007\SystemOptimizer.exe [2006-11-23 15:46] . - - - - Entfernte verwaiste Registrierungseinträge - - - - BHO-{E6570FFF-09E4-4B93-8C77-ABAFFFEFF079} - c:\windows\system32\nnnlkLCt.dll HKLM-Run-LogMeIn GUI - c:\programme\LogMeIn\x86\LogMeInSystray.exe HKLM-Run-c:\windows\system32\kddkj.exe - c:\windows\system32\kddkj.exe . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 LSP: c:\windows\system32\DRWEBSP.DLL FireFox -: Profile - c:\dokumente und einstellungen\Daniel\Anwendungsdaten\Mozilla\Firefox\Profiles\oegf0p1r.default\ FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= FireFox -: prefs.js - STARTUP.HOMEPAGE - google.de FF -: plugin - c:\programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll FF -: plugin - c:\programme\Google\Google Updater\2.4.1368.5602\npCIDetect13.dll FF -: plugin - c:\programme\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll FF -: plugin - c:\programme\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll FF -: plugin - c:\programme\Yahoo!\Common\npyaxmpb.dll FF -: plugin - c:\programme\Yahoo!\Shared\npYState.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-12-05 17:33:13 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... c:\windows\system32\c_213277.nls 122880 bytes executable Scan erfolgreich abgeschlossen versteckte Dateien: 1 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(752) c:\windows\system32\LMIinit.dll c:\progra~1\GEMEIN~1\Stardock\mcpstub.dll c:\windows\system32\LMIRfsClientNP.dll - - - - - - - > 'lsass.exe'(812) c:\windows\system32\DRWEBSP.DLL . ------------------------ Weitere laufende Prozesse ------------------------ . c:\progra~1\GEMEIN~1\stardock\SDMCP.exe c:\windows\system32\drivers\CDAC11BA.EXE c:\windows\system32\drivers\CDANTSRV.EXE c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE c:\windows\system32\nvsvc32.exe c:\programme\RealVNC\VNC4\winvnc4.exe c:\windows\system32\rundll32.exe c:\programme\DrWeb\spiderui.exe c:\windows\system32\rundll32.exe c:\progra~1\MI3AA1~1\rapimgr.exe c:\programme\MICROSTAR\Bluetooth Software\BTStackServer.exe c:\windows\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-12-05 17:38:31 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2008-12-05 16:38:28 Vor Suchlauf: 23 Verzeichnis(se), 222.478.913.536 Bytes frei Nach Suchlauf: 22 Verzeichnis(se), 222,904,119,296 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect 320 Die Hijackthis-log : Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:42:15, on 05.12.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\GEMEIN~1\Stardock\SDMCP.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\drivers\CDAC11BA.EXE C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\PROGRA~1\DrWeb\spidernt.exe C:\WINDOWS\system32\svchost.exe C:\Programme\RealVNC\VNC4\WinVNC4.exe C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe C:\WINDOWS\system32\RunDLL32.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE C:\Programme\DrWeb\drwebscd.exe C:\Programme\DrWeb\spiderml.exe C:\PROGRA~1\DrWeb\spiderui.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe C:\Programme\Microsoft ActiveSync\wcescomm.exe C:\Programme\MICROSTAR\Bluetooth Software\BTTray.exe C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe C:\PROGRA~1\MI3AA1~1\rapimgr.exe C:\PROGRA~1\MI43DA~1\BLUETO~1\BTSTAC~1.EXE C:\WINDOWS\explorer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE" /APPLY O4 - HKLM\..\Run: [DrWebScheduler] "C:\Programme\DrWeb\drwebscd.exe" O4 - HKLM\..\Run: [SpIDerMail] "C:\Programme\DrWeb\spiderml.exe" O4 - HKLM\..\Run: [SpIDerNT] C:\PROGRA~1\DrWeb\spiderui.exe /agent O4 - HKLM\..\Run: [SpywareCleaner] C:\WINDOWS\system32\SpywareRemover.exe O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe" O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} (CTVUAxCtrl Object) - http://dl.tvunetworks.com/TVUAx.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: rqxzhq.dll O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: SpIDer Guard for Windows (SPIDERNT) - Doctor Web, Ltd. - C:\PROGRA~1\DrWeb\spidernt.exe O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programme\RealVNC\VNC4\WinVNC4.exe -- End of file - 7738 bytes |
|
|
||
05.12.2008, 19:41
Ehrenmitglied
Beiträge: 6028 |
#6
CombiFix entfernen
Start > Ausführen> Kopiere rein ComboFix /U OK Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei O20 - AppInit_DLLs: rqxzhq.dll klicke: Fix checked Download OTCleanIt. by OldTimer zum Desktop Schliesse alle Fenster Doppelklick: OTCleanIt. Klicke: CleanUp Wenn gefragt wird “Do you want to reboot now?”klicke “Yes” Dein Rechner wird neu gestartet Vista benutzer: rechtermausklick auf OTCleanIt.exe und waehle "Run as an Administrator" Damit werden Reste von benutzten Programme wieder entfernt Benutze CCleaner http://www.trojaner-board.de/51464-anleitung-CCleaner.html SDFix für Windows 2000 und Windows XP Download SDFix zum Desktop Starte dein Recher in abgesicherten Modus SDFix.zip entpacken unter C:\ findet man nun den SDFix-Ordner Doppelklick RunThis.bat Schreibe: Y folge allen Anweisungen Dann wird der Rechner neustarten SDFix entfernt jetzt die gefundene Objekte Kopiere den Inhalt des Berichts SophosReport.txt in diesen Thread __________ MfG Argus |
|
|
||
06.12.2008, 12:00
...neu hier
Themenstarter Beiträge: 4 |
#7
Hallo
O20 - AppInit_DLLs: rqxzhq.dll wird in Hijackthis nicht mehr angezeigt Nachdem der Rechner nach OTCleanIT neu gestartet ist, bekomme ich eine Meldung in einer messagebox: Autolt Error (roter punkt mit weissem Kreuz) Error: Subscribt used with non-Array variable. Der Report SDFix: Version 1.240 Run by Daniel on 06.12.2008 at 00:15 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Checking Services : Restoring Default Security Values Restoring Default Hosts File Rebooting Checking Files : Trojan Files Found: C:\WINDOWS\system32\1$.tmp - Deleted Removing Temp Files ADS Check : Final Check : catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-12-06 00:35:04 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden services & system hive ... scanning hidden registry entries ... [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="rqxzhq.dll" "DeviceNotSelectedTimeout"="15" "GDIProcessHandleQuota"=dword:00002710 "Spooler"="yes" "swapdisk"="" "TransmissionRetryTimeout"="90" "USERProcessHandleQuota"=dword:00002710 scanning hidden files ... C:\WINDOWS\system32\c_213277.nls 122880 bytes executable scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 1 Remaining Services : Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"="C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe:*:Enabled:Yahoo! Messenger" "C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"="C:\\Programme\\Yahoo!\\Messenger\\YServer.exe:*:Enabled:Yahoo! FT Server" "C:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\nsl_host_process.exe"="C:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\nsl_host_process.exe:*:Enabled:Nokia Service Layer Host Process " "C:\\Programme\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"="C:\\Programme\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe:*:Enabled:Nokia Software Updater" "C:\\Programme\\Java\\jre1.5.0_11\\bin\\java.exe"="C:\\Programme\\Java\\jre1.5.0_11\\bin\\java.exe:*:Enabled:Java(TM) 2 Platform Standard Edition binary" "C:\\Dokumente und Einstellungen\\Daniel\\Eigene Dateien\\Software\\test\\Emule\\emule.exe"="C:\\Dokumente und Einstellungen\\Daniel\\Eigene Dateien\\Software\\test\\Emule\\emule.exe:*:Enabled:eMule" "C:\\3dsmax5\\backburner2\\server.exe"="C:\\3dsmax5\\backburner2\\server.exe:*:Enabled:Server" "C:\\Programme\\SopCast\\SopCast.exe"="C:\\Programme\\SopCast\\SopCast.exe:*:Enabled:SopCast Main Application" "C:\\Dokumente und Einstellungen\\Daniel\\Anwendungsdaten\\SopCast\\adv\\SopAdver.exe"="C:\\Dokumente und Einstellungen\\Daniel\\Anwendungsdaten\\SopCast\\adv\\SopAdver.exe:*:Enabled:SopCast Adver" "C:\\Programme\\Macromedia\\Flash MX\\Flash.exe"="C:\\Programme\\Macromedia\\Flash MX\\Flash.exe:*:Enabled:Flash 6.0 r25" "C:\\Programme\\FlashFXP\\FlashFXP.exe"="C:\\Programme\\FlashFXP\\FlashFXP.exe:*:Enabled:FlashFXP" "C:\\Programme\\VideoLAN\\VLC\\vlc.exe"="C:\\Programme\\VideoLAN\\VLC\\vlc.exe:*:Enabled:VLC media player" "C:\\Programme\\Pinnacle\\Pinnacle PCTV\\TeleText\\WebServer.exe"="C:\\Programme\\Pinnacle\\Pinnacle PCTV\\TeleText\\WebServer.exe:*:Enabled:WebServer" "C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager" "C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager" "C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application" "C:\\Programme\\Mozilla Firefox\\firefox.exe"="C:\\Programme\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox" "C:\\Programme\\Trillian\\trillian.exe"="C:\\Programme\\Trillian\\trillian.exe:*:Enabled:Trillian" "C:\\Programme\\Winamp Remote\\bin\\Orb.exe"="C:\\Programme\\Winamp Remote\\bin\\Orb.exe:*:Enabled:Orb" "C:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"="C:\\Programme\\Winamp Remote\\bin\\OrbTray.exe:*:Enabled:OrbTray" "C:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe"="C:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe:*:Enabled:Orb Stream Client" "C:\\Programme\\Java\\jre1.6.0_07\\bin\\javaw.exe"="C:\\Programme\\Java\\jre1.6.0_07\\bin\\javaw.exe:*:Enabled:Java(TM) Platform SE binary" "C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype. The whole world can talk for free." [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager" "C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager" "C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application" Remaining Files : File Backups: - C:\SDFix\backups\backups.zip Files with Hidden Attributes : Wed 16 Jan 2008 80 ..SHR --- "C:\WINDOWS\system32\D8A2E8AE2F.dll" Mon 2 Apr 2007 4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak" Mon 2 Apr 2007 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp" Tue 18 Sep 2007 3,525,376 A..H. --- "C:\Dokumente und Einstellungen\Daniel\Eigene Dateien\BSC-Neuss.de\BSC-Neuss\Recovery\BSC-Neuss5.nod.bak" Tue 2 Oct 2007 3,526,696 A..H. --- "C:\Dokumente und Einstellungen\Daniel\Eigene Dateien\BSC-Neuss.de\BSC-Neuss\Recovery\BSC-Neuss6.nod.bak" Fri 5 Oct 2007 3,526,696 A..H. --- "C:\Dokumente und Einstellungen\Daniel\Eigene Dateien\BSC-Neuss.de\BSC-Neuss\Recovery\BSC-Neuss7.nod.bak" Thu 5 Jul 2007 1,576,624 A..H. --- "C:\Dokumente und Einstellungen\Daniel\Eigene Dateien\BSC-Neuss.de\BSC-Neuss\Recovery\BSC-Neuss1.nod.bak" Thu 19 Jul 2007 2,151,048 A..H. --- "C:\Dokumente und Einstellungen\Daniel\Eigene Dateien\BSC-Neuss.de\BSC-Neuss\Recovery\BSC-Neuss2.nod.bak" Sun 29 Jul 2007 2,209,744 A..H. --- "C:\Dokumente und Einstellungen\Daniel\Eigene Dateien\BSC-Neuss.de\BSC-Neuss\Recovery\BSC-Neuss3.nod.bak" Fri 14 Sep 2007 3,525,376 A..H. --- "C:\Dokumente und Einstellungen\Daniel\Eigene Dateien\BSC-Neuss.de\BSC-Neuss\Recovery\BSC-Neuss4.nod.bak" Finished! |
|
|
||
06.12.2008, 19:08
...neu hier
Beiträge: 1 |
||
|
||
06.12.2008, 19:47
Moderator
Beiträge: 7805 |
#9
Hallo MIDEJO,
erstelle bitte hier ein eigenes Thema http://board.protecus.de/newtopic.php?boardid=3 Poste dort die Ergebnissen aus den Punkten 2-5 aus http://board.protecus.de/t23188.htm __________ MfG Ralf SEO-Spam Hunter |
|
|
||
Habe mir da wohl eine Malware in Haus geholt. Allerdings wird da auch immer irgendein Trojaner gefunden.
Kurzum. Ich hab davon keinen blassen Schimmer.
Malwarebytes löscht da immer was aber die Anzeigen kommen immer wieder.
Wäre schön, wenn Ihr mir helfen könntet.
Ab und an offnet sich ein fenster in meinem Firefox: h**p://real-av.org/?code=3
Habe einen roten Punkt mit weissem Kreuz in der Taskleiste mit folgender Meldung
"Warning! Security report
Your Computer is infectet! It is recommenedet to start spyware cleaner tool."
Der Destop ist auf schwarz eingestellt und in der Mitte ist eine Grafik? mit folgender Meldung :
"Warning
Dangerous Spyware
There are many viruses found on your computer, such as Trojan horses, PassCapture etc.
Your personal data can come into wrong hands.
Please, follow that link to more about your data safety and pivacy
Thank"
Habe Malwarebytes scannen lassen und das ist die log-file:
Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1306
Windows 5.1.2600 Service Pack 2
04.12.2008 23:04:40
mbam-log-2008-12-04 (23-04-40).txt
Scan-Methode: Quick-Scan
Durchsuchte Objekte: 51058
Laufzeit: 4 minute(s), 41 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 1
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\AppID\BHO_MyJavaCore.DLL (Trojan.BHO) -> Quarantined and deleted successfully.
Und das sagt dan Hijackthis dazu:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:26:24, on 04.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\GEMEIN~1\Stardock\SDMCP.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\DrWeb\spidernt.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE
C:\Programme\DrWeb\drwebscd.exe
C:\Programme\DrWeb\spiderml.exe
C:\PROGRA~1\DrWeb\spiderui.exe
C:\WINDOWS\system32\frmwrk32.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\MICROSTAR\Bluetooth Software\BTTray.exe
C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
C:\WINDOWS\system32\ntdll64.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\PROGRA~1\MI43DA~1\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O2 - BHO: (no name) - {E6570FFF-09E4-4B93-8C77-ABAFFFEFF079} - C:\WINDOWS\system32\nnnlkLCt.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [DrWebScheduler] "C:\Programme\DrWeb\drwebscd.exe"
O4 - HKLM\..\Run: [SpIDerMail] "C:\Programme\DrWeb\spiderml.exe"
O4 - HKLM\..\Run: [SpIDerNT] C:\PROGRA~1\DrWeb\spiderui.exe /agent
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Programme\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [Framework Windows] frmwrk32.exe
O4 - HKLM\..\Run: [C:\WINDOWS\system32\kddkj.exe] C:\WINDOWS\system32\kddkj.exe
O4 - HKLM\..\Run: [SpywareCleaner] C:\WINDOWS\system32\SpywareRemover.exe
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [gadcom] "C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\gadcom\gadcom.exe" 61A847B5BBF72810339E3F466188719AB689201522886B092CBD44BD8689220221DD3257
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} (CTVUAxCtrl Object) - http://dl.tvunetworks.com/TVUAx.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: rqxzhq.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SpIDer Guard for Windows (SPIDERNT) - Doctor Web, Ltd. - C:\PROGRA~1\DrWeb\spidernt.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programme\RealVNC\VNC4\WinVNC4.exe
--
End of file - 8137 bytes