Dns Changer Problem |
||
---|---|---|
#0
| ||
16.12.2008, 13:12
...neu hier
Beiträge: 4 |
||
|
||
16.12.2008, 13:52
Ehrenmitglied
Beiträge: 6028 |
#2
Virustotal
Verborgene Dateien sichtbar machen Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren Prüfe mal diese Datei(en) bei Virustotal http://www.virustotal.com/flash/index_en.html Zitat c:\windows\system32\drivers\ngqitido.sysNote: Wenn bei ViruTotal die Meldung kommt ” Die Datei wurde bereits analysiert “wähle „Analysiere die Datei“ Poste nur die URL am Ende(der link oben in der leiste) __________ MfG Argus |
|
|
||
16.12.2008, 14:15
...neu hier
Themenstarter Beiträge: 4 |
#3
hier die analyse:
http://www.virustotal.com/de/analisis/01b81d1d5394b11cd72e26c9e69c4eae hoffe das hilft irgendwie weiter |
|
|
||
16.12.2008, 14:22
Ehrenmitglied
Beiträge: 6028 |
#4
cfscript
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Zitat File::CFScript.txt mit der rechten Maustaste auf das Symbol von Combofix ziehen Combofix noch mal anwenden poste dann nach Neustart das neue Log __________ MfG Argus |
|
|
||
16.12.2008, 14:57
...neu hier
Themenstarter Beiträge: 4 |
#5
hier der neue logfile:
ComboFix 08-12-15.04 - Isabell Hoffmann 2008-12-16 14:45:22.2 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.958.495 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Isabell Hoffmann\Desktop\ComboFix.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Isabell Hoffmann\Desktop\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt [COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR] . ((((((((((((((((((((((( Dateien erstellt von 2008-11-16 bis 2008-12-16 )))))))))))))))))))))))))))))) . 2008-12-16 14:28 . 2008-12-16 14:31 <DIR> d-------- c:\windows\system32\drivers\Avg 2008-12-16 14:28 . 2008-12-16 14:28 97,928 --a------ c:\windows\system32\drivers\avgldx86.sys 2008-12-16 14:28 . 2008-12-16 14:28 10,520 --a------ c:\windows\system32\avgrsstx.dll 2008-12-16 09:08 . 2008-12-16 09:08 61,440 --a------ c:\windows\system32\drivers\ngqitido.sys 2008-12-16 03:15 . 2008-12-16 03:15 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2008-12-16 03:15 . 2008-12-16 03:15 <DIR> d-------- c:\dokumente und einstellungen\Isabell Hoffmann\Anwendungsdaten\Malwarebytes 2008-12-16 03:15 . 2008-12-16 03:15 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-12-16 03:15 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2008-12-16 03:15 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2008-12-16 03:04 . 2008-12-16 03:04 <DIR> d-------- c:\programme\TuneUp Utilities 2009 2008-12-16 03:04 . 2008-12-16 03:04 603,904 --a------ c:\windows\system32\TUProgSt.exe 2008-12-16 03:04 . 2008-12-16 03:04 360,192 --a------ c:\windows\system32\TuneUpDefragService.exe 2008-12-16 03:03 . 2008-12-16 03:03 <DIR> d--hs---- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357} 2008-12-16 02:53 . 2008-12-16 02:53 <DIR> d-------- c:\programme\Trend Micro 2008-12-16 02:23 . 2008-12-16 02:23 79 --a------ c:\windows\wininit.ini 2008-12-16 02:03 . 2008-12-16 02:03 <DIR> d-------- c:\programme\spybot 2008-12-15 23:39 . 2008-12-15 23:41 <DIR> d-------- c:\programme\XeroBank 2008-12-13 21:55 . 2008-12-16 09:22 <DIR> d-------- c:\programme\cyrano 2008-12-13 21:55 . 2008-12-13 22:01 253,952 --------- c:\windows\Setup1.exe 2008-12-13 21:55 . 2008-12-13 22:01 74,752 --a------ c:\windows\ST6UNST.EXE 2008-12-12 00:56 . 2008-12-12 00:56 <DIR> d-------- c:\programme\SopCast 2008-12-11 18:04 . 2008-12-11 18:04 <DIR> d--h----- c:\windows\PIF 2008-12-11 17:53 . 2008-12-11 17:55 309 --a------ c:\windows\UChromeP.uns 2008-12-11 17:52 . 2008-12-11 17:52 <DIR> d-------- c:\programme\Medion 2008-12-11 17:45 . 2008-12-11 17:45 <DIR> d-------- c:\programme\Realtek AC97 2008-12-11 17:20 . 2008-12-11 17:20 <DIR> d--h-c--- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{4439F0FD-AFAF-434D-86E2-DEB14A9C58AC} 2008-12-10 13:32 . 2008-12-11 15:05 <DIR> d-------- c:\programme\Jump Player 2008-12-07 21:13 . 2008-12-07 21:19 19,571 --a------ c:\windows\hpoins01.dat 2008-12-07 21:13 . 2003-04-22 10:24 16,606 --------- c:\windows\hpomdl01.dat 2008-12-07 20:53 . 2008-12-07 20:53 <DIR> d-------- c:\programme\iXi Tools 2008-12-04 17:58 . 2008-12-04 18:03 <DIR> d-------- c:\programme\ICQ6.5 2008-11-30 21:15 . 2008-12-05 01:21 113 --a------ c:\windows\(null)toolkit.ini 2008-11-30 21:14 . 2008-11-30 21:14 <DIR> d-------- c:\dokumente und einstellungen\Isabell Hoffmann\Anwendungsdaten\Trillian 2008-11-30 14:33 . 2008-11-30 14:33 <DIR> d-------- C:\unzipped 2008-11-30 14:30 . 2008-11-30 14:30 <DIR> d-------- c:\programme\MirandaFusion 2008-11-29 00:35 . 2008-11-29 00:35 <DIR> d-------- c:\programme\TeamViewer3 2008-11-27 20:02 . 2008-11-27 20:02 <DIR> d-------- c:\programme\AnalogX 2008-11-23 19:44 . 2008-12-07 21:12 <DIR> d-------- c:\temp\HP All-in-One Series Web Release . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-12-16 13:28 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avg8 2008-12-16 08:08 194 ----a-w c:\programme\msbp.txt 2008-12-16 01:06 --------- d-----w c:\programme\Spybot - Search & Destroy 2008-12-16 01:06 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-12-15 21:54 --------- d-----w c:\programme\DC++ 2008-12-11 16:55 --------- d--h--w c:\programme\InstallShield Installation Information 2008-12-11 14:23 --------- d-----w c:\dokumente und einstellungen\Isabell Hoffmann\Anwendungsdaten\dvdcss 2008-12-11 13:23 --------- d-----w c:\programme\Trillian 2008-12-11 12:31 27,904 ----a-w c:\windows\system32\uxtuneup.dll 2008-12-04 17:01 --------- d-----w c:\programme\ICQ6 2008-11-24 20:16 --------- d-----w c:\dokumente und einstellungen\Isabell Hoffmann\Anwendungsdaten\Skype 2008-11-24 19:27 --------- d-----w c:\dokumente und einstellungen\Isabell Hoffmann\Anwendungsdaten\skypePM 2008-11-23 21:48 --------- d-----w c:\programme\Google 2008-11-23 19:15 --------- d-----w c:\dokumente und einstellungen\Isabell Hoffmann\Anwendungsdaten\WordToPDF 2008-11-23 18:58 917 ---ha-w c:\dokumente und einstellungen\Isabell Hoffmann\hpothb07.dat 2008-11-20 21:23 --------- d-----w c:\programme\SmartSoftVideoConverterPro 2008-11-20 21:19 --------- d-----w c:\programme\Hewlett-Packard 2008-11-20 21:03 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe 2008-11-08 21:10 --------- d-----w c:\programme\Network Stumbler 2008-11-03 15:20 --------- d-----w c:\programme\Opera 2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys 2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll 2008-10-21 20:16 --------- d-----w c:\dokumente und einstellungen\Isabell Hoffmann\Anwendungsdaten\vlc 2008-10-21 20:14 --------- d-----w c:\programme\VideoLAN 2008-10-16 20:04 826,368 ----a-w c:\windows\system32\wininet.dll 2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll 2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll 2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll 2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll 2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll 2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe 2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll 2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll 2008-10-03 10:03 247,326 ----a-w c:\windows\system32\strmdll.dll 2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll 2008-01-31 17:16 32 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsid.dat 2008-01-14 07:56 5,827,152 ----a-w c:\programme\Firefox_Setup_2.0.0.11de.exe 2008-01-14 07:32 17,820,592 ----a-w c:\programme\antivir_workstation_win7u_de_h270.exe 2007-12-12 15:41 1,911,240 ----a-w c:\programme\daemon_tools.exe 2007-11-09 21:03 10,717,440 ----a-w c:\programme\TU2007TrialDE.exe 2007-10-15 12:48 4,432,944 ----a-w c:\programme\PandoSetup.exe 2007-10-03 17:12 6,573,064 ----a-w c:\programme\Gran Paradiso Setup Alpha 8.exe 2007-10-03 16:56 5,817,144 ----a-w c:\programme\Firefox Setup 2.0.0.7.exe 2007-09-28 19:59 9,679,815 ----a-w c:\programme\vlc-0.8.6c-win32.exe 2007-09-08 22:35 53,003 ----a-w c:\programme\TranslationDE.zip 2007-08-22 18:08 17,976,688 ----a-w c:\programme\Install_Messenger.exe 2007-07-11 18:55 1,673,201 ----a-w c:\programme\Line_Rider_2-6-1.exe 2007-07-08 17:35 15,732,984 ----a-w c:\programme\Google_Earth_BZXE.exe 2007-06-17 19:12 11,898,432 ----a-w c:\programme\install_pro7_icq6.exe 2007-06-15 13:57 767 ----a-w c:\programme\DivX Player.lnk 2007-06-15 13:57 1,641 ----a-w c:\programme\DivX Movies.lnk 2007-06-15 13:56 778 ----a-w c:\programme\DivX Converter.lnk 2007-06-15 13:54 21,736,784 ----a-w c:\programme\DivXInstaller.exe 2007-05-18 14:57 9,216 -csha-w c:\programme\Thumbs.db 2007-04-20 22:53 11,603,464 ----a-w c:\programme\Install_ICQ6.exe 2007-04-19 14:20 20,942,920 ----a-w c:\programme\SkypeSetup.exe 2007-03-23 23:14 8,477,156 ----a-w c:\programme\vpnclient-windows-csn-4.8.00.0440-k9.exe 2007-03-01 11:50 6,051,840 ----a-w c:\programme\icq5_1_german_setup.exe 2007-02-25 01:07 36,808,256 ----a-w c:\programme\iTunesSetup.exe 2007-01-12 16:17 25,842,736 ----a-w c:\programme\wmp11-windowsxp-x86-DE-DE.exe 2007-01-12 15:47 14,843,696 ----a-w c:\programme\IE7-WindowsXP-x86-deu.exe 2006-11-29 12:52 72,997 ----a-w c:\programme\uninstall.exe 2006-11-03 18:59 217,323 -c--a-w c:\programme\_online_banking.pdf 2006-10-27 14:13 2,465,979 ------w c:\programme\devcpp-4.9.9.2_nomingw_setup.exe 2006-10-18 16:42 3,005,632 ----a-w c:\programme\vcsetup.exe 2006-10-05 18:49 8,646,090 ------w c:\programme\vpnclient-windows-tuc-4.8.01.0300-k9.exe 2006-09-09 11:57 475,608 ----a-w c:\programme\gmx_toolbar.exe 2006-09-08 18:50 11,795,448 ----a-w c:\programme\antivir_workstation_win7u_de_h.exe 2006-07-09 15:13 4,017,570 ----a-w c:\programme\pd_setup.exe 2006-06-22 09:18 712 -c--a-w c:\programme\VPN-Zugang TU Chemnitz.pcf 2006-04-20 06:34 70,693 -c--a-w c:\programme\data1.hdr 2006-04-20 06:34 7,551,504 -c--a-w c:\programme\data2.cab 2006-04-20 06:34 472,165 ----a-w c:\programme\data1.cab 2006-04-20 06:34 435 -c--a-w c:\programme\layout.bin 2006-04-20 06:34 29,752 ----a-w c:\programme\InstHelper.dll 2006-04-20 06:34 217,220 ----a-w c:\programme\installservice.exe 2006-04-20 06:34 190,283 -c--a-w c:\programme\setup.inx 2006-04-20 06:34 132 -c--a-w c:\programme\Setup.ini 2006-04-20 06:34 1,603 -c--a-w c:\programme\sig.dat 2006-04-20 06:33 16,506 ----a-w c:\programme\DelayInst.exe 2006-04-20 06:29 154,756 -c--a-w c:\programme\Setup.bmp 2005-12-09 21:06 3,948 -c--a-w c:\programme\README.TXT 2005-02-22 16:22 964,096 ----a-w c:\programme\devcpp.exe 2005-02-22 16:22 1,785,278 -c--a-w c:\programme\devcpp.map 2005-02-19 22:04 697,941 ----a-w c:\programme\Packman.map 2005-02-19 22:04 380,928 ----a-w c:\programme\Packman.exe 2004-12-03 17:15 10,807 -c--a-w c:\programme\NEWS.txt 2004-04-23 14:29 986,173 ----a-w c:\programme\wrar330d.exe 2003-04-22 14:32 2,736,128 ------w c:\programme\aiodrv.msi 2003-04-22 14:28 2,605,056 ------w c:\programme\aiosw.msi 2003-04-22 14:10 16,606 ----a-w c:\programme\hpomdl01.dat 2003-04-22 14:09 201 ----a-w c:\programme\readme.html 2003-04-09 17:19 2,848 ----a-w c:\programme\hpound08.inf 2003-04-09 17:19 14,157 ----a-w c:\programme\hpousc08.inf 2003-04-09 17:00 4,715 ----a-w c:\programme\hpoglu08.inf 2003-04-09 17:00 2,889 ----a-w c:\programme\hpousb08.inf 2003-03-20 15:20 24,728 ----a-w c:\programme\HPZipr12.cat 2003-03-20 15:20 24,285 ----a-w c:\programme\hposcu08.cat 2003-03-20 15:20 22,523 ----a-w c:\programme\HPZius12.cat 2003-03-20 15:20 22,082 ----a-w c:\programme\hpzist12.cat . ((((((((((((((((((((((((((((( snapshot@2008-12-16_13.03.24.53 ))))))))))))))))))))))))))))))))))))))))) . - 2008-11-26 20:06:11 26,824 ----a-w c:\windows\system32\drivers\avgmfx86.sys + 2008-12-16 13:28:29 26,824 ----a-w c:\windows\system32\drivers\avgmfx86.sys . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "KTPWare"="c:\programme\Elantech\Ktp.exe" [2005-04-04 253952] "IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2007-02-16 798720] "IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2007-02-16 696320] "AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2008-12-16 1261336] "CHotkey"="mHotkey.exe" [2001-12-26 c:\windows\mHotkey.exe] "SoundMan"="SOUNDMAN.EXE" [2007-04-16 c:\windows\soundman.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=avgrsstx.dll [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BlueSoleil.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\BlueSoleil.lnk backup=c:\windows\pss\BlueSoleil.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2001-07-09 10:50 155648 c:\windows\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Pando] --a------ 2008-07-25 05:23 6591816 c:\programme\Pando Networks\Pando\pando.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "Pml Driver HPZ12"=3 (0x3) "ose"=3 (0x3) "iPod Service"=3 (0x3) "BlueSoleil Hid Service"=2 (0x2) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "ctfmon.exe"=c:\windows\system32\ctfmon.exe "DAEMON Tools"="c:\programme\DAEMON Tools\daemon.exe" -lang 1033 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_03\bin\jusched.exe" "VTTimer"=VTTimer.exe "IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" "VTTrayp"=VTtrayp.exe "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\Pando Networks\\Pando\\pando.exe"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\Programme\\DC++\\DCPlusPlus.exe"= "c:\\Programme\\SopCast\\SopCast.exe"= "c:\\Dokumente und Einstellungen\\Isabell Hoffmann\\Anwendungsdaten\\SopCast\\adv\\SopAdver.exe"= "c:\\Programme\\proeWildfire 3.0\\i486_nt\\nms\\nmsd.exe"= "c:\\Programme\\proeWildfire 3.0\\i486_nt\\obj\\pro_comm_msg.exe"= "c:\\Programme\\proeWildfire 3.0\\i486_nt\\obj\\xtop.exe"= "c:\\Programme\\SopCast\\adv\\SopAdver.exe"= "c:\\Programme\\SopCast\\sopvod.exe"= "c:\\Programme\\kav\\kav7.0\\english\\setup.exe"= "c:\\Programme\\Opera\\Opera.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= "c:\\Programme\\Trillian\\trillian.exe"= "c:\\Programme\\AnalogX\\Proxy\\proxy.exe"= "c:\\Programme\\MirandaFusion\\miranda32.exe"= "c:\\Programme\\ICQ6.5\\ICQ.exe"= "c:\\Programme\\AVG\\AVG8\\avgupd.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings] "AllowInboundEchoRequest"= 1 (0x1) R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\Drivers\avgldx86.sys [2008-12-16 97928] R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2008-12-16 231704] R3 Ktp;Elantech Touchpad;c:\windows\system32\DRIVERS\Ktp.sys [2006-08-09 25984] S3 PAC7311;Trust Webcam Live;c:\windows\system32\DRIVERS\PA707UCM.SYS [2007-03-14 449024] S3 zlportio;zlportio;\??\c:\dokumente und einstellungen\Isabell Hoffmann\Eigene Dateien\ultrastar-dx-100\zlportio.sys [] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp *Newly Created Service* - AVG8WD *Newly Created Service* - AVGLDX86 *Newly Created Service* - AVGMFX86 . Inhalt des "geplante Tasks" Ordners 2008-12-08 c:\windows\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1228681171.job - c:\programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-09 17:56] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ uInternet Settings,ProxyOverride = *.local IE: Add to AMV Convert Tool... - c:\programme\MP3 Player Utilities 3.78\AMVConverter\grab.html IE: Add to AMV Converter... - c:\programme\MP3 Player Utilities 4.09\AMVConverter\grab.html IE: MediaManager tool grab multimedia file - c:\programme\MP3 Player Utilities 4.09\MediaManager\grab.html IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 c:\windows\Downloaded Program Files\Rawflow.ocx - O16 -: {029FDBA6-3547-11D7-AA4C-0050BF051A00} hxxp://213.200.64.229/freestream/download/energy/sachsen/p2p/Rawflow.cab O16 -: {1ED48504-8834-11D5-AC75-0008C73FD642} - file:///C:/Programme/proeWildfire%203.0/i486_nt/obj/pvx_install.exe O16 -: {DE625294-70E6-45ED-B895-CFFA13AEB044} - hxxp://134.109.68.116/activex/AMC.cab c:\windows\Downloaded Program Files\setup.inf FF - ProfilePath - c:\dokumente und einstellungen\Isabell Hoffmann\Anwendungsdaten\Mozilla\Firefox\Profiles\4cy8slmd.default\ FF - user.js: network.http.max-persistent-connections-per-server - 4 FF - user.js: content.max.tokenizing.time - 200000 FF - user.js: content.notify.interval - 100000 FF - user.js: content.switch.threshold - 650000 FF - user.js: nglayout.initialpaint.delay - 300 FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ FF - prefs.js: network.proxy.ftp - 134.109.84.128 FF - prefs.js: network.proxy.ftp_port - 21 FF - prefs.js: network.proxy.http - 134.109.84.128 FF - prefs.js: network.proxy.http_port - 6588 FF - prefs.js: network.proxy.type - 1 FF - plugin: c:\programme\Mozilla Firefox\plugins\npGoogleGadgetPluginFirefoxWin.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npPandoWebInst.dll FF - plugin: c:\programme\Opera\program\plugins\npagent.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-12-16 14:48:57 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-12-16 14:51:04 ComboFix-quarantined-files.txt 2008-12-16 13:49:59 ComboFix2.txt 2008-12-16 12:04:10 Vor Suchlauf: 8.219.684.864 Bytes frei Nach Suchlauf: 8,204,836,864 Bytes frei 280 --- E O F --- 2008-12-12 00:09:54 hoffe das hilft weiter PS: werde erst gg 17:15uhr wieder am laptop sein |
|
|
||
16.12.2008, 15:19
Ehrenmitglied
Beiträge: 6028 |
#6
Download Avenger
http://virus-protect.org/artikel/tools/avenger.html kopiere in das weisse Feld: Files to delete: c:\windows\system32\drivers\ngqitido.sys schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten) - Klicke: Execute - bestätige, dass der Rechner neu gestartet wird - klicke "yes" nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt) poste dessen Inhalt __________ MfG Argus |
|
|
||
16.12.2008, 20:08
...neu hier
Themenstarter Beiträge: 4 |
#7
hab ein problem:
beim rebooten nach dem ausführen von avenger kommt ein bluescreen und laptop fragt ob im gesicherten modus, normal oder ähnliches gestartet werden soll....es wird auch demzufolge kein logfile erstellt keine ahnung was ich da machen soll |
|
|
||
20.12.2008, 17:27
Member
Beiträge: 3716 |
#8
kannst du mal ein frisches hjt und combofixlog posten?
|
|
|
||
ComboFix 08-12-15.04 - Isabell Hoffmann 2008-12-16 12:49:12.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.958.597 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Isabell Hoffmann\Desktop\ComboFix.exe
[COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR]
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\Isabell Hoffmann\Lokale Einstellungen\Anwendungsdaten\jxnkqaupb.dat
c:\dokumente und einstellungen\Isabell Hoffmann\Lokale Einstellungen\Anwendungsdaten\jxnkqaupb_nav.dat
c:\dokumente und einstellungen\Isabell Hoffmann\Lokale Einstellungen\Anwendungsdaten\jxnkqaupb_navps.dat
c:\programme\autorun.inf
c:\windows\Downloaded Program Files\setup.inf
c:\windows\system32\drivers\msqpdxpefelqcc.sys
c:\windows\system32\msqpdxckfwarqg.dll
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_MSQPDXSERV.SYS
-------\Legacy_MSQPDXSERV.SYS
((((((((((((((((((((((( Dateien erstellt von 2008-11-16 bis 2008-12-16 ))))))))))))))))))))))))))))))
.
2008-12-16 09:08 . 2008-12-16 09:08 61,440 --a------ c:\windows\system32\drivers\ngqitido.sys
2008-12-16 03:15 . 2008-12-16 03:15 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-12-16 03:15 . 2008-12-16 03:15 <DIR> d-------- c:\dokumente und einstellungen\Isabell Hoffmann\Anwendungsdaten\Malwarebytes
2008-12-16 03:15 . 2008-12-16 03:15 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-12-16 03:15 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-16 03:15 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-16 03:04 . 2008-12-16 03:04 <DIR> d-------- c:\programme\TuneUp Utilities 2009
2008-12-16 03:04 . 2008-12-16 03:04 603,904 --a------ c:\windows\system32\TUProgSt.exe
2008-12-16 03:04 . 2008-12-16 03:04 360,192 --a------ c:\windows\system32\TuneUpDefragService.exe
2008-12-16 03:03 . 2008-12-16 03:03 <DIR> d--hs---- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2008-12-16 02:53 . 2008-12-16 02:53 <DIR> d-------- c:\programme\Trend Micro
2008-12-16 02:23 . 2008-12-16 02:23 79 --a------ c:\windows\wininit.ini
2008-12-16 02:03 . 2008-12-16 02:03 <DIR> d-------- c:\programme\spybot
2008-12-15 23:39 . 2008-12-15 23:41 <DIR> d-------- c:\programme\XeroBank
2008-12-13 21:55 . 2008-12-16 09:22 <DIR> d-------- c:\programme\cyrano
2008-12-13 21:55 . 2008-12-13 22:01 253,952 --------- c:\windows\Setup1.exe
2008-12-13 21:55 . 2008-12-13 22:01 74,752 --a------ c:\windows\ST6UNST.EXE
2008-12-12 00:56 . 2008-12-12 00:56 <DIR> d-------- c:\programme\SopCast
2008-12-11 18:04 . 2008-12-11 18:04 <DIR> d--h----- c:\windows\PIF
2008-12-11 17:53 . 2008-12-11 17:55 309 --a------ c:\windows\UChromeP.uns
2008-12-11 17:52 . 2008-12-11 17:52 <DIR> d-------- c:\programme\Medion
2008-12-11 17:45 . 2008-12-11 17:45 <DIR> d-------- c:\programme\Realtek AC97
2008-12-11 17:20 . 2008-12-11 17:20 <DIR> d--h-c--- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{4439F0FD-AFAF-434D-86E2-DEB14A9C58AC}
2008-12-10 13:32 . 2008-12-11 15:05 <DIR> d-------- c:\programme\Jump Player
2008-12-07 21:13 . 2008-12-07 21:19 19,571 --a------ c:\windows\hpoins01.dat
2008-12-07 21:13 . 2003-04-22 10:24 16,606 --------- c:\windows\hpomdl01.dat
2008-12-07 20:53 . 2008-12-07 20:53 <DIR> d-------- c:\programme\iXi Tools
2008-12-04 17:58 . 2008-12-04 18:03 <DIR> d-------- c:\programme\ICQ6.5
2008-11-30 21:15 . 2008-12-05 01:21 113 --a------ c:\windows\(null)toolkit.ini
2008-11-30 21:14 . 2008-11-30 21:14 <DIR> d-------- c:\dokumente und einstellungen\Isabell Hoffmann\Anwendungsdaten\Trillian
2008-11-30 14:33 . 2008-11-30 14:33 <DIR> d-------- C:\unzipped
2008-11-30 14:30 . 2008-11-30 14:30 <DIR> d-------- c:\programme\MirandaFusion
2008-11-29 00:35 . 2008-11-29 00:35 <DIR> d-------- c:\programme\TeamViewer3
2008-11-27 20:02 . 2008-11-27 20:02 <DIR> d-------- c:\programme\AnalogX
2008-11-26 21:06 . 2008-12-14 21:59 <DIR> d-------- c:\windows\system32\drivers\Avg
2008-11-26 21:06 . 2008-11-26 21:06 97,928 --a------ c:\windows\system32\drivers\avgldx86.sys
2008-11-26 21:06 . 2008-11-26 21:06 10,520 --a------ c:\windows\system32\avgrsstx.dll
2008-11-23 19:44 . 2008-12-07 21:12 <DIR> d-------- c:\temp\HP All-in-One Series Web Release
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-16 08:08 194 ----a-w c:\programme\msbp.txt
2008-12-16 01:06 --------- d-----w c:\programme\Spybot - Search & Destroy
2008-12-16 01:06 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-12-15 21:54 --------- d-----w c:\programme\DC++
2008-12-11 16:55 --------- d--h--w c:\programme\InstallShield Installation Information
2008-12-11 14:23 --------- d-----w c:\dokumente und einstellungen\Isabell Hoffmann\Anwendungsdaten\dvdcss
2008-12-11 13:23 --------- d-----w c:\programme\Trillian
2008-12-04 17:01 --------- d-----w c:\programme\ICQ6
2008-11-26 20:05 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avg8
2008-11-24 20:16 --------- d-----w c:\dokumente und einstellungen\Isabell Hoffmann\Anwendungsdaten\Skype
2008-11-24 19:27 --------- d-----w c:\dokumente und einstellungen\Isabell Hoffmann\Anwendungsdaten\skypePM
2008-11-23 21:48 --------- d-----w c:\programme\Google
2008-11-23 19:15 --------- d-----w c:\dokumente und einstellungen\Isabell Hoffmann\Anwendungsdaten\WordToPDF
2008-11-23 18:58 917 ---ha-w c:\dokumente und einstellungen\Isabell Hoffmann\hpothb07.dat
2008-11-20 21:23 --------- d-----w c:\programme\SmartSoftVideoConverterPro
2008-11-20 21:19 --------- d-----w c:\programme\Hewlett-Packard
2008-11-20 21:03 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2008-11-08 21:10 --------- d-----w c:\programme\Network Stumbler
2008-11-03 15:20 --------- d-----w c:\programme\Opera
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-21 20:16 --------- d-----w c:\dokumente und einstellungen\Isabell Hoffmann\Anwendungsdaten\vlc
2008-10-21 20:14 --------- d-----w c:\programme\VideoLAN
2008-01-31 17:16 32 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-01-14 07:56 5,827,152 ----a-w c:\programme\Firefox_Setup_2.0.0.11de.exe
2008-01-14 07:32 17,820,592 ----a-w c:\programme\antivir_workstation_win7u_de_h270.exe
2007-12-12 15:41 1,911,240 ----a-w c:\programme\daemon_tools.exe
2007-11-09 21:03 10,717,440 ----a-w c:\programme\TU2007TrialDE.exe
2007-10-15 12:48 4,432,944 ----a-w c:\programme\PandoSetup.exe
2007-10-03 17:12 6,573,064 ----a-w c:\programme\Gran Paradiso Setup Alpha 8.exe
2007-10-03 16:56 5,817,144 ----a-w c:\programme\Firefox Setup 2.0.0.7.exe
2007-09-28 19:59 9,679,815 ----a-w c:\programme\vlc-0.8.6c-win32.exe
2007-09-08 22:35 53,003 ----a-w c:\programme\TranslationDE.zip
2007-08-22 18:08 17,976,688 ----a-w c:\programme\Install_Messenger.exe
2007-07-11 18:55 1,673,201 ----a-w c:\programme\Line_Rider_2-6-1.exe
2007-07-08 17:35 15,732,984 ----a-w c:\programme\Google_Earth_BZXE.exe
2007-06-17 19:12 11,898,432 ----a-w c:\programme\install_pro7_icq6.exe
2007-06-15 13:57 767 ----a-w c:\programme\DivX Player.lnk
2007-06-15 13:57 1,641 ----a-w c:\programme\DivX Movies.lnk
2007-06-15 13:56 778 ----a-w c:\programme\DivX Converter.lnk
2007-06-15 13:54 21,736,784 ----a-w c:\programme\DivXInstaller.exe
2007-05-18 14:57 9,216 -csha-w c:\programme\Thumbs.db
2007-04-20 22:53 11,603,464 ----a-w c:\programme\Install_ICQ6.exe
2007-04-19 14:20 20,942,920 ----a-w c:\programme\SkypeSetup.exe
2007-03-23 23:14 8,477,156 ----a-w c:\programme\vpnclient-windows-csn-4.8.00.0440-k9.exe
2007-03-01 11:50 6,051,840 ----a-w c:\programme\icq5_1_german_setup.exe
2007-02-25 01:07 36,808,256 ----a-w c:\programme\iTunesSetup.exe
2007-01-12 16:17 25,842,736 ----a-w c:\programme\wmp11-windowsxp-x86-DE-DE.exe
2007-01-12 15:47 14,843,696 ----a-w c:\programme\IE7-WindowsXP-x86-deu.exe
2006-11-29 12:52 72,997 ----a-w c:\programme\uninstall.exe
2006-11-03 18:59 217,323 -c--a-w c:\programme\_online_banking.pdf
2006-10-27 14:13 2,465,979 ------w c:\programme\devcpp-4.9.9.2_nomingw_setup.exe
2006-10-18 16:42 3,005,632 ----a-w c:\programme\vcsetup.exe
2006-10-05 18:49 8,646,090 ------w c:\programme\vpnclient-windows-tuc-4.8.01.0300-k9.exe
2006-09-09 11:57 475,608 ----a-w c:\programme\gmx_toolbar.exe
2006-09-08 18:50 11,795,448 ----a-w c:\programme\antivir_workstation_win7u_de_h.exe
2006-07-09 15:13 4,017,570 ----a-w c:\programme\pd_setup.exe
2006-06-22 09:18 712 -c--a-w c:\programme\VPN-Zugang TU Chemnitz.pcf
2006-04-20 06:34 70,693 -c--a-w c:\programme\data1.hdr
2006-04-20 06:34 7,551,504 -c--a-w c:\programme\data2.cab
2006-04-20 06:34 472,165 ----a-w c:\programme\data1.cab
2006-04-20 06:34 435 -c--a-w c:\programme\layout.bin
2006-04-20 06:34 29,752 ----a-w c:\programme\InstHelper.dll
2006-04-20 06:34 217,220 ----a-w c:\programme\installservice.exe
2006-04-20 06:34 190,283 -c--a-w c:\programme\setup.inx
2006-04-20 06:34 132 -c--a-w c:\programme\Setup.ini
2006-04-20 06:34 1,603 -c--a-w c:\programme\sig.dat
2006-04-20 06:33 16,506 ----a-w c:\programme\DelayInst.exe
2006-04-20 06:29 154,756 -c--a-w c:\programme\Setup.bmp
2005-12-09 21:06 3,948 -c--a-w c:\programme\README.TXT
2005-02-22 16:22 964,096 ----a-w c:\programme\devcpp.exe
2005-02-22 16:22 1,785,278 -c--a-w c:\programme\devcpp.map
2005-02-19 22:04 697,941 ----a-w c:\programme\Packman.map
2005-02-19 22:04 380,928 ----a-w c:\programme\Packman.exe
2004-12-03 17:15 10,807 -c--a-w c:\programme\NEWS.txt
2004-04-23 14:29 986,173 ----a-w c:\programme\wrar330d.exe
2003-04-22 14:32 2,736,128 ------w c:\programme\aiodrv.msi
2003-04-22 14:28 2,605,056 ------w c:\programme\aiosw.msi
2003-04-22 14:10 16,606 ----a-w c:\programme\hpomdl01.dat
2003-04-22 14:09 201 ----a-w c:\programme\readme.html
2003-04-09 17:19 2,848 ----a-w c:\programme\hpound08.inf
2003-04-09 17:19 14,157 ----a-w c:\programme\hpousc08.inf
2003-04-09 17:00 4,715 ----a-w c:\programme\hpoglu08.inf
2003-04-09 17:00 2,889 ----a-w c:\programme\hpousb08.inf
2003-03-20 15:20 24,728 ----a-w c:\programme\HPZipr12.cat
2003-03-20 15:20 24,285 ----a-w c:\programme\hposcu08.cat
2003-03-20 15:20 22,523 ----a-w c:\programme\HPZius12.cat
2003-03-20 15:20 22,082 ----a-w c:\programme\hpzist12.cat
2003-03-20 15:20 22,082 ----a-w c:\programme\HPZid412.cat
2003-03-20 15:20 21,641 ----a-w c:\programme\HPOunp08.cat
2003-03-20 15:20 205,503 ----a-w c:\programme\hpoprn08.cat
2003-03-09 20:30 63,562 ----a-w c:\programme\hposcu08.inf
2003-03-09 20:30 51,266 ----a-w c:\programme\hpoprn08.inf
2003-03-09 20:30 33,952 ----a-w c:\programme\hpzid412.inf
2003-03-09 20:30 3,898 ----a-w c:\programme\hpounp08.inf
2003-03-09 20:30 3,667 ----a-w c:\programme\hpzist12.inf
2003-03-09 20:30 274,432 ----a-w c:\programme\hpzglu07.exe
2003-03-09 20:30 237,568 ----a-w c:\programme\hpzc3212.dll
2003-03-09 20:30 23,186 ----a-w c:\programme\hpzcin06.ex_
2003-03-09 20:30 184,320 ----a-w c:\programme\hpzscr07.dll
2003-03-09 20:30 16,352 ----a-w c:\programme\HPZUCI12.DLL
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KTPWare"="c:\programme\Elantech\Ktp.exe" [2005-04-04 253952]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2007-02-16 798720]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2007-02-16 696320]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2008-11-27 1261336]
"CHotkey"="mHotkey.exe" [2001-12-26 c:\windows\mHotkey.exe]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 c:\windows\soundman.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BlueSoleil.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\BlueSoleil.lnk
backup=c:\windows\pss\BlueSoleil.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 c:\windows\system32\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Pando]
--a------ 2008-07-25 05:23 6591816 c:\programme\Pando Networks\Pando\pando.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Pml Driver HPZ12"=3 (0x3)
"ose"=3 (0x3)
"iPod Service"=3 (0x3)
"BlueSoleil Hid Service"=2 (0x2)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=c:\windows\system32\ctfmon.exe
"DAEMON Tools"="c:\programme\DAEMON Tools\daemon.exe" -lang 1033
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_03\bin\jusched.exe"
"VTTimer"=VTTimer.exe
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe"
"VTTrayp"=VTtrayp.exe
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Pando Networks\\Pando\\pando.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\DC++\\DCPlusPlus.exe"=
"c:\\Programme\\SopCast\\SopCast.exe"=
"c:\\Dokumente und Einstellungen\\Isabell Hoffmann\\Anwendungsdaten\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\proeWildfire 3.0\\i486_nt\\nms\\nmsd.exe"=
"c:\\Programme\\proeWildfire 3.0\\i486_nt\\obj\\pro_comm_msg.exe"=
"c:\\Programme\\proeWildfire 3.0\\i486_nt\\obj\\xtop.exe"=
"c:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\SopCast\\sopvod.exe"=
"c:\\Programme\\kav\\kav7.0\\english\\setup.exe"=
"c:\\Programme\\Opera\\Opera.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Trillian\\trillian.exe"=
"c:\\Programme\\AVG\\AVG8\\avgupd.exe"=
"c:\\Programme\\AnalogX\\Proxy\\proxy.exe"=
"c:\\Programme\\MirandaFusion\\miranda32.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\Drivers\avgldx86.sys [2008-11-26 97928]
R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2008-11-26 231704]
R3 Ktp;Elantech Touchpad;c:\windows\system32\DRIVERS\Ktp.sys [2006-08-09 25984]
S3 PAC7311;Trust Webcam Live;c:\windows\system32\DRIVERS\PA707UCM.SYS [2007-03-14 449024]
S3 zlportio;zlportio;\??\c:\dokumente und einstellungen\Isabell Hoffmann\Eigene Dateien\ultrastar-dx-100\zlportio.sys []
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners
2008-12-08 c:\windows\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1228681171.job
- c:\programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-09 17:56]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
HKU-Default-RunOnce-IETI - c:\programme\Skype\Phone\IEPlugin\unins000.exe
MSConfigStartUp-iTunesHelper - c:\programme\iTunes\iTunesHelper.exe
MSConfigStartUp-updateMgr - c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = *.local
IE: Add to AMV Convert Tool... - c:\programme\MP3 Player Utilities 3.78\AMVConverter\grab.html
IE: Add to AMV Converter... - c:\programme\MP3 Player Utilities 4.09\AMVConverter\grab.html
IE: MediaManager tool grab multimedia file - c:\programme\MP3 Player Utilities 4.09\MediaManager\grab.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
c:\windows\Downloaded Program Files\Rawflow.ocx - O16 -: {029FDBA6-3547-11D7-AA4C-0050BF051A00}
hxxp://213.200.64.229/freestream/download/energy/sachsen/p2p/Rawflow.cab
O16 -: {1ED48504-8834-11D5-AC75-0008C73FD642} - file:///C:/Programme/proeWildfire%203.0/i486_nt/obj/pvx_install.exe
O16 -: {DE625294-70E6-45ED-B895-CFFA13AEB044} - hxxp://134.109.68.116/activex/AMC.cab
c:\windows\Downloaded Program Files\setup.inf
FF - ProfilePath - c:\dokumente und einstellungen\Isabell Hoffmann\Anwendungsdaten\Mozilla\Firefox\Profiles\4cy8slmd.default\
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: network.proxy.ftp - 134.109.84.128
FF - prefs.js: network.proxy.ftp_port - 21
FF - prefs.js: network.proxy.http - 134.109.84.128
FF - prefs.js: network.proxy.http_port - 6588
FF - prefs.js: network.proxy.type - 1
FF - plugin: c:\programme\Mozilla Firefox\plugins\npGoogleGadgetPluginFirefoxWin.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npPandoWebInst.dll
FF - plugin: c:\programme\Opera\program\plugins\npagent.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-16 12:58:53
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\programme\Cisco Systems\VPN Client\cvpnd.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\taskmgr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-12-16 13:04:08 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-12-16 12:04:06
Vor Suchlauf: 7,806,947,328 Bytes frei
Nach Suchlauf: 7,812,026,368 Bytes frei
296 --- E O F --- 2008-12-12 00:09:54
im Anhang befindet sich das Malware logfile
und hier das hijack this logfile:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:09:29, on 16.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Elantech\Ktp.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\explorer.exe
C:\Programme\Opera\opera.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [KTPWare] C:\Programme\Elantech\Ktp.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programme\MP3 Player Utilities 3.78\AMVConverter\grab.html
O8 - Extra context menu item: Add to AMV Converter... - C:\Programme\MP3 Player Utilities 4.09\AMVConverter\grab.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programme\MP3 Player Utilities 4.09\MediaManager\grab.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://213.200.64.229/freestream/download/energy/sachsen/p2p/Rawflow.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1ED48504-8834-11D5-AC75-0008C73FD642} - file:///C:/Programme/proeWildfire%203.0/i486_nt/obj/pvx_install.exe
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab
O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - http://134.109.68.116/activex/AMC.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
--
End of file - 6480 bytes
und entsprechend die uninstall liste
Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742)
Adobe Flash Player 10 Plugin
Adobe Flash Player 9 ActiveX
Adobe Reader 8.1.2 - Deutsch
AnalogX Proxy
AVG Free 8.0
AXIS Media Control Embedded
BlueSoleil
DC++ 0.707
Dev-C++ 5 beta 9 release (4.9.9.2)
Driver Updater Pro
Driver Updater Pro
Foxit Reader
Google Earth
GPL Ghostscript 8.61
GPL Ghostscript Fonts
HijackThis 2.0.2
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix für Windows Internet Explorer 7 (KB947864)
Hotfix für Windows Media Player 11 (KB939683)
Hotfix für Windows XP (KB952287)
HP Photo and Imaging 2.0 - All-in-One
HP Photo and Imaging 2.0 - All-in-One Drivers
HP Photo and Imaging 2.0 - hp psc 1200 series
hp psc 1200 series
HP PSC 1400 series
ICQ6.5
Intel(R) PROSet/Wireless Software
InterActual Player
J2SE Runtime Environment 5.0 Update 10
J2SE Runtime Environment 5.0 Update 11
Java(TM) 6 Update 2
Java(TM) 6 Update 3
Java(TM) SE Runtime Environment 6 Update 1
Jump Player
KTP Ware PS/2-WDM 5.0.0.1
Malwarebytes' Anti-Malware
mCore
mDriver
mDrWiFi
mHelp
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0 Language Pack - DEU
Microsoft .NET Framework 2.0 Service Pack 1
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office Professional Edition 2003
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
Miranda Fusion 2.0.2
mIWA
mLogView
mMHouse
Motorola SM56 Data Fax Modem
Mozilla Firefox (3.0.4)
mPfMgr
mPfWiz
mProSafe
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MSXML 6.0 Parser (KB933579)
Multimedia / Internet Keyboard Driver VerR8.15
mWlsSafe
mXML
mZConfig
Nero Suite
Network Stumbler 0.4.0 (remove only)
Opera 9.62
Pando
PowerDVD
Pro/ENGINEER Release Wildfire 3.0 Datecode M090
PTC ProductView Express - Wildfire 3.0 (M010)
QuickTime
Realtek AC'97 Audio
Sicherheitsupdate für Step by Step Interactive Training (KB898458)
Sicherheitsupdate für Step by Step Interactive Training (KB923723)
Sicherheitsupdate für Windows Internet Explorer 7 (KB928090)
Sicherheitsupdate für Windows Internet Explorer 7 (KB931768)
Sicherheitsupdate für Windows Internet Explorer 7 (KB933566)
Sicherheitsupdate für Windows Internet Explorer 7 (KB937143)
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)
Sicherheitsupdate für Windows Internet Explorer 7 (KB939653)
Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)
Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player 10 (KB917734)
Sicherheitsupdate für Windows Media Player 11 (KB936782)
Sicherheitsupdate für Windows Media Player 11 (KB954154)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Skype™ 3.6
SopCast 3.0.3
Spybot - Search & Destroy
TeamViewer 3
Trillian
Trust Webcam Live
TuneUp Utilities 2009
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
VIA Rhine-Family Fast Ethernet Adapter
VIA/S3G Display Driver
VLC media player 0.9.4
VPN Client
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Windows Media Player Firefox Plugin
Windows XP Service Pack 3
WinRAR Archivierer
Wolfram Notebook Indexer 1.1
WordToPDF 2.4
wäre super wenn man mir helfen könnte, danke jetz schonma