Trojaner TR/Drop.Agent.age |
||
---|---|---|
#0
| ||
27.12.2008, 14:57
Member
Themenstarter Beiträge: 12 |
#16
Hatte nur das beendet was "Arnold" meinte, was ich ausschalten sollte.
|
|
|
||
27.12.2008, 15:05
Member
Beiträge: 3716 |
#17
wenn du mit dem antivirscan durch bist, poste bite mal noch n neues hjt-log
|
|
|
||
27.12.2008, 15:23
Member
Themenstarter Beiträge: 12 |
#18
also hier der Report von AntiVir:
Avira AntiVir Personal Erstellungsdatum der Reportdatei: Samstag, 27. Dezember 2008 14:23 Es wird nach 1118432 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: **************** Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Boot Modus: Normal gebootet Benutzername: Besitzer Computername: BESITZER-09B973 Versionsinformationen: BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00 AVSCAN.EXE : 8.1.4.10 315649 Bytes 28.11.2008 08:26:10 AVSCAN.DLL : 8.1.4.0 48897 Bytes 28.07.2008 06:40:41 LUKE.DLL : 8.1.4.5 164097 Bytes 28.07.2008 06:40:42 LUKERES.DLL : 8.1.4.0 12545 Bytes 28.07.2008 06:40:42 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:59 ANTIVIR1.VDF : 7.1.1.33 1705984 Bytes 24.12.2008 13:23:09 ANTIVIR2.VDF : 7.1.1.34 2048 Bytes 24.12.2008 13:23:09 ANTIVIR3.VDF : 7.1.1.36 19456 Bytes 25.12.2008 13:23:10 Engineversion : 8.2.0.45 AEVDF.DLL : 8.1.0.6 102772 Bytes 15.10.2008 11:27:10 AESCRIPT.DLL : 8.1.1.19 336252 Bytes 13.12.2008 17:48:31 AESCN.DLL : 8.1.1.5 123251 Bytes 09.11.2008 11:31:17 AERDL.DLL : 8.1.1.3 438645 Bytes 09.11.2008 11:31:16 AEPACK.DLL : 8.1.3.4 393591 Bytes 15.11.2008 07:27:45 AEOFFICE.DLL : 8.1.0.33 196987 Bytes 13.12.2008 17:48:30 AEHEUR.DLL : 8.1.0.75 1524087 Bytes 13.12.2008 17:48:29 AEHELP.DLL : 8.1.2.0 119159 Bytes 28.11.2008 08:26:11 AEGEN.DLL : 8.1.1.8 323956 Bytes 13.12.2008 17:48:25 AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 11:27:01 AECORE.DLL : 8.1.5.2 172405 Bytes 30.11.2008 08:54:26 AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 11:26:59 AVWINLL.DLL : 1.0.0.12 15105 Bytes 28.07.2008 06:40:41 AVPREF.DLL : 8.0.2.0 38657 Bytes 28.07.2008 06:40:41 AVREP.DLL : 8.0.0.2 98344 Bytes 05.08.2008 19:03:41 AVREG.DLL : 8.0.0.1 33537 Bytes 28.07.2008 06:40:41 AVARKT.DLL : 1.0.0.23 307457 Bytes 28.04.2008 06:20:58 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 28.07.2008 06:40:41 SQLITE3.DLL : 3.3.17.1 339968 Bytes 28.04.2008 06:20:59 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 28.07.2008 06:40:42 NETNT.DLL : 8.0.0.1 7937 Bytes 28.04.2008 06:20:59 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 28.07.2008 06:40:31 RCTEXT.DLL : 8.0.52.0 86273 Bytes 28.07.2008 06:40:31 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: aus Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Samstag, 27. Dezember 2008 14:23 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'browser.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hpqgpc01.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hpqbam08.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hpqste08.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Notifier.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hposts08.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hpoevm08.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PROFIL~1.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sc_watch.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'kernel.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hpotdd01.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'InfoCockpit.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hpohmr08.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hpqtra08.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Msmsgs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hpwuSchd2.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ToADiMon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'apdproxy.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '46' Prozesse mit '46' Modulen durchsucht Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '65' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\Temp\sos61B.tmp [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49c939d5.qua' verschoben! C:\WINDOWS\Temp\sos61D.tmp [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48a71486.qua' verschoben! C:\WINDOWS\Temp\tmpAA6.tmp [FUND] Ist das Trojanische Pferd TR/Drop.Muldrop.PZO [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49c639d4.qua' verschoben! Ende des Suchlaufs: Samstag, 27. Dezember 2008 15:19 Benötigte Zeit: 56:00 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 10958 Verzeichnisse wurden überprüft 258880 Dateien wurden geprüft 3 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 3 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 258876 Dateien ohne Befall 2612 Archive wurden durchsucht 1 Warnungen 3 Hinweise und der HJ-Log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:22:31, on 27.12.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe C:\Programme\Java\jre6\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\MESSEN~1\Msmsgs.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqbam08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqgpc01.exe C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_6\BROWSER\BROWSER.EXE C:\Programme\Mozilla Firefox\firefox.exe c:\programme\antivir personaledition classic\avcenter.exe c:\programme\antivir personaledition classic\avscan.exe C:\WINDOWS\system32\notepad.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\Hewlett-Packard\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Programme\Hewlett-Packard\Digital Imaging\Smart Web Printing\hpswp_BHO.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [hpqSRMon] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqSRMon.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\PROGRA~1\MESSEN~1\Msmsgs.exe" /background O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL O9 - Extra button: HP Intelligente Auswahl - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Programme\Hewlett-Packard\Digital Imaging\Smart Web Printing\hpswp_BHO.dll O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{C9B43D99-D6C6-45F2-8B5B-BD9A594951B5}: NameServer = 217.237.149.142 217.237.150.205 O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe -- End of file - 6879 bytes |
|
|
||
27.12.2008, 15:30
Ehrenmitglied
Beiträge: 6028 |
#19
Dannn aktiviere diese beiden mal wieder
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) ComboFix(by sUBs) Download ComboFix und speichert es auf den Desktop! Schliesse alle Programme und Anwendungen mit Hintergrundwächtern inklusive der Firewall + Antivirusprogramme müssen deaktiviert sein Starte combofix.exe Note: Wenn ComboFix schon eher benutzt worden ist, kann es sein das eine Meldung kommt das es ein Update gibt Lass es zu das ComboFix ge-updatet wird Klicke OK im "NirCmd") Fenster klicke ja um Combofix zu starten Folge den Instruktionen in das Fenster Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt) nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen" Befolge diese Anleitung und installiere auch den Wiederherstellungskonsole __________ MfG Argus |
|
|
||
27.12.2008, 16:07
Member
Themenstarter Beiträge: 12 |
#20
Combofix:
ComboFix 08-12-26.03 - Besitzer 2008-12-27 15:52:09.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1023.580 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Besitzer\Desktop\ComboFix.exe AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Outdated) * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\IE4 Error Log.txt c:\windows\system32\hpowiax7.dll . ((((((((((((((((((((((( Dateien erstellt von 2008-11-27 bis 2008-12-27 )))))))))))))))))))))))))))))) . 2008-12-27 12:17 . 2008-12-27 12:33 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2008-12-27 12:17 . 2008-12-27 12:17 <DIR> d-------- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Malwarebytes 2008-12-27 12:17 . 2008-12-27 12:17 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-12-27 12:17 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2008-12-27 12:17 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2008-12-27 12:10 . 2008-12-27 12:10 <DIR> d-------- c:\programme\Java 2008-12-27 12:10 . 2008-12-27 12:10 410,984 --a------ c:\windows\system32\deploytk.dll 2008-12-27 12:10 . 2008-12-27 12:10 73,728 --a------ c:\windows\system32\javacpl.cpl 2008-12-27 01:39 . 2008-12-27 01:39 <DIR> d-------- c:\programme\Trend Micro 2008-12-23 11:28 . 2008-12-23 11:28 <DIR> d-------- C:\T-Online_Software_6 2008-12-18 13:54 . 2008-12-26 23:36 <DIR> d-------- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\HPAppData 2008-12-18 13:54 . 2008-12-18 13:54 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\HPSSUPPLY 2008-12-17 15:17 . 2008-12-17 15:17 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\WEBREG 2008-12-17 15:13 . 2008-12-17 15:13 <DIR> d-------- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\HP 2008-12-17 15:07 . 2008-12-17 15:07 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Hewlett-Packard 2008-12-17 15:07 . 2008-01-24 22:23 271,704 -ra------ c:\windows\system32\hpzids01.dll 2008-12-17 15:07 . 2007-10-20 18:25 118,272 --a------ c:\windows\system32\hpz3l5mu.dll 2008-12-17 15:00 . 2008-12-17 15:00 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\HP Product Assistant 2008-12-17 15:00 . 2008-12-17 15:01 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\HP 2008-12-17 14:59 . 2008-12-17 14:59 <DIR> d-------- c:\programme\Gemeinsame Dateien\HP 2008-12-17 14:56 . 2008-12-17 15:04 <DIR> d-------- c:\programme\HP 2008-12-17 14:53 . 2008-12-17 15:16 187,917 --a------ c:\windows\hpoins28.dat 2008-12-17 14:53 . 2008-07-01 05:02 796 --------- c:\windows\hpomdl28.dat 2008-12-17 14:52 . 2008-12-17 14:52 <DIR> d----c--- c:\windows\system32\DRVSTORE 2008-12-17 14:52 . 2008-01-24 22:22 581,632 -ra------ c:\windows\system32\hpotscl6.dll 2008-12-17 14:52 . 2008-01-24 22:22 372,736 -ra------ c:\windows\system32\hppldcoi.dll 2008-12-17 14:52 . 2008-01-24 22:22 309,760 -ra------ c:\windows\system32\difxapi.dll 2008-12-17 14:52 . 2008-01-24 22:22 303,104 -ra------ c:\windows\system32\hpovst15.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-12-27 14:57 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2008-12-17 14:00 --------- d-----w c:\programme\Hewlett-Packard 2008-12-10 14:33 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help 2007-01-03 12:36 33,880 ----a-w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2006-08-10 17:36 0 ----a-w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\wklnhst.dat 2008-12-22 07:13 67,688 ----a-w c:\programme\mozilla firefox\components\jar50.dll 2008-12-22 07:13 54,368 ----a-w c:\programme\mozilla firefox\components\jsd3250.dll 2008-12-22 07:13 34,944 ----a-w c:\programme\mozilla firefox\components\myspell.dll 2008-12-22 07:13 46,712 ----a-w c:\programme\mozilla firefox\components\spellchk.dll 2008-12-22 07:13 172,136 ----a-w c:\programme\mozilla firefox\components\xpinstal.dll 2007-03-07 10:13 8,192 --sha-w c:\windows\o2cLicStore.bin . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360] "MSMSGS"="c:\progra~1\MESSEN~1\Msmsgs.exe" [2005-08-31 1658592] "InfoCockpit"="c:\programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE" [2007-07-30 176128] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-12-01 7311360] "Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-06 57344] "avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-28 266497] "ToADiMon.exe"="c:\programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe" [2007-02-15 282624] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "HP Software Update"="c:\programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2008-03-25 49152] "hpqSRMon"="c:\programme\Hewlett-Packard\Digital Imaging\bin\hpqSRMon.exe" [2008-03-13 81920] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-27 136600] "SoundMan"="SOUNDMAN.EXE" [2005-12-14 c:\windows\SOUNDMAN.EXE] "nwiz"="nwiz.exe" [2005-12-01 c:\windows\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360] "InfoCockpit"="c:\programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE" [2007-07-30 176128] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ HP Digital Imaging Monitor.lnk - c:\programme\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe [2008-03-25 214360] hp psc 1000 series.lnk - c:\programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2003-04-06 147456] hpoddt01.exe.lnk - c:\programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-04-06 28672] Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360] [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Messenger\\Msmsgs.exe"= "c:\\Programme\\T-Online\\T-Online_Software_6\\eMail\\Mail.exe"= "c:\\AVA\\WESA3\\HAG8\\HOAI\\MSBTB\\btb.exe"= "c:\\Programme\\Rowa-Soft GmbH\\Bauphys\\bin\\bauphys.exe"= "c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"= "c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpqtra08.exe"= "c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpqste08.exe"= "c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hposid01.exe"= "c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpqscnvw.exe"= "c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpqkygrp.exe"= "c:\\Programme\\Hewlett-Packard\\Digital Imaging\\Unload\\HpqPhUnl.exe"= "c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpiscnapp.exe"= "c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpqpsapp.exe"= "c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpqpse.exe"= "c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpqsudi.exe"= "c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpqgplgtupl.exe"= "c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpqgpc01.exe"= S3 MIINPazX;MIINPazX NDIS Protocol Driver;\??\c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-08-24 17152] S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;\??\c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2005-11-24 17536] S3 TNPacket;T-Systems Nova Packet Capture Driver;\??\c:\programme\T-DSL SpeedManager\TNPACKET.SYS [2004-03-11 9696] S4 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"c:\programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" [] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12 hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc . Inhalt des "geplante Tasks" Ordners 2006-12-03 c:\windows\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1155295674.job - c:\programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-05 23:52] . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKLM-Run-NWEReboot - (no file) . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.t-online.de/ IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000 IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000 FF - ProfilePath - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\6020uwng.default\ FF - component: c:\programme\Hewlett-Packard\Digital Imaging\Smart Web Printing\MozillaAddOn2\components\hpClipBook.dll FF - component: c:\programme\Hewlett-Packard\Digital Imaging\Smart Web Printing\MozillaAddOn2\components\hpClipBookDB.dll FF - component: c:\programme\Hewlett-Packard\Digital Imaging\Smart Web Printing\MozillaAddOn2\components\hpSmartSelect.dll FF - component: c:\programme\Hewlett-Packard\Digital Imaging\Smart Web Printing\MozillaAddOn2\components\hpSmartWebPrinting.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-12-27 15:57:08 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... ************************************************************************** . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\AntiVir PersonalEdition Classic\sched.exe c:\programme\AntiVir PersonalEdition Classic\avguard.exe c:\programme\Java\jre6\bin\jqs.exe c:\programme\T-Online\T-Online_Software_6\Info-Cockpit\InfoCockpit.exe c:\windows\system32\wbem\wmiapsrv.exe c:\programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe c:\programme\Hewlett-Packard\Digital Imaging\bin\hposts08.exe c:\windows\system32\wscntfy.exe c:\programme\Hewlett-Packard\Digital Imaging\bin\hpqste08.exe c:\programme\Hewlett-Packard\Digital Imaging\bin\hpqbam08.exe c:\programme\Hewlett-Packard\Digital Imaging\bin\hpqgpc01.exe c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE c:\progra~1\T-Online\T-ONLI~1\Notifier\Notifier.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-12-27 16:04:47 - PC wurde neu gestartet [Besitzer] ComboFix-quarantined-files.txt 2008-12-27 15:03:29 Vor Suchlauf: 18 Verzeichnis(se), 229.604.728.832 Bytes frei Nach Suchlauf: 18 Verzeichnis(se), 234,577,121,280 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect /usepmtimer 1633 --- E O F --- 2008-12-21 22:33:13 |
|
|
||
27.12.2008, 16:19
Ehrenmitglied
Beiträge: 6028 |
#21
Start > Ausführen> Kopiere rein ComboFix /U OK
Ändere diesen Wert im Registry [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 >>0 __________ MfG Argus |
|
|
||
27.12.2008, 16:24
Member
Themenstarter Beiträge: 12 |
#22
ComboFix wurde deinstalliert, wo finde ich das Registry?
|
|
|
||
27.12.2008, 16:26
Ehrenmitglied
Beiträge: 6028 |
||
|
||
27.12.2008, 16:32
Member
Themenstarter Beiträge: 12 |
#24
ok habe ich gemacht und nun? ist alles runter?
|
|
|
||
27.12.2008, 16:59
Ehrenmitglied
Beiträge: 6028 |
||
|
||
27.12.2008, 17:08
Member
Themenstarter Beiträge: 12 |
#26
habe ich jetzt auch erledigt. gibt es noch was zu beachten?
Dieser Beitrag wurde am 27.12.2008 um 17:25 Uhr von OleH editiert.
|
|
|
||