wcault.exe ??? entfernen? |
||
---|---|---|
#0
| ||
05.01.2009, 16:09
...neu hier
Beiträge: 8 |
||
|
||
05.01.2009, 16:25
Moderator
Beiträge: 5694 |
#2
>>
Wende CCleaner an >> Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log: (Vor der Anwendung Update nicht vergessen) http://virus-protect.org/artikel/tools/malwarebytes.html >> Erstelle ein HiJACKThis Log und poste es hier: http://virus-protect.org/hjtkurz.html Gruss Swiss |
|
|
||
05.01.2009, 18:52
...neu hier
Themenstarter Beiträge: 8 |
#3
danke für die rasche antwort...
hier mal das was bei malwarebytes gefunden wurde, also eig. garnichts konnte auch nichts löschen... Malwarebytes' Anti-Malware 1.32 Datenbank Version: 1618 Windows 5.1.2600 Service Pack 3 05.01.2009 18:50:52 mbam-log-2009-01-05 (18-50-52).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 125002 Laufzeit: 1 hour(s), 16 minute(s), 41 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) und hier das von hjackthis Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:53:44, on 05.01.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\Programme\Intel\Wireless\Bin\WLKeeper.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Symantec AntiVirus\DefWatch.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Microsoft SQL Server\MSSQL$MESONIC\Binn\sqlservr.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\Programme\Symantec AntiVirus\Rtvscan.exe C:\WINDOWS\Explorer.EXE C:\Programme\Adobe\Photoshop Elements 4.0\apdproxy.exe C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Keyboard Manager\Manager Utility\KeyboardManager.exe C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe C:\WINDOWS\system32\igfxext.exe C:\Programme\Intel\Wireless\Bin\EOUWiz.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\PROGRA~1\SYMANT~1\VPTray.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\ICQ6.5\ICQ.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Malwarebytes' Anti-Malware\mbam.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.puls4.com/home R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = W2K3-ISA-nb1:8080 R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file) O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Elements 4.0\apdproxy.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe O4 - HKLM\..\Run: [Keyboard Manager Utility] "C:\Programme\Keyboard Manager\Manager Utility\KeyboardManager.exe" /lang DE /H O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [EOUApp] "C:\Programme\Intel\Wireless\Bin\EOUWiz.exe" O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Generic Host] wauclt.exe O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\Programme\Mozilla Firefox\plugins\GetFlash.exe -p O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-AT/a-UNO1/GAME_UNO1.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1161693109984 O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe -- End of file - 10332 bytes |
|
|
||
05.01.2009, 20:27
Moderator
Beiträge: 5694 |
#4
>>
Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind) Zitat R3 - URLSearchHook: (no name) - - (no file)und wähle fix checked. Starte den Rechner neu. >> Wende Combofix an und poste das Log: http://www.virus-protect.org/artikel/tools/combofix.html Gruss Swiss |
|
|
||
05.01.2009, 21:05
...neu hier
Themenstarter Beiträge: 8 |
#5
huch...danke, dürfte geklappt haben, die aufforderung bei windowsstart ist nun weg, gibt es auch einen weg zu überprüfen, ob der trojaner, sofern es einer war, auch wirklich weg ist???
od.ist das jz sicher?? lg |
|
|
||
05.01.2009, 21:08
Moderator
Beiträge: 5694 |
#6
Ja du hast Dir was eingefangen deshalb mach noch folgendes:
Zitat >>Gruss Swiss |
|
|
||
05.01.2009, 21:30
...neu hier
Themenstarter Beiträge: 8 |
#7
ComboFix 09-01-05.02 - Administrator 2009-01-05 21:26:48.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1022.491 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Administrator.MAXDATA-MASTER\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\wauclt.exe . ((((((((((((((((((((((( Dateien erstellt von 2008-12-05 bis 2009-01-05 )))))))))))))))))))))))))))))) . 2009-01-05 18:53 . 2009-01-05 18:53 <DIR> d-------- c:\programme\Trend Micro 2009-01-05 17:25 . 2009-01-05 17:25 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2009-01-05 17:25 . 2009-01-05 17:25 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-01-05 17:25 . 2009-01-05 17:25 <DIR> d-------- c:\dokumente und einstellungen\Administrator.MAXDATA-MASTER\Anwendungsdaten\Malwarebytes 2009-01-05 17:25 . 2009-01-04 18:38 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-01-05 17:25 . 2009-01-04 18:38 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-01-05 17:17 . 2009-01-05 17:17 <DIR> d-------- c:\programme\CCleaner 2009-01-05 15:15 . 2009-01-05 15:15 <DIR> d-------- C:\!KillBox 2009-01-02 21:44 . 2009-01-02 21:44 <DIR> d-------- c:\programme\ICQ6Toolbar 2009-01-02 21:44 . 2009-01-02 21:44 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ 2009-01-02 21:42 . 2009-01-02 21:45 <DIR> d-------- c:\programme\ICQ6.5 2009-01-02 21:05 . 2009-01-02 21:05 <DIR> d--h----- c:\windows\system32\GroupPolicy 2008-12-18 22:31 . 2009-01-05 17:15 <DIR> d-------- c:\dokumente und einstellungen\Administrator.MAXDATA-MASTER\Anwendungsdaten\skypePM 2008-12-18 22:31 . 2009-01-05 21:04 <DIR> d-------- c:\dokumente und einstellungen\Administrator.MAXDATA-MASTER\Anwendungsdaten\Skype 2008-12-18 22:31 . 2008-12-18 22:31 56 --ah----- c:\windows\system32\ezsidmv.dat 2008-12-18 22:30 . 2008-12-18 22:30 <DIR> d-------- c:\programme\Gemeinsame Dateien\Skype 2008-12-18 22:30 . 2008-12-18 22:30 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype 2008-12-14 21:02 . 2009-01-02 20:42 <DIR> d-a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP 2008-12-13 18:58 . 2008-12-13 18:58 <DIR> d-------- c:\programme\MSECache 2008-12-13 18:50 . 2008-12-14 19:32 <DIR> d-------- c:\dokumente und einstellungen\Administrator.MAXDATA-MASTER\Anwendungsdaten\U3 . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2060-08-18 17:02 1,496,064 -c----w c:\windows\system32\Cc3250mt.dll 2060-08-18 16:40 909,824 -c----w c:\windows\system32\Cp3245mt.dll 2060-08-18 16:40 24,064 -c----w c:\windows\system32\Borlndmm.dll 2009-01-05 20:01 --------- d-----w c:\programme\Symantec AntiVirus 2009-01-05 18:49 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-01-02 20:44 --------- d--h--w c:\programme\InstallShield Installation Information 2009-01-02 20:43 --------- d-----w c:\dokumente und einstellungen\Administrator.MAXDATA-MASTER\Anwendungsdaten\ICQ 2009-01-02 19:30 --------- d-----w c:\programme\Ebner 2009-01-02 19:29 --------- d-----w c:\programme\Google 2008-12-18 21:30 --------- d-----w c:\programme\Skype 2008-12-18 18:57 --------- d-----w c:\programme\Windows Live Toolbar 2008-12-18 18:57 --------- d-----w c:\programme\Windows Live 2008-12-16 10:33 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\WLInstaller 2008-12-14 20:10 --------- d-----w c:\programme\Spybot - Search & Destroy 2008-11-16 12:57 --------- d-----w c:\dokumente und einstellungen\Administrator.MAXDATA-MASTER\Anwendungsdaten\LimeWire 2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll 2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll 2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll 2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll 2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll 2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll 2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe 2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll 2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll 2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll 2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll 2008-10-16 01:00 671,744 ----a-w c:\windows\system32\wininet.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232] "SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296] "Skype"="c:\programme\Skype\Phone\Skype.exe" [2008-11-07 21633320] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-04-20 155648] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-04-20 126976] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Elements 4.0\apdproxy.exe" [2005-09-09 57344] "SunJavaUpdateSched"="c:\programme\Java\jre1.5.0_04\bin\jusched.exe" [2005-06-03 36975] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-04-07 7405568] "Keyboard Manager Utility"="c:\programme\Keyboard Manager\Manager Utility\KeyboardManager.exe" [2006-06-01 1196032] "IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-28 667718] "IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-12-28 602182] "EOUApp"="c:\programme\Intel\Wireless\Bin\EOUWiz.exe" [2005-12-28 569413] "ccApp"="c:\programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2006-03-07 53408] "vptray"="c:\progra~1\SYMANT~1\VPTray.exe" [2006-03-31 125584] "RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2005-01-12 32768] "QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-05-27 413696] "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-06-02 267048] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672] "nwiz"="nwiz.exe" [2006-04-07 c:\windows\system32\nwiz.exe] "High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" [2006-06-01 c:\windows\system32\CHDAudPropShortcut.exe] "BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 c:\windows\system32\bthprops.cpl] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Service Manager.lnk - c:\programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe [2002-12-17 74308] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.l3codecp"= l3codecp.acm [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= "c:\\Programme\\Mozilla Firefox\\firefox.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\ICQ6.5\\ICQ.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2008-09-12 99376] R4 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [2009-01-02 222456] R4 MSSQL$MESONIC;MSSQL$MESONIC;c:\programme\Microsoft SQL Server\MSSQL$MESONIC\Binn\sqlservr.exe -sMESONIC --> c:\programme\Microsoft SQL Server\MSSQL$MESONIC\Binn\sqlservr.exe -sMESONIC [?] S3 SavRoam;SAVRoam;c:\programme\Symantec AntiVirus\SavRoam.exe [2006-03-31 119952] S3 SQLAgent$MESONIC;SQLAgent$MESONIC;c:\programme\Microsoft SQL Server\MSSQL$MESONIC\Binn\sqlagent.EXE -i MESONIC --> c:\programme\Microsoft SQL Server\MSSQL$MESONIC\Binn\sqlagent.EXE -i MESONIC [?] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F] \Shell\AutoRun\command - F:\LaunchU3.exe -a [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1a925f02-a4bf-11dc-b076-000df02ce90a}] \Shell\AutoRun\command - F:\AutoTransfer.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fa666cef-c93d-11dd-b1f8-000df02ce90a}] \Shell\AutoRun\command - F:\LaunchU3.exe -a . Inhalt des "geplante Tasks" Ordners 2008-12-16 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 14:57] . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKCU-Run-MsnMsgr - c:\programme\Windows Live\Messenger\MsnMsgr.Exe . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.puls4.com/home uInternet Settings,ProxyServer = W2K3-ISA-nb1:8080 uInternet Settings,ProxyOverride = <local> IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 Trusted Zone: www.websingles.at FF - ProfilePath - c:\dokumente und einstellungen\Administrator.MAXDATA-MASTER\Anwendungsdaten\Mozilla\Firefox\Profiles\5h3oar9p.default\ FF - prefs.js: browser.search.selectedEngine - ICQ Search FF - prefs.js: browser.startup.homepage - hxxp://www.studivz.net/ FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q= FF - component: c:\programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll FF - plugin: c:\dokumente und einstellungen\Administrator.MAXDATA-MASTER\Anwendungsdaten\Mozilla\Firefox\Profiles\5h3oar9p.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp07100121.dll FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPJava11.dll FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPJava12.dll FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPJava13.dll FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPJava14.dll FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPJava32.dll FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPJPI150_04.dll FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPOJI610.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-01-05 21:27:55 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(760) c:\programme\Intel\Wireless\Bin\SsoGnDEU.dll . Zeit der Fertigstellung: 2009-01-05 21:29:05 ComboFix-quarantined-files.txt 2009-01-05 20:28:47 Vor Suchlauf: 24 Verzeichnis(se), 56.993.415.168 Bytes frei Nach Suchlauf: 24 Verzeichnis(se), 56,940,724,224 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(3)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(3)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect 173 --- E O F --- 2008-12-21 17:52:10 hoff ich habs richtig gemacht gg |
|
|
||
05.01.2009, 21:41
Moderator
Beiträge: 5694 |
#8
>>
TeaTimer deaktivieren: Starte Spybot S&D --> klicke auf "Modus" --> hake an "Erweiterte Modus" --> mit "Ja" bestätigen --> klicke auf "Werkzeuge" --> klicke auf "Resident" --> das Häkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen) --> beende Spybot S&D. (der TeaTimer be- bzw. verhindert alle weiteren Reinigungmaßnahmen!) >> Combofix entfernen: Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" (oder, wenn es nicht funktioniert: C:\QooBox löschen) >> Lasse folgende Datei bei www.VIRUSTOTAL.com/de prüfen und poste das Ergebnis: c:\windows\system32\Borlndmm.dll Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren >> Systemwiederherstellung deaktivieren (XP): Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. dann das Häkchen wieder rausnehmen. (also wieder aktivieren) Gruss Swiss |
|
|
||
05.01.2009, 22:16
...neu hier
Themenstarter Beiträge: 8 |
#9
bei dem teatimer war kein häkchen mehr....
u wie soll das mit systemwiederherstellung funktionieren? einfach einmal anklicken und dann soll ichs häkchen wiedergleich wegnehmen? od. dazwischen wasmachen? hier das von virus total Datei Borlndmm.dll empfangen 2009.01.05 22:13:16 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/38 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 3. Geschätzte Startzeit ist zwischen 54 und 77 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.73 2009.01.05 - AhnLab-V3 2009.1.5.3 2009.01.05 - AntiVir 7.9.0.45 2009.01.05 - Authentium 5.1.0.4 2009.01.05 - Avast 4.8.1281.0 2009.01.05 - AVG 8.0.0.199 2009.01.05 - BitDefender 7.2 2009.01.05 - CAT-QuickHeal 10.00 2009.01.05 - ClamAV 0.94.1 2009.01.05 - Comodo 878 2009.01.05 - DrWeb 4.44.0.09170 2009.01.05 - eTrust-Vet 31.6.6287 2009.01.01 - Ewido 4.0 2008.12.31 - F-Prot 4.4.4.56 2009.01.05 - F-Secure 8.0.14470.0 2009.01.05 - Fortinet 3.117.0.0 2009.01.05 - GData 19 2009.01.05 - Ikarus T3.1.1.45.0 2009.01.05 - K7AntiVirus 7.10.576 2009.01.05 - Kaspersky 7.0.0.125 2009.01.05 - McAfee 5486 2009.01.05 - McAfee+Artemis 5486 2009.01.05 - Microsoft 1.4205 2009.01.05 - NOD32 3739 2009.01.05 - Norman 5.80.02 2009.01.02 - Panda 9.0.0.4 2009.01.05 - PCTools 4.4.2.0 2009.01.05 - Prevx1 V2 2009.01.05 - Rising 21.11.02.00 2009.01.05 - SecureWeb-Gateway 6.7.6 2009.01.05 - Sophos 4.37.0 2009.01.05 - Sunbelt 3.2.1809.2 2008.12.22 - Symantec 10 2009.01.05 - TheHacker 6.3.1.4.205 2009.01.05 - TrendMicro 8.700.0.1004 2009.01.05 - VBA32 3.12.8.10 2009.01.05 - ViRobot 2009.1.5.1544 2009.01.05 - VirusBuster 4.5.11.0 2009.01.05 - weitere Informationen File size: 24064 bytes MD5...: 17e26509ed79fb7472b67b7b601d8083 SHA1..: e0d7abe418b34c76d8f450f470863e5af36bdd5b SHA256: 70982330f92d749b0ec3ed7f1eb2fc30fbbc468190274e8f6b1ff125e4aee5c6 SHA512: 4e34439c158ae8f3d90844ee25c47cb7dd8468c5b78997405abf67fe05a46a8a a9810b1b7ee5e89ef46adf4aad9a67095d86ffff14ebe58cd416d2378f2e3b57 ssdeep: 384:ekGYqXKIEo2POCbtXTD0irkB5GH4FRgqRauWqX51mXBEeAQce3:tGYqXFEo2 mCbtDD9oWHyRgq8qXCKeA+ PEiD..: - TrID..: File type identification Win32 Executable Generic (68.0%) Generic Win/DOS Executable (15.9%) DOS Executable Generic (15.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x4100500c timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992) machinetype.......: 0x14c (I386) ( 7 sections ) name viradd virsiz rawdsiz ntrpy md5 CODE 0x1000 0x43a0 0x4400 6.27 25afe279c091bc12269ccc2ad8f29975 DATA 0x6000 0xd0 0x200 2.01 570fe418430fc8cc1414e0ea1ba97e6d BSS 0x7000 0x551 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .idata 0x8000 0x59e 0x600 4.18 611cbe307f71dad5d536014cdcf04c97 .edata 0x9000 0x192 0x200 4.14 a27323328683e24721edd247117d96d0 .reloc 0xa000 0x4d0 0x600 5.89 108f6f4bcf4f5269928477882cba2b89 .rsrc 0xb000 0x600 0x600 2.80 0d99a13c4f1fae97799822f45acbb705 ( 7 imports ) > kernel32.dll: GetCurrentThreadId, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, VirtualQuery, lstrlenA, lstrcpyA, LoadLibraryExA, GetThreadLocale, GetStartupInfoA, GetModuleFileNameA, GetLocaleInfoA, GetLastError, GetCommandLineA, FreeLibrary, ExitProcess, WriteFile, SetFilePointer, SetEndOfFile, RtlUnwind, ReadFile, RaiseException, GetStdHandle, GetFileSize, GetFileType, CreateFileA, CloseHandle > user32.dll: GetKeyboardType, MessageBoxA > advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey > oleaut32.dll: VariantClear > kernel32.dll: TlsSetValue, TlsGetValue, TlsFree, TlsAlloc, LocalFree, LocalAlloc, GetModuleFileNameA > kernel32.dll: InterlockedIncrement, InterlockedDecrement > kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc ( 12 exports ) @Borlndmm@HeapAddRef$qqrv, @Borlndmm@HeapRelease$qqrv, @Borlndmm@SysFreeMem$qqrpv, @Borlndmm@SysGetMem$qqri, @Borlndmm@SysReallocMem$qqrpvi, DumpBlocks, FreeMemory, GetAllocMemCount, GetAllocMemSize, GetHeapStatus, GetMemory, ReallocMemory CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=17e26509ed79fb7472b67b7b601d8083' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=17e26509ed79fb7472b67b7b601d8083</a> |
|
|
||
05.01.2009, 23:34
Ehrenmitglied
Beiträge: 6028 |
#10
Deaktivierung der Systemwiederherstellung von Windows XP:
Das geschieht in folgenden Schritten. 1. rechte Maustaste auf Arbeitsplatz, Eigenschaften wählen. 2. Systemwiederherstellung wählen und Systemwiederherstellung auf allen Laufwerken deaktivieren wählen. 3.Diesen Vorgang mit OK bestätigen. Rechner Neu starten Dasselbe nochmal und jetzt den haken wieder entfernen __________ MfG Argus |
|
|
||
05.01.2009, 23:40
...neu hier
Themenstarter Beiträge: 8 |
#11
und dann is erledigt?
|
|
|
||
06.01.2009, 00:04
Moderator
Beiträge: 5694 |
||
|
||
06.01.2009, 09:34
...neu hier
Themenstarter Beiträge: 8 |
#13
na passt, ja, die meldung is weg u sonst war daweil eigentlich noch nix!!!
AUFJEDENFALL danke danke # lg |
|
|
||
06.01.2009, 09:45
Ehrenmitglied
Beiträge: 6028 |
#14
Entferne auf C:\!KillBox
Java Dein Java software ist veraltet, Download Java Runtime Environment (JRE) 6u11 zum Desktop Entferne ueber "Start -> Einstellungen -> Systemsteuerung -> Software Die aeltere Versionen von Java Runtime Environment (JRE of J2SE) Nachdem alles entfernt wurde --->Rechner neu starten Schliesse alle Programme auch dein Webbrowser Installiere jetzt vom Desktop aus ---> jre-6u11-windows-i586-p-s.exe __________ MfG Argus |
|
|
||
habe ein kleines problem,hab auch schon dieses forum durchgesucht, aber nichts brauchbares gefunden.
Ich dürfte mir einen trojaner eingefangen haben
wcault.exe
aufforderung kommen, wenn ich windows starte, eine sicherheitswarunung, ob ich es öffnen möchte oder nicht...
hab natürlich alles versucht, es zu finden, löschen, usw...natürlich kein erfolg
nach einigen google versuchen, wurde ich zwar fündig, aber nur mit aufforderungen ein bestimmtes programm entgeltlich zu erwerben od. eine systemwiederherstellung, die ich eig. nicht machen wollte, weil ich mich zu wenig auskenne mit backups od. was weiß ich was da alles dazu gehört
viell. kann mir wer helfen?
habe xp professional
lg claudia