bitte dringend :weil ich ein richtig heftiges ding drauf habe!!! |
||
---|---|---|
#0
| ||
16.01.2009, 15:37
Member
Themenstarter Beiträge: 29 |
#16
bei der letzen (c:\windows\UserConfigs\Torbo\Anwendungsdaten\cogad\cogad.exe) wurde nichts gefunden
|
|
|
||
16.01.2009, 17:00
Moderator
Beiträge: 5694 |
#17
Das kann ich fast nicht glauben?!? Lass es noch bei www.jotti.org
prüfen. Dannach lade Combofix erneut auf den Desktop und dannach machw folgende: >> Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern Zitat KILLALL::Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden. cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen >> danach: Combofix noch einmal anwenden und Log posten Gruss Swiss >> poste das Neue Log von Combofix >> wende das an + poste das komplette Log http://virus-protect.org/datfindcompl.html >> Stell dein Avira so ein wie hier beschrieben und poste das Ergebnis: http://board.protecus.de/t23979.htm Gruss Swiss Dieser Beitrag wurde am 16.01.2009 um 17:04 Uhr von Tonstudio editiert.
|
|
|
||
16.01.2009, 20:52
Member
Themenstarter Beiträge: 29 |
#18
ComboFix 09-01-15.01 - Torbo 2009-01-16 18:41:51.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.1.1252.1.1031.18.2943.2413 [GMT 1:00] ausgeführt von:: c:\windows\UserConfigs\Torbo\Desktop\ComboFix.exe Benutzte Befehlsschalter :: c:\windows\UserConfigs\Torbo\Desktop\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\UserConfigs\Torbo\Anwendungsdaten\twain\Twain.exe c:\windows\UserConfigs\Torbo\Lokale Einstellungen\Temporary Internet Files\bestwiner.stt c:\windows\UserConfigs\Torbo\Lokale Einstellungen\Temporary Internet Files\CPV.stt c:\windows\UserConfigs\Torbo\Lokale Einstellungen\Temporary Internet Files\fbk.sts . ((((((((((((((((((((((( Dateien erstellt von 2008-12-16 bis 2009-01-16 )))))))))))))))))))))))))))))) . 2009-01-15 14:32 . 2009-01-16 19:49 <DIR> d-------- c:\windows\UserConfigs\Torbo\Anwendungsdaten\Hamachi 2009-01-15 14:32 . 2009-01-15 14:32 <DIR> d-------- c:\programme\Hamachi 2009-01-15 14:32 . 2009-01-15 14:32 25,280 --a------ c:\windows\system32\drivers\hamachi.sys 2009-01-15 13:50 . 2007-03-01 02:54 109,248 --a------ c:\windows\system32\MSWINSCK.OCX 2009-01-14 20:16 . 2009-01-14 20:16 <DIR> d-------- c:\windows\ERUNT 2009-01-14 20:15 . 2009-01-14 22:57 <DIR> d-------- C:\SDFix 2009-01-14 20:00 . 2009-01-04 11:47 <DIR> d--h----- c:\windows\UserConfigs\Administrator\Vorlagen 2009-01-14 20:00 . 2009-01-04 11:40 <DIR> dr------- c:\windows\UserConfigs\Administrator\Startmenü 2009-01-14 20:00 . 2009-01-04 11:40 <DIR> d--h----- c:\windows\UserConfigs\Administrator\Netzwerkumgebung 2009-01-14 20:00 . 2009-01-04 11:40 <DIR> d--h----- c:\windows\UserConfigs\Administrator\Lokale Einstellungen 2009-01-14 20:00 . 2009-01-04 11:40 <DIR> d-------- c:\windows\UserConfigs\Administrator\Favoriten 2009-01-14 20:00 . 2009-01-04 11:40 <DIR> d--h----- c:\windows\UserConfigs\Administrator\Druckumgebung 2009-01-14 20:00 . 2009-01-04 11:40 <DIR> dr-h----- c:\windows\UserConfigs\Administrator\Anwendungsdaten 2009-01-14 20:00 . 2009-01-14 20:00 <DIR> d-------- c:\windows\UserConfigs\Administrator 2009-01-14 19:57 . 2009-01-14 19:57 1,529,241 --a------ C:\SDFix.exe 2009-01-14 19:54 . 2009-01-14 19:54 <DIR> d-------- c:\windows\UserConfigs\All Users\Anwendungsdaten\Avira 2009-01-14 19:54 . 2009-01-14 19:54 <DIR> d-------- c:\programme\Avira 2009-01-14 16:03 . 2009-01-14 16:03 84,418 --a------ c:\windows\UserConfigs\All Users\Anwendungsdaten\firstlsp.reg.dat 2009-01-14 13:45 . 2009-01-14 13:45 24,064 --a------ c:\windows\system32\pcload.exe 2009-01-13 17:13 . 2009-01-16 18:42 <DIR> d-------- c:\windows\UserConfigs\Torbo\Anwendungsdaten\Twain 2009-01-13 17:08 . 2009-01-14 17:27 <DIR> d-------- c:\programme\WebShow 2009-01-13 15:51 . 2003-07-17 01:17 5,174 --a------ c:\windows\system32\nppt9x.vxd 2009-01-13 15:51 . 2004-12-31 16:43 4,682 --a------ c:\windows\system32\npptNT2.sys 2009-01-12 21:53 . 2009-01-12 21:53 <DIR> d-------- C:\RunUp_SG 2009-01-12 19:03 . 2009-01-12 19:06 <DIR> d-------- c:\windows\UserConfigs\Torbo\Anwendungsdaten\SecondLife 2009-01-12 15:26 . 2009-01-12 15:26 <DIR> d-------- c:\windows\UserConfigs\Torbo\Anwendungsdaten\Malwarebytes 2009-01-12 15:26 . 2009-01-12 15:26 <DIR> d-------- c:\windows\UserConfigs\All Users\Anwendungsdaten\Malwarebytes 2009-01-12 15:26 . 2009-01-12 15:26 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2009-01-12 15:26 . 2009-01-04 18:38 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-01-12 15:26 . 2009-01-04 18:38 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-01-11 18:05 . 2009-01-11 18:37 241 --a------ c:\windows\wininit.ini 2009-01-11 17:32 . 2009-01-12 16:34 <DIR> d-------- c:\windows\UserConfigs\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-01-11 17:32 . 2009-01-12 13:23 <DIR> d-------- c:\programme\Spybot - Search & Destroy 2009-01-11 17:30 . 2009-01-11 17:30 <DIR> d-------- c:\programme\Includes 2009-01-11 17:25 . 2009-01-11 17:25 <DIR> d-------- c:\programme\CCleaner 2009-01-11 17:12 . 2009-01-11 17:12 <DIR> d-------- c:\windows\UserConfigs\Torbo\Anwendungsdaten\cogad 2009-01-11 17:12 . 2009-01-11 17:12 <DIR> d-------- c:\windows\system32\LNR 2009-01-11 17:12 . 2009-01-11 17:12 <DIR> d-------- c:\temp\tmp90 2009-01-11 17:12 . 2009-01-15 14:31 <DIR> d-------- C:\Temp 2009-01-11 17:10 . 2009-01-11 18:05 <DIR> d-------- c:\programme\Enigma Software Group 2009-01-11 14:59 . 2009-01-14 21:29 <DIR> d-------- c:\windows\UserConfigs\Torbo\Anwendungsdaten\codeblocks 2009-01-11 14:59 . 2009-01-11 14:59 <DIR> d-------- c:\programme\CodeBlocks 2009-01-11 11:37 . 2009-01-11 11:37 <DIR> d-------- c:\windows\UserConfigs\All Users\Anwendungsdaten\Electronic Arts 2009-01-11 11:37 . 2009-01-11 11:37 <DIR> d-------- C:\ProgramData 2009-01-09 13:58 . 2009-01-09 13:58 <DIR> d-------- C:\CrashReport 2009-01-09 13:47 . 2009-01-14 17:32 <DIR> d-------- c:\programme\Runes of Magic 2009-01-08 13:50 . 2009-01-08 13:50 96 --ah----- c:\windows\system32\HsInfo.dat 2009-01-06 18:19 . 2009-01-10 16:43 6,412 --a------ C:\Silver.clt 2009-01-05 16:47 . 2009-01-05 16:47 <DIR> d-------- c:\windows\UserConfigs\Torbo\temp 2009-01-05 16:47 . 2009-01-05 16:47 <DIR> d-------- c:\windows\UserConfigs\Torbo\Anwendungsdaten\TeamViewer 2009-01-05 15:45 . 2009-01-05 15:45 <DIR> dr-h----- c:\windows\UserConfigs\Torbo\Anwendungsdaten\SecuROM 2009-01-05 15:45 . 2009-01-05 15:45 107,888 --a------ c:\windows\system32\CmdLineExt.dll 2009-01-05 15:38 . 2009-01-16 16:02 <DIR> d-------- c:\programme\Electronic Arts 2009-01-05 14:02 . 2009-01-05 14:02 170 --a------ c:\windows\system32\spupdsvc.inf 2009-01-05 13:35 . 2005-10-20 23:33 1,003,008 --a------ c:\windows\system32\esent.dll 2009-01-04 21:20 . 2009-01-04 21:20 <DIR> d-------- c:\programme\Zattoo 2009-01-04 20:56 . 2009-01-04 20:57 <DIR> d-------- c:\windows\UserConfigs\Torbo\Anwendungsdaten\concept design 2009-01-04 20:56 . 2009-01-04 20:56 <DIR> d-------- c:\programme\concept design 2009-01-04 20:56 . 2006-05-21 15:15 966,144 --a------ c:\windows\system32\NCTAudioInformation2.dll 2009-01-04 20:56 . 2006-05-21 15:15 634,880 --a------ c:\windows\system32\NCTAudioEditor2.dll 2009-01-04 20:56 . 2006-05-21 15:15 522,752 --a------ c:\windows\system32\NCTAudioTransform2.dll 2009-01-04 20:56 . 2006-05-21 15:15 307,200 --a------ c:\windows\system32\msvcr70.dll 2009-01-04 20:56 . 2006-05-21 15:15 237,568 --a------ c:\windows\system32\lame_enc.dll 2009-01-04 20:35 . 2009-01-06 17:48 6,412 --a------ C:\Pokemon blue.clt 2009-01-04 19:32 . 2009-01-04 23:47 <DIR> d-------- c:\programme\Rollercoaster Rush 2009-01-04 19:02 . 2009-01-14 19:52 <DIR> d-a------ c:\windows\UserConfigs\All Users\Anwendungsdaten\TEMP 2009-01-04 19:02 . 2009-01-04 19:02 <DIR> d-------- c:\windows\UserConfigs\All Users\Anwendungsdaten\NevoSoft Games 2009-01-04 19:01 . 2009-01-04 19:01 <DIR> d-------- c:\windows\Farm Craft 2009-01-04 19:01 . 2009-01-04 19:01 <DIR> d-------- c:\programme\Farm Craft 2009-01-04 16:36 . 2009-01-04 16:36 <DIR> d-------- c:\windows\UserConfigs\All Users\Anwendungsdaten\Fugazo 2009-01-04 16:36 . 2009-01-04 16:36 <DIR> d-------- c:\programme\LeeGTs Games 2009-01-04 16:35 . 2009-01-04 17:19 19 --a------ c:\windows\popcinfo.dat 2009-01-04 16:26 . 2009-01-04 16:26 <DIR> d-------- c:\programme\Java 2009-01-04 16:26 . 2009-01-04 16:26 73,728 --a------ c:\windows\system32\javacpl.cpl 2009-01-04 16:24 . 2009-01-04 16:26 410,984 --a------ c:\windows\system32\deploytk.dll 2009-01-04 14:47 . 2009-01-04 14:47 <DIR> d-------- C:\games 2009-01-04 14:45 . 2009-01-04 14:45 <DIR> d-------- c:\windows\UserConfigs\All Users\Anwendungsdaten\Grisoft 2009-01-04 13:39 . 2009-01-04 14:26 <DIR> d-------- c:\windows\UserConfigs\Torbo\Anwendungsdaten\ICQ 2009-01-04 13:39 . 2009-01-04 13:39 <DIR> d-------- c:\windows\UserConfigs\All Users\Anwendungsdaten\ICQ 2009-01-04 13:39 . 2009-01-04 13:39 <DIR> d-------- c:\programme\ICQ6Toolbar 2009-01-04 13:39 . 2009-01-04 14:26 <DIR> d-------- c:\programme\ICQ6.5 2009-01-04 13:15 . 2002-08-29 03:43 286,720 --a------ c:\windows\system32\msh263.drv 2009-01-04 13:15 . 2006-02-14 10:24 217,728 -ra------ c:\windows\system32\drivers\bdacap.sys 2009-01-04 13:15 . 2006-01-11 09:29 114,688 -r------- c:\windows\system32\GLAPILIB.dll 2009-01-04 13:15 . 2002-08-29 03:43 50,176 --a------ c:\windows\system32\drivers\vfwwdm32.dll 2009-01-04 13:15 . 2001-08-18 04:53 45,568 --a------ c:\windows\system32\iyuv_32.dll 2009-01-04 13:15 . 2001-08-18 04:53 45,568 --a--c--- c:\windows\system32\dllcache\iyuv_32.dll 2009-01-04 13:15 . 2006-01-06 07:55 11,264 -ra------ c:\windows\system32\drivers\GLKbFilter.sys 2009-01-04 13:15 . 2001-08-18 04:54 8,192 --a------ c:\windows\system32\tsbyuv.dll 2009-01-04 13:15 . 2001-08-18 04:54 8,192 --a--c--- c:\windows\system32\dllcache\tsbyuv.dll 2009-01-04 13:15 . 2006-01-17 03:01 3,766 -ra------ c:\windows\system32\drivers\IRKEYMAP_1.SET 2009-01-04 13:10 . 2002-08-29 01:32 28,160 --a------ c:\windows\system32\drivers\usbccgp.sys 2009-01-04 13:10 . 2002-08-29 01:32 28,160 --a--c--- c:\windows\system32\dllcache\usbccgp.sys 2009-01-04 13:10 . 2001-08-18 04:19 14,080 --a------ c:\windows\system32\drivers\kbdhid.sys 2009-01-04 13:10 . 2001-08-18 04:19 14,080 --a--c--- c:\windows\system32\dllcache\kbdhid.sys 2009-01-04 13:07 . 2004-07-01 23:08 360,448 --a--c--- c:\windows\system32\dllcache\qmgr.dll 2009-01-04 13:07 . 2004-07-01 23:08 331,776 --a------ c:\windows\system32\winhttp.dll 2009-01-04 13:07 . 2004-07-01 23:08 331,776 --a--c--- c:\windows\system32\dllcache\winhttp.dll 2009-01-04 13:07 . 2004-07-01 23:08 17,408 --a------ c:\windows\system32\qmgrprxy.dll 2009-01-04 13:07 . 2004-07-01 23:08 17,408 --a--c--- c:\windows\system32\dllcache\qmgrprxy.dll 2009-01-04 13:07 . 2004-07-01 23:08 7,680 -----c--- c:\windows\system32\dllcache\bitsprx2.dll 2009-01-04 13:07 . 2004-07-01 23:08 7,680 --------- c:\windows\system32\bitsprx2.dll 2009-01-04 13:07 . 2004-07-01 23:08 7,168 -----c--- c:\windows\system32\dllcache\bitsprx3.dll 2009-01-04 13:07 . 2004-07-01 23:08 7,168 --------- c:\windows\system32\bitsprx3.dll 2009-01-04 13:04 . 2009-01-04 13:04 <DIR> d-------- c:\windows\UserConfigs\All Users\Anwendungsdaten\nView_Profiles 2009-01-04 13:03 . 2008-10-16 14:12 561,688 --a------ c:\windows\system32\wuapi.dll 2009-01-04 13:03 . 2008-10-16 14:12 323,608 --a------ c:\windows\system32\wucltui.dll 2009-01-04 13:03 . 2008-10-16 14:12 213,528 --a------ c:\windows\system32\wuaucpl.cpl 2009-01-04 13:03 . 2008-10-16 14:13 202,776 --a------ c:\windows\system32\wuweb.dll 2009-01-04 13:03 . 2004-08-03 14:05 186,648 --a------ c:\windows\system32\wuaueng1.dll 2009-01-04 13:03 . 2004-08-03 14:02 169,752 --a------ c:\windows\system32\wuauclt1.exe 2009-01-04 13:03 . 2008-10-16 14:08 34,328 --a------ c:\windows\system32\wups.dll 2009-01-04 13:01 . 2009-01-04 13:01 <DIR> d-------- c:\windows\UserConfigs\All Users\Anwendungsdaten\NVIDIA 2009-01-04 12:51 . 2009-01-04 12:51 940,794 --a------ c:\windows\system32\LoopyMusic.wav 2009-01-04 12:51 . 2009-01-04 12:51 146,650 --a------ c:\windows\system32\BuzzingBee.wav 2009-01-04 12:49 . 2009-01-04 12:49 <DIR> d-------- C:\WUTemp 2009-01-04 12:49 . 2009-01-04 12:50 <DIR> d-------- c:\windows\LastGood.Tmp 2009-01-04 12:49 . 2005-04-16 15:20 487,424 -r------- c:\windows\RtlExUpd.dll 2009-01-04 12:49 . 2003-08-25 18:06 182,880 --a------ c:\windows\system32\iuenginenew.dll 2009-01-04 12:49 . 2005-06-28 09:21 22,752 --a------ c:\windows\system32\spupdsvc.exe 2009-01-04 12:38 . 2009-01-04 11:53 774 --a------ c:\windows\system32\$winnt$.inf 2009-01-04 12:25 . 2009-01-04 12:25 1,024 --a------ C:\.rnd 2009-01-04 12:25 . 2009-01-04 12:25 26 --a------ c:\windows\FileName 2009-01-04 12:19 . 2009-01-04 12:40 <DIR> d-------- c:\windows\NV128160.TMP 2009-01-04 12:19 . 2006-07-06 10:39 208,896 --a------ c:\windows\system32\nvudisp.exe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-01-16 15:03 --------- d--h--w c:\programme\InstallShield Installation Information 2009-01-10 18:07 --------- d-----w c:\programme\Teamspeak2_RC2 2009-01-04 11:15 --------- d-----w c:\programme\Steam 2009-01-03 00:25 --------- d-----w c:\programme\Mobile Master 2009-01-03 00:21 --------- d-----w c:\programme\No-IP 2008-12-22 10:00 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe 2008-12-13 20:50 --------- d-----w c:\programme\PremiumSoft 2008-12-05 19:35 --------- d-----w c:\programme\NEXON 2009-01-14 16:37 211,456 ----a-w c:\programme\mozilla firefox\components\srff.dll . ------- Sigcheck ------- 2004-08-04 08:58 25088 d1e53dc57143f2584b1dd53b036c0633 c:\windows\SoftwareDistribution\Download\84e71ea11258afcace4e790f6b073745\userinit.exe 2004-08-03 23:58 25088 d1e53dc57143f2584b1dd53b036c0633 c:\windows\system32\userinit.exe 2009-01-14 13:45 111616 be9f5da369dddc22224c053bbb27c64e c:\windows\system32\dllcache\userinit.exe . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\ctfmon.exe" [2002-08-29 13312] "ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2008-12-17 172792] "EA Core"="c:\programme\Electronic Arts\EADM\Core.exe" [2009-01-07 3321856] "SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2006-07-12 7626752] "NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2006-07-12 86016] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-04 136600] "avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "nwiz"="nwiz.exe" [2006-07-12 c:\windows\system32\nwiz.exe] "SkyTel"="SkyTel.EXE" [2006-05-16 c:\windows\SkyTel.exe] "RTHDCPL"="RTHDCPL.EXE" [2006-06-01 c:\windows\RTHDCPL.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-08-29 13312] c:\windows\UserConfigs\Torbo\Startmen\Programme\Autostart\ hamachi.lnk - c:\programme\Hamachi\hamachi.exe [2009-01-15 625952] c:\windows\UserConfigs\All Users\Startmen\Programme\Autostart\ Adobe Reader Speed Launch.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696] [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoSetActiveDesktop"= 1 (0x1) "NoActiveDesktopChanges"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=nphwsc.dll tqhasn.dll [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [2009-01-14 45376] R4 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [2009-01-04 222456] S3 bdacap;PC-DTV Receiver;c:\windows\system32\drivers\bdacap.sys [2009-01-04 217728] S3 GLHIDKBFILTER;GLHIDKBFILTER;c:\windows\system32\drivers\GLKbFilter.sys [2009-01-04 11264] . Inhalt des "geplante Tasks" Ordners 2009-01-16 c:\windows\Tasks\bttignyv.job - c:\windows\system32\rundll32.exe [2001-08-18 14:00] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome Trusted Zone: *.antimalwareguard.com Trusted Zone: *.gomyhit.com Trusted Zone: *.antimalwareguard.com Trusted Zone: *.gomyhit.com FF - ProfilePath - c:\windows\UserConfigs\Torbo\Anwendungsdaten\Mozilla\Firefox\Profiles\k0b8kzgf.default\ FF - prefs.js: browser.search.selectedEngine - ICQ Search FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q= FF - component: c:\programme\Mozilla Firefox\components\srff.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npbittorrent.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\NPHoldemFireLauncher.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npigl.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\NPMFireLauncher.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npygw.dll ---- FIREFOX POLICIES ---- FF - user.js: yahoo.homepage.dontask - true. ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-01-16 19:48:54 Windows 5.1.2600 Service Pack 1 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- LOCKED REGISTRY KEYS --------------------- [HKEY_USERS\S-1-5-21-1275210071-1284227242-725345543-1003\Software\SecuROM\License information*] "datasecu"=hex:51,77,15,d7,20,51,18,79,1b,04,3c,e1,7d,c0,2d,a9,d7,9d,f4,58,0d, ba,8d,55,1b,d6,64,d0,50,24,cb,41,8a,44,47,fb,9f,f0,e2,fb,b2,a2,af,43,29,86,\ "rkeysecu"=hex:e0,a5,10,d0,fa,ed,b3,b7,16,65,25,0c,52,41,1e,bc . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(712) c:\windows\system32\ODBC32.dll - - - - - - - > 'lsass.exe'(768) c:\windows\System32\dssenh.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe c:\progra~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\Apache.exe c:\programme\Java\jre6\bin\jqs.exe c:\progra~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe c:\windows\system32\nvsvc32.exe c:\progra~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\Apache.exe c:\progra~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe c:\windows\system32\WgaTray.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-01-16 19:53:22 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-01-16 18:53:20 ComboFix2.txt 2009-01-14 16:26:01 Vor Suchlauf: 19 Verzeichnis(se), 74.782.633.984 Bytes frei Nach Suchlauf: 19 Verzeichnis(se), 74,893,352,960 Bytes frei 259 --- E O F --- 2009-01-14 19:30:00 |
|
|
||
17.01.2009, 02:28
Moderator
Beiträge: 5694 |
#19
Hat nicht ganz geklappt.
Mach folgendes: >> TeaTimer deaktivieren: Starte Spybot S&D --> klicke auf "Modus" --> hake an "Erweiterte Modus" --> mit "Ja" bestätigen --> klicke auf "Werkzeuge" --> klicke auf "Resident" --> das Häkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen) --> beende Spybot S&D. (der TeaTimer be- bzw. verhindert alle weiteren Reinigungmaßnahmen!) >> Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere in das weisse Feld: Zitat Folders to delete:- schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten) - Klicke: Execute - bestätige, dass der Rechner neu gestartet wird - klicke "yes" - nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen >> loesche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb >> Lösche C:\SDFix >> Download DeljobZip zum Desktop Doppelklick: Deljob.exe Ein logfile wird sich oeffnen (logit.txt) Kopiere den Inhalt des Berichts “ logit.txtin diesen Thread >> Zudem poste ein neues HJT Log. Gruss Swiss |
|
|
||
18.01.2009, 14:54
Member
Themenstarter Beiträge: 29 |
#20
Also ein mal HJT LOG
Code
Dan Avenger Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Folder "c:\windows\UserConfigs\Torbo\Anwendungsdaten\cogad" deleted successfully. Folder "c:\windows\system32\LNR" deleted successfully. Folder "c:\temp\tmp90" deleted successfully. Folder "c:\programme\Enigma Software Group" deleted successfully. Completed script processing. ******************* Finished! Terminate. und des andere da -------------------------------------------------------- No LOP job-files found -------------------------------------------------------- Files in Windows Tasks folder bttignyv.job -------------------------------------------------------- Export App Data folders -------------------------------------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: FCE5-2B88 Verzeichnis von C:\ProgramData 11.01.2009 11:37 <DIR> . 11.01.2009 11:37 <DIR> .. 11.01.2009 11:37 <DIR> ELECTR~1 Electronic Arts 0 Datei(en) 0 Bytes 3 Verzeichnis(se), 78.376.988.672 Bytes frei -------------------------------------------------------- All User Accounts -------------------------------------------------------- Administrator All Users -------------------------------------------------------- |
|
|
||
18.01.2009, 17:27
Ehrenmitglied
Beiträge: 6028 |
||
|
||
18.01.2009, 18:06
Member
Themenstarter Beiträge: 29 |
#22
das oberste ist das Hijack
|
|
|
||
18.01.2009, 18:16
Ehrenmitglied
Beiträge: 6028 |
#23
Nein das ist ein hjtscanlist v2.0
Download: Trend Micro Hijack This™ Lade/entpacke HijackThis in einen extra Ordner z.b C:\Programme\Hijack This Doppelklick HJTInstall.exe und installiere das Tool in C:\Programme\Hijack This Am Ende steht auf dein Desktop eine verknüpfung Starte Hijack This und klicke “Do a system scan and safe a logfile” Save log --> hijackthis.log - Save - es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" Windows Vista rechtsklick auf HijackThis.exe waehle "Run as Administrator". __________ MfG Argus |
|
|
||
18.01.2009, 21:05
Member
Themenstarter Beiträge: 29 |
#24
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:04:51, on 18.01.2009 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\WgaTray.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\ICQ6.5\ICQ.exe C:\Programme\Hamachi\hamachi.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\Programme\Java\jre6\bin\jqs.exe C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe C:\WINDOWS\System32\nvsvc32.exe C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Java\jre6\bin\java.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Teamspeak2_RC2\TeamSpeak.exe C:\WINDOWS\System32\cmd.exe C:\WINDOWS\UserConfigs\Torbo\Desktop\2xBot\tsbot.exe C:\Programme\World of Warcraft\WoW-3.0.1-to-3.0.2-deDE-Win-Update-downloader.exe C:\Programme\Zattoo\Zattoo2.exe C:\Programme\Zattoo\zattood.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\SoftwareDistribution\Download\84e71ea11258afcace4e790f6b073745\update\update.exe C:\Programme\Hijack This\hijackthis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent O4 - HKCU\..\Run: [EA Core] "C:\Programme\Electronic Arts\EADM\Core.exe" -silent O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: hamachi.lnk = C:\Programme\Hamachi\hamachi.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: ODBC Setup (Delete Once Installed).lnk = C:\Programme\SQL ODBC\mysql-connector-odbc-3.51.17-win32.msi O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O15 - Trusted Zone: *.antimalwareguard.com O15 - Trusted Zone: *.gomyhit.com O15 - Trusted Zone: *.antimalwareguard.com (HKLM) O15 - Trusted Zone: *.gomyhit.com (HKLM) O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab O20 - AppInit_DLLs: nphwsc.dll tqhasn.dll O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe -- End of file - 6079 bytes |
|
|
||
18.01.2009, 23:08
Moderator
Beiträge: 5694 |
#25
Platform: Windows XP SP1 (WinNT 5.01.2600)
Dein System ist uralt und wurde sicherlich nie geupdatet: Du hast SP1 und es gibt sogar SP3... Also würde eigentlich zu einen Neuinstallation raten. Machst du E-BANKING mit deinem PC? >> Was hast Du dir hier geladen, Teamspeak?: C:\WINDOWS\UserConfigs\Torbo\Desktop\2xBot\tsbot.exe 17.01.2009 13:51 C:\WINDOWS\Prefetch\TSBOT.EXE >> Lasse folgende Datei bei www.VIRUSTOTAL.com/de prüfen und poste das Ergebnis: C:\WINDOWS\UserConfigs\Torbo\Desktop\2xBot\tsbot.exe Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren Gruss Swiss |
|
|
||
19.01.2009, 13:11
Member
Themenstarter Beiträge: 29 |
#26
ich hab jetz sp2 drauf und das mit tsbot das ist ein bot für Teamspeak der drauf achtet das keiner hackt usw
hier der bericht a-squared 4.0.0.73 2009.01.19 - AhnLab-V3 2009.1.15.0 2009.01.19 - AntiVir 7.9.0.57 2009.01.19 - Authentium 5.1.0.4 2009.01.18 - Avast 4.8.1281.0 2009.01.18 - AVG 8.0.0.229 2009.01.18 - BitDefender 7.2 2009.01.19 - CAT-QuickHeal 10.00 2009.01.19 - ClamAV 0.94.1 2009.01.19 - Comodo 937 2009.01.19 - DrWeb 4.44.0.09170 2009.01.19 - eSafe 7.0.17.0 2009.01.19 - eTrust-Vet 31.6.6315 2009.01.19 - F-Prot 4.4.4.56 2009.01.18 - F-Secure 8.0.14470.0 2009.01.19 - Fortinet 3.117.0.0 2009.01.15 - GData 19 2009.01.19 - Ikarus T3.1.1.45.0 2009.01.19 - K7AntiVirus 7.10.594 2009.01.17 - Kaspersky 7.0.0.125 2009.01.19 - McAfee 5499 2009.01.18 - McAfee+Artemis 5499 2009.01.18 - Microsoft 1.4205 2009.01.19 - NOD32 3777 2009.01.19 - Norman 5.93.01 2009.01.16 - nProtect 2009.1.8.0 2009.01.19 Trojan-Spy/W32.KeyLogger.35840.C Panda 9.5.1.2 2009.01.19 - PCTools 4.4.2.0 2009.01.19 - Prevx1 V2 2009.01.19 - Rising 21.13.02.00 2009.01.19 - SecureWeb-Gateway 6.7.6 2009.01.19 - Sophos 4.37.0 2009.01.19 - Sunbelt 3.2.1835.2 2009.01.16 - Symantec 10 2009.01.19 - TheHacker 6.3.1.5.223 2009.01.18 - TrendMicro 8.700.0.1004 2009.01.19 - VBA32 3.12.8.10 2009.01.18 - ViRobot 2009.1.19.1565 2009.01.19 - VirusBuster 4.5.11.0 2009.01.18 - weitere Informationen File size: 17920 bytes MD5...: ad7dfb51a3b4af1388dc6916d425d3db SHA1..: df17d0681e351329b7bd1194772ccd7a364736b0 SHA256: a7d55f304fd3cb71864782bb865cfed7f38daf19b738b663d1543dba57f52470 SHA512: 8216b185ddca50c8f4b99cdce8989824b86cc0d600c8381a894100608afc75f9 ae1e5697099a767494226cebd5a82f15af6974a13b14fcf697afa0779b2db6b6 ssdeep: 384:jzryJ1qPkXshE1X0W5X0ABZpBZrTMB4FL2Rz7Yg+Qu8FA0cbEx:jv/POJ19R BZpBZr4BPx8g+l8Pcbm PEiD..: - TrID..: File type identification Win32 Executable Generic (42.3%) Win32 Dynamic Link Library (generic) (37.6%) Generic Win/DOS Executable (9.9%) DOS Executable Generic (9.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x40284a timedatestamp.....: 0x48554bcf (Sun Jun 15 17:05:19 2008) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x1b2a 0x1c00 6.16 45491931e7d4f0b5eec836fff5abd49b .rdata 0x3000 0x63a 0x800 4.06 e7a4ceb2bd745f2294410d844dfd7fec .data 0x4000 0x12fc 0xc00 4.48 457b7eb5509ed05454d9031714c4b7ff .rsrc 0x6000 0x1184 0x1200 5.01 ae738e50b03f5937c732adaa4a9d231b ( 2 imports ) > MSVCR71.dll: _except_handler3, __set_app_type, _onexit, _controlfp, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _amsg_exit, __p___initenv, exit, _cexit, _XcptFilter, _exit, _c_exit, realloc, bsearch, qsort, setbuf, getenv, atoi, malloc, free, _snprintf, strncmp, strrchr, fprintf, _iob, __dllonexit, strncpy, _stricmp, _strdup > KERNEL32.dll: IsBadReadPtr, SetLastError, GetProcessHeap, HeapFree, VirtualFree, VirtualProtect, VirtualAlloc, FreeLibrary, GetModuleHandleA, OutputDebugStringA, GetFullPathNameA, LoadLibraryA, GetProcAddress, UnmapViewOfFile, CreateFileA, GetFileSize, CreateFileMappingA, CloseHandle, MapViewOfFile, FindResourceA, LoadResource, LockResource, GetModuleFileNameA, GetLastError, FormatMessageA, LocalFree, HeapAlloc ( 0 exports ) |
|
|
||
19.01.2009, 18:06
Moderator
Beiträge: 5694 |
#27
>>
Download dieses Tool zum Desktop Doppelklick MGADiag.exe Klick Continue Warte bis das Tool seine arbeit getan hat und klicke:Copy Oeffne den Editor,Rechtsklick und kopiere die Daten rein nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" >> Poste ein neues HJT Log Gruss Swiss |
|
|
||
20.01.2009, 14:25
Member
Themenstarter Beiträge: 29 |
#28
also ein mal MGA Diag.exe iagnostic Report (1.7.0110.1):
----------------------------------------- WGA Data--> Validation Status: Blocked VLK Validation Code: 3 Online Validation Code: N/A Cached Validation Code: N/A Windows Product Key: *****-*****-4RHJG-83M4Y-7X9GW Windows Product Key Hash: 5CG2aCaHENU8LMWFFoQ/184emQ0= Windows Product ID: 55274-649-6478953-23304 Windows Product ID Type: 1 Windows License Type: Volume Windows OS version: 5.1.2600.2.00010100.3.0.pro ID: {0E2BFB20-996D-4763-B0EA-B7F5CFF1C07F}(3) Is Admin: Yes TestCab: 0x0 WGA Version: Registered, 1.8.31.9 Signed By: Microsoft Product Name: N/A Architecture: N/A Build lab: N/A TTS Error: N/A Validation Diagnostic: 025D1FF3-171-1 Resolution Status: N/A WgaER Data--> ThreatID(s): N/A Version: N/A WGA Notifications Data--> Cached Result: 3 File Exists: Yes Version: 1.8.31.9 WgaTray.exe Signed By: Microsoft WgaLogon.dll Signed By: Microsoft OGA Notifications Data--> Cached Result: N/A, hr = 0x80070002 Version: N/A, hr = 0x80070002 WGATray.exe Signed By: Microsoft OGAAddin.dll Signed By: N/A, hr = 0x80070002 OGA Data--> Office Status: 109 N/A OGA Version: N/A, 0x80070002 Signed By: N/A, hr = 0x80070002 Office Diagnostics: B4D0AA8B-648-80070002_025D1FF3-171-1_FA827CE6-153-8007007e_FA827CE6-180-8007007e Browser Data--> Proxy settings: N/A User Agent: Mozilla/4.0 (compatible; MSIE 6.0; Win32) Default Browser: C:\Programme\Mozilla Firefox\firefox.exe Download signed ActiveX controls: Prompt Download unsigned ActiveX controls: Disabled Run ActiveX controls and plug-ins: Allowed Initialize and script ActiveX controls not marked as safe: Disabled Allow scripting of Internet Explorer Webbrowser control: Disabled Active scripting: Allowed Script ActiveX controls marked as safe for scripting: Allowed File Scan Data--> Other data--> Office Details: <GenuineResults><MachineData><UGUID>{0E2BFB20-996D-4763-B0EA-B7F5CFF1C07F}</UGUID><Version>1.7.0110.1</Version><OS>5.1.2600.2.00010100.3.0.pro</OS><Architecture>x32</Architecture><PKey>*****-*****-*****-*****-7X9GW</PKey><PID>55274-649-6478953-23304</PID><PIDType>1</PIDType><SID>S-1-5-21-1275210071-1284227242-725345543</SID><SYSTEM><Manufacturer>To Be Filled By O.E.M.</Manufacturer><Model>To Be Filled By O.E.M.</Model></SYSTEM><BIOS><Manufacturer>American Megatrends Inc.</Manufacturer><Version>P2.20</Version><SMBIOSVersion major="2" minor="4"/><Date>20070504000000.000000+000</Date></BIOS><HWID>423B3BBF01848078</HWID><UserLCID>0407</UserLCID><SystemLCID>0407</SystemLCID><TimeZone>Westeuropäische Normalzeit(GMT+01:00)</TimeZone><iJoin>0</iJoin><SBID><stat>3</stat><msppid></msppid><name></name><model></model></SBID><OEM/><BRT/></MachineData><Software><Office><Result>109</Result><Products/><Applications/></Office></Software></GenuineResults> Licensing Data--> N/A HWID Data--> N/A OEM Activation 1.0 Data--> BIOS string matches: no Marker string from BIOS: N/A Marker string from OEMBIOS.DAT: N/A, hr = 0x80004005 OEM Activation 2.0 Data--> N/A Und hier HJT Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:23:12, on 20.01.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\Programme\Java\jre6\bin\jqs.exe C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe C:\WINDOWS\System32\nvsvc32.exe C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe C:\WINDOWS\system32\WgaTray.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\ICQ6.5\ICQ.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Electronic Arts\EADM\Core.exe C:\Programme\Hamachi\hamachi.exe C:\Programme\Teamspeak2_RC2\TeamSpeak.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\notepad.exe C:\Programme\Hijack This\hijackthis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent O4 - HKCU\..\Run: [EA Core] "C:\Programme\Electronic Arts\EADM\Core.exe" -silent O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: hamachi.lnk = C:\Programme\Hamachi\hamachi.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: ODBC Setup (Delete Once Installed).lnk = C:\Programme\SQL ODBC\mysql-connector-odbc-3.51.17-win32.msi O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O15 - Trusted Zone: *.antimalwareguard.com O15 - Trusted Zone: *.gomyhit.com O15 - Trusted Zone: *.antimalwareguard.com (HKLM) O15 - Trusted Zone: *.gomyhit.com (HKLM) O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab O20 - AppInit_DLLs: nphwsc.dll tqhasn.dll O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe -- End of file - 6121 bytes |
|
|
||
20.01.2009, 14:51
Moderator
Beiträge: 5694 |
#29
>>
Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckcen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind) Zitat R3 - URLSearchHook: (no name) - - (no file)und wähle fix checked. Starte den Rechner neu. >> scanne mit smitfraudfix (option 1 und 2) - poste beide scanreporte http://virus-protect.org/artikel/tools/smitfrautfix.html >> Danch wende noch Option 3 von Smitfraudfix an: gib die 3 ein und drücke auf Enter. Du wirst gefragt: Restore Trusted Zone ? antworte Y (ja) und drücke auf Enter um die Trusted Zones zu löschen >> Sanne mt Blacklight und poste das Log: http://virus-protect.org/artikel/tools/blacklight.html Gruss Swiss |
|
|
||
21.01.2009, 14:50
Member
Themenstarter Beiträge: 29 |
#30
Option 1
SmitFraudFix v2.391 Scan done at 14:31:25,54, 21.01.2009 Run from C:\Programme\Mozilla Firefox\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in normal mode »»»»»»»»»»»»»»»»»»»»»»»» Process C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\WgaTray.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe C:\Programme\ICQ6.5\ICQ.exe C:\Programme\Java\jre6\bin\jqs.exe C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe C:\Programme\Electronic Arts\EADM\Core.exe C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe C:\Programme\Hamachi\hamachi.exe C:\WINDOWS\System32\nvsvc32.exe C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe C:\WINDOWS\System32\msiexec.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Mozilla Firefox\SmitfraudFix\Policies.exe C:\WINDOWS\system32\cmd.exe »»»»»»»»»»»»»»»»»»»»»»»» hosts »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\UserConfigs\Torbo »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\USERCO~1\Torbo\LOKALE~1\Temp »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\UserConfigs\Torbo\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\USERCO~1\Torbo\FAVORI~1 »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" »»»»»»»»»»»»»»»»»»»»»»»» o4Patch !!!Attention, following keys are not inevitably infected!!! o4Patch Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» IEDFix !!!Attention, following keys are not inevitably infected!!! IEDFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix !!!Attention, following keys are not inevitably infected!!! Agent.OMZ.Fix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» VACFix !!!Attention, following keys are not inevitably infected!!! VACFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» 404Fix !!!Attention, following keys are not inevitably infected!!! 404Fix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" »»»»»»»»»»»»»»»»»»»»»»»» Winlogon !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," "System"="" »»»»»»»»»»»»»»»»»»»»»»»» RK »»»»»»»»»»»»»»»»»»»»»»»» DNS Description: NVIDIA nForce Networking Controller - Paketplaner-Miniport DNS Server Search Order: 195.50.140.114 DNS Server Search Order: 192.168.0.1 HKLM\SYSTEM\CCS\Services\Tcpip\..\{79CC6A6F-E676-42A7-916B-7908D7EF3375}: DhcpNameServer=195.50.140.114 192.168.0.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{79CC6A6F-E676-42A7-916B-7908D7EF3375}: DhcpNameServer=195.50.140.114 192.168.0.1 HKLM\SYSTEM\CS2\Services\Tcpip\..\{79CC6A6F-E676-42A7-916B-7908D7EF3375}: DhcpNameServer=195.50.140.114 192.168.0.1 »»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End Option 2 SmitFraudFix v2.391 Scan done at 14:32:03,03, 21.01.2009 Run from C:\Programme\Mozilla Firefox\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in normal mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost »»»»»»»»»»»»»»»»»»»»»»»» VACFix VACFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix S!Ri's WS2Fix: LSP not Found. »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files »»»»»»»»»»»»»»»»»»»»»»»» IEDFix IEDFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix Agent.OMZ.Fix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» 404Fix 404Fix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» RK »»»»»»»»»»»»»»»»»»»»»»»» DNS Description: NVIDIA nForce Networking Controller - Paketplaner-Miniport DNS Server Search Order: 195.50.140.114 DNS Server Search Order: 192.168.0.1 HKLM\SYSTEM\CCS\Services\Tcpip\..\{79CC6A6F-E676-42A7-916B-7908D7EF3375}: DhcpNameServer=195.50.140.114 192.168.0.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{79CC6A6F-E676-42A7-916B-7908D7EF3375}: DhcpNameServer=195.50.140.114 192.168.0.1 HKLM\SYSTEM\CS2\Services\Tcpip\..\{79CC6A6F-E676-42A7-916B-7908D7EF3375}: DhcpNameServer=195.50.140.114 192.168.0.1 »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End Und wegen Blacklight dort wurde nichts gefunden (O) |
|
|
||