Antivir fund: Trojan "TR/Dropper.Gen" |
||
---|---|---|
#0
| ||
04.02.2009, 15:00
Ehrenmitglied
Beiträge: 6028 |
||
|
||
09.02.2009, 22:01
Member
Themenstarter Beiträge: 40 |
#17
wie meinst du hohlt es sich...soll ich combofix dann einfach starten und dann mit der anleitung vortfahren?! also kein von der cd laden und in das programm schieben....hab ich das dann so richtig verstanden?
MfG Ymelli |
|
|
||
16.02.2009, 10:15
Member
Themenstarter Beiträge: 40 |
#18
hallo argus, hoffe du bist nicht böse, musste die letzte woche arbeiten und war krank, da is das ein bisschen unter gegangen...hoffe du hilfst mir trotzdem noch zuende....wäre lieb!
mfg Ymelli |
|
|
||
16.02.2009, 14:24
Member
Beiträge: 3716 |
#19
bitte lösche deine copie von combofix start ausfüren
combofix /u lad dir die neueste version von combofix. mit "hohlen" meint er das combofix eine verbindung zum internet aufbaut und sie runterläd ;-) |
|
|
||
18.02.2009, 09:57
Member
Themenstarter Beiträge: 40 |
#20
aaaaaaaaaaasooooooooooooooo...bin ja manchmal echt schwer von begriff...^^
war doch alles ganz einfach ......hab die log datei für euch: ComboFix 09-02-17.01 - mellislap 2009-02-18 9:51:01.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1022.575 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\mellislap\Desktop\ComboFix.exe AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\mellislap\Lokale Einstellungen\Anwendungsdaten\iwauy.dat c:\dokumente und einstellungen\mellislap\Lokale Einstellungen\Anwendungsdaten\iwauy.exe c:\dokumente und einstellungen\mellislap\Lokale Einstellungen\Anwendungsdaten\iwauy_nav.dat c:\dokumente und einstellungen\mellislap\Lokale Einstellungen\Anwendungsdaten\iwauy_navps.dat c:\programme\INSTALL.LOG . ((((((((((((((((((((((( Dateien erstellt von 2009-01-18 bis 2009-02-18 )))))))))))))))))))))))))))))) . 2009-02-10 21:49 . 2008-12-20 23:30 6,066,688 -----c--- c:\windows\system32\dllcache\ieframe.dll 2009-02-10 21:49 . 2007-04-17 10:32 2,455,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dat 2009-02-10 21:49 . 2007-03-08 06:09 1,040,384 -----c--- c:\windows\system32\dllcache\ieframe.dll.mui 2009-02-10 21:49 . 2008-12-20 23:31 459,264 -----c--- c:\windows\system32\dllcache\msfeeds.dll 2009-02-10 21:49 . 2008-12-20 23:30 383,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dll 2009-02-10 21:49 . 2008-12-20 23:30 267,776 -----c--- c:\windows\system32\dllcache\iertutil.dll 2009-02-10 21:49 . 2008-12-20 23:30 63,488 -----c--- c:\windows\system32\dllcache\icardie.dll 2009-02-10 21:49 . 2008-12-20 23:31 52,224 -----c--- c:\windows\system32\dllcache\msfeedsbs.dll 2009-02-10 21:49 . 2008-12-19 10:10 13,824 -----c--- c:\windows\system32\dllcache\ieudinit.exe 2009-02-10 21:36 . 2009-02-10 21:36 <DIR> d-------- c:\programme\Microsoft CAPICOM 2.1.0.2 2009-02-10 21:36 . 2008-12-11 11:57 333,952 -----c--- c:\windows\system32\dllcache\srv.sys 2009-02-10 21:34 . 2008-10-03 11:03 247,326 -----c--- c:\windows\system32\dllcache\strmdll.dll 2009-02-10 21:33 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys 2009-02-10 21:32 . 2008-08-14 14:19 2,191,488 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe 2009-02-10 21:32 . 2008-08-14 14:19 2,147,840 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe 2009-02-10 21:32 . 2008-08-14 14:19 2,068,352 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe 2009-02-10 21:32 . 2008-08-14 14:19 2,026,496 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe 2009-02-10 21:32 . 2008-09-15 16:24 1,846,528 -----c--- c:\windows\system32\dllcache\win32k.sys 2009-02-10 21:32 . 2008-09-04 18:15 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll 2009-02-10 21:32 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll 2009-02-10 21:31 . 2008-05-01 15:34 331,776 -----c--- c:\windows\system32\dllcache\msadce.dll 2009-02-10 21:30 . 2008-04-11 20:04 691,712 -----c--- c:\windows\system32\dllcache\inetcomm.dll 2009-02-10 21:28 . 2008-06-11 02:58 2,330,624 -----c--- c:\windows\system32\dllcache\WMVCore.dll 2009-02-10 21:28 . 2008-06-14 18:32 273,024 -----c--- c:\windows\system32\dllcache\bthport.sys 2009-02-10 21:28 . 2008-05-08 15:02 203,136 -----c--- c:\windows\system32\dllcache\rmcast.sys 2009-02-10 20:10 . 2008-10-16 14:06 268,648 --a------ c:\windows\system32\mucltui.dll 2009-02-10 20:10 . 2008-10-16 14:06 27,496 --a------ c:\windows\system32\mucltui.dll.mui 2009-02-10 20:01 . 2009-02-10 21:50 <DIR> d-------- c:\windows\system32\de-de 2009-02-10 20:01 . 2009-02-10 20:01 <DIR> d-------- c:\windows\system32\de 2009-02-10 20:01 . 2009-02-10 20:01 <DIR> d-------- c:\windows\system32\bits 2009-02-10 20:01 . 2009-02-10 20:01 <DIR> d-------- c:\windows\l2schemas 2009-02-10 19:59 . 2009-02-10 20:01 <DIR> d-------- c:\windows\ServicePackFiles 2009-02-10 19:23 . 2004-08-03 22:41 1,041,536 --------- c:\windows\system32\drivers\hsfdpsp2.sys 2009-02-10 19:23 . 2004-08-03 22:41 685,056 --------- c:\windows\system32\drivers\hsfcxts2.sys 2009-02-10 19:23 . 2004-08-03 22:41 220,032 --------- c:\windows\system32\drivers\hsfbs2s2.sys 2009-02-10 19:23 . 2004-07-17 22:55 129,045 --------- c:\windows\system32\drivers\cxthsfs2.cty 2009-02-10 18:53 . 2008-10-16 14:09 43,544 --a------ c:\windows\system32\wups2.dll 2009-02-10 18:53 . 2008-10-16 14:08 31,768 --a------ c:\windows\system32\wucltui.dll.mui 2009-02-10 18:53 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuaucpl.cpl.mui 2009-02-10 18:53 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuapi.dll.mui 2009-02-10 18:53 . 2008-10-16 14:07 18,968 --a------ c:\windows\system32\wuaueng.dll.mui 2009-02-10 18:52 . 2009-02-10 18:52 <DIR> d--hs---- c:\dokumente und einstellungen\mellislap\UserData 2009-02-07 18:48 . 2009-02-07 18:48 <DIR> d-------- c:\programme\Gemeinsame Dateien\Blizzard Entertainment 2009-02-05 16:04 . 2009-02-05 16:04 <DIR> d---s---- c:\programme\Xfire 2009-02-05 16:04 . 2009-02-05 16:08 <DIR> d-------- c:\dokumente und einstellungen\mellislap\Anwendungsdaten\Xfire 2009-02-05 15:55 . 2009-02-05 15:55 <DIR> d-------- c:\programme\SpellForce 2009-02-03 19:44 . 2009-02-03 19:44 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2009-02-03 19:44 . 2009-02-03 19:44 <DIR> d-------- c:\dokumente und einstellungen\mellislap\Anwendungsdaten\Malwarebytes 2009-02-03 19:44 . 2009-02-03 19:44 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-02-03 19:44 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-02-03 19:44 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-02-03 16:02 . 2009-02-03 19:03 <DIR> d-------- C:\ToolBar SD 2009-02-01 21:03 . 2009-02-01 21:03 <DIR> d-------- c:\programme\Trend Micro 2009-02-01 19:33 . 2009-02-01 19:38 <DIR> d-------- c:\programme\Hotspot Shield 2009-02-01 19:33 . 2009-01-27 20:14 31,192 --a------ c:\windows\system32\drivers\hssdrv.sys 2009-01-24 14:05 . 2009-01-24 14:06 <DIR> d-------- c:\dokumente und einstellungen\mellislap\Anwendungsdaten\teamspeak2 2009-01-24 10:36 . 2009-01-24 10:36 34,064 --a------ c:\windows\system32\lhacm.acm 2009-01-24 10:35 . 2009-01-24 14:05 <DIR> d-------- c:\programme\Teamspeak2_RC2 . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-02-17 20:39 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2009-02-16 10:35 --------- d-----w c:\dokumente und einstellungen\mellislap\Anwendungsdaten\uTorrent 2009-02-10 21:10 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help 2009-01-31 18:50 --------- d--h--w c:\programme\InstallShield Installation Information 2009-01-31 12:20 --------- d-----w c:\programme\PDFCreator 2009-01-24 20:25 --------- d-----w c:\dokumente und einstellungen\mellislap\Anwendungsdaten\ISD Software und Systeme 2009-01-09 09:37 --------- d-----w c:\dokumente und einstellungen\mellislap\Anwendungsdaten\DAEMON Tools Pro 2009-01-09 09:37 --------- d-----w c:\dokumente und einstellungen\mellislap\Anwendungsdaten\DAEMON Tools Lite 2009-01-09 09:37 --------- d-----w c:\dokumente und einstellungen\mellislap\Anwendungsdaten\DAEMON Tools 2009-01-09 09:35 --------- d-----w c:\programme\DAEMON Tools Lite 2009-01-08 12:41 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite 2008-12-23 17:30 --------- d-----w c:\dokumente und einstellungen\mellislap\Anwendungsdaten\dvdcss 2008-12-20 22:31 826,368 ----a-w c:\windows\system32\wininet.dll 2008-11-21 21:47 524,288 ----a-w c:\windows\system32\DivXsm.exe 2008-11-21 21:47 3,596,288 ----a-w c:\windows\system32\qt-dx331.dll 2008-11-21 21:46 200,704 ----a-w c:\windows\system32\ssldivx.dll 2008-11-21 21:46 1,044,480 ----a-w c:\windows\system32\libdivx.dll 2008-11-21 21:44 161,096 ----a-w c:\windows\system32\DivXCodecVersionChecker.exe 2008-11-21 21:44 12,288 ----a-w c:\windows\system32\DivXWMPExtType.dll 2008-05-02 08:59 14,852 ----a-w c:\programme\settings.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}] 2009-02-01 19:33 204248 --a------ c:\programme\Hotspot Shield\hssie\HssIE.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2005-09-16 94208] "ICQ"="c:\programme\ICQ6\ICQ.exe" [2008-09-01 173304] "DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2008-12-29 687560] "AdobeUpdater"="c:\programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe" [2008-11-11 2356088] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512] "ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056] "THotkey"="c:\programme\Toshiba\Toshiba Applet\thotkey.exe" [2006-01-05 352256] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648] "avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "EPSON Stylus D88 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE" [2005-01-27 98304] "LanguageShortcut"="c:\programme\CyberLink\PowerDVD\Language\Language.exe" [2006-09-29 49152] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "RTHDCPL"="RTHDCPL.EXE" [2005-12-09 c:\windows\RTHDCPL.exe] "TPSMain"="TPSMain.exe" [2005-08-03 c:\windows\system32\TPSMain.exe] "NDSTray.exe"="NDSTray.exe" [BU] "TFncKy"="TFncKy.exe" [BU] "Logitech Utility"="Logi_MwX.Exe" [2003-12-11 c:\windows\LOGI_MWX.EXE] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ VPN Client.lnk - c:\windows\Installer\{CCBAA1F7-E5E1-48B2-9ED9-A79C6A37CE78}\Icon3E5562ED7.ico [2008-11-13 6144] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.ACDV"= ACDV.dll [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"= "c:\\Programme\\ICQ6\\ICQ.exe"= "c:\\WINDOWS\\system32\\dpnsvr.exe"= "c:\\Programme\\uTorrent\\uTorrent.exe"= "c:\\Programme\\Toshiba\\TOSHIBA Applet\\THotUtil.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= R1 LUMDriver;LUMDriver;c:\windows\system32\drivers\LUMDriver.sys [2006-10-13 14912] R2 BBDemon;Backbone Service;c:\programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe [2006-04-29 49152] R2 HssSrv;Hotspot Shield Helper Service;c:\programme\Hotspot Shield\HssWPR\hsssrv.exe [2009-01-27 93656] R3 HssDrv;Hotspot Shield Helper Miniport;c:\windows\system32\drivers\hssdrv.sys [2009-02-01 31192] R3 tap0901;TAP-Win32 Adapter V9;c:\windows\system32\drivers\tap0901.sys [2007-04-26 25088] R3 X10Hid;X10 Hid Device;c:\windows\system32\drivers\x10hid.sys [2006-07-12 7040] S2 CiscoVpnInstallService;Cisco Systems, Inc. Installer service;c:\dokume~1\MELLIS~1\LOKALE~1\Temp\IXP000.TMP\INSTAL~1.EXE --> c:\dokume~1\MELLIS~1\LOKALE~1\Temp\IXP000.TMP\INSTAL~1.EXE [?] . Inhalt des "geplante Tasks" Ordners 2009-02-06 c:\windows\Tasks\1-Klick-Wartung.job - c:\programme\TuneUp Utilities 2006\SystemOptimizer.exe [2005-08-24 01:29] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ mWindow Title = uInternet Connection Wizard,ShellNext = iexplore IE: Add to AMV Converter... - c:\programme\MP3 Player Utilities 4.18\AMVConverter\grab.html IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 TCP: {B2AB6532-D7D8-4D6F-B35D-C76438C6B073} = 192.168.178.1 FF - ProfilePath - c:\dokumente und einstellungen\mellislap\Anwendungsdaten\Mozilla\Firefox\Profiles\iitx5xig.default\ FF - prefs.js: browser.search.selectedEngine - Google FF - prefs.js: browser.startup.homepage - www.google.de FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPJava11.dll FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPJava12.dll FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPJava13.dll FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPJava14.dll FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPJava32.dll FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPJPI150_04.dll FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPOJI610.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-02-18 09:55:16 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-4115161274-1057052067-734524104-1005\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*] "??"=hex:38,38,d3,8a,16,4e,29,34,2c,8c,bc,7b,1f,73,81,5b,fd,47,de,d1,d2,9d,c8, 85,bd,b6,11,1c,fa,29,dd,5e,b3,e0,8b,35,dc,1a,fc,87,8f,b7,31,32,c9,45,5a,be,\ "??"=hex:63,f6,ad,e7,07,6a,6c,97,6f,12,17,ec,b7,a4,5e,5e . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(708) c:\windows\system32\Ati2evxx.dll . Zeit der Fertigstellung: 2009-02-18 9:59:02 ComboFix-quarantined-files.txt 2009-02-18 08:58:59 Vor Suchlauf: 21 Verzeichnis(se), 24,081,108,992 Bytes frei Nach Suchlauf: 21 Verzeichnis(se), 24,305,950,720 Bytes frei 201 --- E O F --- 2009-02-12 16:41:32 danke für die geduldige hilfe ^^ mfg Ymelli |
|
|
||
18.02.2009, 11:35
Member
Beiträge: 3716 |
#21
start ausfüren
combofix /u antivir so einstellen zusätzlich die Rootkitsuche aktiviere: http://board.protecus.de/t23979.htm updaten, allle laufwerke scannen, Funde in Quarantäne Log posten + neues Hijackthis-Log |
|
|
||
19.02.2009, 10:34
Member
Themenstarter Beiträge: 40 |
#22
sooo hier is der hijackthis log:
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:34:59, on 19.02.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16791) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\ehome\ehtray.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Toshiba\Toshiba Applet\thotkey.exe C:\WINDOWS\system32\TPSMain.exe C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE C:\WINDOWS\system32\TPSBattM.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\ICQ6\ICQ.exe C:\Programme\DAEMON Tools Lite\daemon.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\Hotspot Shield\bin\openvpnas.exe C:\Programme\Hotspot Shield\HssWPR\hsssrv.exe C:\Programme\CyberLink\Shared files\RichVideo.exe C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = iexplore R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.tu-harburg.de/cgi-bin/proxy-conf O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll O2 - BHO: Hotspot Shield Class - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - C:\Programme\Hotspot Shield\hssie\HssIE.dll O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe O4 - HKLM\..\Run: [TPSMain] TPSMain.exe O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe O4 - HKLM\..\Run: [TFncKy] TFncKy.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [EPSON Stylus D88 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE /P23 "EPSON Stylus D88 Series" /O6 "USB001" /M "Stylus D88" O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: VPN Client.lnk = ? O8 - Extra context menu item: Add to AMV Converter... - C:\Programme\MP3 Player Utilities 4.18\AMVConverter\grab.html O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\visio\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O15 - ESC Trusted Zone: http://*.update.microsoft.com O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1234288382718 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1234288567046 O17 - HKLM\System\CCS\Services\Tcpip\..\{B2AB6532-D7D8-4D6F-B35D-C76438C6B073}: NameServer = 192.168.178.1 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe O23 - Service: Cisco Systems, Inc. Installer service (CiscoVpnInstallService) - Unknown owner - C:\DOKUME~1\MELLIS~1\LOKALE~1\Temp\IXP000.TMP\INSTAL~1.EXE (file missing) O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - C:\Programme\Hotspot Shield\bin\openvpnas.exe O23 - Service: Hotspot Shield Helper Service (HssSrv) - AnchorFree Inc. - C:\Programme\Hotspot Shield\HssWPR\hsssrv.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 9452 bytes und antivir hat tatsächlich mit den anderen einstellungen auch noch was gefunden...: Die Datei 'C:\System Volume Information\_restore{F5F8D2E0-EAD8-4916-9645-B4C4852924C3}\RP218\A0029070.exe' enthielt einen Virus oder unerwünschtes Programm 'APPL/PsExec.E' [program]. Durchgeführte Aktion(en): Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49cc8903.qua' verschoben! Die Datei 'C:\Dokumente und Einstellungen\mellislap\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\iitx5xig.default\Cache\6D952C06d01' enthielt einen Virus oder unerwünschtes Programm 'APPL/PsExec.E' [program]. Durchgeführte Aktion(en): Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d57d24.qua' verschoben! mfg Ymelli |
|
|
||
19.02.2009, 15:43
Member
Beiträge: 3716 |
#23
öffne hijackthis hake an:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = iexplore autostart aufräumen: O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [EPSON Stylus D88 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE /P23 "EPSON Stylus D88 Series" /O6 "USB001" /M "Stylus D88" O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun drücke fix cheked, alle internetfenster müssen geschlossen sein. öffne CCleaner extras liste der instalierten programme, erstelle die textdatei und poste deren inhalt + wie läuft dein pc? |
|
|
||
20.02.2009, 16:05
Member
Themenstarter Beiträge: 40 |
#24
sooo hier die liste:
µTorrent ACDSee for PENTAX 2.0 Adobe Flash Player 10 Plugin Adobe Flash Player 9 ActiveX Adobe Flash Player ActiveX Adobe Reader 8.1.3 - Deutsch ATI - Dienstprogramm zur Deinstallation der Software ATI Catalyst Control Center ATI Display Driver Avira AntiVir Personal - Free Antivirus CCleaner (remove only) Cisco Systems VPN Client 5.0.00.0340 Dassault Systemes Software B17 DivX Codec DivX Converter DivX Player DivX Web Player EAX4 Unified Redist EPSON-Drucker-Software Favorit FLV Player 2.0 (build 25) GTK+ Runtime 2.12.8 rev a (nur entfernen) HiCAD neXt High Definition Audio Driver Package - KB888111 HijackThis 2.0.2 Hotspot Shield 1.11 HPM Version 10.3 ICQ6 Intel(R) PRO Network Connections Drivers InterVideo WinDVD for TOSHIBA J2SE Runtime Environment 5.0 Update 4 Logitech MouseWare 9.80 Macromedia Flash Player Malwarebytes' Anti-Malware MATLAB R2006a Microsoft .NET Framework 1.1 Microsoft .NET Framework 1.1 German Language Pack Microsoft .NET Framework 1.1 Hotfix (KB928366) Microsoft Office Enterprise 2007 Microsoft Office Visio Professional 2003 Microsoft User-Mode Driver Framework Feature Pack 1.5 Microsoft WinUsb 1.0 Mozilla Firefox (3.0.6) MP3 Player Utilities 4.18 Nero 7 Premium PDFCreator PDFCreator Toolbar PowerDVD Realtek High Definition Audio Driver SD-Sicherheitsmodul Sonic Encoders SpellForce 2 - Shadow Wars TeamSpeak 2 RC2 Texas Instruments PCIxx21/x515/xx12 drivers. TOSHIBA Assist TOSHIBA ConfigFree TOSHIBA Controls TOSHIBA Hotkey Utility TOSHIBA Power Saver TOSHIBA Utilities TuneUp Utilities 2006 VideoLAN VLC media player 0.8.6c Winamp (remove only) Windows Genuine Advantage Validation Tool (KB892130) Windows Internet Explorer 7 Windows Media Player Firefox Plugin Windows XP Service Pack 3 WinRAR X10 Hardware(TM) Xfire (remove only) ach ja wat soll ich mit den zwei dateien in der antivir quarantäne machen??? löschen??? mein pc fühlt sich etwas langsam an, braucht meiner meinung nach zu lange um ordner zu öffnen oder hoch bzw runter zu fahren und ab und zu flackert der bildschirm einmal ganz kurz....also eher etwas unrund...(sag jetzt bidde nich ich sollte formatieren :'( ) mfg Ymelli |
|
|
||
20.02.2009, 16:16
Member
Beiträge: 3716 |
#25
öffne wieder CCleaner liste der instalierten programme. wir werden nun veraltete software updaten dafür vorher deinstalieren:
Adobe Reader 8.1.3 - Deutsch www.adobe.com/de/products/reader/ - 32k - ICQ6 www.icq.com J2SE Runtime Environment 5.0 Update 4 nutze das reinigunstool: www.heise.de/software/download/javara/56676 - 79k - update: www.java.com/de/download/manual.jsp - VideoLAN VLC media player 0.8.6c www.chip.de/downloads/VLC-media-player_13005928.html - 110k - würde ich persönlcih verzichten, bringt eigendlich nichts TuneUp Utilities 2006 gesammten pc scannen, funde löschen log posten: http://support.f-secure.com/ger/home/ols.shtml pc scannen log posten: www.kaspersky.com/de/virusscanner - 22k - kannst aus der quarantäne löschen |
|
|
||
25.02.2009, 22:06
Member
Themenstarter Beiträge: 40 |
#26
halli hallo, sry das ich so lang gebraucht hab, aber ich habs geschafft...hab alles aktuallisiert außer icq (weil dat neue so groß und außerdem doof is ^^) und tuneup utilities (hier hab ich sag ich mal ned so dieee rechte ^^)
hier die ergebnisse von f-secure: Result: 13 malware found TrackingCookie.2o7 (spyware) * System TrackingCookie.Advertising (spyware) * System TrackingCookie.Atdmt (spyware) * System TrackingCookie.Atwola (spyware) * System TrackingCookie.Doubleclick (spyware) * System TrackingCookie.Imrworldwide (spyware) * System TrackingCookie.Mediaplex (spyware) * System TrackingCookie.Questionmarket (spyware) * System TrackingCookie.Statcounter (spyware) * System TrackingCookie.Tradedoubler (spyware) * System TrackingCookie.Xiti (spyware) * System TrackingCookie.Yieldmanager (spyware) * System TrackingCookie.Zanox (spyware) * System Statistics Scanned: * Files: 50069 * System: 3526 * Not scanned: 12 Actions: * Disinfected: 0 * Renamed: 0 * Deleted: 0 * None: 13 * Submitted: 0 Files not scanned: * C:\HIBERFIL.SYS * C:\PAGEFILE.SYS * C:\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS * C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT * C:\WINDOWS\SYSTEM32\CONFIG\SAM * C:\WINDOWS\SYSTEM32\CONFIG\SECURITY * C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE * C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM * C:\DOKUMENTE UND EINSTELLUNGEN\MELLISLAP\LOKALE EINSTELLUNGEN\TEMP\ETILQS_RVKNJFXXRKTPRFVIQUS0 * C:\DOKUMENTE UND EINSTELLUNGEN\MELLISLAP\ANWENDUNGSDATEN\ICQ\APPLICATION.MDB * C:\DOKUMENTE UND EINSTELLUNGEN\MELLISLAP\ANWENDUNGSDATEN\ICQ\311056993\MESSAGES.MDB * C:\DOKUMENTE UND EINSTELLUNGEN\MELLISLAP\ANWENDUNGSDATEN\ICQ\311056993\OWNER.MDB Options Scanning engines: * F-Secure USS: 3.0.0 * F-Secure Blacklight: 0.0.0 * F-Secure Hydra: 3.6.8511, 2009-02-25 * F-Secure Pegasus: 1.20.0, 1970-00-01 * F-Secure AVP: 7.0.171, 2009-02-25 Scanning options: * Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JOB LSP MAP MHT MIF PHP POT SWF WMF NWS TAR * Use Advanced heuristics den kaspersky scan: mhhh der braucht so lang muss wohl den rechner über nacht laufen lassen...also bis jetzt hat der nichts mehr gefunden, ansonsten sag ich dir das morgen... so jetzt ist morgen...samma kann das sein das kaspersky die infizierten dateien nur anschubst damit antivir die findet o_O...also antivir hat doch noch zwei meiner lieblingstrojaner gefunden: (soll ich die aus der quarantäne löschen?? ^^) In der Datei 'F:\System Volume Information\_restore{F5F8D2E0-EAD8-4916-9645-B4C4852924C3}\RP229\A0029996.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden. Ausgeführte Aktion: Datei in Quarantäne verschieben In der Datei 'F:\Spiele\Grand Theft Auto - Vice City\gta-vc.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden. Ausgeführte Aktion: Datei in Quarantäne verschieben also danke für deine hilfe ^^!!! mfg Ymelli Dieser Beitrag wurde am 26.02.2009 um 07:01 Uhr von Ymelli editiert.
|
|
|
||
02.03.2009, 17:53
Member
Themenstarter Beiträge: 40 |
#27
sooo hab jetzt einfach mal die antivir dateien gelöscht...hat sonst noch jemand eine idee???
mfg Ymelli |
|
|
||
02.03.2009, 18:00
Member
Beiträge: 3716 |
#28
du musst antivir ausstellen, antivir findet die dadurch, dass kaspersky drauf zugreift. mach ncoh mal kaspersky scan und poste das log. danke
|
|
|
||
05.03.2009, 19:30
Member
Themenstarter Beiträge: 40 |
#29
ok jetzt hab ich kaspersky ohne antivir durchlaufen lassen....aber ich weiß nicht, was du da als log haben möchtest, da ich dort nur anzahl der durchsuchten dateien, laufzeit und die funde (die aber jetzt alle 0 waren *freu*) anzeigt....reicht dir denn in dem fall die info das er nichts mehr gefunden hat? und meinst du das damit mein trojaner und lange verschleppte viren usw gelöst ist?
grüße Ymelli |
|
|
||
05.03.2009, 20:35
Member
Beiträge: 3716 |
#30
ja, hast du noch probleme?
|
|
|
||
__________
MfG Argus