Backdoor BDS/Prorat.U.1Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
06.03.2009, 18:41
Moderator
Beiträge: 5694 |
||
|
||
06.03.2009, 22:44
Member
Themenstarter Beiträge: 43 |
#32
http://www.virustotal.com/de/analisis/429a1bc4c5f2a9f6e7d5140fa9f3db8b
scheint also nix dran zu sein ^^ und hier der Log von Hijackthis Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:36:24, on 06.03.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16791) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\AAWService.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\Programme\Google\Update\GoogleUpdate.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe C:\WINDOWS\System32\TUProgSt.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\VIA\VIAudioi\SBADeck\ADeck.exe C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe C:\Programme\Winamp\winampa.exe C:\Programme\Java\jre6\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\ZyXEL Communications Corporation\ZyXEL G-220 Utility\ZyXEL_G-220_GUI.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\TuneUpDefragService.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIA\VIAudioi\SBADeck\ADeck.exe 1 O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Orb] "C:\Programme\Winamp Remote\bin\OrbTray.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: ZyXEL G-220 Utility GUI.lnk = ? O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1235565567938 O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe O23 - Service: Google Update Service (gupdate1c99ac34636bd24) (gupdate1c99ac34636bd24) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe |
|
|
||
06.03.2009, 23:16
Moderator
Beiträge: 5694 |
#33
>>
Askbar entfernen Start -> Einstellungen -> Systemsteuerung -> Software > Schau ob AskSBar,SrchAstt oder Ask Search Assistant dazwischen steht,entfernen >> Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind) Zitat R3 - URLSearchHook: (no name) - - (no file)und wähle fix checked. Starte den Rechner neu. >> Wende Combofix an und poste das Log: http://www.virus-protect.org/artikel/tools/combofix.html Gruss Swiss |
|
|
||
07.03.2009, 00:15
Member
Themenstarter Beiträge: 43 |
#34
Da gab es nur "Ask Toolbar", ich habe jetzt das mal gelöscht?
und hier das Log ComboFix 09-03-04.01 - Lisa 2009-03-07 0:02:51.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.512.227 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Lisa\Desktop\ComboFix.exe AV: Kaspersky Internet Security *On-access scanning disabled* (Updated) FW: Kaspersky Internet Security *disabled* * Neuer Wiederherstellungspunkt wurde erstellt . ((((((((((((((((((((((( Dateien erstellt von 2009-02-06 bis 2009-03-06 )))))))))))))))))))))))))))))) . 2009-03-05 14:42 . 2009-03-05 14:43 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2009-03-05 14:42 . 2009-03-05 14:42 <DIR> d-------- c:\dokumente und einstellungen\Lisa\Anwendungsdaten\Malwarebytes 2009-03-05 14:42 . 2009-03-05 14:42 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-03-05 14:42 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-03-05 14:42 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-03-04 23:15 . 2009-03-04 23:15 <DIR> d-------- c:\programme\ICQ6Toolbar 2009-03-04 23:15 . 2009-03-04 23:15 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ 2009-03-04 23:13 . 2009-03-04 23:16 <DIR> d-------- c:\programme\ICQ6.5 2009-03-04 22:58 . 2009-03-04 22:58 <DIR> d-------- c:\programme\ICQToolbar 2009-03-04 22:55 . 2009-03-04 22:55 <DIR> d-------- c:\dokumente und einstellungen\Lisa\Anwendungsdaten\InstallShield 2009-03-04 00:27 . 2008-04-13 19:45 26,368 --a--c--- c:\windows\system32\dllcache\usbstor.sys 2009-03-04 00:25 . 2009-03-04 00:25 <DIR> d-------- c:\programme\MSXML 4.0 2009-03-04 00:13 . 2009-03-04 00:13 <DIR> d-------- c:\windows\Sun 2009-03-02 04:58 . 2009-03-02 05:05 <DIR> d-------- c:\dokumente und einstellungen\Lisa\Anwendungsdaten\Nero 2009-03-02 04:33 . 2009-03-02 04:33 4,767 --a------ c:\windows\Irremote.ini 2009-03-02 04:29 . 2009-03-02 04:29 <DIR> d-------- c:\programme\Windows Sidebar 2009-03-02 04:08 . 2009-03-02 04:32 <DIR> d-------- c:\programme\Nero 2009-03-02 04:08 . 2009-03-02 04:57 <DIR> d-------- c:\programme\Gemeinsame Dateien\Nero 2009-03-02 04:08 . 2009-03-02 04:20 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Nero 2009-03-02 00:11 . 2009-03-02 00:13 <DIR> d-------- c:\programme\Google 2009-03-02 00:11 . 2009-03-05 23:34 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater 2009-03-01 11:16 . 2009-03-01 11:16 410,984 --a------ c:\windows\system32\deploytk.dll 2009-02-25 23:20 . 2009-02-25 16:49 15,688 --a------ c:\windows\system32\lsdelete.exe 2009-02-25 18:01 . 2009-03-01 11:16 73,728 --a------ c:\windows\system32\javacpl.cpl 2009-02-25 18:00 . 2009-03-01 11:16 <DIR> d-------- c:\programme\Java 2009-02-25 18:00 . 2009-02-25 18:00 <DIR> d-------- c:\programme\Gemeinsame Dateien\Java 2009-02-25 17:50 . 2009-02-25 17:50 <DIR> d-------- c:\programme\CCleaner 2009-02-25 17:41 . 2009-02-25 17:41 <DIR> d-------- c:\programme\TuneUp Utilities 2009 2009-02-25 17:41 . 2009-02-25 17:41 <DIR> d-------- c:\dokumente und einstellungen\Lisa\Anwendungsdaten\TuneUp Software 2009-02-25 17:41 . 2009-02-25 17:41 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software 2009-02-25 17:41 . 2009-02-25 17:41 603,904 --a------ c:\windows\system32\TUProgSt.exe 2009-02-25 17:41 . 2009-02-25 17:41 360,192 --a------ c:\windows\system32\TuneUpDefragService.exe 2009-02-25 17:41 . 2008-12-11 13:31 27,904 --a------ c:\windows\system32\uxtuneup.dll 2009-02-25 17:40 . 2009-02-25 17:40 <DIR> d--hs---- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357} 2009-02-25 17:36 . 2009-03-06 16:14 <DIR> d-------- c:\dokumente und einstellungen\Lisa\Anwendungsdaten\ICQ 2009-02-25 17:06 . 2009-02-25 17:06 <DIR> d-------- c:\programme\Winamp Remote 2009-02-25 17:06 . 2009-02-25 17:06 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\OrbNetworks 2009-02-25 17:03 . 2009-02-25 17:06 <DIR> d-------- c:\programme\Winamp 2009-02-25 17:03 . 2009-02-25 17:07 <DIR> d-------- c:\dokumente und einstellungen\Lisa\Anwendungsdaten\Winamp 2009-02-25 16:49 . 2009-02-25 16:49 64,160 --a------ c:\windows\system32\drivers\Lbd.sys 2009-02-25 16:48 . 2009-02-25 16:48 <DIR> d--h-c--- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{83C91755-2546-441D-AC40-9A6B4B860800} 2009-02-25 16:47 . 2009-02-25 16:47 <DIR> d-------- c:\programme\Lavasoft 2009-02-25 16:47 . 2009-02-25 16:49 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft 2009-02-25 16:13 . 2009-02-25 16:31 101,287 --a------ c:\windows\system32\drivers\klin.dat 2009-02-25 16:13 . 2009-02-25 16:31 89,601 --a------ c:\windows\system32\drivers\klick.dat 2009-02-25 16:12 . 2009-02-25 16:12 <DIR> d-------- c:\programme\Kaspersky Lab 2009-02-25 16:12 . 2009-03-07 00:06 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2009-02-25 16:12 . 2009-03-07 00:06 1,369,120 --ahs---- c:\windows\system32\drivers\fidbox.dat 2009-02-25 16:12 . 2009-03-07 00:05 311,328 --ahs---- c:\windows\system32\drivers\fidbox2.dat 2009-02-25 16:12 . 2009-03-07 00:06 12,824 --ahs---- c:\windows\system32\drivers\fidbox.idx 2009-02-25 16:12 . 2009-03-07 00:05 2,144 --ahs---- c:\windows\system32\drivers\fidbox2.idx 2009-02-25 16:05 . 2009-02-25 16:05 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files 2009-02-25 15:59 . 2009-02-25 15:59 1,156 --a------ c:\windows\mozver.dat 2009-02-25 15:52 . 2009-02-25 15:52 0 --a------ c:\windows\nsreg.dat 2009-02-25 15:29 . 2008-12-20 23:30 6,066,688 -----c--- c:\windows\system32\dllcache\ieframe.dll 2009-02-25 15:29 . 2007-04-17 10:32 2,455,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dat 2009-02-25 15:29 . 2007-03-08 06:09 1,040,384 -----c--- c:\windows\system32\dllcache\ieframe.dll.mui 2009-02-25 15:29 . 2008-12-20 23:31 459,264 -----c--- c:\windows\system32\dllcache\msfeeds.dll 2009-02-25 15:29 . 2008-12-20 23:30 383,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dll 2009-02-25 15:29 . 2008-12-20 23:30 267,776 -----c--- c:\windows\system32\dllcache\iertutil.dll 2009-02-25 15:29 . 2008-12-20 23:30 63,488 -----c--- c:\windows\system32\dllcache\icardie.dll 2009-02-25 15:29 . 2008-12-20 23:31 52,224 -----c--- c:\windows\system32\dllcache\msfeedsbs.dll 2009-02-25 15:29 . 2008-12-19 10:10 13,824 -----c--- c:\windows\system32\dllcache\ieudinit.exe 2009-02-25 15:08 . 2009-02-25 15:29 <DIR> d-------- c:\windows\system32\de-de 2009-02-25 15:08 . 2009-02-25 15:08 <DIR> d-------- c:\windows\system32\de 2009-02-25 15:08 . 2009-02-25 15:08 <DIR> d-------- c:\windows\system32\bits 2009-02-25 15:08 . 2009-02-25 15:08 <DIR> d-------- c:\windows\l2schemas 2009-02-25 14:57 . 2008-09-10 02:13 1,307,648 --a------ c:\windows\system32\msxml6.dll 2009-02-25 14:46 . 2008-08-14 14:19 2,191,488 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe 2009-02-25 14:46 . 2008-08-14 14:19 2,147,840 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe 2009-02-25 14:46 . 2008-08-14 14:19 2,068,352 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe 2009-02-25 14:46 . 2008-08-14 14:19 2,026,496 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe 2009-02-25 14:46 . 2008-09-15 16:24 1,846,528 -----c--- c:\windows\system32\dllcache\win32k.sys 2009-02-25 14:34 . 2009-02-25 14:34 1,374 --a------ c:\windows\system32\wpa.bak 2009-02-25 14:31 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys 2009-02-25 14:31 . 2008-05-08 15:02 203,136 -----c--- c:\windows\system32\dllcache\rmcast.sys 2009-02-25 14:28 . 2008-12-11 11:57 333,952 -----c--- c:\windows\system32\dllcache\srv.sys 2009-02-25 14:27 . 2008-04-11 20:04 691,712 -----c--- c:\windows\system32\dllcache\inetcomm.dll 2009-02-25 14:27 . 2008-05-01 15:34 331,776 -----c--- c:\windows\system32\dllcache\msadce.dll 2009-02-25 14:26 . 2008-09-04 18:15 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll 2009-02-25 14:26 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll 2009-02-25 13:55 . 2009-02-25 13:55 <DIR> d-------- c:\windows\system32\LogFiles 2009-02-25 13:43 . 2009-02-25 18:20 <DIR> d--h----- c:\windows\$hf_mig$ 2009-02-25 13:40 . 2008-10-16 14:09 43,544 --a------ c:\windows\system32\wups2.dll 2009-02-25 13:40 . 2008-10-16 14:08 31,768 --a------ c:\windows\system32\wucltui.dll.mui 2009-02-25 13:40 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuaucpl.cpl.mui 2009-02-25 13:40 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuapi.dll.mui 2009-02-25 13:40 . 2008-10-16 14:07 18,968 --a------ c:\windows\system32\wuaueng.dll.mui 2009-02-25 13:38 . 2009-02-25 13:38 <DIR> d--hs---- c:\dokumente und einstellungen\Lisa\UserData 2009-02-25 13:07 . 2009-02-25 13:07 <DIR> d-------- c:\programme\ZyXEL Communications Corporation 2009-02-25 13:07 . 2005-08-16 14:50 278,016 --a------ c:\windows\system32\drivers\ZD1211U.sys 2009-02-25 13:07 . 2004-01-14 11:25 81,920 --a------ c:\windows\system32\ZDPN50.dll 2009-02-25 13:07 . 2004-10-28 19:24 36,352 --a------ c:\windows\system32\uninst_Zyxel.exe 2009-02-25 13:07 . 2004-03-23 16:38 28,672 --a------ c:\windows\system32\InsDrvZD.dll 2009-02-25 13:07 . 2003-03-14 12:24 24,576 --a------ c:\windows\system32\ZyDelReg.exe 2009-02-25 13:07 . 2004-01-14 11:30 17,151 --a------ c:\windows\system32\ZDPNDIS5.sys 2009-02-25 13:07 . 2005-07-12 14:44 15,872 --a------ c:\windows\system32\InsDrvZD64.dll 2009-02-24 15:49 . 2009-02-24 15:49 <DIR> d-------- C:\PROXGB 2009-02-24 15:49 . 2009-02-24 15:49 <DIR> d-------- C:\PRO1000 2009-02-24 15:49 . 2009-02-24 15:49 <DIR> d-------- C:\PRO100 2009-02-24 15:49 . 2009-02-24 15:49 <DIR> d-------- C:\PLATFORM 2009-02-24 15:49 . 2009-02-24 15:49 <DIR> d-------- C:\APPS 2009-02-23 02:38 . 2009-02-25 16:49 <DIR> d----c--- c:\windows\system32\DRVSTORE 2009-02-23 02:38 . 2006-10-27 16:26 69,632 --a------ c:\windows\system32\vuins32.dll 2009-02-23 02:38 . 2008-12-04 15:18 43,520 --a------ c:\windows\system32\drivers\fetnd5bv.sys 2009-02-23 02:18 . 2006-10-09 12:58 203,648 -ra------ c:\windows\system32\drivers\vinyl97.sys 2009-02-23 02:18 . 2008-04-13 19:45 172,416 --a------ c:\windows\system32\drivers\kmixer.sys 2009-02-23 02:18 . 2008-04-13 20:19 146,048 --a------ c:\windows\system32\drivers\portcls.sys 2009-02-23 02:18 . 2008-04-13 17:39 142,592 --a------ c:\windows\system32\drivers\aec.sys 2009-02-23 02:18 . 2008-04-13 20:17 83,072 --a------ c:\windows\system32\drivers\wdmaud.sys 2009-02-23 02:18 . 2008-04-13 20:15 60,800 --a------ c:\windows\system32\drivers\sysaudio.sys 2009-02-23 02:18 . 2008-04-13 19:45 60,160 --a------ c:\windows\system32\drivers\drmk.sys 2009-02-23 02:18 . 2008-04-13 19:45 56,576 --a------ c:\windows\system32\drivers\swmidi.sys 2009-02-23 02:18 . 2008-04-13 19:45 52,864 --a------ c:\windows\system32\drivers\dmusic.sys 2009-02-23 02:18 . 2008-04-13 19:45 6,272 --a------ c:\windows\system32\drivers\splitter.sys 2009-02-23 02:18 . 2008-04-13 19:45 2,944 --a------ c:\windows\system32\drivers\drmkaud.sys 2009-02-23 02:17 . 2009-02-23 02:18 <DIR> d-------- c:\programme\VIA 2009-02-23 02:17 . 2006-11-02 07:21 319,456 --a------ c:\windows\system32\difxapi.dll 2009-02-23 02:16 . 2009-02-25 17:36 <DIR> d--h----- c:\programme\InstallShield Installation Information 2009-02-23 02:16 . 2009-02-23 02:16 <DIR> d-------- c:\programme\ATI Technologies 2009-02-23 02:16 . 2006-05-03 11:57 520,192 --------- c:\windows\system32\ati2sgag.exe 2009-02-23 02:15 . 2009-02-25 13:06 <DIR> d-------- c:\programme\Gemeinsame Dateien\InstallShield 2009-02-23 02:15 . 2009-02-23 02:15 <DIR> d-------- C:\ATI 2009-02-22 20:04 . 2009-02-22 20:04 <DIR> d-------- c:\programme\Lavalys 2009-02-22 03:01 . 2008-04-13 19:46 85,248 --a------ c:\windows\system32\drivers\nabtsfec.sys . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-02-25 15:31 33,808 ----a-w c:\windows\system32\drivers\klbg.sys 2009-02-22 01:17 --------- d-----w c:\dokumente und einstellungen\Lisa\Anwendungsdaten\MSN6 2009-02-22 01:15 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\MSN6 2009-02-22 01:09 --------- d-----w c:\programme\microsoft frontpage 2009-02-22 01:04 --------- d-----w c:\programme\Online-Dienste 2009-02-22 01:03 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "Orb"="c:\programme\Winamp Remote\bin\OrbTray.exe" [2008-04-01 507904] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AudioDeck"="c:\programme\VIA\VIAudioi\SBADeck\ADeck.exe" [2006-11-02 528384] "AVP"="c:\programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2009-02-25 206088] "Ad-Watch"="c:\programme\Lavasoft\Ad-Aware\AAWTray.exe" [2009-02-25 509784] "WinampAgent"="c:\programme\Winamp\winampa.exe" [2008-08-04 36352] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-01 136600] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ ZyXEL G-220 Utility GUI.lnk - c:\programme\ZyXEL Communications Corporation\ZyXEL G-220 Utility\ZyXEL_G-220_GUI.exe [2009-02-25 1318912] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service] @="Service" [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2009\\german\\setup.exe"= "c:\\Programme\\Winamp Remote\\bin\\Orb.exe"= "c:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"= "c:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe"= "c:\\Programme\\ICQ6.5\\ICQ.exe"= R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 33808] R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [2009-02-25 64160] R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [2009-03-04 222456] R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [2009-01-18 950096] R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [2009-02-25 603904] R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [2008-03-13 26640] R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2008-04-30 24592] R3 ZD1211U(ZyXEL);ZyAIR G-220 IEEE 802.11b+g Wireless LAN Driver (USB)(ZyXEL);c:\windows\system32\drivers\ZD1211U.sys [2009-02-25 278016] S2 gupdate1c99ac34636bd24;Google Update Service (gupdate1c99ac34636bd24);c:\programme\Google\Update\GoogleUpdate.exe [2009-03-02 133104] S3 npf;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2008-06-01 34064] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Inhalt des "geplante Tasks" Ordners 2009-03-06 c:\windows\Tasks\1-Klick-Wartung.job - c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-11 19:07] 2009-02-25 c:\windows\Tasks\Ad-Aware Update (Weekly).job - c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-02-25 16:49] 2009-03-06 c:\windows\Tasks\Google Software Updater.job - c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-03-02 00:11] 2009-03-06 c:\windows\Tasks\GoogleUpdateTaskMachine.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-03-02 00:12] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://start.icq.com/ IE: Hinzufügen zu Anti-Banner - c:\programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm FF - ProfilePath - c:\dokumente und einstellungen\Lisa\Anwendungsdaten\Mozilla\Firefox\Profiles\q46sanm3.default\ FF - prefs.js: browser.search.selectedEngine - ICQ Search FF - prefs.js: browser.startup.homepage - google.de FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q= FF - plugin: c:\programme\Google\Google Updater\2.4.1508.6312\npCIDetect13.dll FF - plugin: c:\programme\Google\Update\1.2.141.5\npGoogleOneClick7.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-03-07 00:08:09 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... HKLM\Software\Microsoft\Windows\CurrentVersion\Run AudioDeck = c:\programme\VIA\VIAudioi\SBADeck\ADeck.exe 1???????????????????????????????????????????? Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(1212) c:\windows\system32\Ati2evxx.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\ati2evxx.exe c:\programme\Java\jre6\bin\jqs.exe c:\programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe c:\windows\system32\wdfmgr.exe c:\windows\system32\wbem\unsecapp.exe c:\windows\system32\ati2evxx.exe c:\windows\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-03-07 0:10:17 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-03-06 23:10:14 Vor Suchlauf: 15 Verzeichnis(se), 69.752.057.856 Bytes frei Nach Suchlauf: 15 Verzeichnis(se), 71,810,658,304 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn 252 --- E O F --- 2009-03-03 23:25:51 |
|
|
||
07.03.2009, 03:48
Moderator
Beiträge: 5694 |
#35
>>
mache einen Onlinescan mit eset + poste den report http://virus-protect.org/artikel/tools/eset-nod.html >> Mach ein Onlinescan mit Bitdefender und poste das Log: http://virus-protect.org/artikel/tools/bitdefender.html Gruss Swiss |
|
|
||
07.03.2009, 16:06
Member
Themenstarter Beiträge: 43 |
#36
Wenn ich mit Eset scannen will, stürzt andauernd der Internet Explorer ab und als ich mit Bitdefender gescannt habe, kam "3 Viren gefunden" und dann ist der Rechner abgestürzt. Ich habe dann nochmal mit Bitdefender gescannt und dann kam dass keine Viren gefunden wurden.
Prüf-Info Geprüfte Dateien 42648 Infizierte Dateien 0 Erkannte Viren Keine Viren gefunden und was heißt das jetzt? Wie kommen die überhaupt auf meinen PC obwohl er formatiert wurde?? |
|
|
||
07.03.2009, 19:35
Moderator
Beiträge: 5694 |
#37
Das kann viele Gründe haben, kurz mal ohne Schutz ins Interet oder schon wieder was falsches installiert. Tretten noch Probleme auf jetzt?
Gruss Swiss |
|
|
||
08.03.2009, 17:20
Member
Themenstarter Beiträge: 43 |
#38
Naja, der PC ist eben total langsam, hängt sich auf, stürtzt ab etc. kurz nach dem ich formatiert habe war das nicht so, da liefs ne Zeit lang ganz gut. Aber seit dem die Sachen da gefunden wurden hängt das alles wieder total.
Vielleicht ist der PC auch einfach reif für die Müllhalde ^^ gibts sonst noch was, was man machen könnte um den wieder normal zu bekommen? |
|
|
||
08.03.2009, 20:39
Member
Beiträge: 500 |
#39
Man kann seinen PC neu installiern und ist kurze Zeit später wieder rettungslos verseucht. Man sollte sich mal mit ein paar Seiten beschäftigen, um den Kreislauf zu beenden:
- http://cidres-security.de/neuaufsetzen.html - http://www.comsafe.de/ - http://www.bsi-fuer-buerger.de/ Felix __________ Keine Anfragen per E-Mail und PN! |
|
|
||
08.03.2009, 23:38
Member
Themenstarter Beiträge: 43 |
#40
Ja, das habe ich ja alles gemacht..
Ad Aware hat das gefunden "C:\WINDOWS\ERDNT\Hiv-backup\ERDNT.EXE" "C:\WINDOWS\ERDNT\subs\ERDNT.EXE" "C:\WINDOWS\NRCMD.exe" "C:\WINDOWS\SWREG.exe" "C:\WINDOWS\SWSC.exe" Das würde mich doch mal brennend interessieren wie die Sachen auf meinen Rechner kommen. So viel mache ich an dem PC nicht und rundergeladen etc. habe ich kaum was. Was ist dieses ERDNT? |
|
|
||
09.03.2009, 00:14
Moderator
Beiträge: 5694 |
#41
Unter C:\WINDOWS\ERDNT wird das Backup von Combofix abgelegt.
>> Combofix entfernen: Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" (oder, wenn es nicht funktioniert: C:\QooBox löschen) >> Mach noch Onlinescans und schau ob noch was gefunden wird: http://virus-protect.org/onlinescan.html Zitat Das würde mich doch mal brennend interessieren wie die Sachen auf meinen Rechner kommen. So viel mache ich an dem PC nicht und rundergeladen etc. habe ich kaum was.Das weiss Gott. Gruss Swiss |
|
|
||
HAst du bei Malwarebytes das gefundene löschen lassen? Weil bei:
C:\WINDOWS\system32\wextract.exe
dürfte es sich evtl um eine Falschneldung handeln. Falls du die Dateien nicht gelöscht hast, dann lasss die Datei bei www.virustotal.dom/de prüfen.
Gruss Swiss