AntiSpywareExpert auf dem Rechner wie Enfernen ? |
||
---|---|---|
#0
| ||
04.03.2009, 19:05
...neu hier
Beiträge: 8 |
||
|
||
04.03.2009, 19:14
Moderator
Beiträge: 5694 |
#2
>>
Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind) Zitat O4 - HKLM\..\Run: [SecureExpertCleanerDownloader] C:\Dokumente und Einstellungen\Corrado Cappello\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7L1TQ9PW\CleanerInstaller_de[1].exeund wähle fix checked. Starte den Rechner neu. >> Wende Combofix an und poste das Log: http://www.virus-protect.org/artikel/tools/combofix.html >> Lade Dir Registry Search by Bobbi Flekman und doppelklicken, um zu starten. in das Feld: "Enter search strings" (reinschreiben oder reinkopieren) DriveCleaner in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. Gruss Swiss |
|
|
||
04.03.2009, 19:49
...neu hier
Themenstarter Beiträge: 8 |
#3
hallo nochmal
hier das logvon bobbi Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.6.0 ; Results at 04.03.2009 19:44:54 for strings: ; 'drivecleaner drivecleaner drivecleaner' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... combofix geht noch nicht hat geschrieben kann nicht in 1 umbenennen |
|
|
||
04.03.2009, 19:59
Moderator
Beiträge: 5694 |
#4
Wie nicht in 1 umbenennen?
|
|
|
||
04.03.2009, 20:04
...neu hier
Themenstarter Beiträge: 8 |
#5
ja hat er so geschrieben aber jetzt läuft er gerade bin jatzt an einem anderen rechner log kommt dann auch gleich ach ja hatte das antivir programm noch an deshalb vieleicht ?
|
|
|
||
04.03.2009, 20:08
Moderator
Beiträge: 5694 |
||
|
||
04.03.2009, 20:09
...neu hier
Themenstarter Beiträge: 8 |
#7
so da ist er
ComboFix 09-03-03.01 - Corrado Cappello 2009-03-04 20:01:03.1 - [color=red]FAT32[/color]x86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1014.728 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Corrado Cappello\Eigene Dateien\AntiSpyTools\ComboFix.exe AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) FW: Norton Internet Worm Protection *disabled* * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\All Users\Anwendungsdaten\Software Licensors c:\dokumente und einstellungen\Corrado Cappello\err.log c:\dokumente und einstellungen\Corrado Cappello\ResErrors.log c:\dokumente und einstellungen\Linda Cappello\err.log c:\dokumente und einstellungen\Linda Cappello\ResErrors.log c:\windows\system32\init32.exe D:\Autorun.inf . ((((((((((((((((((((((( Dateien erstellt von 2009-02-04 bis 2009-03-04 )))))))))))))))))))))))))))))) . 2009-03-04 18:32 . 2009-03-04 18:32 <DIR> d-------- c:\programme\Trend Micro 2009-03-04 18:08 . 2009-03-04 18:08 <DIR> d-------- c:\dokumente und einstellungen\Corrado Cappello\Anwendungsdaten\Malwarebytes 2009-03-04 18:08 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-03-04 18:08 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-03-04 18:07 . 2009-03-04 18:07 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2009-03-04 18:07 . 2009-03-04 18:07 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-03-04 17:52 . 2009-03-04 17:52 3,660 --a------ c:\windows\aebwlan.cfg 2009-03-04 17:49 . 2006-03-15 09:35 17,664 -ra------ c:\windows\system32\drivers\AWISp50.sys 2009-03-01 14:00 . 2009-03-01 14:00 <DIR> dr------- c:\dokumente und einstellungen\NetworkService\Favoriten 2009-02-21 18:36 . 2009-02-21 18:36 54,156 --ah----- c:\windows\QTFont.qfn 2009-02-21 18:36 . 2009-02-21 18:36 1,409 --a------ c:\windows\QTFont.for . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-03-01 00:04 66,560 ----a-w c:\windows\system32\userinit.exe 2009-01-16 20:01 3,594,752 ------w c:\windows\system32\dllcache\mshtml.dll 2009-01-14 19:35 --------- d-----w c:\dokumente und einstellungen\Linda Cappello\Anwendungsdaten\Ahead 2009-01-04 16:18 --------- d-----w c:\dokumente und einstellungen\Corrado Cappello\Anwendungsdaten\Ahead 2009-01-04 16:09 --------- d-----w c:\programme\Gemeinsame Dateien\Ahead 2009-01-04 16:09 --------- d-----w c:\programme\Ahead 2009-01-04 16:09 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ahead 2008-12-20 22:30 63,488 ------w c:\windows\system32\dllcache\icardie.dll 2008-12-20 22:30 6,066,688 ------w c:\windows\system32\dllcache\ieframe.dll 2008-12-20 22:30 44,544 ------w c:\windows\system32\dllcache\iernonce.dll 2008-12-20 22:30 384,512 ------w c:\windows\system32\dllcache\iedkcs32.dll 2008-12-20 22:30 383,488 ------w c:\windows\system32\dllcache\ieapfltr.dll 2008-12-20 22:30 347,136 ----a-w c:\windows\system32\dllcache\dxtmsft.dll 2008-12-20 22:30 267,776 ------w c:\windows\system32\dllcache\iertutil.dll 2008-12-20 22:30 230,400 ------w c:\windows\system32\dllcache\ieaksie.dll 2008-12-20 22:30 214,528 ------w c:\windows\system32\dllcache\dxtrans.dll 2008-12-20 22:30 153,088 ------w c:\windows\system32\dllcache\ieakeng.dll 2008-12-20 22:30 133,120 ------w c:\windows\system32\dllcache\extmgr.dll 2008-12-20 22:30 124,928 ------w c:\windows\system32\dllcache\advpack.dll 2008-12-19 09:10 13,824 ------w c:\windows\system32\dllcache\ieudinit.exe 2008-12-19 09:09 70,656 ------w c:\windows\system32\dllcache\ie4uinit.exe 2008-12-19 05:25 634,024 ------w c:\windows\system32\dllcache\iexplore.exe 2008-12-19 05:23 161,792 ------w c:\windows\system32\dllcache\ieakui.dll 2008-12-11 10:57 333,952 ------w c:\windows\system32\dllcache\srv.sys 2008-03-21 11:50 9 ----a-w c:\dokumente und einstellungen\Corrado Cappello\Anwendungsdaten\mdb.bin 2008-10-01 19:12 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008100120081002\index.dat . ------- Sigcheck ------- 2009-03-01 01:04 66560 3ff1df949342f9edd1655815e632cf01 c:\windows\system32\userinit.exe 2004-08-10 05:00 25088 d1e53dc57143f2584b1dd53b036c0633 c:\windows\$NtServicePackUninstall$\userinit.exe 2008-04-14 04:23 26624 788f95312e26389d596c0fa55834e106 c:\windows\ServicePackFiles\i386\userinit.exe . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "preload"="c:\windows\RUNXMLPL.exe" [2005-05-19 32768] "Boot"="c:\acer\Empowering Technology\ePower\Boot.exe" [2006-03-15 579584] "avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497] "ePower_DMC"="c:\acer\Empowering Technology\ePower\ePower_DMC.exe" [2006-03-30 421888] "BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 c:\windows\system32\bthprops.cpl] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\Corrado Cappello\Startmen\Programme\Autostart\ FRITZ!DSL Startcenter.lnk - c:\programme\FRITZ!DSL\StCenter.exe [2006-12-21 679936] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "74886787"= 39413443343331442d413632432d343244382d423533412d4344303846 "74 "aux1"= c_886756.nls "wave1"= c_886756.nls "mixer1"= c_886756.nls "midi1"= c_886756.nls "wave2"= c_886756.nls "mixer2"= c_886756.nls "midi2"= c_886756.nls "aux2"= c_886756.nls "74886806"= [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Acer Empowering Technology.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Acer Empowering Technology.lnk backup=c:\windows\pss\Acer Empowering Technology.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk backup=c:\windows\pss\Google Updater.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acer ePresentation HPD] --a------ 2006-03-31 16:39 204800 c:\acer\Empowering Technology\ePresentation\ePresentation.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOLDialer] -r------- 2007-06-21 14:42 70952 c:\programme\Gemeinsame Dateien\aol\ACS\AOLDial.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AzMixerSel] --------- 2005-06-11 20:51 53248 c:\programme\Realtek\InstallShield\AzMixerSel.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] --a------ 2008-04-14 04:22 15360 c:\windows\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CtrlVol] --a------ 2003-09-16 14:28 20480 c:\programme\Launch Manager\CtrlVol.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray] --a------ 2005-08-05 13:34 64512 c:\windows\ehome\ehtray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eRecoveryService] --a------ 2006-06-01 14:40 413696 c:\acer\Empowering Technology\eRecovery\eRAgent.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HostManager] --a------ 2006-11-17 15:16 50736 c:\programme\Gemeinsame Dateien\aol\1177873888\EE\aolsoftware.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxhkcmd] --------- 2006-02-07 08:36 77824 c:\windows\system32\hkcmd.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxpers] --------- 2006-02-07 08:40 118784 c:\windows\system32\igfxpers.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxtray] --------- 2006-02-07 08:39 94208 c:\windows\system32\igfxtray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1] --a------ 2004-08-10 05:00 208952 c:\windows\ime\imjp8_1\imjpmig.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] --a------ 2007-04-27 11:25 257088 c:\programme\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LaunchAp] --a------ 2005-07-25 13:36 32768 c:\programme\Launch Manager\LaunchAp.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LManager] --a------ 2006-04-19 15:08 69632 c:\programme\Launch Manager\HotkeyApp.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LMgrOSD] --a------ 2005-07-25 10:45 241664 c:\programme\Launch Manager\OSDCtrl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] --a------ 2008-04-14 04:22 1695232 c:\programme\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSPY2002] --a------ 2004-08-10 05:00 59392 c:\windows\system32\IME\PINTLGNT\IMSCINST.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2001-07-09 11:50 155648 c:\windows\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ntiMUI] --a------ 2005-05-11 17:15 45056 c:\programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A] --a------ 2004-08-10 05:00 455168 c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync] --a------ 2004-08-10 05:00 455168 c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2007-04-27 09:41 282624 c:\programme\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray] --a------ 2006-09-17 01:06 26112 c:\programme\Real\RealPlayer\realplay.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\rundll32.exe] --a------ 2009-02-28 19:22 64512 c:\dokumente und einstellungen\Corrado Cappello\Anwendungsdaten\Macromedia\Common\981d001c1.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg] --a------ 2007-04-02 19:58 68856 c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh] --a------ 2005-12-16 16:32 761945 c:\programme\Synaptics\SynTP\SynTPEnh.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr] -ra------ 2006-03-30 16:45 313472 c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Wbutton] --a------ 2006-04-20 09:23 86016 c:\programme\Launch Manager\WButton.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG] --a------ 2005-12-12 14:50 88204 c:\windows\AGRSMMSG.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr] --a------ 2005-05-03 19:43 69632 c:\windows\Alcmtr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL] --a------ 2006-07-21 17:56 16261632 c:\windows\RTHDCPL.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel] --a------ 2006-05-16 19:04 2879488 c:\windows\SkyTel.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"= "c:\\Programme\\Messenger\\MSMSGS.EXE"= "c:\\Programme\\iTunes\\iTunes.exe"= "c:\\Programme\\Real\\RealPlayer\\REALPLAY.EXE"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"= R1 Hotkey;Hotkey;c:\windows\system32\drivers\HOTKEY.sys [2006-12-12 9867] S1 mailKmd;mailKmd; [x] S1 Wbutton;Wbutton;c:\windows\system32\drivers\Wbutton.sys --> c:\windows\system32\drivers\Wbutton.sys [?] S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"c:\programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" --> c:\programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe [?] --- Andere Dienste/Treiber im Speicher --- *NewlyCreated* - UBHELPER . Inhalt des "geplante Tasks" Ordners 2009-01-19 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-01-10 15:42] 2009-03-03 c:\windows\Tasks\At1.job - c:\windows\system32\3UvxDjiP.exe [] 2009-03-04 c:\windows\Tasks\At2.job - c:\windows\system32\3UvxDjiP.exe [] 2009-03-04 c:\windows\Tasks\At3.job - c:\windows\system32\3UvxDjiP.exe [] 2009-03-04 c:\windows\Tasks\At4.job - c:\windows\system32\3UvxDjiP.exe [] 2009-03-04 c:\windows\Tasks\At5.job - c:\windows\system32\3UvxDjiP.exe [] 2009-03-04 c:\windows\Tasks\At6.job - c:\windows\system32\3UvxDjiP.exe [] 2009-03-04 c:\windows\Tasks\At7.job - c:\windows\system32\3UvxDjiP.exe [] 2009-03-01 c:\windows\Tasks\At8.job - c:\windows\system32\3UvxDjiP.exe [] 2009-03-01 c:\windows\Tasks\At9.job - c:\windows\system32\3UvxDjiP.exe [] 2009-03-01 c:\windows\Tasks\At10.job - c:\windows\system32\3UvxDjiP.exe [] 2009-03-01 c:\windows\Tasks\At11.job - c:\windows\system32\3UvxDjiP.exe [] 2009-03-01 c:\windows\Tasks\At12.job - c:\windows\system32\3UvxDjiP.exe [] 2009-03-01 c:\windows\Tasks\At13.job - c:\windows\system32\3UvxDjiP.exe [] 2009-03-01 c:\windows\Tasks\At14.job - c:\windows\system32\3UvxDjiP.exe [] 2009-03-01 c:\windows\Tasks\At15.job - c:\windows\system32\3UvxDjiP.exe [] 2009-03-03 c:\windows\Tasks\At16.job - c:\windows\system32\3UvxDjiP.exe [] 2009-03-02 c:\windows\Tasks\At17.job - c:\windows\system32\3UvxDjiP.exe [] 2009-03-04 c:\windows\Tasks\At18.job - c:\windows\system32\3UvxDjiP.exe [] 2009-03-04 c:\windows\Tasks\At19.job - c:\windows\system32\3UvxDjiP.exe [] 2009-03-04 c:\windows\Tasks\At20.job - c:\windows\system32\3UvxDjiP.exe [] 2009-03-04 c:\windows\Tasks\At21.job - c:\windows\system32\3UvxDjiP.exe [] 2009-03-03 c:\windows\Tasks\At22.job - c:\windows\system32\3UvxDjiP.exe [] 2009-03-03 c:\windows\Tasks\At23.job - c:\windows\system32\3UvxDjiP.exe [] 2009-03-03 c:\windows\Tasks\At24.job - c:\windows\system32\3UvxDjiP.exe [] . - - - - Entfernte verwaiste Registrierungseinträge - - - - MSConfigStartUp-ccApp - c:\programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe MSConfigStartUp-Cognac - c:\dokume~1\CORRAD~1\LOKALE~1\Temp\920.exe MSConfigStartUp-eLockMonitor - c:\acer\Empowering Technology\eLock\Monitor\LaunchMonitor.exe MSConfigStartUp-MSFox - c:\dokume~1\CORRAD~1\LOKALE~1\Temp\video234.cfg.exe MSConfigStartUp-WA6PU_Check - c:\programme\Gemeinsame Dateien\DriveCleaner Free\udcwap.exe . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://web.de/fm/ uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 uSearchURL,(Default) = hxxp://www.google.com/search?q=%s IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-03-04 20:04:49 Windows 5.1.2600 Service Pack 3 FAT NTAPI Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2009-03-04 20:07:42 ComboFix-quarantined-files.txt 2009-03-04 19:07:40 Vor Suchlauf: 27 Verzeichnis(se), 34.412.462.080 Bytes frei Nach Suchlauf: 27 Verzeichnis(se), 37,293,293,568 Bytes frei 271 --- E O F --- 2009-02-26 16:40:45 Dieser Beitrag wurde am 04.03.2009 um 21:19 Uhr von bigmaus editiert.
|
|
|
||
04.03.2009, 20:50
Moderator
Beiträge: 5694 |
#8
Das sieht nach Silentbanker aus. Zudem hattest du noch einen DNS Changer.
Ich denke das sinnvollste wäre das Neuaufsetzen, vorallem wenn du heikle Daten hast oder Onlinebanking machst: http://www.zdnet.de/security/news/0,39029460,39160216,00.htm http://www.pcwelt.de/start/sicherheit/antivirus/news/143049/online_bankraub_in_aller_stille/ Aber mach zur Sicherheit mal folgendes dann sehen wir weiter: EINFACH KEIN EBANKING MEHR MOMENTAN >> Versteckte Dateien sichtbar machen: 1. Klicke unter Start auf Arbeitsplatz. 2. Klicke im Menü Extras auf Ordneroptionen. 3. Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden --> Haken entfernen 4. Geschützte und Systemdateien ausblenden --> Haken entfernen 5. Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen --> Haken setzen. Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. http://virus-protect.org/invisible.html >> Lasse folgende Datei bei www.VIRUSTOTAL.com/de prüfen und poste das Ergebnis: c:\windows\system32\c_886756.nls c:\windows\system32\3UvxDjiP.exe Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren Gruss Swiss PS: Editiere den oberen Beitrag indem du die lange Zeile im Combofix Log so weit kürzt dass alles auf der Seite Platz hat. |
|
|
||
04.03.2009, 21:37
...neu hier
Themenstarter Beiträge: 8 |
#9
so alles erledigt die zwei dateien c:\windows\system32\c_886756.nls
c:\windows\system32\3UvxDjiP.exe sind nicht mehr auf dem rechner es ist auch keine meldung mehr gekommen ich denke es ist jetzt ruhe der mist ist nicht mehr da alles gelöscht hoffe ich.EBANKING MACHE ICH NICHT heikle daten sind eigentlich auch nichtauf dem lapi keine ahnung wer da wo war ich hoffe jetzt ist ruhe :-) ich danke dir vielmals für die schnelle und gute hilfe gruss m. |
|
|
||
04.03.2009, 21:44
Moderator
Beiträge: 5694 |
#10
Wieso weisst du dass die Dateien weg sind. Also sauber wird das System sicherlich nicht sein. Zudem noch die schädlichen Jobs welche aus dem Log ersichtlich sind:
>> LOP-uninstall Download LOP-uninstall zum Desktop Fuehre bei “Uninstall verification“ die siebenstellige Zahl ein und klicke “Uninstall“ Klicke bei “Legal notice” ok Schliesse alle Fenster und klicke ok Warte…..und klicke bei “Uninstall complete for all users “ok Download Deljob.exe zum Desktop Doppelklick: Deljob.exe Ein logfile wird sich oeffnen (logit.txt) Kopiere den Inhalt des Berichts “ logit.txt in diesen Thread Poste ein neues Combofix-Log Gruss Swiss |
|
|
||
04.03.2009, 22:12
...neu hier
Themenstarter Beiträge: 8 |
#11
hab sie nicht gefunden wo sie sein sollen aber mein antivir hat das eine beim hochfahren gefunden habs jetzt mal in quarantäne geschickt und irgendwas stimmt jetzt mit dem laptop nicht das desktop steht ohne symbole und irgend welche anderen sachen einfach nur der hintergrund ist da ?
|
|
|
||
04.03.2009, 22:32
Moderator
Beiträge: 5694 |
||
|
||
04.03.2009, 22:44
...neu hier
Themenstarter Beiträge: 8 |
#13
deljob log
-------------------------------------------------------- No LOP job-files found -------------------------------------------------------- Files in Windows Tasks folder AppleSoftwareUpdate.job At1.job At2.job At3.job At4.job At5.job At6.job At7.job At8.job At9.job At10.job At11.job At12.job At13.job At14.job At15.job At16.job At17.job At18.job At19.job At20.job At21.job At22.job At23.job At24.job -------------------------------------------------------- Export App Data folders -------------------------------------------------------- Datenträger in Laufwerk C: ist ACER Volumeseriennummer: 47A9-2B0B Verzeichnis von C:\Dokumente und Einstellungen\Corrado Cappello\Anwendungsdaten 12.12.2006 02:11 <DIR> . 12.12.2006 02:11 <DIR> .. 16.04.2005 06:47 <DIR> IDENTI~1 Identities 17.09.2006 01:07 <DIR> YOU'VE~1 You've Got Pictures Screensaver 17.09.2006 01:07 <DIR> AOL 15.04.2005 16:46 <DIR> MICROS~1 Microsoft 12.12.2006 02:17 <DIR> MACROM~1 Macromedia 12.12.2006 02:52 <DIR> ADOBE Adobe 12.12.2006 02:53 <DIR> ADOBEUM AdobeUM 12.12.2006 02:55 <DIR> CYBERL~1 CyberLink 12.12.2006 23:59 <DIR> HELP Help 30.12.2006 20:37 <DIR> GOOGLE Google 13.05.2007 18:40 <DIR> APPLEC~1 Apple Computer 20.05.2007 17:25 <DIR> CANON Canon 30.09.2007 19:07 <DIR> MSNINS~1 MSNInstaller 16.03.2008 16:40 <DIR> T-ONLINE T-Online 04.01.2009 17:18 <DIR> AHEAD Ahead 04.03.2009 18:08 <DIR> MALWAR~1 Malwarebytes 0 Datei(en) 0 Bytes 18 Verzeichnis(se), 37.295.357.952 Bytes frei Datenträger in Laufwerk C: ist ACER Volumeseriennummer: 47A9-2B0B Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten 23.10.2006 11:34 <DIR> . 23.10.2006 11:34 <DIR> .. 15.04.2005 16:46 <DIR> MICROS~1 Microsoft 17.09.2006 01:06 <DIR> QUICKT~1 QuickTime 17.09.2006 01:07 <DIR> VIEWPO~1 Viewpoint 12.12.2006 03:37 <DIR> CYBERL~1 CyberLink 30.12.2006 20:36 <DIR> GOOGLE~1 Google Updater 25.03.2007 17:44 <DIR> ANTIVI~1 AntiVir PersonalEdition Classic 25.03.2007 18:53 <DIR> ADOBE Adobe 22.04.2007 12:30 <DIR> WINDOW~1 Windows Genuine Advantage 13.05.2007 18:37 <DIR> APPLEC~1 Apple Computer 20.05.2007 17:12 <DIR> CANONBJ CanonBJ 16.03.2008 16:38 <DIR> T-ONLINE T-Online 06.04.2008 16:00 <DIR> T-DSLS~1 T-DSL SpeedManager 06.04.2008 19:38 <DIR> AOL(2) 06.04.2008 20:17 <DIR> AOL 04.01.2009 17:09 <DIR> AHEAD Ahead 04.03.2009 18:07 <DIR> MALWAR~1 Malwarebytes 0 Datei(en) 0 Bytes 18 Verzeichnis(se), 37.295.357.952 Bytes frei -------------------------------------------------------- All User Accounts -------------------------------------------------------- All Users Administrator Corrado Cappello Linda Cappello Gast -------------------------------------------------------- ComboFix 09-03-03.01 - Corrado Cappello 2009-03-04 22:46:57.3 - [color=red]FAT32[/color]x86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1014.662 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Corrado Cappello\Eigene Dateien\AntiSpyTools\ComboFix.exe AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) FW: Norton Internet Worm Protection *disabled* Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . ((((((((((((((((((((((( Dateien erstellt von 2009-02-04 bis 2009-03-04 )))))))))))))))))))))))))))))) . 2009-03-04 18:32 . 2009-03-04 18:32 <DIR> d-------- c:\programme\Trend Micro 2009-03-04 18:08 . 2009-03-04 18:08 <DIR> d-------- c:\dokumente und einstellungen\Corrado Cappello\Anwendungsdaten\Malwarebytes 2009-03-04 18:08 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-03-04 18:08 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-03-04 18:07 . 2009-03-04 18:07 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2009-03-04 18:07 . 2009-03-04 18:07 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-03-04 17:52 . 2009-03-04 17:52 3,660 --a------ c:\windows\aebwlan.cfg 2009-03-04 17:49 . 2006-03-15 09:35 17,664 -ra------ c:\windows\system32\drivers\AWISp50.sys 2009-03-01 14:00 . 2009-03-01 14:00 <DIR> dr------- c:\dokumente und einstellungen\NetworkService\Favoriten 2009-02-21 18:36 . 2009-02-21 18:36 54,156 --ah----- c:\windows\QTFont.qfn 2009-02-21 18:36 . 2009-02-21 18:36 1,409 --a------ c:\windows\QTFont.for . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-03-01 00:04 66,560 ----a-w c:\windows\system32\userinit.exe 2009-01-16 20:01 3,594,752 ------w c:\windows\system32\dllcache\mshtml.dll 2009-01-14 19:35 --------- d-----w c:\dokumente und einstellungen\Linda Cappello\Anwendungsdaten\Ahead 2009-01-04 16:18 --------- d-----w c:\dokumente und einstellungen\Corrado Cappello\Anwendungsdaten\Ahead 2009-01-04 16:09 --------- d-----w c:\programme\Gemeinsame Dateien\Ahead 2009-01-04 16:09 --------- d-----w c:\programme\Ahead 2009-01-04 16:09 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ahead 2008-12-20 22:30 63,488 ------w c:\windows\system32\dllcache\icardie.dll 2008-12-20 22:30 6,066,688 ------w c:\windows\system32\dllcache\ieframe.dll 2008-12-20 22:30 44,544 ------w c:\windows\system32\dllcache\iernonce.dll 2008-12-20 22:30 384,512 ------w c:\windows\system32\dllcache\iedkcs32.dll 2008-12-20 22:30 383,488 ------w c:\windows\system32\dllcache\ieapfltr.dll 2008-12-20 22:30 347,136 ----a-w c:\windows\system32\dllcache\dxtmsft.dll 2008-12-20 22:30 267,776 ------w c:\windows\system32\dllcache\iertutil.dll 2008-12-20 22:30 230,400 ------w c:\windows\system32\dllcache\ieaksie.dll 2008-12-20 22:30 214,528 ------w c:\windows\system32\dllcache\dxtrans.dll 2008-12-20 22:30 153,088 ------w c:\windows\system32\dllcache\ieakeng.dll 2008-12-20 22:30 133,120 ------w c:\windows\system32\dllcache\extmgr.dll 2008-12-20 22:30 124,928 ------w c:\windows\system32\dllcache\advpack.dll 2008-12-19 09:10 13,824 ------w c:\windows\system32\dllcache\ieudinit.exe 2008-12-19 09:09 70,656 ------w c:\windows\system32\dllcache\ie4uinit.exe 2008-12-19 05:25 634,024 ------w c:\windows\system32\dllcache\iexplore.exe 2008-12-19 05:23 161,792 ------w c:\windows\system32\dllcache\ieakui.dll 2008-12-11 10:57 333,952 ------w c:\windows\system32\dllcache\srv.sys 2008-03-21 11:50 9 ----a-w c:\dokumente und einstellungen\Corrado Cappello\Anwendungsdaten\mdb.bin 2008-10-01 19:12 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008100120081002\index.dat . ------- Sigcheck ------- 2009-03-01 01:04 66560 3ff1df949342f9edd1655815e632cf01 c:\windows\system32\userinit.exe 2004-08-10 05:00 25088 d1e53dc57143f2584b1dd53b036c0633 c:\windows\$NtServicePackUninstall$\userinit.exe 2008-04-14 04:23 26624 788f95312e26389d596c0fa55834e106 c:\windows\ServicePackFiles\i386\userinit.exe . ((((((((((((((((((((((((((((( SnapShot@2009-03-04_20.05.40,37 ))))))))))))))))))))))))))))))))))))))))) . + 2009-03-04 21:29:24 16,384 ----a-w c:\windows\Temp\Perflib_Perfdata_84c.dat + 2009-03-04 21:02:18 16,384 ----a-w c:\windows\Temp\Perflib_Perfdata_ec.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "preload"="c:\windows\RUNXMLPL.exe" [2005-05-19 32768] "avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497] "ePower_DMC"="c:\acer\Empowering Technology\ePower\ePower_DMC.exe" [2006-03-30 421888] "Acer ePresentation HPD"="c:\acer\Empowering Technology\ePresentation\ePresentation.exe" [2006-03-31 204800] "BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 c:\windows\system32\bthprops.cpl] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\Corrado Cappello\Startmen\Programme\Autostart\ FRITZ!DSL Startcenter.lnk - c:\programme\FRITZ!DSL\StCenter.exe [2006-12-21 679936] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "74886787"= 39413443343331442d413632432d343244382d423533412d434430384631383536334331 "74886776"= 28994cddc53df689c907f8302ed2d521510bdf9a9d90131e000 "aux1"= c_886756.nls "wave1"= c_886756.nls "mixer1"= c_886756.nls "midi1"= c_886756.nls "wave2"= c_886756.nls "mixer2"= c_886756.nls "midi2"= c_886756.nls "aux2"= c_886756.nls "74886806"= "74886786"= 74235916edd4dcc45f89d40d86f8175fa007ea8810bc746b401d1018a72ce5f514188ff [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Acer Empowering Technology.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Acer Empowering Technology.lnk backup=c:\windows\pss\Acer Empowering Technology.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk backup=c:\windows\pss\Google Updater.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOLDialer] -r------- 2007-06-21 14:42 70952 c:\programme\Gemeinsame Dateien\aol\ACS\AOLDial.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AzMixerSel] --------- 2005-06-11 20:51 53248 c:\programme\Realtek\InstallShield\AzMixerSel.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Boot] --a------ 2006-03-15 22:12 579584 c:\acer\Empowering Technology\ePower\Boot.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] --a------ 2008-04-14 04:22 15360 c:\windows\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CtrlVol] --a------ 2003-09-16 14:28 20480 c:\programme\Launch Manager\CtrlVol.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray] --a------ 2005-08-05 13:34 64512 c:\windows\ehome\ehtray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eRecoveryService] --a------ 2006-06-01 14:40 413696 c:\acer\Empowering Technology\eRecovery\eRAgent.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HostManager] --a------ 2006-11-17 15:16 50736 c:\programme\Gemeinsame Dateien\aol\1177873888\EE\aolsoftware.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxhkcmd] --------- 2006-02-07 08:36 77824 c:\windows\system32\hkcmd.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxpers] --------- 2006-02-07 08:40 118784 c:\windows\system32\igfxpers.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxtray] --------- 2006-02-07 08:39 94208 c:\windows\system32\igfxtray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1] --a------ 2004-08-10 05:00 208952 c:\windows\ime\imjp8_1\imjpmig.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] --a------ 2007-04-27 11:25 257088 c:\programme\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LaunchAp] --a------ 2005-07-25 13:36 32768 c:\programme\Launch Manager\LaunchAp.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LManager] --a------ 2006-04-19 15:08 69632 c:\programme\Launch Manager\HotkeyApp.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LMgrOSD] --a------ 2005-07-25 10:45 241664 c:\programme\Launch Manager\OSDCtrl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] --a------ 2008-04-14 04:22 1695232 c:\programme\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSPY2002] --a------ 2004-08-10 05:00 59392 c:\windows\system32\IME\PINTLGNT\IMSCINST.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2001-07-09 11:50 155648 c:\windows\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ntiMUI] --a------ 2005-05-11 17:15 45056 c:\programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A] --a------ 2004-08-10 05:00 455168 c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync] --a------ 2004-08-10 05:00 455168 c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2007-04-27 09:41 282624 c:\programme\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray] --a------ 2006-09-17 01:06 26112 c:\programme\Real\RealPlayer\realplay.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\rundll32.exe] --a------ 2009-02-28 19:22 64512 c:\dokumente und einstellungen\Corrado Cappello\Anwendungsdaten\Macromedia\Common\981d001c1.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg] --a------ 2007-04-02 19:58 68856 c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh] --a------ 2005-12-16 16:32 761945 c:\programme\Synaptics\SynTP\SynTPEnh.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr] -ra------ 2006-03-30 16:45 313472 c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Wbutton] --a------ 2006-04-20 09:23 86016 c:\programme\Launch Manager\WButton.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG] --a------ 2005-12-12 14:50 88204 c:\windows\AGRSMMSG.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr] --a------ 2005-05-03 19:43 69632 c:\windows\Alcmtr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL] --a------ 2006-07-21 17:56 16261632 c:\windows\RTHDCPL.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel] --a------ 2006-05-16 19:04 2879488 c:\windows\SkyTel.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"= "c:\\Programme\\Messenger\\MSMSGS.EXE"= "c:\\Programme\\iTunes\\iTunes.exe"= "c:\\Programme\\Real\\RealPlayer\\REALPLAY.EXE"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"= R1 Hotkey;Hotkey;c:\windows\system32\drivers\HOTKEY.sys [2006-12-12 9867] S1 mailKmd;mailKmd; [x] S1 Wbutton;Wbutton;c:\windows\system32\drivers\Wbutton.sys --> c:\windows\system32\drivers\Wbutton.sys [?] S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"c:\programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" --> c:\programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe [?] . Inhalt des "geplante Tasks" Ordners 2009-01-19 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-01-10 15:42] 2009-03-03 c:\windows\Tasks\At1.job - c:\windows\system32\3UvxDjiP.exe [] 2009-03-04 c:\windows\Tasks\At2.job - c:\windows\system32\3UvxDjiP.exe [] 2009-03-04 c:\windows\Tasks\At3.job - c:\windows\system32\3UvxDjiP.exe [] 2009-03-04 c:\windows\Tasks\At4.job - c:\windows\system32\3UvxDjiP.exe [] 2009-03-04 c:\windows\Tasks\At5.job - c:\windows\system32\3UvxDjiP.exe [] 2009-03-04 c:\windows\Tasks\At6.job - c:\windows\system32\3UvxDjiP.exe [] 2009-03-04 c:\windows\Tasks\At7.job - c:\windows\system32\3UvxDjiP.exe [] 2009-03-01 c:\windows\Tasks\At8.job - c:\windows\system32\3UvxDjiP.exe [] 2009-03-01 c:\windows\Tasks\At9.job - c:\windows\system32\3UvxDjiP.exe [] 2009-03-01 c:\windows\Tasks\At10.job - c:\windows\system32\3UvxDjiP.exe [] 2009-03-01 c:\windows\Tasks\At11.job - c:\windows\system32\3UvxDjiP.exe [] 2009-03-01 c:\windows\Tasks\At12.job - c:\windows\system32\3UvxDjiP.exe [] 2009-03-01 c:\windows\Tasks\At13.job - c:\windows\system32\3UvxDjiP.exe [] 2009-03-01 c:\windows\Tasks\At14.job - c:\windows\system32\3UvxDjiP.exe [] 2009-03-01 c:\windows\Tasks\At15.job - c:\windows\system32\3UvxDjiP.exe [] 2009-03-03 c:\windows\Tasks\At16.job - c:\windows\system32\3UvxDjiP.exe [] 2009-03-02 c:\windows\Tasks\At17.job - c:\windows\system32\3UvxDjiP.exe [] 2009-03-04 c:\windows\Tasks\At18.job - c:\windows\system32\3UvxDjiP.exe [] 2009-03-04 c:\windows\Tasks\At19.job - c:\windows\system32\3UvxDjiP.exe [] 2009-03-04 c:\windows\Tasks\At20.job - c:\windows\system32\3UvxDjiP.exe [] 2009-03-04 c:\windows\Tasks\At21.job - c:\windows\system32\3UvxDjiP.exe [] 2009-03-04 c:\windows\Tasks\At22.job - c:\windows\system32\3UvxDjiP.exe [] 2009-03-04 c:\windows\Tasks\At23.job - c:\windows\system32\3UvxDjiP.exe [] 2009-03-03 c:\windows\Tasks\At24.job - c:\windows\system32\3UvxDjiP.exe [] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://web.de/fm/ uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 uSearchURL,(Default) = hxxp://www.google.com/search?q=%s IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-03-04 22:49:53 Windows 5.1.2600 Service Pack 3 FAT NTAPI Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2009-03-04 22:52:51 ComboFix-quarantined-files.txt 2009-03-04 21:52:48 ComboFix3.txt 2009-03-04 19:07:48 ComboFix2.txt 2009-03-04 21:29:06 Vor Suchlauf: 27 Verzeichnis(se), 37.285.756.928 Bytes frei Nach Suchlauf: 27 Verzeichnis(se), 37,276,811,264 Bytes frei 259 --- E O F --- 2009-02-26 16:40:45 Dieser Beitrag wurde am 04.03.2009 um 23:11 Uhr von bigmaus editiert.
|
|
|
||
04.03.2009, 23:23
Moderator
Beiträge: 5694 |
#14
>>
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Zitat File::CFScript.txt mit der rechten Maustaste auf das Symbol von Combofix ziehen Combofix noch mal anwenden poste dann nach neustart das neue Log >> Durchsuche die Registry doppelklicken, um zu starten. in das Feld: "Enter search strings" (reinschreiben oder reinkopieren) mailKmd in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. Das gleiche mit c_886756 Gruss Swiss PS: Beitrag bitte wieder editieren |
|
|
||
04.03.2009, 23:58
...neu hier
Themenstarter Beiträge: 8 |
#15
sorry ich gebe auf das laptop fährt jetzt schon seit 10 min hoch und läuft immer noch nich hab nur den desktop hintergrund ohne symbole werde es formatieren muss um 6 uhr wieder arbeiten hab keine böcke mehr
trotzdem vielen dank für die mühe hoffe es läuft nach dem formatieren wieder also wünsche eine gute nacht gruss m. |
|
|
||
kann mir jemand helfen das teil nerft wie sau
hab auch schon die logs.
Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1749
Windows 5.1.2600 Service Pack 3
04.03.2009 18:22:06
mbam-log-2009-03-04 (18-22-06).txt
Scan-Methode: Quick-Scan
Durchsuchte Objekte: 75308
Laufzeit: 7 minute(s), 11 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 8
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 12
Infizierte Verzeichnisse: 6
Infizierte Dateien: 4
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\xml.xml (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\xml.xml.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{9233c3c0-1472-4091-a505-5580a23bb4ac} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\MSFox (Trojan.Agent) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System (Rootkit.DNSChanger.H) -> Data: kddsn.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\userinit.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\userinit.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.113.91 85.255.112.9 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{03fcc8b9-c433-42b0-aa6b-0708411e0d0e}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.113.91,85.255.112.9 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{9d6f3879-6d92-4f3b-a4bb-0fb6a7e9c740}\NameServer (Trojan.DNSChanger) -> Data: 85.255.113.91,85.255.112.9 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.113.91 85.255.112.9 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{03fcc8b9-c433-42b0-aa6b-0708411e0d0e}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.113.91,85.255.112.9 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{9d6f3879-6d92-4f3b-a4bb-0fb6a7e9c740}\NameServer (Trojan.DNSChanger) -> Data: 85.255.113.91,85.255.112.9 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.113.91 85.255.112.9 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{03fcc8b9-c433-42b0-aa6b-0708411e0d0e}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.113.91,85.255.112.9 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{9d6f3879-6d92-4f3b-a4bb-0fb6a7e9c740}\NameServer (Trojan.DNSChanger) -> Data: 85.255.113.91,85.255.112.9 -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\Corrado Cappello\Anwendungsdaten\DriveCleaner Free (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Corrado Cappello\Anwendungsdaten\DriveCleaner Free\Logs (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Linda Cappello\Anwendungsdaten\DriveCleaner Free (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Linda Cappello\Anwendungsdaten\DriveCleaner Free\Logs (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CrucialSoft Ltd (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CrucialSoft Ltd\MS AntiSpyware 2009 (Rogue.Multiple) -> Quarantined and deleted successfully.
Infizierte Dateien:
C:\WINDOWS\system32\kddsn.exe (Rootkit.DNSChanger.H) -> Delete on reboot.
C:\Dokumente und Einstellungen\Corrado Cappello\Anwendungsdaten\DriveCleaner Free\Logs\update.log (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Linda Cappello\Anwendungsdaten\DriveCleaner Free\Logs\update.log (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\3UvxDjiP.exe.a_a (Trojan.Agent) -> Quarantined and deleted successfully.
hier noch hijackthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:33:23, on 04.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLACSD.EXE
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/fm/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SecureExpertCleanerDownloader] C:\Dokumente und Einstellungen\Corrado Cappello\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7L1TQ9PW\CleanerInstaller_de[1].exe
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\981d001c1.dll"" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLACSD.EXE
O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: eLock Service (eLockService) - - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
--
End of file - 5899 bytes