TR/Crypt.FKM.Gen sdra64.exe |
||
---|---|---|
#0
| ||
14.05.2009, 23:06
Member
Beiträge: 17 |
||
|
||
14.05.2009, 23:13
Moderator
Beiträge: 5694 |
#2
>>
Lösche die temp Dateien mit CCleaner >> Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log: (Vor der Anwendung Update nicht vergessen) http://virus-protect.org/artikel/tools/malwarebytes.html >> Stelle Dein Avira Antivir so ein wie hier beschrieben. Zusätzlich Rootkitsuche anwählen. UPDATE dein Antivir und scanne all deine Festplatten, funde in Quarantäne verschieben lassen. Poste das Log. (Nach dem scanen, Einstellungen wieder zurücksetzen) http://board.protecus.de/t23979.htm >> Zudem Update Dein Java: http://board.protecus.de/t32385-1.htm Gruss Swiss |
|
|
||
15.05.2009, 00:35
Member
Themenstarter Beiträge: 17 |
#3
Hier schonmal der Log von Malwarebytes:
Malwarebytes' Anti-Malware 1.36 Datenbank Version: 2132 Windows 5.1.2600 Service Pack 2 15.05.2009 00:36:22 mbam-log-2009-05-15 (00-36-22).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 148486 Laufzeit: 1 hour(s), 0 minute(s), 57 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 4 Infizierte Verzeichnisse: 2 Infizierte Dateien: 4 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINXP\system32\userinit.exe,C:\WINXP\system32\sdra64.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: C:\WINXP\system32\twain32 (Backdoor.Bot) -> Quarantined and deleted successfully. C:\WINXP\system32\lowsec (Stolen.Data) -> Quarantined and deleted successfully. Infizierte Dateien: C:\Downloads\Nero 8\key\Keygen.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINXP\system32\lowsec\local.ds (Stolen.Data) -> Quarantined and deleted successfully. C:\WINXP\system32\lowsec\user.ds (Stolen.Data) -> Quarantined and deleted successfully. C:\WINXP\system32\lowsec\user.ds.lll (Stolen.Data) -> Quarantined and deleted successfully. Antivir führe ich morgen aus (dauert ziemlich lange). MfG |
|
|
||
15.05.2009, 10:39
Moderator
Beiträge: 5694 |
#4
Eine Frage zum Anfang: Machst Du Onlinebanking oder hast du heikle Daten (geschäftlich od. Privat) auf deinem System?
Zitat (Backdoor.Bot)Zudem: Zitat C:\Downloads\Nero 8\key\Keygen.exeDa brauch ich nichts zu sagen. Gruss swiss |
|
|
||
15.05.2009, 13:11
Member
Themenstarter Beiträge: 17 |
#5
Hallo, Nein ich mache kein Onlinebanking. Habe meine Passwörter alle schon geändert...
|
|
|
||
15.05.2009, 15:06
Moderator
Beiträge: 5694 |
||
|
||
15.05.2009, 16:54
Member
Themenstarter Beiträge: 17 |
#7
gerade fertig geworden:
Avira AntiVir Personal Erstellungsdatum der Reportdatei: Freitag, 15. Mai 2009 14:41 Es wird nach 1395768 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Boot Modus: Normal gebootet Benutzername: Computername: Versionsinformationen: BUILD.DAT : 8.2.0.347 16934 Bytes 16.03.2009 14:45:00 AVSCAN.EXE : 8.1.4.10 315649 Bytes 18.11.2008 08:21:23 AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06 LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16 LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36 ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 11:20:10 ANTIVIR2.VDF : 7.1.3.185 2010112 Bytes 12.05.2009 18:31:13 ANTIVIR3.VDF : 7.1.3.212 114688 Bytes 15.05.2009 12:20:51 Engineversion : 8.2.0.166 AEVDF.DLL : 8.1.1.1 106868 Bytes 04.05.2009 19:43:44 AESCRIPT.DLL : 8.1.1.81 385401 Bytes 09.05.2009 12:24:14 AESCN.DLL : 8.1.1.10 127348 Bytes 07.04.2009 10:23:51 AERDL.DLL : 8.1.1.3 438645 Bytes 04.11.2008 13:58:38 AEPACK.DLL : 8.1.3.16 397686 Bytes 09.05.2009 12:24:14 AEOFFICE.DLL : 8.1.0.36 196987 Bytes 26.02.2009 21:23:30 AEHEUR.DLL : 8.1.0.128 1757559 Bytes 09.05.2009 12:24:13 AEHELP.DLL : 8.1.2.2 119158 Bytes 26.02.2009 21:23:22 AEGEN.DLL : 8.1.1.42 348531 Bytes 09.05.2009 12:24:12 AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 10:05:56 AECORE.DLL : 8.1.6.9 176500 Bytes 15.04.2009 12:28:42 AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 10:05:56 AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02 AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58 AVREP.DLL : 8.0.0.3 155688 Bytes 20.04.2009 19:28:45 AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37 AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46 SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36 NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01 RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Manuelle Auswahl Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\PROFILES\folder.avp Protokollierung..................: niedrig Primäre Aktion...................: quarantäne Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, J:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: aus Archiv Smart Extensions..........: ein Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, Makrovirenheuristik..............: ein Dateiheuristik...................: hoch Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Freitag, 15. Mai 2009 14:41 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IEXPLORE.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TUProgSt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SVPNStarter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'slserv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'daemon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'VTTimer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LEXPPS.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LEXBCES.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '30' Prozesse mit '30' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit. Masterbootsektor HD2 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit. Masterbootsektor HD3 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit. Masterbootsektor HD4 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit. Masterbootsektor HD5 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'J:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '52' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINXP\system32\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'J:\' <Extern2> J:\Music\Farin Urlaub\Campus Invasion\Fu_MTV.part02.rar [0] Archivtyp: RAR --> Live In Osnabrチck 03.07.2005\04 - Ansage.mp3 [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. J:\Music\Farin Urlaub\Campus Invasion\Fu_MTV.part06.rar [0] Archivtyp: RAR --> Live In Osnabrチck 03.07.2005\14 - Sonne.mp3 [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. Ende des Suchlaufs: Freitag, 15. Mai 2009 16:48 Benötigte Zeit: 2:07:28 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 9188 Verzeichnisse wurden überprüft 849835 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 849833 Dateien ohne Befall 8935 Archive wurden durchsucht 8 Warnungen 0 Hinweise so wie es scheint sind die Trojaner/Viren weg. wie sicher ist es ungefähr, dass das system jetzt sauber ist? THX! |
|
|
||
15.05.2009, 17:43
Moderator
Beiträge: 5694 |
#8
>>
Mach noch einen Kontrollscan mit eset + poste den report http://virus-protect.org/artikel/tools/eset-nod.html >> Bezüglich Deine Frage: Dein System wurde vermutlich kompromittiert durch Backdoor und einen Rootkit, inwiefern sich eine Drittperson schon eingemischt hat kann man nicht sagen: http://virus-protect.org/kompsystem.html Gruss Swiss |
|
|
||
15.05.2009, 18:18
Member
Themenstarter Beiträge: 17 |
#9
Zitat Swisstreasure posteteKann leider den Scan nicht ausführen, es gibt da Probleme mit ActiveX (habe alle Optionen für ActiveX aktiviert). Aber diese Drittperson kann doch nicht mehr Daten/Passwörter von mir auspionieren oder? wäre eine Neuinstallation also sinnvoll? Vielen Dank. |
|
|
||
15.05.2009, 19:44
Moderator
Beiträge: 5694 |
#10
Also hier spreizen sich die Meinungen extrem. Wenn du den PC wirklich für keine heiklen daten brauchst, musst du nicht formatieren. Aber das sicherste ist es trotzdem bei der Verseuchung die du hattest. Wenn du nicht formatierst dann wende mal Blacklight an und poste das Ergebnis:
http://www.virus-protect.org/artikel/tools/blacklight.html Gruss Siwss |
|
|
||
19.05.2009, 14:16
Member
Themenstarter Beiträge: 17 |
#11
hier das Ergebnis von Blacklight:
05/19/09 09:05:27 [Info]: BlackLight Engine 2.2.1092 initialized 05/19/09 09:05:27 [Info]: OS: 5.1 build 2600 (Service Pack 2) 05/19/09 09:05:28 [Note]: 7019 4 05/19/09 09:05:28 [Note]: 7005 0 05/19/09 09:05:32 [Note]: 7006 0 05/19/09 09:05:32 [Note]: 7011 1776 05/19/09 09:05:32 [Note]: 7035 0 05/19/09 09:05:32 [Note]: 7026 0 05/19/09 09:05:33 [Note]: 7026 0 05/19/09 09:05:35 [Note]: FSRAW library version 1.7.1024 05/19/09 09:08:05 [Note]: 2000 1012 05/19/09 14:17:15 [Note]: 7007 0 "No hidden items found." PS: was hat es zu bedeuten, dass meine Windows-Firewall immer wieder im Sicherheitscenter als deaktiviert angezeigt wird, obwohl ich sie bei den Firewall-Einstellungen aktiviert habe... |
|
|
||
19.05.2009, 22:02
Moderator
Beiträge: 5694 |
#12
>>
Wende Combofix an und poste das Log: http://www.virus-protect.org/artikel/tools/combofix.html Gruss Swiss |
|
|
||
19.05.2009, 22:25
Member
Themenstarter Beiträge: 17 |
#13
ComboFix 09-05-19.04 - * 19.05.2009 22:16.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.479.232 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\*\Desktop\ComboFix.exe AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . ((((((((((((((((((((((( Dateien erstellt von 2009-04-19 bis 2009-05-19 )))))))))))))))))))))))))))))) . 2009-05-15 15:53 . 2009-05-15 15:53 -------- d-----w C:\Medion 2009-05-15 15:41 . 2009-05-15 15:41 -------- d-----w c:\programme\Lavalys 2009-05-15 15:16 . 2000-10-25 12:27 3000 ----a-r c:\winxp\system32\SetupNT.sys 2009-05-14 21:24 . 2009-05-14 21:24 -------- d-----w c:\dokumente und einstellungen\*\Anwendungsdaten\Malwarebytes 2009-05-14 21:24 . 2009-04-06 13:32 15504 ----a-w c:\winxp\system32\drivers\mbam.sys 2009-05-14 21:24 . 2009-04-06 13:32 38496 ----a-w c:\winxp\system32\drivers\mbamswissarmy.sys 2009-05-14 21:24 . 2009-05-14 21:24 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-05-14 21:24 . 2009-05-14 21:24 -------- d-----w c:\programme\Malwarebytes' Anti-Malware 2009-05-14 21:23 . 2009-05-14 21:23 -------- d-----w c:\programme\CCleaner 2009-05-14 20:55 . 2009-05-14 20:55 -------- d-----w c:\programme\Trend Micro . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-05-19 14:23 . 2009-05-15 15:12 5 ----a-w c:\winxp\system32\BSETUP.TMP 2009-05-15 16:07 . 2008-04-14 10:44 -------- d--h--w c:\programme\InstallShield Installation Information 2009-05-15 12:31 . 2008-04-13 22:38 -------- d-----w c:\programme\C-Media 3D Audio 2009-05-14 16:57 . 2009-02-01 19:17 -------- d-----w c:\programme\Spybot - Search & Destroy 2009-05-13 14:34 . 2008-04-17 07:45 -------- d-----w c:\programme\Soulseek 2009-05-13 01:59 . 2008-04-14 00:00 98304 ----a-w c:\winxp\DUMP4eac.tmp 2009-04-24 12:19 . 2008-04-14 00:00 98304 ----a-w c:\winxp\DUMP4e3f.tmp 2009-04-19 20:12 . 2009-04-19 20:12 -------- d-----w c:\programme\RayV 2009-04-01 14:48 . 2008-04-13 22:45 44608 ----a-w c:\dokumente und einstellungen\*\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-04-01 14:44 . 2009-04-01 14:44 -------- d-----w c:\programme\Microsoft.NET 2009-03-31 23:05 . 2009-03-31 23:05 -------- d-----w c:\programme\FLV Player 2009-03-31 12:24 . 2001-08-23 08:00 78360 ----a-w c:\winxp\system32\perfc007.dat 2009-03-31 12:24 . 2001-08-23 08:00 442770 ----a-w c:\winxp\system32\perfh007.dat 2009-03-17 16:07 . 2009-03-17 16:07 603904 ----a-w c:\winxp\system32\TUProgSt.exe 2009-03-17 16:07 . 2009-03-17 16:07 362752 ----a-w c:\winxp\system32\TuneUpDefragService.exe . ------- Sigcheck ------- [-] 2007-10-09 12:20 1548288 6D60483EBCF29203C9B3B453471D3706 c:\winxp\system32\sfcfiles.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\winxp\system32\ctfmon.exe" [2004-08-03 15360] "DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2008-08-08 490952] "RayV"="c:\programme\RayV\RayV\RayV.exe" [2009-03-22 2417960] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CM-SmWizard"="c:\winxp\System\SmWizard.exe" [2003-08-29 1454080] "Lexmark X1100 Series"="c:\programme\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 57344] "avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "VTTimer"="VTTimer.exe" - c:\winxp\system32\VTTimer.exe [2004-09-01 53248] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "nltide_2"="shell32" [X] "nltide_3"="advpack.dll" - c:\winxp\system32\advpack.dll [2008-02-12 124928] HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32 "wave"= serwvdrv.dll [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "Veoh"="c:\programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe" "PhonostarTimer"=c:\programme\phonostar\ps_timer.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot "NBKeyScan"="c:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" "SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_05\bin\jusched.exe" "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" "NeroFilterCheck"=c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) "DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Opera\\Opera.exe"= "c:\\Programme\\Real\\realplay.exe"= "c:\\Programme\\Soulseek\\slsk.exe"= "c:\\Programme\\ICQ6\\ICQ.exe"= "c:\\Programme\\Orbitdownloader\\orbitdm.exe"= "c:\\Programme\\Orbitdownloader\\orbitnet.exe"= "c:\\Programme\\RayV\\RayV\\RayV.dll"= "c:\\Programme\\RayV\\RayV\\RayV.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "5002:TCP"= 5002:TCP:Zattoo "8296:TCP"= 8296:TCP:Zattoo "5003:UDP"= 5003:UDP:Zattoo S2 SVPNStarter;Steganos VPN Starter Service;c:\programme\Steganos Internet Anonym VPN\SVPNStarter.exe [16.02.2007 15:35 19968] S2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\winxp\system32\TUProgSt.exe [17.03.2009 18:07 603904] S3 tap0801;TAP-Win32 Adapter V8;c:\winxp\system32\drivers\tap0801.sys [15.02.2007 19:48 26624] S3 tap0901;TAP-Win32 Adapter V9;c:\winxp\system32\drivers\tap0901.sys [24.04.2008 14:29 25088] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] vvdsvc REG_MULTI_SZ vvdsvc HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Inhalt des "geplante Tasks" Ordners 2009-05-19 c:\winxp\Tasks\1-Klick-Wartung.job - c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2008-11-07 10:49] . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKLM-Run-Cmaudio - cmicnfg.cpl . ------- Zusätzlicher Suchlauf ------- . uInternet Settings,ProxyOverride = local IE: &Download by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/201 IE: &Grab video by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/204 IE: Do&wnload selected by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/203 IE: Down&load all by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/202 TCP: {DE3E49EF-037B-4D03-A867-2A03364CF102} = 212.19.48.14 FF - ProfilePath - c:\dokumente und einstellungen\*\Anwendungsdaten\Mozilla\Firefox\Profiles\441n1y9g.default\ FF - plugin: c:\dokumente und einstellungen\*\Anwendungsdaten\Mozilla\Firefox\Profiles\441n1y9g.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npstrlnk.dll FF - plugin: c:\programme\Opera952\program\plugins\npdivx32.dll FF - plugin: c:\programme\Opera952\program\plugins\npdsplay.dll FF - plugin: c:\programme\Opera952\program\plugins\NPOFFICE.DLL FF - plugin: c:\programme\Opera952\program\plugins\NPSWF32.dll FF - plugin: c:\programme\Opera952\program\plugins\npwmsdrm.dll FF - plugin: c:\programme\RayV\RayV\plugins\nprayvplugin.dll FF - plugin: c:\programme\Real\Netscape6\nppl3260.dll FF - plugin: c:\programme\Real\Netscape6\nprjplug.dll FF - plugin: c:\programme\Real\Netscape6\nprpjplug.dll FF - plugin: c:\programme\Veetle\plugins\npVeetle.dll FF - plugin: c:\programme\Veetle\VLC\npvlc.dll FF - plugin: c:\programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-05-19 22:18 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'explorer.exe'(2672) c:\winxp\system32\wpdshserviceobj.dll c:\winxp\system32\portabledevicetypes.dll c:\winxp\system32\portabledeviceapi.dll . Zeit der Fertigstellung: 2009-05-19 22:19 ComboFix-quarantined-files.txt 2009-05-19 20:19 Vor Suchlauf: 22 Verzeichnis(se), 12.921.470.976 Bytes frei Nach Suchlauf: 21 Verzeichnis(se), 12.913.385.472 Bytes frei 151 Bemerkung: ComboFix hat ein Internetexplorer-Symbol auf dem Desktop abgelegt. Ist das erwünscht bzw normal? THX! |
|
|
||
19.05.2009, 22:54
Moderator
Beiträge: 5694 |
#14
Zitat Bemerkung: ComboFix hat ein Internetexplorer-Symbol auf dem Desktop abgelegt. Ist das erwünscht bzw normal?Wie meinst Du das? Eine blaues E?? >> Combofix entfernen: Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" (oder, wenn es nicht funktioniert: C:\QooBox löschen) >> Gehe in die Registry Start - Ausführen - regedit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center auf der rechten Seite der Registry verändere folgende Werte von: * UpdatesDisableNotify = "dword:00000001" zu: * UpdatesDisableNotify = "dword:00000000" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] von "EnableFirewall"=dword:000000000" zu "EnableFirewall"=dword:000000001 >> Firewall Problem noch vorhanden? >> Hast du das JAVA Update wirklich gemacht?? Gruss Swiss |
|
|
||
19.05.2009, 23:22
Member
Themenstarter Beiträge: 17 |
#15
Zitat Wie meinst Du das? Eine blaues E??Ja. Wenn ich rechte Maustaste -> Eigenschaften dann öffnet sich das Internetoptionen-Menü (Doppelklick wollt ich net machen) Zitat >>Ja. direkt nach dem Neustart wird die firewall als aktiviert erkannt. aber wenig später, 30 Sekunden bis 1 Min.. erscheint wieder die Meldung. Zitat >>Oh sorry, wohl vergessen. THX! |
|
|
||
Habe die Dateien von spybot (/oder von Avenger) löschen lassen.
Meine Frage: wie bekomme ich sie korrekt gelöscht? (in der Reg ist ja noch ein Eintrag mit sdra64.exe vorhanden.)
Danke für Eure Hilfe.
Hier der Hijackthis-Log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:55:37, on 14.05.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20733)
Boot mode: Normal
Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\Explorer.EXE
C:\WINXP\system32\LEXBCES.EXE
C:\WINXP\system32\spoolsv.exe
C:\WINXP\system32\LEXPPS.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINXP\system32\slserv.exe
C:\WINXP\system32\svchost.exe
C:\Programme\Steganos Internet Anonym VPN\SVPNStarter.exe
C:\WINXP\System32\TUProgSt.exe
C:\WINXP\system32\VTTimer.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
F2 - REG:system.ini: UserInit=C:\WINXP\system32\userinit.exe,C:\WINXP\system32\sdra64.exe,
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CM-SmWizard] C:\WINXP\System\SmWizard.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [RayV] C:\Programme\RayV\RayV\RayV.exe /background
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D821DC4A-0814-435E-9820-661C543A4679} (CRLDownloadWrapper Class) - http://drmlicense.one.microsoft.com/crlupdate/en/crlocx.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE3E49EF-037B-4D03-A867-2A03364CF102}: NameServer = 212.19.48.14
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINXP\system32\LEXBCES.EXE
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINXP\SYSTEM32\slserv.exe
O23 - Service: Steganos VPN Starter Service (SVPNStarter) - Unknown owner - C:\Programme\Steganos Internet Anonym VPN\SVPNStarter.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINXP\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software GmbH - C:\WINXP\System32\TUProgSt.exe
--
End of file - 6850 bytes