DNS Changer: erbitte professionelle Unterstützung |
||
---|---|---|
#0
| ||
02.06.2009, 08:31
Member
Beiträge: 20 |
||
|
||
02.06.2009, 10:44
Member
Beiträge: 301 |
#2
Hallo erst mal ,
Das ist einiges !!! Bitte anwenden http://board.protecus.de/t23187.htm und logs posten ! __________ Mein Leben verläuft streng nach Murphys Gesetz |
|
|
||
02.06.2009, 12:54
Moderator
Beiträge: 7805 |
#3
Bitte, bitte Combofix in deinem Falle im abgesicherten Modus laufen lassen, denn Mcafee funkt extremst dazwischen, wenn man es nicht gut und _komplett_ deaktiviert!
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
02.06.2009, 13:41
Member
Themenstarter Beiträge: 20 |
#4
Danke schon mal für eure Hilfe:
So, habe diese ganze Liste von Post von Chrischahn87 abgearbeitet, Hier die Logs: Malwarebytes: Malwarebytes' Anti-Malware 1.37 Datenbank Version: 2212 Windows 5.1.2600 Service Pack 2 02.06.2009 12:59:08 mbam-log-2009-06-02 (12-59-08).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 111633 Laufzeit: 8 minute(s), 28 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 1 Infizierte Registrierungsschlüssel: 21 Infizierte Registrierungswerte: 4 Infizierte Dateiobjekte der Registrierung: 3 Infizierte Verzeichnisse: 4 Infizierte Dateien: 11 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: C:\WINDOWS\system32\jbnmck.dll (Trojan.Agent) -> Delete on reboot. Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\CLSID\{aff01325-0fc2-4749-8914-fbf0565ad9cc} (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{aff01325-0fc2-4749-8914-fbf0565ad9cc} (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{aff01325-0fc2-4749-8914-fbf0565ad9cc} (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{831cbac0-8283-4653-9d81-feb9f3f6e47c} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{831cbac3-8283-4653-9d81-feb9f3f6e47c} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{86a44ef7-78fc-4e18-a564-b18f806f7f56} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{d5792aa9-d373-4039-8670-2cdab6a71f15} (Trojan.Lop) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{f30b5e7e-cfbb-44fb-a947-226e5a7a4290} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86a44ef7-78fc-4e18-a564-b18f806f7f56} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\xpreapp (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\WakeNet (Trojan.Adware) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\ActivationManager (Trojan.MultiDefender) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\ConnectionServices (Adware.BHO) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\avast!Antivirus (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Malware Doctor (Rogue.MalwareDoc) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Malware Doctor (Rogue.MalwareDoc) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: C:\Programme\ActivationManager (Trojan.MultiDefender) -> Quarantined and deleted successfully. c:\dokumente und einstellungen\pc\Anwendungsdaten\pidle (Trojan.Agent) -> Quarantined and deleted successfully. C:\Programme\ADSTechnology (Trojan.BHO) -> Quarantined and deleted successfully. C:\WINDOWS\system32\twain32 (Backdoor.Bot) -> Delete on reboot. Infizierte Dateien: C:\WINDOWS\system32\jbnmck.dll (Trojan.Agent) -> Delete on reboot. c:\programme\activationmanager\Uninstall.exe (Trojan.MultiDefender) -> Quarantined and deleted successfully. c:\programme\adstechnology\Uninstall.exe (Trojan.BHO) -> Quarantined and deleted successfully. c:\windows\system32\twain32\local.ds (Backdoor.Bot) -> Delete on reboot. c:\windows\system32\twain32\user.ds (Backdoor.Bot) -> Delete on reboot. c:\WINDOWS\system32\~.exe (Backdoor.Bot) -> Quarantined and deleted successfully. C:\WINDOWS\system32\twex.exe (Backdoor.Bot) -> Delete on reboot. C:\WINDOWS\system32\sft.res (Malware.Trace) -> Quarantined and deleted successfully. C:\Programme\Internet Explorer\setupapi.dll (Trojan.BHO) -> Quarantined and deleted successfully. C:\WINDOWS\system32\service-466.exe (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\system32\vic_setup.exe (Trojan.Downloader) -> Quarantined and deleted successfully. ComboFix: ComboFix 09-05-31.06 - pc 02.06.2009 13:15.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.41.1031.18.1023.663 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\pc\Desktop\ComboFix.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} AV: McAfee VirusScan Enterprise *On-access scanning disabled* (Updated) {918A2B0B-2C60-4016-A4AB-E868DEABF7F0} * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\-2001662007 c:\dokumente und einstellungen\pc\Anwendungsdaten\inst.exe c:\windows\7bf429e1-5399-4f76-86ea-b21ce36cf9f4.ocx c:\windows\system32\73cc1cc4-b941-49e0-9d70-c74c13af9698.dll c:\windows\system32\drivers\ovfsthswqwltlwbwqqbdqcdksdjkllrqhsgdty.sys c:\windows\system32\ovfsthedyxwfkjxyugirbarcpfuxblxepxwinl.dll c:\windows\system32\ovfsthjwtgowcitbucpkhvqdigtewdjivirvlx.dat c:\windows\system32\ovfsthoirvfaoljnlhagmggofdoepwpeutblgk.dat c:\windows\system32\ovfsthpnxcasbrcbouimsrexwklfbeyonkbvko.dll c:\windows\system32\ovfsthumijeyuraawrvhtsmnwjltammnyyrphx.dll . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_ovfsthnbgrqpkrdompfaituwuycpkosvkqmhsn -------\Legacy_AVAST!ANTIVIRUS -------\Legacy_BOONTY_GAMES -------\Service_Boonty Games ((((((((((((((((((((((( Dateien erstellt von 2009-05-02 bis 2009-06-02 )))))))))))))))))))))))))))))) . 2009-06-02 10:46 . 2009-06-02 10:46 -------- d-----w- c:\dokumente und einstellungen\pc\Anwendungsdaten\Malwarebytes 2009-06-02 10:46 . 2009-05-26 11:20 40160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-06-02 10:46 . 2009-06-02 10:46 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-06-02 10:46 . 2009-06-02 10:46 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2009-06-02 10:46 . 2009-05-26 11:19 19096 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-06-02 10:38 . 2009-06-02 10:38 85761 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\UPDATE\TMP_UPDATE\updaterc.dll 2009-06-02 10:38 . 2009-06-02 10:38 405249 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\UPDATE\TMP_UPDATE\update.exe 2009-06-02 10:38 . 2009-02-27 11:16 325377 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\UPDATE\TMP_UPDATE\update.dll 2009-06-02 10:38 . 2009-02-24 10:16 117505 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\UPDATE\TMP_UPDATE\updgui.dll 2009-06-02 10:38 . 2009-02-20 10:27 9985 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\UPDATE\TMP_UPDATE\updguirc.dll 2009-06-02 10:38 . 2009-02-13 12:57 79105 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\UPDATE\TMP_UPDATE\updext.dll 2009-06-02 10:38 . 2008-10-20 05:38 126721 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\UPDATE\TMP_UPDATE\scewxmlw.dll 2009-06-02 08:20 . 2009-06-02 10:38 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys 2009-06-02 08:20 . 2009-06-02 10:38 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2009-06-02 08:20 . 2009-02-13 09:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys 2009-06-02 08:20 . 2009-02-13 09:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys 2009-06-02 08:20 . 2009-06-02 08:20 -------- d-----w- c:\programme\Avira 2009-06-02 08:20 . 2009-06-02 08:20 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira 2009-06-02 06:35 . 2008-06-19 15:24 28544 ----a-w- c:\windows\system32\drivers\pavboot.sys 2009-06-02 06:34 . 2009-06-02 06:34 -------- d-----w- c:\programme\Panda Security 2009-06-02 06:21 . 2009-06-02 11:25 99422 ----a-w- c:\windows\system32\drivers\755423f1.sys 2009-06-01 18:01 . 2009-06-02 07:21 29184 ----a-w- c:\windows\system32\jbnmcd.dll 2009-06-01 17:58 . 2009-06-02 11:25 99422 ----a-w- c:\windows\system32\drivers\741cc7d9.sys 2009-05-31 07:11 . 2009-06-02 11:25 99422 ----a-w- c:\windows\system32\drivers\3b089c5.sys 2009-05-29 18:26 . 2004-08-04 05:08 36224 ----a-w- c:\windows\system32\hidclass.sys 2009-05-29 18:26 . 2004-08-04 05:08 24960 ----a-w- c:\windows\system32\hidparse.sys 2009-05-29 18:26 . 2001-08-17 12:02 9600 ----a-w- c:\windows\system32\hidusb.sys 2009-05-29 18:24 . 2009-06-01 22:43 -------- d-----w- c:\programme\REFLEX 2009-05-29 16:35 . 2009-05-26 02:18 105 ----a-w- C:\tj.vbs 2009-05-21 12:55 . 2009-05-21 13:48 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP 2009-05-21 12:51 . 2006-06-19 11:01 69632 ----a-w- c:\windows\system32\ztvcabinet.dll 2009-05-21 12:51 . 2006-05-25 13:52 162304 ----a-w- c:\windows\system32\ztvunrar36.dll 2009-05-21 12:51 . 2005-08-25 23:50 77312 ----a-w- c:\windows\system32\ztvunace26.dll 2009-05-21 12:51 . 2003-02-02 18:06 153088 ----a-w- c:\windows\system32\unrar3.dll 2009-05-21 12:51 . 2002-03-05 23:00 75264 ----a-w- c:\windows\system32\unacev2.dll 2009-05-21 12:51 . 2009-05-21 12:54 -------- d-----w- c:\dokumente und einstellungen\pc\Anwendungsdaten\Simply Super Software 2009-05-21 12:51 . 2009-05-21 12:51 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Simply Super Software 2009-05-21 12:37 . 2009-05-21 12:38 -------- d-----w- c:\programme\nLite 2009-05-17 16:55 . 2009-05-17 16:56 -------- d-----w- c:\windows\system32\Adobe 2009-05-08 15:10 . 2009-05-23 21:02 -------- d-----w- C:\HELI-X 2009-05-08 14:25 . 2009-05-21 15:18 -------- d-----w- c:\programme\FMS . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-05-23 21:02 . 2009-02-12 12:36 -------- d-----w- c:\programme\Zattoo 2009-05-20 18:31 . 2009-03-01 12:28 -------- d-----w- c:\programme\VSO 2009-05-20 18:31 . 2009-03-01 12:27 -------- d-----w- c:\dokumente und einstellungen\pc\Anwendungsdaten\Vso 2009-05-20 18:31 . 2009-03-01 12:28 47360 ----a-w- c:\dokumente und einstellungen\pc\Anwendungsdaten\pcouffin.sys 2009-05-20 18:31 . 2009-03-01 12:28 47360 ----a-w- c:\dokumente und einstellungen\pc\Anwendungsdaten\pcouffin.sys 2009-05-02 16:31 . 2006-12-08 17:19 70024 -c--a-w- c:\dokumente und einstellungen\Gast\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-05-01 12:32 . 2009-04-14 17:22 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help 2009-04-15 13:57 . 2009-04-15 13:57 -------- d-----w- c:\programme\Gemeinsame Dateien\xing shared 2009-04-15 13:57 . 2008-02-01 07:21 -------- d-----w- c:\programme\Gemeinsame Dateien\Real 2009-04-15 13:57 . 2006-01-16 23:41 348160 ----a-w- c:\windows\system32\msvcr71.dll 2009-04-15 13:57 . 2006-01-16 23:41 499712 ----a-w- c:\windows\system32\msvcp71.dll 2009-04-15 13:57 . 2009-04-15 13:57 -------- d-----w- c:\programme\Real 2009-04-15 12:13 . 2002-08-29 12:00 90964 ----a-w- c:\windows\system32\perfc007.dat 2009-04-15 12:13 . 2002-08-29 12:00 474462 ----a-w- c:\windows\system32\perfh007.dat 2009-04-14 21:25 . 2006-01-16 23:53 70024 -c--a-w- c:\dokumente und einstellungen\pc\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-04-14 20:06 . 2006-02-24 15:26 -------- d-----w- c:\programme\Java 2009-04-14 18:22 . 2009-04-14 18:22 152576 ----a-w- c:\dokumente und einstellungen\pc\Anwendungsdaten\Sun\Java\jre1.6.0_13\lzma.dll 2009-04-14 17:47 . 2009-04-14 17:24 -------- d-----w- c:\programme\Microsoft Visual Studio 8 2009-04-14 17:36 . 2009-04-14 17:36 -------- d-----w- c:\programme\Microsoft Works 2009-04-14 17:36 . 2007-02-11 23:51 -------- d-----w- c:\programme\MSBuild 2009-04-14 17:33 . 2009-04-14 17:33 -------- d-----w- c:\programme\Microsoft.NET 2009-03-09 03:19 . 2008-12-06 14:52 410984 ----a-w- c:\windows\system32\deploytk.dll 2009-03-06 14:44 . 2002-08-29 12:00 286208 ----a-w- c:\windows\system32\pdh.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360] "H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IgfxTray"="c:\windows\System32\igfxtray.exe" [2005-06-21 155648] "HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2005-06-21 126976] "AudioDrvEmulator"="c:\programme\Creative\Shared Files\Module Loader\DLLML.exe" [2005-06-16 49152] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-01-15 13680640] "CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2007-04-03 1603152] "ShStatEXE"="c:\programme\McAfee\VirusScan Enterprise\SHSTAT.EXE" [2007-02-22 112216] "McAfeeUpdaterUI"="c:\programme\McAfee\Common Framework\UdaterUI.exe" [2006-12-19 136768] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-01-15 86016] "CTSysVol"="c:\programme\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe" [2005-02-15 57344] "GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-09 148888] "TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-04-15 198160] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2009-01-15 1657376] "CTHelper"="CTHELPER.EXE" - c:\windows\system32\CtHelper.exe [2007-04-09 19456] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360] c:\dokumente und einstellungen\Gast\Startmen\Programme\Autostart\ OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2007-12-7 101440] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "UIHost"="c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\tu_logonui.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\DPWLN ] 2004-10-13 17:29 102400 ----a-w- c:\windows\system32\DPWLEvHd.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] BootExecute REG_MULTI_SZ autocheck autochk /r \??\F:\0autocheck autochk * [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Notification Packages REG_MULTI_SZ scecli DPPWDFLT [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1 "H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" "WMPNSCFG"=c:\programme\Windows Media Player\WMPNSCFG.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime "NeroFilterCheck"=c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe "IJNetworkScanUtility"=c:\programme\Canon\Canon IJ Network Scan Utility\CNMNSUT.EXE "CanonSolutionMenu"=c:\programme\Canon\SolutionMenu\CNSLMAIN.exe /logon "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" "NBKeyScan"="c:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\WINDOWS\\system32\\dpvsetup.exe"= "c:\\StubInstaller.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\McAfee\\Common Framework\\FrameworkService.exe"= "c:\\Programme\\Real\\RealPlayer\\realplay.exe"= "c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application "c:\\Programme\\Zattoo\\Zattoo2.exe"= "c:\\Programme\\Java\\jre6\\launch4j-tmp\\JDownloader.exe"= "c:\\WINDOWS\\system32\\java.exe"= "c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"= "c:\\Programme\\Creative\\Shared Files\\Module Loader\\DLLML.exe"= "c:\\WINDOWS\\system32\\dwwin.exe"= "c:\\Programme\\McAfee\\Common Framework\\naPrdMgr.exe"= "c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\TuneUp Software\\TuneUp Utilities\\WinStyler\\tu_logonui.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [02.06.2009 08:35 28544] R2 antivirschedulerservice;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [02.06.2009 10:20 108289] R2 Viewpoint Manager Service;Viewpoint Manager Service;c:\programme\Viewpoint\Common\ViewpointService.exe [19.01.2008 10:09 24652] R3 dpK0Bx01;Fingerprint Reader Upper-Treiber;c:\windows\system32\drivers\dpK0Bx01.sys [04.08.2004 17:58 32640] R3 UsbdpFP;Fingerprint Reader Class-Treiber;c:\windows\system32\drivers\UsbdpFP.sys [04.08.2004 17:59 34560] S1 b1e327f6;b1e327f6;c:\windows\system32\drivers\b1e327f6.sys --> c:\windows\system32\drivers\b1e327f6.sys [?] S3 lgusbsmodem;LGE Mobile USB Modem;c:\windows\system32\DRIVERS\lgusbsmodem.sys --> c:\windows\system32\DRIVERS\lgusbsmodem.sys [?] S3 ppjoybus;Parallel Port Joystick Bus device driver;c:\windows\system32\drivers\PPJoyBus.sys [23.01.2004 16:33 13952] S3 pportjoystick;Parallel Port Joystick device driver;c:\windows\system32\drivers\PPortJoy.sys [23.01.2004 16:32 28800] --- Andere Dienste/Treiber im Speicher --- *Deregistered* - mchinjdrv . Inhalt des "geplante Tasks" Ordners 2009-06-01 c:\windows\Tasks\1-Klick-Wartung.job - c:\programme\TuneUp Utilities 2006\SystemOptimizer.exe [2005-08-24 01:29] 2009-04-16 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 10:34] 2009-01-27 c:\windows\Tasks\Uniblue SpyEraser.job - c:\programme\Uniblue\SpyEraser\SpyEraser.exe [2009-01-27 08:03] . - - - - Entfernte verwaiste Registrierungseinträge - - - - SafeBoot-procexp90.sys . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.ch/ uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 uSearchURL,(Default) = hxxp://www.google.com/search?q=%s IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000 IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab DPF: Microsoft XML Parser for Java DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.ak.studivz.net/photouploader/ImageUploader5.cab?nocache=20080115-1 FF - ProfilePath - c:\dokumente und einstellungen\pc\Anwendungsdaten\Mozilla\Firefox\Profiles\f64rkniq.default\ FF - prefs.js: browser.search.selectedEngine - SeeqPod FF - plugin: c:\programme\Mozilla Firefox\plugins\npunagi2.dll ---- FIREFOX Richtlinien ---- FF - user.js: network.http.max-connections-per-server - 6 FF - user.js: network.http.max-persistent-connections-per-server - 3 FF - user.js: general.useragent.extra.zencast - Creative ZENcast v1.01.06);user_pref(general.useragent.extra.zencast, . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-06-02 13:24 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchinjdrv] "ImagePath"="\??\c:\windows\TEMP\mc21.tmp" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\3b089c5] "ImagePath"="\SystemRoot\System32\drivers\3b089c5.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\741cc7d9] "ImagePath"="\SystemRoot\System32\drivers\741cc7d9.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\755423f1] "ImagePath"="\SystemRoot\System32\drivers\755423f1.sys" . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\s-1-5-21-839522115-287218729-725345543-1004\Software\Microsoft\SystemCertificates\AddressBook*] @Allowed: (Read) (RestrictedCode) @Allowed: (Read) (RestrictedCode) [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*] "7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\System32\\FM20ENU.DLL" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(1244) c:\programme\TuneUp Utilities 2006\WinStylerThemeHelper.dll c:\windows\System32\DPWLEvHd.dll - - - - - - - > 'lsass.exe'(1300) c:\windows\DPPWDFLT.dll c:\programme\TuneUp Utilities 2006\WinStylerThemeHelper.dll - - - - - - - > 'explorer.exe'(492) c:\programme\TuneUp Utilities 2006\WinStylerThemeHelper.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe c:\programme\DigitalPersona\Bin\DPWinLct.exe c:\programme\Avira\AntiVir Desktop\avguard.exe c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe c:\programme\Cisco Systems\VPN Client\cvpnd.exe c:\programme\DigitalPersona\Bin\DpHost.exe c:\programme\Java\jre6\bin\jqs.exe c:\programme\McAfee\Common Framework\FrameworkService.exe c:\programme\McAfee\VirusScan Enterprise\VsTskMgr.exe c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE c:\programme\Nero\Nero8\Nero BackItUp\NBService.exe c:\programme\McAfee\Common Framework\naPrdMgr.exe c:\windows\system32\nvsvc32.exe c:\windows\system32\WLTRYSVC.EXE c:\windows\system32\BCMWLTRY.EXE c:\programme\DigitalPersona\Bin\DPFUSMgr.exe c:\programme\Windows Media Player\wmpnetwk.exe c:\windows\system32\wbem\wmiapsrv.exe c:\programme\Viewpoint\Viewpoint Manager\ViewMgr.exe c:\windows\system32\rundll32.exe c:\programme\McAfee\Common Framework\Mctray.exe c:\progra~1\MI3AA1~1\rapimgr.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-06-02 13:30 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-06-02 11:30 Vor Suchlauf: 4'051'456'000 Bytes frei Nach Suchlauf: 4'821'467'136 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn /TUTag=YPAMEG /Kernel=TUKernel.exe /noguiboot multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition (TuneUp Backup)" /fastdetect /NoExecute=OptIn /TUTag=YPAMEG-BAK 284 --- E O F --- 2009-05-01 12:32 Hijackthis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:35:31, on 02.06.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16827) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\DigitalPersona\Bin\DPWinLct.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\DigitalPersona\Bin\DpHost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\McAfee\Common Framework\FrameworkService.exe C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe C:\Programme\McAfee\Common Framework\naPrdMgr.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Viewpoint\Common\ViewpointService.exe C:\WINDOWS\System32\WLTRYSVC.EXE C:\WINDOWS\System32\bcmwltry.exe C:\Programme\DigitalPersona\Bin\DPFUSMgr.exe C:\Programme\Windows Media Player\WMPNetwk.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe C:\Programme\Canon\MyPrinter\BJMyPrt.exe C:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE C:\Programme\McAfee\Common Framework\UdaterUI.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe C:\Programme\McAfee\Common Framework\McTray.exe C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Microsoft ActiveSync\wcescomm.exe C:\PROGRA~1\MI3AA1~1\rapimgr.exe C:\WINDOWS\explorer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\pc\Desktop\HJT\HJT.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan Enterprise\Scriptcl.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe" O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader5.cab?nocache=20080115-1 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll O20 - Winlogon Notify: DPWLN - C:\WINDOWS\System32\DPWLEvHd.dll O23 - Service: Avira AntiVir Planer (antivirschedulerservice) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (antivirservice) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Intelligenter Hintergrundübertragungsdienst (BITS) - Unknown owner - C:\WINDOWS\ O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: Windows XP FUS Manager (DPFUSMgr) - DigitalPersona, Inc. - C:\Programme\DigitalPersona\Bin\DPFUSMgr.exe O23 - Service: Biometric Authentication Service (DpHost) - DigitalPersona, Inc. - C:\Programme\DigitalPersona\Bin\DpHost.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Programme\McAfee\Common Framework\FrameworkService.exe O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: Viewpoint Manager Service - Viewpoint Corporation - C:\Programme\Viewpoint\Common\ViewpointService.exe O23 - Service: U.S. Robotics Wireless LAN Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE O23 - Service: Automatische Updates (wuauserv) - Unknown owner - C:\WINDOWS\ -- End of file - 10032 bytes Uninstall Managter Hijack This: 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) Adobe Flash Player 10 Plugin Adobe Flash Player ActiveX Adobe Photoshop 7.0 Adobe Reader 7.0.9 - Deutsch Adobe Shockwave Player 11.5 Apple Mobile Device Support Apple Software Update Avira AntiVir Personal - Free Antivirus AviSynth 2.5 Canon IJ Network Scan Utility Canon IJ Network Tool Canon MP Navigator EX 1.0 Canon MX700 series Canon My Printer Canon Utilities Easy-PhotoPrint EX Canon Utilities Solution Menu CCleaner (remove only) Cisco Systems VPN Client 4.8.02.0010 DigitalPersona Password Manager 1.0.1 DivX DivX Converter DivX Player DivX Web Player Driver Genius Professional Edition FMS HighMAT-Erweiterung für den Microsoft Windows XP-Assistenten zum Schreiben von CDs HijackThis 2.0.2 hkSFV (remove only) Hotfix für Windows Internet Explorer 7 (KB947864) Intel Application Accelerator Intel(R) Extreme Graphics Driver Intel(R) Network Connections 13.5.32.0 IsoBuster 1.9 iTunes J2SE Runtime Environment 5.0 Update 10 J2SE Runtime Environment 5.0 Update 11 Java(TM) 6 Update 13 Java(TM) SE Runtime Environment 6 Update 1 LIVE gaming on Windows Runtime Version 1.0.6027 Macromedia Shockwave Player Malwarebytes' Anti-Malware McAfee VirusScan Enterprise Microsoft .NET Framework 1.1 Microsoft .NET Framework 1.1 Microsoft .NET Framework 1.1 German Language Pack Microsoft .NET Framework 1.1 Hotfix (KB928366) Microsoft .NET Framework 2.0 Language Pack - DEU Microsoft .NET Framework 2.0 Service Pack 1 Microsoft .NET Framework 3.0 Microsoft .NET Framework 3.0 German Language Pack Microsoft .NET Framework 3.0 German Language Pack Microsoft ActiveSync Microsoft Compression Client Pack 1.0 for Windows XP Microsoft Internationalized Domain Names Mitigation APIs Microsoft National Language Support Downlevel APIs Microsoft Office Access MUI (English) 2007 Microsoft Office Access MUI (German) 2007 Microsoft Office Access Setup Metadata MUI (English) 2007 Microsoft Office Enterprise 2007 Microsoft Office Enterprise 2007 Microsoft Office Excel MUI (English) 2007 Microsoft Office Excel MUI (German) 2007 Microsoft Office Groove MUI (English) 2007 Microsoft Office Groove MUI (German) 2007 Microsoft Office Groove Setup Metadata MUI (English) 2007 Microsoft Office InfoPath MUI (English) 2007 Microsoft Office InfoPath MUI (German) 2007 Microsoft Office Language Pack 2007 - German/Deutsch Microsoft Office O MUI (German) 2007 Microsoft Office OneNote MUI (English) 2007 Microsoft Office OneNote MUI (German) 2007 Microsoft Office Outlook MUI (English) 2007 Microsoft Office Outlook MUI (German) 2007 Microsoft Office PowerPoint MUI (English) 2007 Microsoft Office PowerPoint MUI (German) 2007 Microsoft Office Proof (English) 2007 Microsoft Office Proof (French) 2007 Microsoft Office Proof (German) 2007 Microsoft Office Proof (Italian) 2007 Microsoft Office Proof (Spanish) 2007 Microsoft Office Proofing (English) 2007 Microsoft Office Proofing (German) 2007 Microsoft Office Publisher MUI (English) 2007 Microsoft Office Publisher MUI (German) 2007 Microsoft Office Shared MUI (English) 2007 Microsoft Office Shared MUI (German) 2007 Microsoft Office Shared Setup Metadata MUI (English) 2007 Microsoft Office SharePoint Designer 2007 Service Pack 1 (SP1) Microsoft Office SharePoint Designer MUI (German) 2007 Microsoft Office Word MUI (English) 2007 Microsoft Office Word MUI (German) 2007 Microsoft Office X MUI (German) 2007 Microsoft User-Mode Driver Framework Feature Pack 1.0 Microsoft Visual C++ 2005 Redistributable Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Microsoft-Basissmartcard-Kryptografiedienstanbieterpaket Mozilla Firefox (3.0.10) MSXML 4.0 SP2 (KB936181) MSXML 4.0 SP2 (KB954430) MSXML 6 Service Pack 2 (KB954459) Need for Speed™ Carbon Nero 8 Trial nLite 1.4.9.1 NVIDIA Drivers oggcodecs 0.69.8924 OpenAL Orbital Viewer Panda ActiveScan 2.0 QuickTime RealPlayer REFLEX Modellflugsimulator Security Update for CAPICOM (KB931906) Security Update for CAPICOM (KB931906) Sicherheitsupdate für Windows Internet Explorer 7 (KB928090) Sicherheitsupdate für Windows Internet Explorer 7 (KB929969) Sicherheitsupdate für Windows Internet Explorer 7 (KB931768) Sicherheitsupdate für Windows Internet Explorer 7 (KB933566) Sicherheitsupdate für Windows Internet Explorer 7 (KB937143) Sicherheitsupdate für Windows Internet Explorer 7 (KB938127) Sicherheitsupdate für Windows Internet Explorer 7 (KB939653) Sicherheitsupdate für Windows Internet Explorer 7 (KB942615) Sicherheitsupdate für Windows Internet Explorer 7 (KB944533) Sicherheitsupdate für Windows Internet Explorer 7 (KB950759) Sicherheitsupdate für Windows Internet Explorer 7 (KB953838) Sicherheitsupdate für Windows Internet Explorer 7 (KB956390) Sicherheitsupdate für Windows Internet Explorer 7 (KB958215) Sicherheitsupdate für Windows Internet Explorer 7 (KB960714) Sicherheitsupdate für Windows Internet Explorer 7 (KB961260) Sicherheitsupdate für Windows Internet Explorer 7 (KB963027) SmartPropoPlus Sound Blaster Audigy 4 Tsunami-Filter-Pack Mini TuneUp Utilities 2006 U.S. Robotics Wireless MAXg Adapter Uniblue PowerSuite VCRedistSetup VideoLAN VLC media player 0.8.6d ViewerLite 5.0 Viewpoint Manager (Remove Only) Viewpoint Media Player WD Diagnostics Windows Communication Foundation Windows Genuine Advantage v1.3.0254.0 Windows Imaging Component Windows Internet Explorer 7 Windows Media Connect Windows Media Format 11 runtime Windows Media Format 11 runtime Windows Media Player 11 Windows Media Player 11 Windows Presentation Foundation Windows Presentation Foundation Language Pack (DEU) Windows Workflow Foundation Windows Workflow Foundation DE Language Pack Windows XP Service Pack 2 WinRAR Archivierer Xilisoft Video Converter Ultimate XML Paper Specification Shared Components Language Pack 1.0 XviD MPEG4 Video Codec v1.0.3 (remove only) Hoffe das hilft...[/b] |
|
|
||
02.06.2009, 18:32
Moderator
Beiträge: 5694 |
#5
>>
Combofix entfernen: Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" (oder, wenn es nicht funktioniert: C:\QooBox löschen) >> Versteckte Dateien sichtbar machen: 1. Klicke unter Start auf Arbeitsplatz. 2. Klicke im Menü Extras auf Ordneroptionen. 3. Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden --> Haken entfernen 4. Geschützte und Systemdateien ausblenden --> Haken entfernen 5. Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen --> Haken setzen. Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. http://virus-protect.org/invisible.html >> Lasse folgende Datei bei www.VIRUSTOTAL.com/de prüfen und poste das Ergebnis: c:\windows\system32\drivers\755423f1.sys c:\windows\system32\jbnmcd.dll c:\windows\system32\drivers\741cc7d9.sys c:\windows\system32\drivers\3b089c5.sys Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren >> Lade bitte SDfix, wende es im abgesicherten Modus an + poste hier den Report, der nach Neustart erscheint http://virus-protect.org/artikel/tools/sdfix.html >> Wende GMER an und poste das Log: http://virus-protect.org/artikel/tools/gmer.html Gruss Swiss |
|
|
||
02.06.2009, 19:05
Member
Themenstarter Beiträge: 20 |
#6
Hallo,
also musst QooBox Löschen. Habe ich gemacht. c:\windows\system32\jbnmcd.dll a-squared 4.0.0.101 2009.06.02 Trojan.Win32.BHO.d!IK AhnLab-V3 5.0.0.2 2009.06.02 - AntiVir 7.9.0.180 2009.06.02 TR/Agent.ckll Antiy-AVL 2.0.3.1 2009.06.02 - Authentium 5.1.2.4 2009.06.02 - Avast 4.8.1335.0 2009.06.01 - AVG 8.5.0.339 2009.06.02 - BitDefender 7.2 2009.06.02 - CAT-QuickHeal 10.00 2009.06.02 - ClamAV 0.94.1 2009.06.02 - Comodo 1238 2009.06.02 - DrWeb 5.0.0.12182 2009.06.02 Trojan.Chrome.50 eSafe 7.0.17.0 2009.06.02 Suspicious File eTrust-Vet 31.6.6535 2009.06.02 - F-Prot 4.4.4.56 2009.06.02 - F-Secure 8.0.14470.0 2009.06.02 Trojan.Win32.Agent.ckll Fortinet 3.117.0.0 2009.06.02 - GData 19 2009.06.02 - Ikarus T3.1.1.57.0 2009.06.02 - K7AntiVirus 7.10.752 2009.06.02 - Kaspersky 7.0.0.125 2009.06.02 Trojan.Win32.Agent.ckll McAfee 5634 2009.06.02 - McAfee+Artemis 5634 2009.06.02 - McAfee-GW-Edition 6.7.6 2009.05.29 - Microsoft 1.4701 2009.06.02 - NOD32 4124 2009.06.02 Win32/Spy.Ambler.AE Norman 6.01.05 2009.06.02 - nProtect 2009.1.8.0 2009.06.02 - Panda 10.0.0.14 2009.06.02 - PCTools 4.4.2.0 2009.06.02 - Prevx 3.0 2009.06.02 Medium Risk Malware Rising 21.32.14.00 2009.06.02 - Sophos 4.42.0 2009.06.02 - Sunbelt 3.2.1858.2 2009.06.02 - Symantec 1.4.4.12 2009.06.02 - TheHacker 6.3.4.3.335 2009.06.01 - TrendMicro 8.950.0.1092 2009.06.02 PAK_Generic.001 VBA32 3.12.10.6 2009.06.02 - ViRobot 2009.6.2.1765 2009.06.02 - VirusBuster 4.6.5.0 2009.06.02 - weitere Informationen File size: 29184 bytes MD5...: f0b67514758fed414e321bea046617d5 SHA1..: 473b1f7a9af55935cf6a264d8ee5341384de1d5e SHA256: 1efd5aa611b39fcf4cb0c798fe5c4a28191fa10be13ba03473aa65439f0778c0 ssdeep: - PEiD..: - TrID..: File type identification UPX compressed Win32 Executable (39.5%) Win32 EXE Yoda's Crypter (34.3%) Win32 Executable Generic (11.0%) Win32 Dynamic Link Library (generic) (9.8%) Generic Win/DOS Executable (2.5%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x13920 timedatestamp.....: 0x4a224805 (Sun May 31 09:04:05 2009) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 UPX0 0x1000 0xd000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e UPX1 0xe000 0x6000 0x5c00 7.87 239ac2e7c68ce8f7903b8aa1421b58b4 .rsrc 0x14000 0x2000 0x1200 3.83 b6253bcc9b9971df2578b6359776d16e ( 8 imports ) > KERNEL32.DLL: LoadLibraryA, GetProcAddress > ATL.DLL: - > GDI32.dll: GetDeviceCaps > MSVCP60.dll: __Xran@std@@YAXXZ > MSVCRT.dll: pow > ole32.dll: CoInitialize > OLEAUT32.dll: - > USER32.dll: GetDC ( 4 exports ) DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer PDFiD.: - RDS...: NSRL Reference Data Set - Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=1598834F00096E98727700C0E2B90200C74820A0' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=1598834F00096E98727700C0E2B90200C74820A0</a> ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=f0b67514758fed414e321bea046617d5' target='_blank'>http://www.threatexpert.com/report.aspx?md5=f0b67514758fed414e321bea046617d5</a> packers (Kaspersky): UPX packers (F-Prot): UPX c:\windows\system32\drivers\755423f1.sys 0 bytes size received / Se ha recibido un archivo vacio c:\windows\system32\drivers\741cc7d9.sys 0 bytes size received / Se ha recibido un archivo vacio c:\windows\system32\drivers\3b089c5.sys 0 bytes size received / Se ha recibido un archivo vacio Ich weiss jetzt nicht ob da was auf der Seite nicht gelaufen ist, bei 3 von vieren habe ich diese Meldung bekommen. Mache noch kurz die zwei anderen Sachen. |
|
|
||
02.06.2009, 19:56
Moderator
Beiträge: 5694 |
#7
Ja mach die beiden anderen Sachen und zudem teste folgende Datei ebenfalls bei www.virustotal.com/de
C:\tj.vbs Gruss Swiss |
|
|
||
02.06.2009, 21:24
Member
Themenstarter Beiträge: 20 |
#8
Hallo, also SDFIx lief bei mir nicht, habe im Abgesicherten Modus und Normal eine Fehlermeldung bekommen, über ein TXT Datei, die nicht gefunden wurde: installed.txt
Hier noch das GMER LOG: GMER 1.0.15.14972 - http://www.gmer.net Rootkit scan 2009-06-02 21:02:23 Windows 5.1.2600 Service Pack 2 ---- Devices - GMER 1.0.15 ---- Device \Driver\atapi \Device\Ide\IdePort0 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\atapi \Device\Ide\IdePort1 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-17 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\prohlp02 \Device\ProHlp02 E1626040 ---- Registry - GMER 1.0.15 ---- Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000 ---- EOF - GMER 1.0.15 ---- C:\tj.vbs Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.101 2009.06.02 - AhnLab-V3 5.0.0.2 2009.06.02 - AntiVir 7.9.0.180 2009.06.02 - Antiy-AVL 2.0.3.1 2009.06.02 - Authentium 5.1.2.4 2009.06.02 - Avast 4.8.1335.0 2009.06.01 - AVG 8.5.0.339 2009.06.02 - BitDefender 7.2 2009.06.02 - CAT-QuickHeal 10.00 2009.06.02 - ClamAV 0.94.1 2009.06.02 - Comodo 1239 2009.06.02 - DrWeb 5.0.0.12182 2009.06.02 - eSafe 7.0.17.0 2009.06.02 - eTrust-Vet 31.6.6535 2009.06.02 - F-Prot 4.4.4.56 2009.06.02 - F-Secure 8.0.14470.0 2009.06.02 - Fortinet 3.117.0.0 2009.06.02 - GData 19 2009.06.02 - Ikarus T3.1.1.57.0 2009.06.02 - K7AntiVirus 7.10.752 2009.06.02 - Kaspersky 7.0.0.125 2009.06.02 - McAfee 5634 2009.06.02 - McAfee+Artemis 5634 2009.06.02 - McAfee-GW-Edition 6.7.6 2009.05.29 VBScript.Vulnerable.gen!High (suspicious) Microsoft 1.4701 2009.06.02 - NOD32 4124 2009.06.02 - Norman 6.01.05 2009.06.02 - nProtect 2009.1.8.0 2009.06.02 - Panda 10.0.0.14 2009.06.02 - PCTools 4.4.2.0 2009.06.02 - Prevx 3.0 2009.06.02 - Rising 21.32.14.00 2009.06.02 - Sophos 4.42.0 2009.06.02 - Sunbelt 3.2.1858.2 2009.06.02 - Symantec 1.4.4.12 2009.06.02 - TheHacker 6.3.4.3.337 2009.06.02 - TrendMicro 8.950.0.1092 2009.06.02 - VBA32 3.12.10.6 2009.06.02 - ViRobot 2009.6.2.1765 2009.06.02 - VirusBuster 4.6.5.0 2009.06.02 - weitere Informationen File size: 105 bytes MD5...: 3bb400831788b1ce609623f7e5604adf SHA1..: 909350f8a4b341cfb5730cc260a38ed44cee3393 SHA256: 68368404f4dcbcf76b8545f5df476f4081ca404feaf23c62da00c94d6db31071 ssdeep: - PEiD..: - TrID..: File type identification Unknown! PEInfo: - PDFiD.: - RDS...: NSRL Reference Data Set - Hoffe das kann dir das zeugs erklären... |
|
|
||
02.06.2009, 21:28
Member
Beiträge: 3716 |
#9
hi, für die dateien bei denen es 0 bytes meldungen gab, erstelle einen neuen ordner, dann navigiere in das verzeichniss, wo die dateien zu finden sind, dann mache eine kopie in den von dir erstellten ordner, lad die kopie hoch.
|
|
|
||
03.06.2009, 12:13
Member
Themenstarter Beiträge: 20 |
#10
Kann die Dateien nicht kopieren. Fehlermeldung erscheint...Was nun?
|
|
|
||
03.06.2009, 12:44
Member
Beiträge: 3716 |
#11
Starte deinen pc in den abgeicherten modus, (beim start des pc's die f8-taste drücken) dann mache dort weiter wie beschrieben, dann wieder in den normalen modus starten und die files hochladen
|
|
|
||
03.06.2009, 14:01
Member
Themenstarter Beiträge: 20 |
#12
Hallo, im abgesicherten Modus kann ich die Files zwar speichern. Wenn ich Sie aber über Virustotal checken will kriege ich wieder die Leerfile Meldung wie zuvor...
|
|
|
||
03.06.2009, 14:04
Member
Beiträge: 3716 |
#13
schau mal in den eigenschaften (mit rechtsklick) was als größe angezeigt wird
|
|
|
||
03.06.2009, 16:06
Member
Themenstarter Beiträge: 20 |
#14
98 KB z.B für das c:\windows\system32\drivers\755423f1.sys
|
|
|
||
03.06.2009, 16:18
Member
Beiträge: 3716 |
#15
hi, lad den avenger:
http://swandog46.geekstogo.com/avenger2/download.php - setze ein Häkchen in: "Automatically disable any rootkits found" (falls Verdacht auf Rootkits besteht) - Das Häkchen "Scan for Rootkits" ist schon automatisch angehakt. - Script einkopieren Files to delete: c:\windows\system32\drivers\755423f1.sys c:\windows\system32\jbnmcd.dll c:\windows\system32\drivers\741cc7d9.sys c:\windows\system32\drivers\3b089c5.sys - schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten) - Klicke: Execute - bestätige, dass der Rechner neu gestartet wird - klicke "yes" - nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), wenn es im Sicherheitsforum verlangt wird, kopiere es ab - mit rechtem das bitte in deiner nächsten antwort kopieren. sende das backup.zip bitte an markusg2004@yahoo.de |
|
|
||
ich weiss, ich sollte wohl die Suchfunktion benutzen. Aber ich glaube bei dieser Sache brauche ich eine 1:1 Hilfe. Seit Tagen plagt mich ein Virus, Trojaner (?) auf meinem Rechner. Mit McAfee Virus Scan Ver. 8.5 krieg ich das Ding einfach nicht runter.
Hier der Sachverhalt:
Ich merkte dass etwas mit meinem Rechner nicht mehr Stimmte, da auf einmal immer im Mozilla so komische Popups kamen.
Virus Check: was weiss ich wie viele Erkennungen. Die meisten wurden gelöscht bzw. gesäubert, bei etwa dreien versagt dieser Vorgang.
Nächstes Einschalten: Erneuter Virencheck, Resultat: Etwa gleich viele Erkennungen wie letztes Mal. Darunter auch die nicht Löschbaren, DNSChanger.p und DNSChanger!d
Neuster Coup: Wenn ich den PC anmache, ist automatisch Firewall und Antivirusprogramm ausgeschaltet. Zusätzlich meldet sich ständig eine unregistrierte Version von einem Malware Doctor, die ich doch nie installiert habe (unter Software und im Explorer natürlich nirgends zu finden). Zusätzlich: Der Task-Manager wurde anscheinend vom Admin gesperrt, obwohl ich das bin.
Ich poste hier mal die Erkennungen, die unmittelbar nach dem Scan mit McAfee angezeigt werden:
02.06.2009 07:42:02 Modulversion=5301.4018
02.06.2009 07:42:02 AntiVirus-DAT-Version=5633.0000
02.06.2009 07:42:02 Anzahl an Entdeckungssignaturen in EXTRA.DAT=Kein
02.06.2009 07:42:02 Namen der Entdeckungssignaturen in EXTRA.DAT=Kein
02.06.2009 07:41:55 Scanvorgang wurde gestartet ECO_R1\pc Anforderungsscan
02.06.2009 07:42:03 Gelöscht pc NTOSKRNL-HOOK Generic Rootkit.d!rootkit(Trojanisches Pferd)
02.06.2009 07:42:07 Gelöscht pc C:\WINDOWS\SYSTEM32\OVFSTHEDYXWFKJXYUGIRBARCPFUXBLXEPXWINL.DLL DNSChanger.p(Trojanisches Pferd)
02.06.2009 07:42:12 Löschen nicht möglich (Säuberung fehlgeschlagen) pc C:\WINDOWS\system32\ovfsthedyxwfkjxyugirbarcpfuxblxepxwinl.dll DNSChanger.p(Trojanisches Pferd)
02.06.2009 07:42:30 Gelöscht pc C:\WINDOWS\SYSTEM32\OVFSTHPNXCASBRCBOUIMSREXWKLFBEYONKBVKO.DLL DNSChanger!d(Trojanisches Pferd)
02.06.2009 07:42:35 Löschen nicht möglich (Säuberung fehlgeschlagen) pc C:\WINDOWS\system32\ovfsthpnxcasbrcbouimsrexwklfbeyonkbvko.dll DNSChanger!d(Trojanisches Pferd)
02.06.2009 07:42:40 Gelöscht pc C:\WINDOWS\SYSTEM32\OVFSTHUMIJEYURAAWRVHTSMNWJLTAMMNYYRPHX.DLL DNSChanger!e(Trojanisches Pferd)
02.06.2009 07:42:45 Löschen nicht möglich (Säuberung fehlgeschlagen) pc C:\WINDOWS\system32\ovfsthumijeyuraawrvhtsmnwjltammnyyrphx.dll DNSChanger!e(Trojanisches Pferd)
02.06.2009 07:42:50 Gelöscht pc C:\WINDOWS\SYSTEM32\OVFSTHUMIJEYURAAWRVHTSMNWJLTAMMNYYRPHX.DLL.VIR DNSChanger!e(Trojanisches Pferd)
02.06.2009 07:42:50 Gelöscht pc C:\WINDOWS\system32\ovfsthumijeyuraawrvhtsmnwjltammnyyrphx.dll.vir DNSChanger!e(Trojanisches Pferd)
02.06.2009 07:42:50 Gesäubert pc c:\windows\system32\drivers\ovfsthswqwltlwbwqqbdqcdksdjkllrqhsgdty.sys BackDoor-DVU(Trojanisches Pferd)
02.06.2009 07:42:50 Gelöscht pc C:\WINDOWS\SYSTEM32\DRIVERS\OVFSTHSWQWLTLWBWQQBDQCDKSDJKLLRQHSGDTY.SYS BackDoor-DVU(Trojanisches Pferd)
02.06.2009 07:42:50 Gelöscht pc C:\WINDOWS\system32\Drivers\ovfsthswqwltlwbwqqbdqcdksdjkllrqhsgdty.sys BackDoor-DVU(Trojanisches Pferd)
02.06.2009 07:42:51 Gesäubert pc HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit Spy-Agent.bw!mem(Trojanisches Pferd)
02.06.2009 07:42:51 Gesäubert pc HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit Spy-Agent.bw!mem(Trojanisches Pferd)
02.06.2009 07:42:51 Gelöscht pc C:\WINDOWS\system32\ntos.exe Spy-Agent.bw!mem(Trojanisches Pferd)
02.06.2009 07:42:51 Gesäubert pc C:\WINDOWS\system32\sdra64.exe Spy-Agent.bw!mem(Trojanisches Pferd)
02.06.2009 07:42:51 Gesäubert pc C:\WINDOWS\system32\twex.exe Spy-Agent.bw!mem(Trojanisches Pferd)
02.06.2009 07:42:51 Gesäubert pc C:\WINDOWS\system32\twext.exe Spy-Agent.bw!mem(Trojanisches Pferd)
02.06.2009 07:42:51 Keine Aktion durchgeführt (Säuberung fehlgeschlagen) pc C:\WINDOWS\SYSTEM32\winlogon.exe Spy-Agent.bw!mem(Trojanisches Pferd)
02.06.2009 07:46:34 Gelöscht pc C:\AUTO32.EXE Generic PWS.y!o(Trojanisches Pferd)
02.06.2009 07:46:34 Gelöscht pc c:\auto32.exe Generic PWS.y!o(Trojanisches Pferd)
02.06.2009 07:54:13 Gelöscht pc C:\DOKUMENTE UND EINSTELLUNGEN\LOCALSERVICE\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\60GQRCAQ\INSTALL_10[1].EXE W32/Rustock(Virus)
02.06.2009 07:54:13 Gelöscht pc c:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\60GQRCAQ\install_10[1].exe\install_10[1].exe W32/Rustock(Virus)
02.06.2009 07:54:13 Gelöscht pc C:\DOKUMENTE UND EINSTELLUNGEN\LOCALSERVICE\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\6BMI0QQM\F466[1].EXE Generic PWS.y!u(Trojanisches Pferd)
02.06.2009 07:54:14 Gelöscht pc c:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6BMI0QQM\f466[1].exe Generic PWS.y!u(Trojanisches Pferd)
02.06.2009 07:54:17 Nicht gescannt (Die Datei ist verschlüsselt) pc c:\Dokumente und Einstellungen\pc\.limewire\.NetworkShare\Incomplete\T-3381280-LimeWireWin4.14.12.exe\1.nsis
02.06.2009 07:58:02 Gelöscht pc C:\DOKUMENTE UND EINSTELLUNGEN\PC\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\113QYJTP\LOAD32[1].EXE Generic PWS.y!o(Trojanisches Pferd)
02.06.2009 07:58:02 Gelöscht pc c:\Dokumente und Einstellungen\pc\Lokale Einstellungen\Temporary Internet Files\Content.IE5\113QYJTP\load32[1].exe Generic PWS.y!o(Trojanisches Pferd)
02.06.2009 07:58:58 Gelöscht pc HKU\.Default\Software\Microsoft\Windows\CurrentVersion\Run|svc PWS-WoW(Trojanisches Pferd)
02.06.2009 07:58:58 Gelöscht pc C:\PROGRAM FILES\THUNMAIL\TESTABD.EXE PWS-WoW(Trojanisches Pferd)
02.06.2009 07:58:58 Gelöscht pc c:\Program Files\ThunMail\testabd.exe PWS-WoW(Trojanisches Pferd)
02.06.2009 08:04:46 Gelöscht pc C:\PROGRAMME\INTERNET EXPLORER\SETUPAPI.DLL Generic.dx(Trojanisches Pferd)
02.06.2009 08:04:46 Gelöscht pc c:\Programme\Internet Explorer\setupapi.dll Generic.dx(Trojanisches Pferd)
02.06.2009 08:23:56 Gelöscht pc C:\WINDOWS\SYSTEM32\JHXM32.DLL Generic Downloader.x!cd(Trojanisches Pferd)
02.06.2009 08:23:57 Gelöscht pc c:\WINDOWS\system32\jhxm32.dll Generic Downloader.x!cd(Trojanisches Pferd)
02.06.2009 08:24:07 Gelöscht pc C:\WINDOWS\SYSTEM32\LKLF32.DLL Generic Downloader.x!cd(Trojanisches Pferd)
02.06.2009 08:24:07 Gelöscht pc c:\WINDOWS\system32\lklf32.dll Generic Downloader.x!cd(Trojanisches Pferd)
02.06.2009 08:29:05 Gelöscht pc C:\WINDOWS\TEMP\399B9D4C.EXE Generic Dropper(Trojanisches Pferd)
02.06.2009 08:29:06 Gelöscht pc c:\WINDOWS\Temp\399B9D4C.exe Generic Dropper(Trojanisches Pferd)
02.06.2009 08:29:07 Gelöscht pc C:\WINDOWS\TEMP\E.TMP W32/Rustock(Virus)
02.06.2009 08:29:07 Gelöscht pc c:\WINDOWS\Temp\E.tmp\E.tmp W32/Rustock(Virus)
02.06.2009 08:29:07 Gelöscht pc C:\WINDOWS\TEMP\E3051140.EXE Generic Dropper(Trojanisches Pferd)
02.06.2009 08:29:07 Gelöscht pc c:\WINDOWS\Temp\E3051140.exe Generic Dropper(Trojanisches Pferd)
02.06.2009 08:29:07 Gelöscht pc C:\WINDOWS\TEMP\E40A2C92.EXE Generic Dropper(Trojanisches Pferd)
02.06.2009 08:29:07 Gelöscht pc c:\WINDOWS\Temp\E40A2C92.exe Generic Dropper(Trojanisches Pferd)
02.06.2009 08:29:39 Scan-Zusammenfassung ECO_R1\pc Scan-Zusammenfassung
02.06.2009 08:29:39 Scan-Zusammenfassung ECO_R1\pc Gescannte Prozesse: 94
02.06.2009 08:29:39 Scan-Zusammenfassung ECO_R1\pc Erkannte Prozesse: 19
02.06.2009 08:29:39 Scan-Zusammenfassung ECO_R1\pc Gesäuberte Prozesse: 6
02.06.2009 08:29:39 Scan-Zusammenfassung ECO_R1\pc Gescannte Boot-Sektoren: 3
02.06.2009 08:29:39 Scan-Zusammenfassung ECO_R1\pc Erkannte Boot-Sektoren: 0
02.06.2009 08:29:39 Scan-Zusammenfassung ECO_R1\pc Gesäuberte Boot-Sektoren: 0
02.06.2009 08:29:39 Scan-Zusammenfassung ECO_R1\pc Gescannte Dateien: 78520
02.06.2009 08:29:39 Scan-Zusammenfassung ECO_R1\pc Dateien mit Erkennungen: 12
02.06.2009 08:29:39 Scan-Zusammenfassung ECO_R1\pc Dateierkennungen: 25
02.06.2009 08:29:39 Scan-Zusammenfassung ECO_R1\pc Gesäuberte Dateien: 0
02.06.2009 08:29:39 Scan-Zusammenfassung ECO_R1\pc Gelöschte Dateien: 12
02.06.2009 08:29:39 Scan-Zusammenfassung ECO_R1\pc Nicht gescannte Dateien: 34
02.06.2009 08:29:39 Scan-Zusammenfassung ECO_R1\pc Laufzeit: 0:47:44
02.06.2009 08:29:39 Scanvorgang wurde beendet ECO_R1\pc Anforderungsscan
Keine Ahnung wie das Sch...zeugs auf meinem Rechner gelandet ist. Ich bin leider nicht der einzige Benutzer.
Kann mir jemand bitte helfen? Ich habe bereits im Forum gelesen, dass solche blöden Viecher mit eurer Hilfe behoben werden konnten.
Tausend Dank
und mit Gruss
Sebastian