Antivir meldet Trojaner und Wurm bekomm sie aber nicht weg.

Thema ist geschlossen!
Thema ist geschlossen!
#0
01.08.2009, 23:33
Member

Themenstarter

Beiträge: 104
#16 Combofix

ComboFix 09-08-01.01 - Administrator 01.08.2009 23:17.3.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.1023.763 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Administrator\Desktop\cfscript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_LHEHTFI
-------\Service_lhehtfi


((((((((((((((((((((((( Dateien erstellt von 2009-07-01 bis 2009-08-01 ))))))))))))))))))))))))))))))
.

2009-08-01 20:52 . 2009-08-01 20:52 -------- d-----w- c:\programme\Zeallsoft
2009-08-01 18:15 . 2009-08-01 18:15 -------- d-----w- C:\_OTM
2009-07-30 17:48 . 2009-08-01 17:24 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\BitTorrent
2009-07-30 17:47 . 2009-07-30 17:47 -------- d-----w- C:\Program Files
2009-07-30 17:47 . 2009-07-30 17:47 -------- d-----w- c:\programme\BitTorrent
2009-07-30 16:51 . 2009-07-30 16:51 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2009-07-30 16:51 . 2009-07-13 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-30 16:51 . 2009-07-30 16:51 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-07-30 16:51 . 2009-07-30 16:51 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-07-30 16:51 . 2009-07-13 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-07-29 20:58 . 2009-08-01 20:45 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\FaceOnBody
2009-07-29 20:58 . 2009-08-01 20:45 -------- d-----w- c:\programme\FaceOnBody
2009-07-29 04:43 . 2009-07-29 04:43 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\DivX
2009-07-28 20:25 . 2009-07-28 20:32 -------- d-----w- c:\programme\Microsoft Picture It! 7
2009-07-28 19:39 . 2009-07-28 20:23 -------- d-----w- c:\programme\Microsoft Works
2009-07-28 19:38 . 2009-07-28 19:38 -------- d-----w- c:\programme\Microsoft Works Suite 2003
2009-07-28 19:27 . 2009-07-28 19:27 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\HP
2009-07-28 19:26 . 2009-07-28 19:26 -------- d-----w- c:\programme\Gemeinsame Dateien\HP
2009-07-28 19:25 . 2009-07-28 19:25 -------- d-----w- c:\programme\Hewlett-Packard
2009-07-28 19:24 . 2009-07-28 19:24 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\HP
2009-07-28 19:19 . 2009-07-28 19:26 -------- d-----w- c:\programme\HP
2009-07-28 18:45 . 2009-07-28 19:27 79758 ----a-w- c:\windows\hpfins05.dat
2009-07-28 18:45 . 2005-05-24 02:51 1395 ------w- c:\windows\hpfmdl05.dat
2009-07-28 18:44 . 2005-04-08 17:44 45056 ----a-w- c:\windows\system32\hpzll3xu.dll
2009-07-28 18:44 . 2005-04-28 03:37 77824 ----a-r- c:\windows\system32\hpzids01.dll
2009-07-28 18:40 . 2004-08-03 21:01 25856 -c--a-w- c:\windows\system32\dllcache\usbprint.sys
2009-07-28 18:40 . 2004-08-03 21:01 25856 ----a-w- c:\windows\system32\drivers\usbprint.sys
2009-07-28 18:11 . 2009-07-28 18:11 -------- d-----w- c:\windows\Sun
2009-07-27 17:58 . 2009-07-27 17:58 -------- d-----w- c:\programme\Lavalys
2009-07-26 12:02 . 2009-07-26 12:02 -------- d-----w- c:\dokumente und einstellungen\Administrator\.artofillusion
2009-07-26 12:01 . 2009-07-26 12:01 -------- d-----w- c:\programme\ArtOfIllusion
2009-07-26 11:33 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-07-26 11:33 . 2009-03-24 14:08 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-07-26 11:33 . 2009-02-13 10:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-07-26 11:33 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-07-26 11:33 . 2009-07-26 11:33 -------- d-----w- c:\programme\Avira
2009-07-26 11:33 . 2009-07-26 11:33 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-07-25 22:47 . 2009-07-25 22:47 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\CyberLink
2009-07-25 14:50 . 2002-10-17 08:35 26096 ----a-r- c:\windows\system32\xmlinst.exe
2009-07-25 14:50 . 2002-01-07 14:30 24576 ----a-r- c:\windows\system32\msxml3a.dll
2009-07-25 14:50 . 2000-03-17 06:21 36864 ----a-r- c:\windows\system32\xmlparse.dll
2009-07-25 14:50 . 2000-03-17 06:21 69632 ----a-r- c:\windows\system32\xmltok.dll
2009-07-25 14:50 . 1998-06-17 22:00 89360 ----a-r- c:\windows\system32\VB5DB.DLL
2009-07-25 14:50 . 2009-07-25 14:50 -------- d-----w- c:\programme\Ubisoft
2009-07-25 14:23 . 2009-07-25 15:13 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\ICQ
2009-07-25 14:22 . 2009-07-25 15:13 -------- d-----w- c:\programme\ICQ6.5
2009-07-25 14:07 . 2009-07-25 14:07 10345 ----a-w- c:\windows\system32\drivers\hamachi.sys
2009-07-25 14:07 . 2009-07-25 14:07 -------- d-----w- c:\programme\Hamachi
2009-07-25 14:07 . 2009-07-25 14:07 -------- d-----w- C:\Medion
2009-07-25 14:04 . 2009-07-25 14:07 -------- d-----w- c:\programme\Teamspeak2_RC2
2009-07-25 13:45 . 2009-07-25 13:45 -------- d-----w- c:\windows\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\ATI
2009-07-25 13:40 . 2009-07-25 13:43 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Skype
2009-07-25 13:40 . 2009-07-25 13:40 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype
2009-07-25 13:40 . 2009-07-25 13:40 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-07-25 13:39 . 2009-07-25 13:40 -------- d-----w- c:\programme\Skype
2009-07-25 13:36 . 2009-07-25 13:36 -------- d-----w- c:\programme\MSECache
2009-07-25 13:03 . 2009-07-25 14:36 -------- d-----w- C:\Spiele
2009-07-25 12:46 . 2009-07-25 12:47 -------- d-----w- c:\programme\QuickTime
2009-07-25 12:46 . 2009-07-25 12:46 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2009-07-25 12:45 . 2009-07-25 12:45 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Apple
2009-07-25 12:45 . 2009-07-25 12:45 -------- d-----w- c:\programme\Apple Software Update
2009-07-25 12:45 . 2009-07-25 12:45 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2009-07-25 12:45 . 2009-07-25 12:45 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Apple Computer
2009-07-25 12:44 . 2009-07-25 12:44 -------- d-----w- c:\programme\IrfanView
2009-07-25 12:41 . 2009-07-25 12:40 410984 ----a-w- c:\windows\system32\deploytk.dll
2009-07-25 12:39 . 2009-07-25 12:39 -------- d-----w- c:\programme\Java
2009-07-25 12:37 . 2009-07-25 12:37 152576 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\jre1.6.0_14\lzma.dll
2009-07-25 12:31 . 2009-07-25 12:31 28164 ----a-w- c:\windows\system32\drivers\MxlW2k.sys
2009-07-25 12:30 . 2009-07-25 12:30 -------- d-----w- c:\programme\MUSICMATCH
2009-07-25 12:26 . 1998-11-17 10:44 328704 ----a-w- c:\windows\IsUn0407.exe
2009-07-25 12:25 . 2009-07-25 12:26 -------- d-----w- c:\programme\CCleaner
2009-07-25 12:25 . 2002-04-19 00:15 13780 ------w- c:\windows\system32\drivers\pfc.sys
2009-07-25 12:23 . 2009-07-25 12:23 -------- d-----w- C:\pdwork
2009-07-25 12:23 . 2009-07-25 12:23 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\CyberLink
2009-07-25 12:23 . 2009-07-25 12:24 -------- d-----w- c:\programme\CyberLink
2009-07-25 12:22 . 2009-07-25 12:25 -------- d-----w- c:\programme\Medion
2009-07-25 12:03 . 2009-07-25 12:03 0 ----a-w- c:\windows\nsreg.dat
2009-07-25 12:03 . 2009-07-25 12:03 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla
2009-07-25 11:37 . 2009-07-25 11:37 -------- d-----w- c:\windows\system32\ALIEHCI
2009-07-25 11:37 . 2003-07-04 14:13 106168 ----a-w- c:\windows\system32\drivers\ALiEHCI.SYS
2009-07-25 11:37 . 2003-07-04 12:25 5337 ----a-w- c:\windows\system32\drivers\ALiRTHUB.SYS
2009-07-25 11:37 . 2003-07-04 12:24 17835 ----a-w- c:\windows\system32\drivers\ALiHUB.SYS
2009-07-25 11:37 . 2003-07-04 12:24 8668 ----a-w- c:\windows\system32\drivers\ALiGP.SYS
2009-07-25 11:37 . 2003-01-11 15:20 28672 ----a-w- c:\windows\system32\Unusb20.exe
2009-07-25 11:37 . 2001-11-13 19:24 35587 ----a-w- c:\windows\system32\rmusb20.EXE
2009-07-25 11:37 . 2000-01-07 13:20 12288 ----a-w- c:\windows\system32\PCIVP.SYS
2009-07-25 11:37 . 2009-07-25 11:37 -------- d-----w- c:\windows\system32\M5455
2009-07-25 11:36 . 1998-10-29 14:45 306688 ----a-w- c:\windows\IsUninst.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-28 20:39 . 2009-07-25 09:56 55576 ----a-w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-07-27 18:14 . 2009-07-25 09:52 -------- d-----w- c:\programme\Gemeinsame Dateien\Alice
2009-07-27 18:13 . 2009-07-25 09:52 -------- d-----w- c:\programme\Alice
2009-07-26 09:29 . 2009-07-25 09:02 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-07-25 14:23 . 2009-07-25 09:33 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-07-25 14:10 . 2009-07-25 14:09 -------- d-----w- c:\programme\DivX
2009-07-25 14:10 . 2009-07-25 14:10 -------- d-----w- c:\programme\Google
2009-07-25 10:24 . 2009-07-25 10:24 -------- d-----w- c:\programme\Realtek AC97
2009-07-25 10:23 . 2009-07-25 09:32 -------- d-----w- c:\programme\Gemeinsame Dateien\InstallShield
2009-07-25 09:47 . 2009-07-25 09:47 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\ATI
2009-07-25 09:42 . 2009-07-25 09:33 -------- d-----w- c:\programme\ATI Technologies
2009-07-25 09:40 . 2009-07-25 09:40 9158 ----a-r- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{C941F1F1-25B3-4DF5-83E6-888C51A1AAB6}\ARPPRODUCTICON.exe
2009-07-25 09:40 . 2009-07-25 09:40 -------- d-----w- c:\programme\Gemeinsame Dateien\ATI Technologies
2009-07-25 09:40 . 2004-11-11 12:00 70580 ----a-w- c:\windows\system32\perfc007.dat
2009-07-25 09:40 . 2004-11-11 12:00 405118 ----a-w- c:\windows\system32\perfh007.dat
2009-07-25 09:16 . 2009-07-25 09:16 -------- d-----w- c:\programme\Microsoft IntelliPoint
2009-07-25 09:04 . 2009-07-25 09:04 -------- d-----w- c:\programme\microsoft frontpage
2009-07-25 09:01 . 2009-07-25 09:01 -------- d-----w- c:\programme\Online-Dienste
2009-07-25 09:00 . 2009-07-25 09:00 -------- d-----w- c:\programme\Gemeinsame Dateien\Dienste
2009-07-25 08:59 . 2009-07-25 08:59 21740 ----a-w- c:\windows\system32\emptyregdb.dat
2009-07-15 21:31 . 2009-07-25 12:02 137208 ----a-w- c:\programme\mozilla firefox\components\brwsrcmp.dll
.

------- Sigcheck -------

[-] 2004-11-11 12:00 359040 09EB23A4567BDD56D9580A059E616E23 c:\windows\system32\drivers\tcpip.sys

.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-11-11 15360]
"BitTorrent"="c:\programme\BitTorrent\bittorrent.exe" [2006-11-01 43008]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 90112]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-11-11 15360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Administrator^Startmenü^Programme^Autostart^Ubisoft register.lnk]
path=c:\dokumente und einstellungen\Administrator\Startmenü\Programme\Autostart\Ubisoft register.lnk
backup=c:\windows\pss\Ubisoft register.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Hamachi\\hamachi.exe"=
"c:\\Spiele\\Pacificfighters\\pf.exe"=
"c:\\Programme\\BitTorrent\\bittorrent.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"2991:TCP"= 2991:TCP:jiqgvwpk

R0 PDDSLHND;PDDSLHND;c:\windows\system32\drivers\PDDSLHND.SYS [25.07.2009 11:53 15187]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [26.07.2009 13:33 108289]
R3 PDDSLADP;ProDyne DSL Adapter;c:\windows\system32\drivers\PDDSLADP.SYS [25.07.2009 11:53 15571]
S3 NtApm;Herkömmlicher NT APM-Schnittstellentreiber;c:\windows\system32\drivers\NtApm.sys [25.07.2009 11:52 9472]
S3 PDNETCTL;ProDyne MicroPPPoE;c:\windows\system32\drivers\pdnetctl.sys [07.09.2005 23:09 39936]
.
Inhalt des "geplante Tasks" Ordners

2009-07-25 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-06-03 11:42]
.
.
------- Zusätzlicher Suchlauf -------
.
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\paba9hlg.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - plugin: c:\programme\Mozilla Firefox\plugins\npbittorrent.dll

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-01 23:26
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(648)
c:\windows\system32\sfc_os.dll
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(2936)
c:\windows\system32\msi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-08-01 23:31 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-08-01 21:31
ComboFix2.txt 2009-08-01 16:54
ComboFix3.txt 2009-07-31 16:41

Vor Suchlauf: 10 Verzeichnis(se), 106.706.489.344 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 106.632.105.984 Bytes frei

259
Seitenanfang Seitenende
01.08.2009, 23:40
Member

Themenstarter

Beiträge: 104
#17 Kaspersky

Scan


----
Scanned: 2892
Detected: 0
Untreated: 0
Start time: 01.08.2009 23:34:36
Duration: 00:02:00
Finish time: 01.08.2009 23:36:36


Detected
--------
Status Object
------ ------


Events
------
Time Name Status Reason
---- ---- ------ ------


Statistics
----------
Object Scanned Detected Untreated Deleted Moved to Quarantine Archives Packed files Password protected Corrupted
------ ------- -------- --------- ------- ------------------- -------- ------------ ------------------ ---------


Settings
--------
Parameter Value
--------- -----
Security Level Recommended
Action Prompt for action when the scan is complete
Run mode Manually
File types Scan all files
Scan only new and changed files No
Scan archives All
Scan embedded OLE objects All
Skip if object is larger than No
Skip if scan takes longer than No
Parse email formats No
Scan password-protected archives No
Enable iChecker technology No
Enable iSwift technology No
Show detected threats on "Detected" tab Yes
Rootkits search Yes
Deep rootkits search No
Use heuristic analyzer Yes


Quarantine
----------
Status Object Size Added
------ ------ ---- -----


Backup
------
Status Object Size
------ ------ ----
Seitenanfang Seitenende
02.08.2009, 00:44
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#18 Scanne nochmal mit GMER und poste das log
__________
MfG Argus
Seitenanfang Seitenende
02.08.2009, 13:10
Member

Themenstarter

Beiträge: 104
#19 GMER

GMER 1.0.15.15011 [weobfvk1.exe] - http://www.gmer.net
Rootkit scan 2009-08-02 13:03:05
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.15 ----

SSDT F7E86EEE ZwCreateKey
SSDT F7E86EE4 ZwCreateThread
SSDT F7E86EF3 ZwDeleteKey
SSDT F7E86EFD ZwDeleteValueKey
SSDT F7E86F02 ZwLoadKey
SSDT F7E86ED0 ZwOpenProcess
SSDT F7E86ED5 ZwOpenThread
SSDT F7E86F0C ZwReplaceKey
SSDT F7E86F07 ZwRestoreKey
SSDT F7E86EF8 ZwSetValueKey
SSDT F7E86EDF ZwTerminateProcess

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRequest] [F7C4354E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter] [F7C4320E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter] [F7C43256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol] [F7C4352C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol] [F7C434FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [F7C434FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRequest] [F7C4354E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [F7C43256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [F7C4320E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [F7C4352C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRequest] [F7C4354E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol] [F7C4352C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol] [F7C434FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter] [F7C43256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter] [F7C4320E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [F7C434FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [F7C4320E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRequest] [F7C4354E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [F7C43256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [F7C4352C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [F7C4320E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRequest] [F7C4354E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [F7C434FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [F7C43256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [F7C4352C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [F7C434FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [F7C43256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [F7C4320E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRequest] [F7C4354E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisCloseAdapter] [F7C4320E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisOpenAdapter] [F7C43256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisRequest] [F7C4354E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisDeregisterProtocol] [F7C4352C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisRegisterProtocol] [F7C434FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [F7C434FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [F7C4352C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRequest] [F7C4354E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [F7C4320E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [F7C43256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch@Epoch 11556

---- EOF - GMER 1.0.15 ----
Seitenanfang Seitenende
02.08.2009, 14:04
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#20 CombiFix entfernen
Start > Ausführen> Kopiere rein ComboFix /U OK
Entferne auf C:\combofix.txt
Entferne auf C:\combofix

Starte OTM nochmal und klicke jetzt den CleanUp! Knopf
Begin cleanup process? klicke: Yes. - "Do you want to reboot?" klicke Yes
so wird von OTM automatisch alles an Tools entfernt, die zur Virenreinigung geladen wurden

Die benutzten Tools kannst du wieder entfernen

Systemwiederherstellung
Systemwiederherstellung (de)aktivieren

Benutze CCleaner besonders die Registry scannen solange bis kein Fehler mehr gefunden wird

Update MalwareBytes Antimaleware und scanne,sowie auch dein Virenscanner

Happy Surfing again
__________
MfG Argus
Seitenanfang Seitenende
02.08.2009, 15:25
Member

Themenstarter

Beiträge: 104
#21 Also Antivir hat noch sachen gefunden.
TR/DROPPER.GEN
WORM/CONFICKER.M und .Q
Seitenanfang Seitenende
02.08.2009, 15:26
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#22 Gibt es auch ein Log von Antivir?
__________
MfG Argus
Seitenanfang Seitenende
02.08.2009, 15:39
Member

Themenstarter

Beiträge: 104
#23 ups sorry hab ich ganz vergessen.Hier kommt er.



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 2. August 2009 14:50

Es wird nach 1584543 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 2) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : JOHNPORN-D4263E

Versionsinformationen:
BUILD.DAT : 9.0.0.403 17961 Bytes 03.06.2009 17:00:00
AVSCAN.EXE : 9.0.3.6 466689 Bytes 11.05.2009 08:14:44
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 11:40:16
ANTIVIR2.VDF : 7.1.4.253 1779200 Bytes 19.07.2009 11:40:20
ANTIVIR3.VDF : 7.1.5.57 445952 Bytes 31.07.2009 17:29:10
Engineversion : 8.2.0.238
AEVDF.DLL : 8.1.1.1 106868 Bytes 30.04.2009 10:52:04
AESCRIPT.DLL : 8.1.2.22 450938 Bytes 30.07.2009 17:28:48
AESCN.DLL : 8.1.2.4 127348 Bytes 26.07.2009 11:40:28
AERDL.DLL : 8.1.2.4 430452 Bytes 26.07.2009 11:40:28
AEPACK.DLL : 8.1.3.18 401783 Bytes 27.05.2009 15:07:20
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 26.07.2009 11:40:27
AEHEUR.DLL : 8.1.0.147 1884536 Bytes 29.07.2009 17:28:38
AEHELP.DLL : 8.1.5.3 233846 Bytes 26.07.2009 11:40:24
AEGEN.DLL : 8.1.1.53 356724 Bytes 01.08.2009 17:29:11
AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 13:32:40
AECORE.DLL : 8.1.7.6 184694 Bytes 26.07.2009 11:40:22
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 10:39:55
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.04.2009 09:13:12

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Sonntag, 2. August 2009 14:50

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '20472' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '27' Prozesse mit '27' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '44' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVSCAN-20090730-185608-4475A3B6\ARKD.tmp
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Conficker.M
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZSDLOFPT\hyqrtfk[1].gif
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVSCAN-20090730-185608-4475A3B6\ARKD.tmp
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Conficker.M
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bb7b669.qua' verschoben!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZSDLOFPT\hyqrtfk[1].gif
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ae6936a.qua' verschoben!


Ende des Suchlaufs: Sonntag, 2. August 2009 15:21
Benötigte Zeit: 27:31 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

3136 Verzeichnisse wurden überprüft
114870 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
114867 Dateien ohne Befall
923 Archive wurden durchsucht
2 Warnungen
3 Hinweise
20472 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
Seitenanfang Seitenende
02.08.2009, 18:25
Member

Themenstarter

Beiträge: 104
#24 jetzt hab ich noch ne meldung TR/Crypt.ZPACK.Gen
Seitenanfang Seitenende
02.08.2009, 21:42
Moderator

Beiträge: 5694
#25 Sagt Dir dieser Eintrag des Ports etwas:

Zitat

"2991:TCP"= 2991:TCP:jiqgvwpk
Wenn nein, dann lade Dir Registry Search by Bobbi Flekman

und doppelklicken, um zu starten.
in das Feld: "Enter search strings" (reinschreiben oder reinkopieren)

jiqgvwpk

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

>>
Conficker:
http://board.protecus.de/t36640.htm

Zitat

Wird das Laden der Bilder aus der ersten Reihe blockiert, aber die Logos der untereren Reihe angezeigt, dann ist das ein deutliches Anzeichen, dass Dein PC mit Conficker infiziert ist – oder einem anderen Schädling mit ähnlichem Verhalten.
>>
mache einen Onlinescan mit eset + poste den report
http://virus-protect.org/artikel/tools/eset-nod.html

Gruss Swiss
Seitenanfang Seitenende
03.08.2009, 06:16
Member

Themenstarter

Beiträge: 104
#26 Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.6.0

; Results at 03.08.2009 06:15:03 for strings:
; 'jiqgvwpk'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"2991:TCP"="2991:TCP:*:Enabled:jiqgvwpk"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"2991:TCP"="2991:TCP:*:Enabled:jiqgvwpk"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"2991:TCP"="2991:TCP:*:Enabled:jiqgvwpk"

; End Of The Log...
Seitenanfang Seitenende
03.08.2009, 07:21
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#27 Download OTM.exe zum Desktop
Oeffne:OTM.exe
(Vista benutzer, rechtsklick auf OTM.exe und waehle "Run as Administrator")

Doppelklick OTM.exe

Kopiere in das Fenster wo steht“Paste Instructions for Items to be moved“
Unter den Gelben streifen steht
Folgendes rein

Code

:Reg
HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2991:TCP"=-

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"2991:TCP"=-

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"2991:TCP"=-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"2991:TCP"=-

Klicke den Roten Moveit! Button

Kopiere jetzt alles ab was in das Results Fenster steht (gruener streifen)
Und Poste dessen Inhalt es in dein nächsten Antwort

Danach dein Rechner neu starten
__________
MfG Argus
Seitenanfang Seitenende
03.08.2009, 19:44
Member

Themenstarter

Beiträge: 104
#28 Also wenn ich OTM benutze und den code reinkopiere und moveit drücke passiert volgendes.Das :Reg verschwindet und unterm Grünen bereich steht ====Registry==== dann steht beim OTM keine Rückmeldung.
Seitenanfang Seitenende
03.08.2009, 19:56
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#29 Benutze nochmal Registry Search 2.0 by Bobbi Flekman wie durch Swisstreasure beschrieben

Und Update dein Windows
__________
MfG Argus
Seitenanfang Seitenende
03.08.2009, 20:22
Member

Themenstarter

Beiträge: 104
#30 Passiert immernoch das selbe
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: