Trojanerfund (Trojan.Agent) und Rechner sehr langsam! |
||
---|---|---|
#0
| ||
23.08.2009, 11:52
Member
Themenstarter Beiträge: 60 |
||
|
||
23.08.2009, 12:18
Moderator
Beiträge: 5694 |
#17
>>
Wende Combofix an und poste das Log: http://www.virus-protect.org/artikel/tools/combofix.html >> Mach ein Onlinescan mit Bitdefender und poste das Log: http://virus-protect.org/artikel/tools/bitdefender.html Gruss Swiss |
|
|
||
23.08.2009, 23:41
Member
Themenstarter Beiträge: 60 |
#18
Hallo,
hier die Logdatei von ComboFix mit angeschlossenen USB. Gruß Chris ComboFix 09-08-22.06 - chistin 23.08.2009 23:24.2.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.382.109 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\chistin\Desktop\ComboFix.exe AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} . ((((((((((((((((((((((( Dateien erstellt von 2009-07-23 bis 2009-08-23 )))))))))))))))))))))))))))))) . 2009-08-23 08:52 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-08-23 08:52 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-08-21 17:54 . 2009-08-21 17:54 -------- d-----w- C:\rsit 2009-08-21 15:17 . 2009-08-21 15:18 -------- d-----w- c:\programme\QuickTime 2009-08-21 15:17 . 2009-08-21 15:17 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer 2009-08-21 15:16 . 2009-08-21 15:16 -------- d-----w- c:\dokumente und einstellungen\chistin\Lokale Einstellungen\Anwendungsdaten\Apple 2009-08-21 15:16 . 2009-08-21 15:16 -------- d-----w- c:\programme\Apple Software Update 2009-08-21 15:16 . 2009-08-21 15:16 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple 2009-08-21 15:16 . 2009-08-21 15:16 -------- d-----w- c:\dokumente und einstellungen\chistin\Lokale Einstellungen\Anwendungsdaten\Apple Computer 2009-08-21 15:08 . 2009-08-21 15:08 -------- d-----w- c:\programme\Secunia 2009-08-21 12:30 . 2009-08-21 12:30 -------- d-----w- c:\programme\ESET 2009-08-20 13:39 . 2009-08-20 13:39 -------- d-----w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\TeamViewer 2009-08-20 13:13 . 2009-08-20 13:13 -------- d-----w- c:\windows\system32\wbem\Repository 2009-08-20 13:09 . 2009-08-20 13:54 -------- d-----w- c:\windows\BDOSCAN8 2009-08-18 18:00 . 2009-08-23 10:38 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-08-18 18:00 . 2009-08-18 18:08 -------- d-----w- c:\programme\Spybot - Search & Destroy 2009-08-18 17:41 . 2009-08-18 17:41 -------- d-----w- c:\programme\Trend Micro 2009-08-18 16:29 . 2009-08-18 16:29 -------- d-----w- c:\dokumente und einstellungen\chistin\Anwendungsdaten\Malwarebytes 2009-08-18 16:29 . 2009-08-23 08:52 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2009-08-18 16:29 . 2009-08-18 16:29 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-08-18 16:11 . 2009-08-18 16:11 -------- d-----w- c:\dokumente und einstellungen\chistin\Anwendungsdaten\TeamViewer 2009-08-18 16:11 . 2009-08-18 16:11 -------- d-----w- c:\programme\TeamViewer 2009-08-18 16:09 . 2009-08-18 16:09 -------- d-----w- c:\dokumente und einstellungen\chistin\temp 2009-08-15 12:29 . 2009-08-15 12:29 -------- d-----w- c:\windows\system32\XPSViewer 2009-08-15 12:29 . 2009-08-15 12:29 -------- d-----w- c:\programme\MSBuild 2009-08-15 12:29 . 2009-08-15 12:29 -------- d-----w- c:\programme\Reference Assemblies 2009-08-15 12:28 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\filterpipelineprintproc.dll 2009-08-15 12:28 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\xpsshhdr.dll 2009-08-15 12:28 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll 2009-08-15 12:28 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll 2009-08-15 12:28 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe 2009-08-15 12:28 . 2009-08-15 12:29 -------- d-----w- C:\86177e9ad713fa57446960a6b21c57 2009-08-15 12:28 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll 2009-08-15 12:28 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll 2009-08-13 15:27 . 2009-07-10 13:26 1315328 -c----w- c:\windows\system32\dllcache\msoe.dll 2009-08-05 08:59 . 2009-08-05 08:59 206336 -c----w- c:\windows\system32\dllcache\mswebdvd.dll 2009-07-28 09:14 . 2009-07-28 09:14 -------- d-----w- c:\dokumente und einstellungen\LocalService\Startmenü 2009-07-28 09:14 . 2009-08-06 09:16 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2009-07-28 09:14 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys 2009-07-28 09:14 . 2009-02-13 10:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys 2009-07-28 09:14 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys 2009-07-28 09:14 . 2009-07-28 09:14 -------- d-----w- c:\programme\Avira 2009-07-28 09:14 . 2009-07-28 09:14 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-08-20 16:04 . 2007-06-06 11:14 -------- d-----w- c:\programme\Gemeinsame Dateien\MAGIX Shared 2009-08-20 10:33 . 2007-07-13 12:18 75176 ----a-w- c:\dokumente und einstellungen\chistin\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-08-15 12:34 . 2007-03-28 12:05 83078 ----a-w- c:\windows\system32\perfc007.dat 2009-08-15 12:34 . 2007-03-28 12:05 454206 ----a-w- c:\windows\system32\perfh007.dat 2009-08-15 12:22 . 2007-07-13 14:12 10 ----a-w- c:\windows\popcinfo.dat 2009-08-05 08:59 . 2006-02-28 12:00 206336 ----a-w- c:\windows\system32\mswebdvd.dll 2009-08-02 22:10 . 2009-01-17 14:44 -------- d-----w- c:\programme\Microsoft Silverlight 2009-07-17 19:01 . 2006-02-28 12:00 58880 ----a-w- c:\windows\system32\atl.dll 2009-07-13 08:08 . 2006-02-28 12:00 286720 ----a-w- c:\windows\system32\wmpdxm.dll 2009-06-29 20:48 . 2009-02-02 20:38 -------- d-----w- c:\dokumente und einstellungen\chistin\Anwendungsdaten\Skype 2009-06-29 17:23 . 2009-02-02 20:41 -------- d-----w- c:\dokumente und einstellungen\chistin\Anwendungsdaten\skypePM 2009-06-29 15:55 . 2006-02-28 12:00 827392 ------w- c:\windows\system32\wininet.dll 2009-06-29 15:55 . 2006-02-28 12:00 78336 ----a-w- c:\windows\system32\ieencode.dll 2009-06-29 15:55 . 2006-02-28 12:00 17408 ------w- c:\windows\system32\corpol.dll 2009-06-16 14:36 . 2006-02-28 12:00 81920 ----a-w- c:\windows\system32\fontsub.dll 2009-06-16 14:36 . 2006-02-28 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll 2009-06-15 10:43 . 2006-02-28 12:00 78848 ----a-w- c:\windows\system32\telnet.exe 2009-06-10 14:13 . 2006-02-28 12:00 85504 ----a-w- c:\windows\system32\avifil32.dll 2009-06-10 07:19 . 2007-06-06 09:16 2066432 ----a-w- c:\windows\system32\mstscax.dll 2009-06-10 06:14 . 2006-02-28 12:00 132096 ----a-w- c:\windows\system32\wkssvc.dll 2009-06-03 19:09 . 2006-02-28 12:00 1296896 ----a-w- c:\windows\system32\quartz.dll 2009-05-29 15:38 . 2007-06-06 09:18 76487 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-12-23 143360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "VTTimer"="VTTimer.exe" - c:\windows\system32\VTTimer.exe [2005-10-27 53248] "S3Trayp"="S3trayp.exe" - c:\windows\system32\S3Trayp.exe [2005-10-27 176128] "RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2006-01-11 15961088] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 40048] Adobe Reader Synchronizer.lnk - c:\programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 734872] Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^AOL 9.0 Tray-Symbol.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\AOL 9.0 Tray-Symbol.lnk backup=c:\windows\pss\AOL 9.0 Tray-Symbol.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^chistin^Startmenü^Programme^Autostart^Secunia PSI (RC4).lnk] path=c:\dokumente und einstellungen\chistin\Startmenü\Programme\Autostart\Secunia PSI (RC4).lnk backup=c:\windows\pss\Secunia PSI (RC4).lnkStartup [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\InterVideo\\DVD8\\WinDVD.exe"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\Programme\\AOL 9.0\\waol.exe"= "c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programme\\ICQ6.5\\ICQ.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= "c:\\Programme\\TeamViewer\\Version4\\TeamViewer.exe"= R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\drivers\xfilt.sys [06.06.2007 12:00 11264] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [28.07.2009 11:14 108289] R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [21.02.2009 01:18 55152] R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [02.11.2008 22:50 222456] R3 S3GIGP;S3GIGP;c:\windows\system32\drivers\S3gIGPm.sys [06.06.2007 11:57 659456] S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [06.06.2007 13:17 1527900] S3 fsssvc;Windows Live Family Safety;c:\programme\Windows Live\Family Safety\fsssvc.exe [06.02.2009 19:08 533360] S3 FXDrv32;FXDrv32;\??\d:\fxdrv32.sys --> d:\FXDrv32.sys [?] S3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [27.10.2008 10:04 7808] . Inhalt des "geplante Tasks" Ordners 2009-08-21 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ IE: Easy-WebPrint Drucken - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html IE: Easy-WebPrint Schnelldruck - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html IE: Easy-WebPrint Vorschau - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html IE: Easy-WebPrint Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab FF - ProfilePath - c:\dokumente und einstellungen\chistin\Anwendungsdaten\Mozilla\Firefox\Profiles\rks5npmo.default\ FF - prefs.js: browser.search.defaulturl - hxxp://search.babylon.com/web/{searchTerms}?babsrc=browsersearch FF - prefs.js: browser.search.selectedEngine - Search the web FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q= FF - component: c:\programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-08-23 23:33 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation] "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32] @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}] @Denied: (A 2) (Everyone) @="IFlashBroker3" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . Zeit der Fertigstellung: 2009-08-23 23:35 ComboFix-quarantined-files.txt 2009-08-23 21:35 ComboFix2.txt 2009-08-23 21:20 Vor Suchlauf: 14 Verzeichnis(se), 67.764.813.824 Bytes frei Nach Suchlauf: 14 Verzeichnis(se), 67.752.087.552 Bytes frei 182 --- E O F --- 2009-08-16 17:42 |
|
|
||
24.08.2009, 00:06
Member
Themenstarter Beiträge: 60 |
#19
So,
und hier nun der Onlinescan Gruß Chris BitDefender Online Scanner Bericht erstellt am: Mon, Aug 24, 2009 - 00:01:07 Zu prüfender Pfad: C:\Dokumente und Einstellungen\chistin\Eigene Dateien;C:\Dokumente und Einstellungen\chistin\Desktop\bbp;C:\Dokumente und Einstellungen\chistin\Desktop\fahrräder;C:\Dokumente und Einstellungen\chistin\Desktop\figurcoach;C:\Dokumente und Einstellungen\chistin\Desktop\Oma;C:\Dokumente und Einstellungen\chistin\Desktop\Reperaturservice;C:\Dokumente und Einstellungen\chistin\Desktop\reperaturservice2;C:\Dokumente und Einstellungen\chistin\Desktop\skulptur;C:\Dokumente und Einstellungen\chistin\Desktop\verschiedenes; Statistik Zeit 00:00:17 Dateien 692 Ordner 268 Boot-Sektoren 0 Archive 8 Komprimierte Dateien 26 Ergebnisse Erkannte Viren 0 Infizierte Dateien 0 verdächtige Dateien 0 Warnungen 0 Desinfiziert 0 Gelöscht 0 Engine-Info Virensignaturen 3912265 Engine info AVCORE v2.1 Windows/i386 11.0.0.26 (Jul 24 2009) Prüf-Plugins 17 Archiv-Plugins 45 Extraktions-Plugins 7 E-Mail-Plugins 6 System-Plugins 4 Prüfeinstellungen Primäre Aktion Desinfizieren Sekundäre Aktion Lschen Heuristik Ja Warnungen aktivieren Ja Zu prüfende Erweiterungen exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas; Auszuschließende Erweiterungen E-Mails prüfen Ja Archive prüfen Ja Komprimierte Dateien prüfen Ja Dateien prüfen Ja Boot-Sektoren prüfen Ja Geprüfte Dateien Status Keine Viren gefunden |
|
|
||
24.08.2009, 15:05
Moderator
Beiträge: 5694 |
#20
>>
Combofix entfernen: Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" (oder, wenn es nicht funktioniert: C:\QooBox löschen) >> Lade Dir Registry Search by Bobbi Flekman und doppelklicken, um zu starten. in das Feld: "Enter search strings" (reinschreiben oder reinkopieren) XDrv32 in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. >> Arbeite datfindbat ab - poste von jedem log nur die Daten der letzten drei Monate: http://www.virus-protect.org/datfindbat.html Gruss Swiss [/u] |
|
|
||
24.08.2009, 15:46
Member
Themenstarter Beiträge: 60 |
#21
Hallo,
hatte zunächst versehentlich den Registry Cleaner (Registry Mechanic) runtergeladen. Dabei wurden 385 Probleme gefunden. Ca. 30 davon mit geringer Priorität und der Rest mit hoher Priorität. Sind die bereits im Registry Search 2.0 by Bobbi Flekman dabei? Oder müssen die Fehler extra behoben werden? Hier die beiden Logdateien. Gruß Chris Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.6.0 ; Results at 24.08.2009 15:29:02 for strings: ; 'xdrv32' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FXDRV32] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FXDRV32\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FXDRV32\0000] "Service"="FXDrv32" "DeviceDesc"="FXDrv32" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FXDRV32\0000\LogConf] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FXDRV32\0000\Control] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FXDrv32] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FXDrv32] ; Contents of value: ; \??\D:\FXDrv32.sys "ImagePath"=hex(2):5c,00,3f,00,3f,00,5c,00,44,00,3a,00,5c,00,46,00,58,00,44,00,\ 72,00,76,00,33,00,32,00,2e,00,73,00,79,00,73,00,00,00 "DisplayName"="FXDrv32" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FXDrv32\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FXDrv32\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FXDrv32\Enum] "0"="Root\\LEGACY_FXDRV32\\0000" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_FXDRV32] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_FXDRV32\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_FXDRV32\0000] "Service"="FXDrv32" "DeviceDesc"="FXDrv32" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_FXDRV32\0000\LogConf] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\FXDrv32] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\FXDrv32] ; Contents of value: ; \??\D:\FXDrv32.sys "ImagePath"=hex(2):5c,00,3f,00,3f,00,5c,00,44,00,3a,00,5c,00,46,00,58,00,44,00,\ 72,00,76,00,33,00,32,00,2e,00,73,00,79,00,73,00,00,00 "DisplayName"="FXDrv32" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\FXDrv32\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FXDRV32] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FXDRV32\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FXDRV32\0000] "Service"="FXDrv32" "DeviceDesc"="FXDrv32" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FXDRV32\0000\LogConf] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FXDRV32\0000\Control] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FXDrv32] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FXDrv32] ; Contents of value: ; \??\D:\FXDrv32.sys "ImagePath"=hex(2):5c,00,3f,00,3f,00,5c,00,44,00,3a,00,5c,00,46,00,58,00,44,00,\ 72,00,76,00,33,00,32,00,2e,00,73,00,79,00,73,00,00,00 "DisplayName"="FXDrv32" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FXDrv32\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FXDrv32\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FXDrv32\Enum] "0"="Root\\LEGACY_FXDRV32\\0000" [HKEY_USERS\S-1-5-21-963918322-1417818515-3399203189-1006\Software\Microsoft\Search Assistant\ACMru\5603] "000"="FXDrv32.sys" [HKEY_USERS\S-1-5-21-963918322-1417818515-3399203189-1006\Software\Microsoft\Search Assistant\ACMru\5604] "000"="FXDrv32.sys" ; End Of The Log... 0 Verzeichnis(se), 68.021.501.952 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: A096-2F77 Verzeichnis von C:\WINDOWS\system32 24.08.2009 12:01 1.396 wpa.dbl 16.08.2009 18:10 305.216 FNTCACHE.DAT 15.08.2009 14:34 436.586 perfh009.dat 15.08.2009 14:34 69.982 perfc009.dat 15.08.2009 14:34 83.078 perfc007.dat 15.08.2009 14:34 454.206 perfh007.dat 15.08.2009 14:34 1.012.494 PerfStringBackup.INI 05.08.2009 10:59 206.336 mswebdvd.dll 30.07.2009 02:49 24.281.536 MRT.exe 19.07.2009 15:25 3.597.824 mshtml.dll 19.07.2009 15:25 6.067.200 ieframe.dll 17.07.2009 21:01 58.880 atl.dll 13.07.2009 10:08 286.720 wmpdxm.dll 13.07.2009 10:08 5.537.792 wmp.dll 29.06.2009 17:55 1.159.680 urlmon.dll 29.06.2009 17:55 827.392 wininet.dll 29.06.2009 17:55 233.472 webcheck.dll 29.06.2009 17:55 671.232 mstime.dll 29.06.2009 17:55 44.544 pngfilt.dll 29.06.2009 17:55 105.984 url.dll 29.06.2009 17:55 477.696 mshtmled.dll 29.06.2009 17:55 193.024 msrating.dll 29.06.2009 17:55 102.912 occache.dll 29.06.2009 17:55 52.224 msfeedsbs.dll 29.06.2009 17:55 459.264 msfeeds.dll 29.06.2009 17:55 27.648 jsproxy.dll 29.06.2009 17:55 1.830.912 inetcpl.cpl 29.06.2009 17:55 268.288 iertutil.dll 29.06.2009 17:55 44.544 iernonce.dll 29.06.2009 17:55 385.024 iedkcs32.dll 29.06.2009 17:55 78.336 ieencode.dll 29.06.2009 17:55 380.928 ieapfltr.dll 29.06.2009 17:55 63.488 icardie.dll 29.06.2009 17:55 347.136 dxtmsft.dll 29.06.2009 17:55 153.088 ieakeng.dll 29.06.2009 17:55 133.120 extmgr.dll 29.06.2009 17:55 17.408 corpol.dll 29.06.2009 17:55 124.928 advpack.dll 29.06.2009 17:55 230.400 ieaksie.dll 29.06.2009 17:55 214.528 dxtrans.dll 29.06.2009 13:07 389.120 html.iec 29.06.2009 13:07 13.824 ieudinit.exe 29.06.2009 13:07 70.656 ie4uinit.exe 29.06.2009 10:33 2.452.872 ieapfltr.dat 29.06.2009 10:33 161.792 ieakui.dll 16.06.2009 16:36 81.920 fontsub.dll 16.06.2009 16:36 119.808 t2embed.dll 15.06.2009 12:43 78.848 telnet.exe 10.06.2009 16:13 85.504 avifil32.dll 10.06.2009 09:19 2.066.432 mstscax.dll 10.06.2009 08:14 132.096 wkssvc.dll 03.06.2009 21:09 1.296.896 quartz.dll Dieser Beitrag wurde am 24.08.2009 um 16:00 Uhr von chris. editiert.
|
|
|
||
24.08.2009, 19:28
Moderator
Beiträge: 5694 |
#22
Hallo
Du hast nicht alle Verzeichnisse gepostet: http://www.virus-protect.org/datfindbat.html Zitat Directory of c:\Gruss Swiss |
|
|
||
25.08.2009, 16:09
Member
Themenstarter Beiträge: 60 |
#23
Hallo,
ich verstehe nicht was ich jetzt unternehmen soll! Kannst Du es bitte nochmal für "Dummies" erklären. Bevor ich eine falsche Aktion durchführe frag ich lieber nach. Gruß chris |
|
|
||
25.08.2009, 17:30
Moderator
Beiträge: 5694 |
#24
Wenn Du diese bat Datei ausführst kommen doch mehrere Verzeichnisse:
http://www.virus-protect.org/datfindbat.html Da von jedem die letzten 3 Monate abkopieren. Gruss Swiss |
|
|
||
25.08.2009, 17:57
Member
Themenstarter Beiträge: 60 |
#25
Hallo,
Danke. Alles klar, habe nicht richtig geschaut. So und nun nochmal richtig. Gruß Chris Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: A096-2F77 Verzeichnis von c:\ 25.08.2009 17:49 0 dirdat.txt 25.08.2009 10:18 401.068.032 hiberfil.sys 25.08.2009 10:18 603.979.776 pagefile.sys 23.08.2009 23:35 13.707 ComboFix.txt 23.08.2009 23:10 281 boot.ini 23.08.2009 22:50 1.830 avenger.txt 29.05.2009 17:31 251.712 ntldr 22.11.2008 15:05 305 fpRedmon.log 13.07.2007 20:20 211 Boot.bak 11.06.2007 10:22 492.602 vcredist_x86.log 06.06.2007 13:10 853 IPH.PH 06.06.2007 11:19 0 IO.SYS 06.06.2007 11:19 0 MSDOS.SYS 06.06.2007 11:19 0 AUTOEXEC.BAT 06.06.2007 11:19 0 CONFIG.SYS 28.02.2006 14:00 4.952 bootfont.bin 28.02.2006 14:00 47.564 NTDETECT.COM 03.08.2004 23:00 262.448 cmldr 18 Datei(en) 1.006.124.273 Bytes 0 Verzeichnis(se), 67.979.964.416 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: A096-2F77 Verzeichnis von C:\WINDOWS\system32 25.08.2009 10:19 1.396 wpa.dbl 16.08.2009 18:10 305.216 FNTCACHE.DAT 15.08.2009 14:34 436.586 perfh009.dat 15.08.2009 14:34 69.982 perfc009.dat 15.08.2009 14:34 83.078 perfc007.dat 15.08.2009 14:34 454.206 perfh007.dat 15.08.2009 14:34 1.012.494 PerfStringBackup.INI 05.08.2009 10:59 206.336 mswebdvd.dll 30.07.2009 02:49 24.281.536 MRT.exe 19.07.2009 15:25 3.597.824 mshtml.dll 19.07.2009 15:25 6.067.200 ieframe.dll 17.07.2009 21:01 58.880 atl.dll 13.07.2009 10:08 286.720 wmpdxm.dll 13.07.2009 10:08 5.537.792 wmp.dll 29.06.2009 17:55 1.159.680 urlmon.dll 29.06.2009 17:55 827.392 wininet.dll 29.06.2009 17:55 233.472 webcheck.dll 29.06.2009 17:55 671.232 mstime.dll 29.06.2009 17:55 44.544 pngfilt.dll 29.06.2009 17:55 105.984 url.dll 29.06.2009 17:55 477.696 mshtmled.dll 29.06.2009 17:55 193.024 msrating.dll 29.06.2009 17:55 102.912 occache.dll 29.06.2009 17:55 52.224 msfeedsbs.dll 29.06.2009 17:55 459.264 msfeeds.dll 29.06.2009 17:55 27.648 jsproxy.dll 29.06.2009 17:55 1.830.912 inetcpl.cpl 29.06.2009 17:55 268.288 iertutil.dll 29.06.2009 17:55 44.544 iernonce.dll 29.06.2009 17:55 385.024 iedkcs32.dll 29.06.2009 17:55 78.336 ieencode.dll 29.06.2009 17:55 380.928 ieapfltr.dll 29.06.2009 17:55 63.488 icardie.dll 29.06.2009 17:55 347.136 dxtmsft.dll 29.06.2009 17:55 153.088 ieakeng.dll 29.06.2009 17:55 133.120 extmgr.dll 29.06.2009 17:55 17.408 corpol.dll 29.06.2009 17:55 124.928 advpack.dll 29.06.2009 17:55 230.400 ieaksie.dll 29.06.2009 17:55 214.528 dxtrans.dll 29.06.2009 13:07 389.120 html.iec 29.06.2009 13:07 13.824 ieudinit.exe 29.06.2009 13:07 70.656 ie4uinit.exe 29.06.2009 10:33 2.452.872 ieapfltr.dat 29.06.2009 10:33 161.792 ieakui.dll 16.06.2009 16:36 81.920 fontsub.dll 16.06.2009 16:36 119.808 t2embed.dll 15.06.2009 12:43 78.848 telnet.exe 10.06.2009 16:13 85.504 avifil32.dll 10.06.2009 09:19 2.066.432 mstscax.dll 10.06.2009 08:14 132.096 wkssvc.dll 03.06.2009 21:09 1.296.896 quartz.dll Verzeichnis von C:\WINDOWS 25.08.2009 17:02 1.853.098 WindowsUpdate.log 25.08.2009 10:18 159 wiadebug.log 25.08.2009 10:18 50 wiaservc.log 25.08.2009 10:18 2.048 bootstat.dat 25.08.2009 02:31 32.622 SchedLgU.Txt 23.08.2009 23:33 260 system.ini 15.08.2009 14:22 10 popcinfo.dat 31.05.2009 20:21 1.088 win.ini 29.05.2009 17:48 316.640 WMSysPr9.prx Verzeichnis von C:\DOKUME~1\chistin\LOKALE~1\Temp 25.08.2009 17:48 0 etilqs_UutbXkOf7PIRRqLskzO2 25.08.2009 16:55 16.384 ~DFF8CF.tmp 24.08.2009 15:45 43.865 Setup Log 2009-08-24 #002.txt 24.08.2009 15:19 43.684 Setup Log 2009-08-24 #001.txt 4 Datei(en) 103.933 Bytes 0 Verzeichnis(se), 67.979.857.920 Bytes frei |
|
|
||
25.08.2009, 18:38
Moderator
Beiträge: 5694 |
||
|
||
25.08.2009, 18:58
Member
Themenstarter Beiträge: 60 |
#27
Danke, der Rechner ist schon einwenig schneller ansonsten alles soweit ok.
Habe aber doch noch ne Frage. Wenn ich CCleaner ausführe lässt sich die Datei Werkzeuge - AntiVir Desktop nicht entfernen sowie der Registry Schlüssel: Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} nicht löschen. Wie kann ich das beides entfernen? Gruß Chris |
|
|
||
25.08.2009, 23:17
Moderator
Beiträge: 5694 |
#28
Mach Dir keine Sorgen deswegen:
http://forum.avira.com/wbb/index.php?page=Thread&threadID=87283 Gruss Swiss |
|
|
||
26.08.2009, 00:06
Member
Themenstarter Beiträge: 60 |
#29
Hallo,
danke, das beruhigt mich! Muss noch irgendwas erledigt werden oder wars das und bin vorerst befreut von diesem Zeug? Gruß Chris Dieser Beitrag wurde am 26.08.2009 um 00:13 Uhr von chris. editiert.
|
|
|
||
26.08.2009, 00:56
Moderator
Beiträge: 5694 |
#30
>>
Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere in das weisse Feld: Zitat Drivers to disable:- schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten) - Klicke: Execute - bestätige, dass der Rechner neu gestartet wird - klicke "yes" - nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen >> loesche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb >> Nun scanne nochmals mit Malwarebytes (vorher updaten) und poste das neue Log: http://virus-protect.org/artikel/tools/malwarebytes.html Gruss Swiss |
|
|
||
hier nun die Logdatei mit angeschlossenem USB Stick.
Gruß Chris
Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2682
Windows 5.1.2600 Service Pack 3
23.08.2009 11:45:13
mbam-log-2009-08-23 (11-45-13).txt
Scan-Methode: Vollständiger Scan (C:\|E:\|)
Durchsuchte Objekte: 147784
Laufzeit: 39 minute(s), 3 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\WINDOWS\PI.EXE (Trojan.Agent) -> Quarantined and deleted successfully.