Windows sentury center alert

#0
30.12.2009, 15:10
...neu hier

Beiträge: 6
#1 hallo ich hoffe ihr könnt mir helfen ich habe ein problem undzwar hab ich den virus irgenwie eingefangen =/ (ist ein fake das ganze zeit sagt ich hab da ein virus und will mir so ein produkt andrehen -.-) undzwar hatte jemand auch das problem hier ich hab es durchgelesen und habe versucht das gleiche zu machen durch HIjack hab ich es ZUM TEIL weg bekommen das virus spuckt keine werbung mehr aus, jedoch funken alle meine ANTI VIR sachen immer noch nicht =/ hier mein HIJACK log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:39:41, on 30.12.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Lexmark 2500 Series\lxddmon.exe
C:\Programme\Lexmark 2500 Series\lxddamon.exe
C:\WINDOWS\FixCamera.exe
C:\WINDOWS\tsnpstd3.exe
C:\WINDOWS\vsnpstd3.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\lxddcoms.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Java\jre6\bin\jucheck.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.winfuture.de/
O2 - BHO: Lexmark Symbolleiste - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Programme\Lexmark Toolbar\toolband.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Lexmark Symbolleiste - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Programme\Lexmark Toolbar\toolband.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [lxddmon.exe] "C:\Programme\Lexmark 2500 Series\lxddmon.exe"
O4 - HKLM\..\Run: [lxddamon] "C:\Programme\Lexmark 2500 Series\lxddamon.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe
O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam0\Steam.exe" -silent
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [Fonts] C:\WINDOWS\explorer.exe /root,C:\WINDOWS\fonts (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [Fonts] C:\WINDOWS\explorer.exe /root,C:\WINDOWS\fonts (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Fonts] C:\WINDOWS\explorer.exe /root,C:\WINDOWS\fonts (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Fonts] C:\WINDOWS\explorer.exe /root,C:\WINDOWS\fonts (User 'Default user')
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{E4D79866-FC09-4C1C-A213-F5E1CEF2EE07}: NameServer = 195.50.140.178,195.50.140.114
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: lxddCATSCustConnectService - Lexmark International, Inc. - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxddserv.exe
O23 - Service: lxdd_device - - C:\WINDOWS\system32\lxddcoms.exe

--
End of file - 7875 bytes


dann noch das mit der DATFINDBAT datei der log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04DE-84E1

Verzeichnis von c:\

30.12.2009 15:00 0 dirdat.txt
30.12.2009 11:33 1.610.612.736 pagefile.sys
24.12.2009 19:45 1.262.829 PPMenuUpdateUS.exe
24.12.2009 19:39 1.924.200 install_flash_player.exe
24.12.2009 19:28 50 AUTOEXEC.BAT
04.07.2009 09:53 268 sqmdata11.sqm
04.07.2009 09:53 244 sqmnoopt11.sqm
19.06.2009 16:25 268 sqmdata10.sqm
19.06.2009 16:25 244 sqmnoopt10.sqm
18.06.2009 21:50 268 sqmdata09.sqm
18.06.2009 21:50 244 sqmnoopt09.sqm
17.06.2009 21:54 268 sqmdata08.sqm
17.06.2009 21:54 244 sqmnoopt08.sqm
16.06.2009 20:25 268 sqmdata07.sqm
16.06.2009 20:25 244 sqmnoopt07.sqm
15.06.2009 20:48 268 sqmdata06.sqm
15.06.2009 20:48 244 sqmnoopt06.sqm
14.06.2009 21:04 268 sqmdata05.sqm
14.06.2009 21:04 244 sqmnoopt05.sqm
13.06.2009 21:42 268 sqmdata04.sqm
13.06.2009 21:42 244 sqmnoopt04.sqm
13.06.2009 16:27 268 sqmdata03.sqm
13.06.2009 16:27 244 sqmnoopt03.sqm
13.06.2009 13:14 268 sqmdata02.sqm
13.06.2009 13:14 244 sqmnoopt02.sqm
29.05.2009 16:23 268 sqmdata01.sqm
29.05.2009 16:23 244 sqmnoopt01.sqm
28.05.2009 20:28 268 sqmdata00.sqm
28.05.2009 20:28 244 sqmnoopt00.sqm
27.05.2009 20:23 268 sqmdata19.sqm
27.05.2009 20:23 244 sqmnoopt19.sqm
27.05.2009 05:50 268 sqmdata18.sqm
27.05.2009 05:50 244 sqmnoopt18.sqm
26.05.2009 21:17 268 sqmdata17.sqm
26.05.2009 21:17 244 sqmnoopt17.sqm
26.05.2009 05:34 268 sqmdata16.sqm
26.05.2009 05:34 244 sqmnoopt16.sqm
25.05.2009 19:56 268 sqmdata15.sqm
25.05.2009 19:56 244 sqmnoopt15.sqm
24.05.2009 09:33 268 sqmdata14.sqm
24.05.2009 09:33 244 sqmnoopt14.sqm
23.05.2009 09:25 268 sqmdata13.sqm
23.05.2009 09:25 244 sqmnoopt13.sqm

59 Datei(en) 1.616.291.377 Bytes
0 Verzeichnis(se), 10.989.789.184 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04DE-84E1

Verzeichnis von C:\WINDOWS\system32

30.12.2009 11:33 199 srcr.dat
30.12.2009 11:33 60.452 ativvaxx.cap
30.12.2009 01:43 668 krl32mainweq.dll
29.12.2009 22:23 3.002 CONFIG.NT
28.12.2009 14:28 2.206 wpa.dbl
25.12.2009 13:22 2.324.672 FNTCACHE.DAT
06.12.2009 10:41 430.632 perfh009.dat
06.12.2009 10:41 67.356 perfc009.dat
06.12.2009 10:41 446.610 perfh007.dat
06.12.2009 10:41 79.568 perfc007.dat
06.12.2009 10:41 1.037.592 PerfStringBackup.INI
25.11.2009 00:54 1.280.480 aswBoot.exe
25.11.2009 00:47 97.480 AvastSS.scr
18.10.2009 10:26 4.159 adamake.bat
15.09.2009 20:07 39 asdjfhla.txt
12.09.2009 11:23 2.736 dossec.tlb
03.09.2009 22:26 9 dossec.cfg
22.08.2009 20:27 149.280 javaws.exe
22.08.2009 20:27 145.184 javaw.exe
22.08.2009 20:27 73.728 javacpl.cpl
22.08.2009 20:27 145.184 java.exe
22.08.2009 20:27 411.368 deploytk.dll
22.08.2009 20:19 4.865 jupdate-1.6.0_15-b03.log

2174 Datei(en) 481.046.757 Bytes
0 Verzeichnis(se), 10.989.662.208 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04DE-84E1

Verzeichnis von C:\WINDOWS

30.12.2009 14:37 1.058.636 WindowsUpdate.log
30.12.2009 14:28 44.315 setupapi.log
30.12.2009 12:19 32 HCWBTDLG.INI
30.12.2009 12:19 596 HCWPNP.INI
30.12.2009 11:34 0 0.log
30.12.2009 11:34 159 wiadebug.log
30.12.2009 11:34 50 wiaservc.log
30.12.2009 11:33 2.048 bootstat.dat
30.12.2009 02:44 32.630 SchedLgU.Txt
22.12.2009 20:06 99 WirelessFTP.INI
27.11.2009 19:15 3 dxva_sig.txt
09.11.2009 16:30 63 WINHELP.BMK
09.11.2009 16:30 974 win.ini
09.11.2009 15:46 287 FA123.INI
17.10.2009 10:46 265 game.ini
30.08.2009 10:03 878 vampire.ini
13.06.2009 13:14 0 tosOBEX.INI

81 Datei(en) 8.767.410 Bytes
0 Verzeichnis(se), 10.989.678.592 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04DE-84E1

Verzeichnis von C:\DOKUME~1\Name\LOKALE~1\Temp

30.12.2009 14:59 0 etilqs_ZwvDixNepziThf8yxK1T
30.12.2009 14:46 17 stadistic.log
30.12.2009 14:36 16.384 Perflib_Perfdata_680.dat
30.12.2009 14:30 51.683 PSSysChk.log
30.12.2009 14:16 11.540 test.reg
30.12.2009 11:39 489.228 jusched.log
30.12.2009 11:39 8.966 au-descriptor-1.6.0_17-b80.xml
30.12.2009 02:24 136 dv.dat
30.12.2009 02:24 128 av.dat
30.12.2009 02:24 455 4otjesjty.mof
30.12.2009 02:23 1.756.088 uac9d6.tmp
30.12.2009 02:23 32.760 uac84f.tmp
30.12.2009 02:23 35.064 uac6e8.tmp
30.12.2009 02:23 4.546.960 uacb398.tmp
30.12.2009 02:23 15.086 2.ico
30.12.2009 02:23 15.086 1.ico
30.12.2009 02:23 15.086 3.ico
30.12.2009 02:02 702.288 _iu14D2N.tmp
29.12.2009 23:22 1.756.088 uac7136.tmp
29.12.2009 23:22 32.760 uac701d.tmp
29.12.2009 23:22 35.064 uac6ee4.tmp
29.12.2009 23:21 4.546.960 uac127c.tmp
29.12.2009 23:11 7.029 AbbyyMsiLog.txt
29.12.2009 22:58 1.756.088 uac3a5c.tmp
29.12.2009 22:58 32.760 uac3962.tmp
29.12.2009 22:58 35.064 uac3839.tmp
29.12.2009 22:58 4.546.960 uace9cb.tmp
29.12.2009 22:09 560.128 wscsvc32.exe
29.12.2009 22:09 716.800 settdebugx.exe
29.12.2009 22:08 3.362 jar_cache322108109539271615.tmp
29.12.2009 22:08 55.012 java_install_reg.log
29.12.2009 20:53 11.464 dd_vcredistUI3A09.txt
29.12.2009 20:53 526.436 dd_vcredistMSI3A09.txt
29.12.2009 19:32 0 m0v9F.tmp
29.12.2009 01:50 46.502 amt.log
29.12.2009 01:46 1.592 TWAIN.LOG
29.12.2009 01:46 3 Twain001.Mtx
29.12.2009 01:46 156 Twunk001.MTX
27.12.2009 22:24 3.916.191 ctdGL7Pd.exe.part
27.12.2009 11:15 1.847 PortalApp.xml
26.12.2009 16:51 157.197 afl.log
26.12.2009 16:50 136 adb289.tmp
26.12.2009 14:26 10.945 swtag.log
26.12.2009 13:57 23.084 alm.log
26.12.2009 02:30 3.452 csxs-PHXS.log
26.12.2009 01:53 2.249.611 QLWIkVxL.eps.part
25.12.2009 23:45 2.677.728 1OyFfYGE.abr.part
25.12.2009 17:37 12.818 control.xml
24.12.2009 20:44 49.476 application.sif
24.12.2009 20:29 136 adb5F.tmp
24.12.2009 19:35 555 dw.log
24.12.2009 19:27 376 MSI85c48.LOG
24.12.2009 19:26 376 MSI786f7.LOG
21.12.2009 18:39 1.405.984 9C94pgG_.exe.part
01.12.2009 21:34 10.253 SetupExe(20091201213436604).log
09.11.2009 15:57 4.194.304 _TempFls.g1s
09.11.2009 15:52 4.194.304 _DropFls.g1s
09.11.2009 15:52 4.194.304 _CLIPFls.g1s
06.11.2009 21:26 7.849.984 dhv4A0.tmp
06.11.2009 21:24 474.112 y0n49F.tmp
04.11.2009 18:23 106.528 mx 1.07 ykleyici.rar
04.11.2009 18:22 4.821 Yumatu Mx Key.rar
04.11.2009 18:15 1.170.300 yumatu_5105_xbox_emu_2.4.58_all.rar
03.11.2009 19:21 5.881 ST51XX_2M_Flase_Key_2009.10.31_18.08-2.rar
03.11.2009 18:06 5.881 ST51XX_2M_Flase_Key_2009.10.31_18.08-1.rar
03.11.2009 17:50 5.881 ST51XX_2M_Flase_Key_2009.10.31_18.08.rar
02.11.2009 12:47 512 ~DFB152.tmp
02.11.2009 12:47 131.072 ~DFB117.tmp
02.11.2009 12:46 512 ~DFC543.tmp
02.11.2009 12:46 131.072 ~DFC4D1.tmp
19.10.2009 14:30 4.641 lvfYj3Zv.zip.part
17.10.2009 23:21 72.192 ~e5.0001
17.10.2009 16:24 34 mod1FA.tmp
17.10.2009 16:22 81.920 ~DFD1D2.tmp
10.10.2009 10:21 512 ~DFAC19.tmp
10.10.2009 10:21 98.304 ~DFABEF.tmp
10.10.2009 10:21 512 ~DF9A06.tmp
10.10.2009 10:21 98.304 ~DF99D0.tmp
05.10.2009 19:20 1.817 XIZs+VMr.dlc.part
03.10.2009 14:35 143.464 moz-screenshot.jpg
01.10.2009 14:48 1.056.068 clipboardcache-3
01.10.2009 14:48 1.056.054 clipboardcache-2
30.09.2009 16:45 2.672 KTXGkvO6.dlc.part
23.09.2009 21:18 535.576 NmpZPSZZ.exe.part
23.09.2009 10:39 77.824 swt-gdip-win32-3448.dll
23.09.2009 10:39 335.872 swt-win32-3448.dll
17.09.2009 16:09 12.304 etilqs_7zLtQHOaD3ogp2NmiIIY
16.09.2009 23:33 761 jar_cache5370738719053640747.tmp
12.09.2009 11:24 4.780.760 DWPUpgradeInstaller.exe
08.09.2009 12:51 204.800 drm_dyndata_7380009.dll

312 Datei(en) 207.170.605 Bytes
0 Verzeichnis(se), 10.989.645.824 Bytes frei

die datein anzahl und bytes stimmen nicht überein weil ich nur die von den letzten 3 monaten genommen.

ICH HOFFE IHR KÖNNT MIR HELFEN =(
Dieser Beitrag wurde am 30.12.2009 um 16:11 Uhr von KINGF editiert.
Seitenanfang Seitenende
30.12.2009, 16:33
Member

Beiträge: 3716
#2 http://board.protecus.de/t23188.htm
abarbeiten, logs posten.
Seitenanfang Seitenende
30.12.2009, 21:02
...neu hier

Themenstarter

Beiträge: 6
#3 hatte probleme beim start von Malware musste erst die EXE umbennen das es funktioniert (Virus hat es blockiert glaub ich genau so wie ANTI VIR)

LOG MALWARE

Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3455
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

30.12.2009 18:10:01
mbam-log-2009-12-30 (18-10-01).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 114962
Laufzeit: 5 minute(s), 53 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT (Rootkit.TDSS) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Mustafa\Lokale Einstellungen\Temp\settdebugx.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Mustafa\Lokale Einstellungen\Temp\wscsvc32.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\krl32mainweq.dll (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\c++.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\gcc.exe (Trojan.Agent) -> Quarantined and deleted successfully.


so dann Gmer report hatte rootkit gefunden habs danke der anleitung gelöscht zumindest hoff ich das HIER REPORT:

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2009-12-30 20:53:06
Windows 5.1.2600 Service Pack 2
Running: 8g7132el.exe; Driver: C:\DOKUME~1\Mustafa\LOKALE~1\Temp\ugtdypog.sys


---- System - GMER 1.0.15 ----

SSDT spof.sys ZwEnumerateKey [0xF75A7CA2]
SSDT spof.sys ZwEnumerateValueKey [0xF75A8030]

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 82B8A1F8

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

Device \FileSystem\Fastfat \Fat 82570500

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

---- EOF - GMER 1.0.15 ----

kommt nix rotes mehr

Hijack LOGFILE
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:56:34, on 30.12.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Lexmark 2500 Series\lxddmon.exe
C:\Programme\Lexmark 2500 Series\lxddamon.exe
C:\WINDOWS\FixCamera.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\tsnpstd3.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\vsnpstd3.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\lxddcoms.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Java\jre6\bin\jucheck.exe
C:\Programme\Trend Micro\HijackThis\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.winfuture.de/
O2 - BHO: Lexmark Symbolleiste - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Programme\Lexmark Toolbar\toolband.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Lexmark Symbolleiste - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Programme\Lexmark Toolbar\toolband.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [lxddmon.exe] "C:\Programme\Lexmark 2500 Series\lxddmon.exe"
O4 - HKLM\..\Run: [lxddamon] "C:\Programme\Lexmark 2500 Series\lxddamon.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe
O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam0\Steam.exe" -silent
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [Fonts] C:\WINDOWS\explorer.exe /root,C:\WINDOWS\fonts (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [Fonts] C:\WINDOWS\explorer.exe /root,C:\WINDOWS\fonts (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Fonts] C:\WINDOWS\explorer.exe /root,C:\WINDOWS\fonts (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Fonts] C:\WINDOWS\explorer.exe /root,C:\WINDOWS\fonts (User 'Default user')
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{E4D79866-FC09-4C1C-A213-F5E1CEF2EE07}: NameServer = 195.50.140.178,195.50.140.114
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: lxddCATSCustConnectService - Lexmark International, Inc. - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxddserv.exe
O23 - Service: lxdd_device - - C:\WINDOWS\system32\lxddcoms.exe

--
End of file - 8093 bytes

Hab mit Gmer so ein Rootkit beseitigt jetzt geht auch ANTIVIR wider, und es hat gleich ein trojaner gefunden und beseitigt, der Rootkit hatte irgenwas mit svchost zu tun hab auf proces killen gemacht musste pc neustarten , und den rootkit dann nochmal beseitigt.

HOFFE DAS NUN ALLES IN ORDNUNG IST bitte um ein check nochmal !!!!

Dieser Beitrag wurde am 30.12.2009 um 21:11 Uhr von KINGF editiert.
Seitenanfang Seitenende
30.12.2009, 22:36
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 ComboFix © (by sUBs)
Download ComboFix © by sUBs und speichert es auf den Desktop!
Waehrend ComboFix runter geladen wird aendere Combofix um in Combo-fix.exe und nicht nachher wenn CF schon auf dein Rechner steht





Note:Wenn wehrend du ComboFix runterlaedst oder anwendet ein Meldung deines Virenscanner kommt oder ein anderen Realtime scanner
Schalte diese scanner dann aus und download ComboFix erneut

Es gibt scanner die bestimmte komponente die durch CF benutzt werden als verdaechtig ansehen und versucht sie zu blokkieren oder zu entfernen

Starte combofix.exe
Note:Vista
Um Combofix unter Vista(32 Bit) nutzen zu koennen muss man es als Administrator starten.
Also rechte Maustaste auf die Combofix.exe und "Als Administrator ausfuehren" waehlen.

Folge den Instruktionen in das Fenster
Wenn ComboFix schon vorher benutzt worden ist kann es sein das du eine Meldung bekommst das es ein Update gibt
Erlaube diesen Update und klicke OK im "NirCmd“ fenster klicke nach ablauf auf "ja“um den Scan zu starten
Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combo-fix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen"
Befolge diese Anleitung
__________
MfG Argus
Seitenanfang Seitenende
31.12.2009, 00:07
...neu hier

Themenstarter

Beiträge: 6
#5 so hab das nun auch mal durchlaufen lassen :

ComboFix 09-12-29.06 - Mustafa 30.12.2009 23:38:20.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.383.2 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Mustafa\Desktop\Combo-Fix.exe
AV: avast! antivirus 4.8.1368 [VPS 091230-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\ICQ6.5\ICQLRun.exe
c:\recycler\S-1-5-21-602162358-630328440-682003330-1003
c:\windows\system32\srcr.dat

.
((((((((((((((((((((((( Dateien erstellt von 2009-11-28 bis 2009-12-30 ))))))))))))))))))))))))))))))
.

2009-12-30 16:55 . 2009-12-03 15:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-30 16:55 . 2009-12-30 16:56 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware2
2009-12-30 16:55 . 2009-12-03 15:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-30 13:28 . 2009-06-30 08:37 28552 ----a-w- c:\windows\system32\drivers\pavboot.sys
2009-12-30 13:27 . 2009-12-30 13:27 -------- d-----w- c:\programme\Panda Security
2009-12-30 01:32 . 2009-12-30 01:32 -------- d-----w- c:\programme\Trend Micro
2009-12-30 01:23 . 2009-12-30 01:23 -------- d-----w- c:\programme\CCleaner
2009-12-29 22:34 . 2009-12-30 00:42 -------- d-----w- c:\windows\SxsCaPendDel
2009-12-29 21:23 . 2009-11-24 23:48 23120 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2009-12-29 21:23 . 2009-11-24 23:49 48560 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2009-12-29 21:23 . 2009-11-24 23:47 27408 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2009-12-29 21:23 . 2009-11-24 23:47 97480 ----a-w- c:\windows\system32\AvastSS.scr
2009-12-29 21:23 . 2009-11-24 23:51 93424 ----a-w- c:\windows\system32\drivers\aswmon.sys
2009-12-29 21:23 . 2009-11-24 23:50 94160 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2009-12-29 21:23 . 2009-11-24 23:50 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys
2009-12-29 21:23 . 2009-11-24 23:50 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2009-12-29 21:23 . 2009-11-24 23:54 1280480 ----a-w- c:\windows\system32\aswBoot.exe
2009-12-29 21:23 . 2003-03-18 20:20 1060864 ----a-w- c:\windows\system32\MFC71.dll
2009-12-29 21:23 . 2009-12-29 21:23 -------- d-----w- c:\programme\Alwil Software
2009-12-29 19:58 . 2009-12-29 19:58 -------- d-----w- c:\dokumente und einstellungen\Mustafa\Anwendungsdaten\runic games
2009-12-29 19:53 . 2009-12-29 19:53 -------- d-----w- c:\programme\Runic Games
2009-12-29 01:12 . 2009-12-29 01:12 -------- d-----w- c:\programme\Lavalys
2009-12-29 00:24 . 2009-12-30 21:27 -------- d-----w- c:\programme\Steam0
2009-12-26 23:24 . 2009-12-26 23:24 -------- d-----w- c:\programme\Adobe Design Premium CS3
2009-12-25 16:40 . 2009-12-25 16:40 -------- d-----w- c:\dokumente und einstellungen\Mustafa\Lokale Einstellungen\Anwendungsdaten\WMTools Downloaded Files
2009-12-24 20:03 . 2009-12-24 20:03 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet
2009-12-24 19:51 . 2009-12-24 19:51 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe AIR
2009-12-24 18:45 . 2009-12-24 18:45 1262829 ----a-w- C:\PPMenuUpdateUS.exe
2009-12-24 18:39 . 2009-12-24 18:39 1924200 ----a-w- C:\install_flash_player.exe
2009-12-24 18:35 . 2004-08-03 21:58 5376 ----a-w- c:\windows\system32\MSPCLOCK.sys
2009-12-24 18:27 . 2002-10-15 21:41 102220 ----a-w- c:\windows\system32\drivers\sonypvs1.sys
2009-12-24 18:27 . 2001-11-05 08:23 299923 ----a-w- c:\windows\system32\drivers\sonyhcs.sys
2009-12-24 18:27 . 2001-11-05 08:23 38739 ----a-w- c:\windows\system32\drivers\sonyhcc.sys
2009-12-24 18:27 . 2001-11-05 08:23 6097 ----a-w- c:\windows\system32\drivers\sonyhcb.sys
2009-12-24 18:27 . 2001-07-03 19:39 3654 ----a-w- c:\windows\system32\drivers\Sonyhcp.dll
2009-12-24 18:27 . 2001-07-03 19:33 53248 ----a-w- c:\windows\system32\SONYHCY.DLL
2009-12-24 18:24 . 2004-08-03 22:07 59264 ----a-w- c:\windows\system32\drivers\USBAUDIO.sys
2009-12-22 18:41 . 2009-12-22 18:41 -------- d-----w- c:\programme\Media Converter SA Edition
2009-12-02 20:50 . 2009-12-02 20:50 -------- d-----w- c:\programme\Defraggler

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-30 22:47 . 2008-12-04 15:50 -------- d-----w- c:\programme\ICQ6.5
2009-12-29 22:08 . 2008-12-04 01:12 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-12-26 15:46 . 2008-12-09 17:05 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2009-12-24 21:10 . 2009-01-14 18:33 -------- d-----w- c:\programme\OpenOffice.org 3
2009-12-24 20:03 . 2008-12-04 10:15 155984 ----a-w- c:\dokumente und einstellungen\Mustafa\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-12-24 18:26 . 2009-12-24 18:26 -------- d-----w- c:\programme\Sony Corporation
2009-12-24 18:26 . 2009-12-24 18:26 -------- d-----w- c:\programme\Gemeinsame Dateien\muvee Technologies
2009-12-17 17:33 . 2008-12-04 10:16 -------- d-----w- c:\programme\lx_cats
2009-12-06 09:41 . 2001-08-18 13:00 79568 ----a-w- c:\windows\system32\perfc007.dat
2009-12-06 09:41 . 2001-08-18 13:00 446610 ----a-w- c:\windows\system32\perfh007.dat
2009-11-30 20:50 . 2008-12-04 16:22 -------- d-----w- c:\dokumente und einstellungen\Mustafa\Anwendungsdaten\Lexmark Productivity Studio
2009-11-09 14:50 . 2009-11-09 14:50 -------- d-----w- c:\programme\CASIO
2009-11-09 14:49 . 2009-11-09 14:50 40672 ----a-w- c:\windows\system32\drivers\CESG502.SYS
2009-11-07 00:02 . 2008-12-09 16:12 -------- d-----w- c:\dokumente und einstellungen\Mustafa\Anwendungsdaten\Skype
2009-11-06 23:08 . 2008-12-09 16:15 -------- d-----w- c:\dokumente und einstellungen\Mustafa\Anwendungsdaten\skypePM
2009-11-06 20:24 . 2009-11-06 20:24 -------- d-----w- c:\programme\Gemeinsame Dateien\Windows Live
2009-11-06 20:14 . 2009-11-06 20:14 827368 ----a-w- c:\dokumente und einstellungen\Mustafa\Anwendungsdaten\MSNInstaller\msnauins.exe
2009-11-06 20:14 . 2009-11-06 20:14 -------- d-----w- c:\dokumente und einstellungen\Mustafa\Anwendungsdaten\MSNInstaller
2009-10-18 10:24 . 2009-10-18 10:24 651776 ----a-r- c:\dokumente und einstellungen\Mustafa\Anwendungsdaten\Microsoft\Installer\{1B4F9EEE-5C91-47BD-BD8D-BCD3E7355C19}\SciTE.exe
2009-10-18 09:26 . 2009-10-19 19:09 4159 ----a-w- c:\windows\system32\adamake.bat
2009-10-17 12:26 . 2004-07-17 11:36 163644 ----a-w- c:\windows\system32\drivers\secdrv.sys
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
.

------- Sigcheck -------

[-] 2007-05-22 . A14FAFD66ADBD55A86F17A37E5EC4263 . 359040 . . [5.1.2600.2180] . . c:\windows\system32\drivers\tcpip.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="c:\programme\Windows Live\Messenger\MsnMsgr.Exe" [2009-07-26 3883840]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2008-08-08 490952]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2004-08-04 1667584]
"Steam"="c:\programme\Steam0\Steam.exe" [2009-12-29 1217808]
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-11-16 172792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"lxddmon.exe"="c:\programme\Lexmark 2500 Series\lxddmon.exe" [2007-06-11 291760]
"lxddamon"="c:\programme\Lexmark 2500 Series\lxddamon.exe" [2007-04-30 20480]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"FixCamera"="c:\windows\FixCamera.exe" [2007-02-10 20480]
"tsnpstd3"="c:\windows\tsnpstd3.exe" [2007-02-07 262144]
"snpstd3"="c:\windows\vsnpstd3.exe" [2006-09-19 827392]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-08-22 149280]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Fonts"="c:\windows\explorer.exe" [2004-08-04 1035264]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Bluetooth Manager.lnk - c:\programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng1.exe [2004-12-21 45056]
Erinnerungen fr Microsoft Works-Kalender.lnk - c:\programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe [1999-8-6 53317]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\WINDOWS\\system32\\lxddcoms.exe"=
"c:\\Programme\\Lexmark 2500 Series\\lxddamon.exe"=
"c:\\Programme\\Lexmark 2500 Series\\app4r.exe"=
"c:\\Programme\\Java\\jre6\\launch4j-tmp\\JDownloader.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxddwbgw.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\SmallNethostGui\\SNG_0.2.1_full\\nethostfs.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxddtime.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxddpswx.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxddjswx.exe"=
"c:\\Programme\\Steam0\\Steam.exe"=
"c:\\Programme\\Steam0\\SteamApps\\xxx\\counter-strike\\hl.exe"=
"c:\\Programme\\Lexmark 2500 Series\\lxddmon.exe"=

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [30.12.2009 14:28 28552]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [29.12.2009 22:23 114768]
R2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [30.07.2008 06:51 277736]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [29.12.2009 22:23 20560]
R2 lxdd_device;lxdd_device;c:\windows\system32\lxddcoms.exe -service --> c:\windows\system32\lxddcoms.exe -service [?]
R3 HCW848NT;Hauppauge Win/TV;c:\windows\system32\drivers\HCW848NT.sys [06.12.2008 23:30 140440]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [08.12.2008 23:42 717296]
S2 lxddCATSCustConnectService;lxddCATSCustConnectService;c:\windows\system32\spool\drivers\w32x86\3\lxddserv.exe [04.12.2008 17:43 99248]
S3 libusb0;LibUsb-Win32 - Kernel Driver 11/20/2005, 20051120;c:\windows\system32\drivers\libusb0.sys [22.03.2009 20:56 29184]
S3 PVUSB;CESG502 USB Driver;c:\windows\system32\drivers\CESG502.SYS [09.11.2009 15:50 40672]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.winfuture.de/
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: {E4D79866-FC09-4C1C-A213-F5E1CEF2EE07} = 195.50.140.178,195.50.140.114
FF - ProfilePath - c:\dokumente und einstellungen\Mustafa\Anwendungsdaten\Mozilla\Firefox\Profiles\3zfzxb4u.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - google.de
FF - plugin: c:\dokumente und einstellungen\Mustafa\Anwendungsdaten\Mozilla\Firefox\Profiles\3zfzxb4u.default\extensions\OberonGameHost@OberonGames.com\platform\WINNT_x86-msvc\plugins\npOberonGameHost.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npyaxmpb.dll

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - true.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-WinampAgent - c:\programme\Winamp\winampa.exe
HKLM-Run-Cmaudio - cmicnfg.cpl
AddRemove-HijackThis - c:\programme\Trend Micro\HijackThis\HijackThis.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-30 23:48
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1491950412-2009852829-4049741679-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"??"=hex:47,4d,a0,81,04,f1,92,57,44,0a,06,8d,c0,03,ea,55,dc,cf,d3,98,3e,40,6c,
00,9c,31,02,85,d2,08,c3,0f,f8,62,99,94,77,c2,3e,7e,ee,bc,41,16,6c,16,7b,52,\
"??"=hex:f0,a4,a1,0b,9f,9a,ee,d4,6e,f2,e1,53,2a,4c,64,56

[HKEY_USERS\S-1-5-21-1491950412-2009852829-4049741679-1003\Software\SecuROM\License information*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"datasecu"=hex:64,65,0c,3a,27,68,82,df,b7,df,7c,66,ce,a7,34,7b,5c,b4,64,1e,7d,
7d,4e,45,96,b2,4f,85,0f,ce,ea,fc,b7,c2,a5,fd,bf,34,9d,f5,49,25,48,50,87,2f,\
"rkeysecu"=hex:2c,94,52,28,a7,97,33,08,b7,91,03,9e,26,f9,ec,bb
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(568)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-12-30 23:50:35
ComboFix-quarantined-files.txt 2009-12-30 22:50

Vor Suchlauf: 13 Verzeichnis(se), 12.636.139.520 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 13.684.289.536 Bytes frei

- - End Of File - - 99CEE00770CEF0356F2F90A7C50523BF

so wie sieht es nun aus ???
Dieser Beitrag wurde am 31.12.2009 um 00:23 Uhr von KINGF editiert.
Seitenanfang Seitenende
31.12.2009, 00:50
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#6 CombiFix entfernen
Start > Ausführen> Kopiere rein combofix /uninstall OK

Systemwiederherstellung
Deaktivierung der Systemwiederherstellung (XP)
http://www.alewelt.eu/Sys.htm

1. Rechtsklick auf Arbeitsplatz/Eigenschaften.
2. Den Reiter Systemwiederherstellung öffnen und "Systemwiederherstellung deaktivieren" markieren, auf "Übernehmen" und "Ok" und die folgende Warnmeldung bestätigen. Neu Starten und Haaken wieder entfernen

Temp File Cleaner
Download TFC.exe by OldTimer zum Desktop
Schliesse alle fenster und doppelklick TFC.exe um das Programm zu starten
Vista benutzer: rechtermausklick auf TFC.exe und waehle "Run as an Administrator"
Lasse Temp File Cleaner seine Arbeit tun
Am Ende wird dein Rechner neu starten,wenn nicht starte manuell neu


Benutze CCleaner

Es werden zwei Virenscanner benutzt eins Zuviel

Entferne via Software DAEMON Tools Toolbar

Update Java und VLC media player
__________
MfG Argus
Seitenanfang Seitenende
31.12.2009, 01:30
...neu hier

Themenstarter

Beiträge: 6
#7 so vielen dank alles gemacht was du gesagt hast ist nun mein pc frei von schädlingen ???
Seitenanfang Seitenende
31.12.2009, 01:42
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#8 Kann nur sagen,halte dein Rechner up-to-date
Behilflich kann dabei sein http://secunia.com/vulnerability_scanning/online/

Behalte auf jeden fall MalwareBytes und Hijack This auf dein Rechner

Denn der naechste Fakescanner ist schon Online

Happy Surfing again
__________
MfG Argus
Seitenanfang Seitenende
31.12.2009, 01:45
...neu hier

Themenstarter

Beiträge: 6
#9 aber in den logfiles ist nicht mehr auffälliges oder ???
was ist der link soll ich auf start scanner ???

VIELEN DANK ^^
Seitenanfang Seitenende
31.12.2009, 02:00
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#10 start scanner klicken
Secunia gehoert zu Kaspersky und es ueberprueft dein Rechner nach fehlende Update
In die Uninstall liste von HijackThis steht z.b Adobe Flash Player 10 ActiveX ich kann aber nicht sehen welche Version
Sucunia ueberprueft solche Daten

Die Version von Adobe Flash Player 10 ActiveX ist übrigens 10.0.42.34 ;)
__________
MfG Argus
Seitenanfang Seitenende
31.12.2009, 02:04
...neu hier

Themenstarter

Beiträge: 6
#11 kay mach ich ^^

nochmals danke meine daten sind nun hoffentlich gerettet =D
Seitenanfang Seitenende
31.12.2009, 12:18
Member

Beiträge: 3716
#12 es währe gut, alle passwörter zu endern.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: