|
Plagegeister aller Art und deren Bekämpfung: Diverse Viren auf meinen System Vundo usw.Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
23.11.2007, 18:43 | #1 |
| Diverse Viren auf meinen System Vundo usw. So dann wollen wir mal Anfang dieser Woche hab ich mir mit dem Klick auf eine .exe Datei viel Ärger eingehandelt bereits Sekunden nach dem Klick begann mein Symantec Firewall etliche emails zo blocken allerdings nicht nach von außen zu mir sondern umgekehrt. Das ganze war mit einer 50% Auslastung der explorer.exe verbunden (ich denke es wären hundert bei einem singlecore). Virenprogramm Symantec Corp. meldete erst mal nichts. Nach einem Neustart begann es dann: Warndreieck neben Der Uhr, Meldungen und Verknüpfungen auf dem desktop von wegen Antispyware blabla das Übliche eben. Daraufhin hat das Symantec auch den ein oder andern Virus gefunden konnte aber keinen entfernen. Also Sytemwiederherstllung aus und ab in den Abgesicherten Modus. dort durchgescannt und er hat einige gefunden und gelöscht. Danch bin ich dann wieder normal ins Windows gestartet die Spyware Meldungen und das Dreieck waren weg alles andere war noch da Auslastung cpu und diese emails. Ich hab daraufhin Symantec deinstalliert und Antivir installiert. Der hat dann im abgesicherten Modus einiges gefunden: TR/Vundo.Gen C:\WINDOWS\system32\sstqn.VIR WORM/SdBot.90112.5 C:\WINDOWS\system32\crehcjid.dll TR/Crypt.PEC2X.Gen C:\Dokumente und Einstellungen\primmy.PRIMMY-6CB053A6\Lokale Einstellungen\Temp\gos182.tmp HEUR/Malware C:\Dokumente und Einstellungen\Primmy\Lokale Einstellungen\Temp\IXP000.TMP\server.exe' TR/Click.MNB C:\Dokumente und Einstellungen\Administrator.PRIMMY-6CB053A6\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NYPHCLQI\poiu[1] TR/Vundo.AU C:\Dokumente und Einstellungen\Administrator.PRIMMY-6CB053A6\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WX4TMBKB\hctp[1 TR/Fotomoto.F.1 C:\Dokumente und Einstellungen\Administrator.PRIMMY-6CB053A6\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EZJ1OYVN\pochki20071106[1] TR/Dldr.Agen.ZV.1.B C:\Dokumente und Einstellungen\Administrator.PRIMMY-6CB053A6\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NYPHCLQI\mosx1024[1]' TR/Dldr.ConHook.Gen C:\WINDOWS\system32\wlswuvwb.dll TR/Vundo.DQO konnte aber nichts löschen. Also habe ich mit Bart PE gebootet und die ganzen virenfiles dort gelöscht daraufhin war alles weg , nur noch HijackThis zeigte mir einige verweise auf ein paar ddls an aber dahinter stand das diese dateien nicht mehr existieren sondern das es nur noch verweise sind ich habe diese probleme also gefixt. So meiner Meinung nach ist alles wieder in Ordnung würde aber gern eure Meinungen hören da ich das Forum echt 1337 finde und außerdem son komisches Bauchgefühl habe was die Sache angeht. Also lass euch gehen und haut mir alles an den Kopf was euch einfällt. Wo könnte man noch was finden usw? Hier noch meine aktueller HijackThis log : Logfile of HijackThis v1.99.1 Scan saved at 18:40:49, on 23.11.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe D:\Avira\AntiVir PersonalEdition Classic\avguard.exe D:\Avira\AntiVir PersonalEdition Classic\sched.exe d:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe C:\WINDOWS\system32\SatSrv.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE D:\Programme\Steganos Privacy Suite 2008\PasswordManagerFFAutoFill.exe C:\Programme\Analog Devices\Core\smax4pnp.exe D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\WINDOWS\system32\taskmgr.exe D:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe D:\Programme\Softwin\BitDefender10\vsserv.exe C:\Dokumente und Einstellungen\Bodo\Desktop\HijackThis.exe R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Steganos Password Manager AutoFill - {1427A821-7B93-4F08-9A34-9FA03A3D93DB} - d:\Programme\Steganos Privacy Suite 2008\PasswordManagerBHO.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" O4 - HKLM\..\Run: [SSS2008 PasswordManagerFFAutoFill] "d:\Programme\Steganos Privacy Suite 2008\PasswordManagerFFAutoFill.exe" O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [avgnt] "D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{B8611C8F-0CC6-4497-8C9E-54EE2C331EA8}: NameServer = 192.168.1.1 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: NavLogon - C:\WINDOWS\ O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing) O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing) O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - d:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe O23 - Service: Steganos AntiTheft - Unknown owner - C:\WINDOWS\system32\\SatSrv.exe O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - D:\Programme\Softwin\BitDefender10\vsserv.exe" /service (file missing) O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing) |
23.11.2007, 20:09 | #2 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Diverse Viren auf meinen System Vundo usw.Zitat:
Worstcase ist Sdbot, da der Backdoorfunktionen hat ist ein Neuaufsetzen angesagt.
__________________ |
23.11.2007, 20:26 | #3 |
| Diverse Viren auf meinen System Vundo usw. Meines wissens nach geht der sdbot doch über den Port 6667 der ist aber auf meinem Router nicht aufgeschaltet was kann ich noch so drüber laufen lassen um zu kontrollieren, War es falsch das Ding zu löschen.
__________________neu Aufsetzen wäre 2 Wochen Arbeit. Das das ganze das Beste wäre ist mir klar aber wie gesagt aus Zeitgründen beinahe nicht möglich. Einfach zuviele Programme drauf die ich wirklich brauche also keien ansammlung von irgendwelchen Müll |
23.11.2007, 20:37 | #4 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Diverse Viren auf meinen System Vundo usw.Zitat:
Ich würd dann erstmal weiteren Analysen vorschlagen, ich bin mir hier nämlich auch nicht sicher, ob es überhaupt der Sdbot war. Führ dazu folgende Tools bzw. Anleitungen aus und poste die Logfiles: - eScanFalls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren: Über ein filelisting mit diesem script:Diese listing.txt z.B. bei fileupload hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.
__________________ Logfiles bitte immer in CODE-Tags posten |
23.11.2007, 20:54 | #5 |
| Diverse Viren auf meinen System Vundo usw. silentrunners log die andern folgen gleich "Silent Runners.vbs", revision 52, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "StartCCC" = ""C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"" [null data] "SSS2008 PasswordManagerFFAutoFill" = ""d:\Programme\Steganos Privacy Suite 2008\PasswordManagerFFAutoFill.exe"" [null data] "SoundMAXPnP" = "C:\Programme\Analog Devices\Core\smax4pnp.exe" ["Analog Devices, Inc."] "avgnt" = ""D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"] "KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {055FD26D-3A88-4e15-963D-DC8493744B1D}\(Default) = "XTTBPos00" -> {HKLM...CLSID} = "XTTBPos00 Class" \InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"] {1427A821-7B93-4F08-9A34-9FA03A3D93DB}\(Default) = (no title provided) -> {HKLM...CLSID} = "Steganos Password Manager AutoFill" \InProcServer32\(Default) = "d:\Programme\Steganos Privacy Suite 2008\PasswordManagerBHO.dll" [null data] {22BF413B-C6D2-4d91-82A9-A0F997BA588C}\(Default) = "Skype add-on (mastermind)" -> {HKLM...CLSID} = "Skype add-on (mastermind)" \InProcServer32\(Default) = "C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll" ["Skype Technologies S.A."] {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided) -> {HKLM...CLSID} = "Spybot-S&D IE Protection" \InProcServer32\(Default) = "D:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "D:\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" = "TuneUp Shredder Shell Extension" -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension" \InProcServer32\(Default) = "D:\Programme\TuneUp Utilities 2007\SDShelEx-win32.dll" ["TuneUp Software GmbH"] "{44440D00-FF19-4AFC-B765-9A0970567D97}" = "TuneUp Theme Extension" -> {HKLM...CLSID} = "TuneUp Theme Extension" \InProcServer32\(Default) = "C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{5E2121EE-0300-11D4-8D3B-444553540000}" = "Catalyst Context Menu extension" -> {HKLM...CLSID} = "SimpleShlExt Class" \InProcServer32\(Default) = "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll" [empty string] "{8BE13461-936F-11D1-A87D-444553540000}" = "Eraser Shell Extension" -> {HKLM...CLSID} = "Eraser Shell Extension" \InProcServer32\(Default) = "d:\PROGRA~1\Eraser\erasext.dll" ["-"] "{FAE0A3E0-3010-41BA-9DDC-A631394F047F}" = "SteganosShellExtension" -> {HKLM...CLSID} = "SteganosShellExtension" \InProcServer32\(Default) = "d:\Programme\Steganos Privacy Suite 2008\ShellExtension.dll" [null data] "{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler" -> {HKLM...CLSID} = "Microsoft Office Outlook" \InProcServer32\(Default) = "D:\PROGRA~1\MICROS~1\OFFICE11\MLSHEXT.DLL" [MS] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler" -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung" \InProcServer32\(Default) = "D:\PROGRA~1\MICROS~1\OFFICE11\OLKFSTUB.DLL" [MS] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "D:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS] HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\ <<!>> "AppInit_DLLs" = "sockspy.dll" [null data] HKLM\System\CurrentControlSet\Control\Session Manager\ <<!>> "BootExecute" = "autocheck autochk *"|"lsdelete" [null data] HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ <<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."] HKLM\Software\Classes\PROTOCOLS\Filter\ <<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ Erasext\(Default) = "{8BE13461-936F-11D1-A87D-444553540000}" -> {HKLM...CLSID} = "Eraser Shell Extension" \InProcServer32\(Default) = "d:\PROGRA~1\Eraser\erasext.dll" ["-"] Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "D:\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension" \InProcServer32\(Default) = "D:\Programme\TuneUp Utilities 2007\SDShelEx-win32.dll" ["TuneUp Software GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension" \InProcServer32\(Default) = "D:\Programme\TuneUp Utilities 2007\SDShelEx-win32.dll" ["TuneUp Software GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ Erasext\(Default) = "{8BE13461-936F-11D1-A87D-444553540000}" -> {HKLM...CLSID} = "Eraser Shell Extension" \InProcServer32\(Default) = "d:\PROGRA~1\Eraser\erasext.dll" ["-"] Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "D:\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\ SteganosShellExtension\(Default) = "{FAE0A3E0-3010-41BA-9DDC-A631394F047F}" -> {HKLM...CLSID} = "SteganosShellExtension" \InProcServer32\(Default) = "d:\Programme\Steganos Privacy Suite 2008\ShellExtension.dll" [null data] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\Bodo\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\system32\logon.scr" [MS] Enabled Scheduled Tasks: ------------------------ "1-Klick-Wartung" -> launches: "D:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{855F3B16-6D32-4FE6-8A56-BBB695989046}" -> {HKLM...CLSID} = "ICQ Toolbar" \InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"] HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{855F3B16-6D32-4FE6-8A56-BBB695989046}" = (no title provided) -> {HKLM...CLSID} = "ICQ Toolbar" \InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"] Explorer Bars HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\ HKLM\Software\Classes\CLSID\{00000000-5736-4205-0009-69923075AC16}\(Default) = "Steganos Private Favoriten" Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar] InProcServer32\(Default) = "d:\programme\steganos privacy suite 2008\privatefavoritesiep.dll" [null data] HKLM\Software\Classes\CLSID\{00000000-5736-4205-0009-C3C68D1BC971}\(Default) = "Steganos Private Favoriten" Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar] InProcServer32\(Default) = "d:\programme\steganos security suite 2007\privatefavoritesiep.dll" [null data] HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren" Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar] InProcServer32\(Default) = "D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL" [MS] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {92780B25-18CC-41C8-B9BE-3C9C571A8263}\ "ButtonText" = "Recherchieren" {E59EB121-F339-4851-A3BA-FE49C35617C2}\ "ButtonText" = "ICQ6" "MenuText" = "ICQ6" "Exec" = "d:\Programme\ICQ6\ICQ.exe" ["ICQ, Inc."] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] Miscellaneous IE Hijack Points ------------------------------ HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\ <<H>> "{855F3B16-6D32-4fe6-8A56-BBB695989046}" = (no title provided) -> {HKLM...CLSID} = "ICQ Toolbar" \InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"] HKLM\Software\Microsoft\Internet Explorer\AboutURLs\ <<H>> "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users.WINDOWS/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found] All Non-Disabled Services (Display Name, Service Name, Path {Service DLL}): --------------------------------------------------------------------------- .NET Runtime Optimization Service v2.0.50727_X86, clr_optimization_v2.0.50727_32, "C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe" [MS] AntiVir PersonalEdition Classic Guard, AntiVirService, ""D:\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"] AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""D:\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"] ASP.NET State Service, aspnet_state, "C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe" [MS] Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."] ATI Smart, ATI Smart, "C:\WINDOWS\system32\ati2sgag.exe" [empty string] BitDefender Communicator, XCOMM, ""C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service" ["SOFTWIN S.R.L"] BitDefender Desktop Update Service, LIVESRV, ""C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service" ["SOFTWIN S.R.L."] BitDefender Scan Server, bdss, ""C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service" [null data] BitDefender Virus Shield, VSSERV, ""D:\Programme\Softwin\BitDefender10\vsserv.exe" /service" ["SOFTWIN S.R.L."] Dienst für Seriennummern der tragbaren Medien, WmdmPmSN, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\system32\mspmsnsv.dll" [MS]} Netzwerkversorgungsdienst, xmlprov, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\xmlprov.dll" [MS]} Office Source Engine, ose, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE"" [MS] StarWind AE Service, StarWindServiceAE, "d:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe" ["Rocket Division Software"] Steganos AntiTheft, Steganos AntiTheft, "C:\WINDOWS\system32\\SatSrv.exe" [null data] TuneUp Designerweiterung, UxTuneUp, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]} Verwaltungsdienst für die Verwaltung logischer Datenträger, dmadmin, "C:\WINDOWS\System32\dmadmin.exe /com" ["Microsoft Corp., Veritas Software"] WMI-Leistungsadapter, WmiApSrv, "C:\WINDOWS\system32\wbem\wmiapsrv.exe" [MS] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS] ---------- (launch time: 2007-11-23 20:51:18) <<!>>: Suspicious data at a malware launch point. <<H>>: Suspicious data at a browser hijack point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer "No" at the first message box and "Yes" at the second message box. ---------- (total run time: 25 seconds, including 9 seconds for message boxes) |
23.11.2007, 21:05 | #6 |
| Diverse Viren auf meinen System Vundo usw. hier das combo fix log : ComboFix 07-11-19.3 - Bodo 2007-11-23 20:55:10.1 - NTFSx86 NETWORK Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1757 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\Bodo\Desktop\ComboFix.exe . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\primmy.PRIMMY-6CB053A6\Favoriten\Online Security Guide.lnk C:\WINDOWS\regedit.com C:\WINDOWS\system32\taskmgr.com . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\LEGACY_DOMAINSERVICE -------\DomainService ((((((((((((((((((((((( Dateien erstellt von 2007-10-23 bis 2007-11-23 )))))))))))))))))))))))))))))) . 2007-11-23 20:42 <DIR> d-a------ C:\WINDOWS\zts2.exe 2007-11-23 20:42 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll 2007-11-23 20:42 <DIR> d-a------ C:\WINDOWS\system32\systems.txt 2007-11-23 20:42 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll 2007-11-23 20:42 <DIR> d-a------ C:\WINDOWS\rundll16.exe 2007-11-23 20:42 <DIR> d-a------ C:\WINDOWS\rundl132.dll 2007-11-23 20:42 <DIR> d-a------ C:\WINDOWS\logo1_.exe 2007-11-23 20:40 153,600 --a------ C:\WINDOWS\R.COM 2007-11-23 20:40 140,800 --a------ C:\WINDOWS\system32\T.COM 2007-11-23 19:11 <DIR> d-------- C:\Dokumente und Einstellungen\Bodo\Anwendungsdaten\ICQ 2007-11-22 23:59 81,984 --a------ C:\WINDOWS\system32\bdod.bin 2007-11-22 23:56 <DIR> d-------- C:\Dokumente und Einstellungen\Bodo\Anwendungsdaten\Bitdefender 2007-11-22 23:56 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\BitDefender 2007-11-22 23:56 0 --a------ C:\WINDOWS\system32\bdss.log 2007-11-22 20:27 <DIR> d-------- C:\Dokumente und Einstellungen\Bodo\Anwendungsdaten\ICQ Toolbar 2007-11-22 20:08 <DIR> d-------- C:\Dokumente und Einstellungen\Bodo\Anwendungsdaten\TuneUp Software 2007-11-22 19:58 <DIR> d-------- C:\Dokumente und Einstellungen\Bodo\Anwendungsdaten\ATI 2007-11-22 19:57 <DIR> dr------- C:\Dokumente und Einstellungen\Bodo\Eigene Dateien 2007-11-22 19:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Bodo\Vorlagen 2007-11-22 19:56 <DIR> dr------- C:\Dokumente und Einstellungen\Bodo\Startmen 2007-11-22 19:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Bodo\Netzwerkumgebung 2007-11-22 19:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Bodo\Lokale Einstellungen 2007-11-22 19:56 <DIR> dr------- C:\Dokumente und Einstellungen\Bodo\Favoriten 2007-11-22 19:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Bodo\Druckumgebung 2007-11-22 19:56 <DIR> dr-h----- C:\Dokumente und Einstellungen\Bodo\Anwendungsdaten 2007-11-22 18:35 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator.PRIMMY-6CB053A6\Eigene Dateien 2007-11-22 18:35 664 --a------ C:\WINDOWS\system32\d3d9caps.dat 2007-11-22 18:34 294 ---hs---- C:\WINDOWS\system32\rpfndkhr.ini 2007-11-22 02:42 2,182,656 -----c--- C:\WINDOWS\system32\dllcache\ntoskrnl.exe 2007-11-22 02:42 2,138,624 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe 2007-11-22 02:42 2,059,904 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlpa.exe 2007-11-22 02:42 2,018,304 -----c--- C:\WINDOWS\system32\dllcache\ntkrpamp.exe 2007-11-22 02:32 453,120 -----c--- C:\WINDOWS\system32\dllcache\mrxsmb.sys 2007-11-22 00:50 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator.PRIMMY-6CB053A6\Vorlagen 2007-11-22 00:50 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator.PRIMMY-6CB053A6\Startmen 2007-11-22 00:50 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator.PRIMMY-6CB053A6\Netzwerkumgebung 2007-11-22 00:50 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator.PRIMMY-6CB053A6\Lokale Einstellungen 2007-11-22 00:50 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator.PRIMMY-6CB053A6\Favoriten 2007-11-22 00:50 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator.PRIMMY-6CB053A6\Druckumgebung 2007-11-22 00:50 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator.PRIMMY-6CB053A6\Anwendungsdaten 2007-11-20 22:02 156,672 --a--c--- C:\WINDOWS\system32\dllcache\winzm.ime 2007-11-20 22:02 156,672 --a--c--- C:\WINDOWS\system32\dllcache\winsp.ime 2007-11-20 22:02 156,672 --a--c--- C:\WINDOWS\system32\dllcache\winpy.ime 2007-11-20 22:02 79,360 --a--c--- C:\WINDOWS\system32\dllcache\winar30.ime 2007-11-20 22:02 69,120 --a--c--- C:\WINDOWS\system32\dllcache\wingb.ime 2007-11-20 22:02 65,536 --a--c--- C:\WINDOWS\system32\dllcache\winime.ime 2007-11-20 22:02 41,600 --a--c--- C:\WINDOWS\system32\dllcache\weitekp9.dll 2007-11-20 22:02 31,360 --a--c--- C:\WINDOWS\system32\dllcache\weitekp9.sys 2007-11-20 22:02 28,288 --a--c--- C:\WINDOWS\system32\dllcache\xjis.nls 2007-11-20 22:01 65,536 --a--c--- C:\WINDOWS\system32\dllcache\EXCH_mailmsg.dll 2007-11-20 22:01 57,856 --a--c--- C:\WINDOWS\system32\dllcache\EXCH_scripto.dll 2007-11-20 22:01 38,912 --a--c--- C:\WINDOWS\system32\dllcache\EXCH_ntfsdrv.dll 2007-11-20 22:01 26,112 --a--c--- C:\WINDOWS\system32\dllcache\EXCH_seos.dll 2007-11-20 22:01 23,040 --a--c--- C:\WINDOWS\system32\dllcache\EXCH_regtrace.exe 2007-11-20 22:01 12,288 --a--c--- C:\WINDOWS\system32\dllcache\EXCH_smtpctrs.dll 2007-11-20 22:01 7,168 --a--c--- C:\WINDOWS\system32\dllcache\iisfecnv.dll 2007-11-20 22:01 7,168 --a--c--- C:\WINDOWS\system32\dllcache\EXCH_snprfdll.dll 2007-11-20 22:00 268,288 --a--c--- C:\WINDOWS\system32\dllcache\httpext.dll 2007-11-20 22:00 189,952 --a--c--- C:\WINDOWS\system32\dllcache\smtpadm.dll 2007-11-20 22:00 78,336 --a--c--- C:\WINDOWS\system32\dllcache\logui.ocx 2007-11-20 22:00 20,536 --a--c--- C:\WINDOWS\system32\dllcache\shtml.dll 2007-11-20 22:00 16,437 --a--c--- C:\WINDOWS\system32\dllcache\shtml.exe 2007-11-20 22:00 7,168 --a--c--- C:\WINDOWS\system32\dllcache\wamregps.dll 2007-11-20 21:59 221,184 --a------ C:\WINDOWS\system32\wmpns.dll 2007-11-20 21:58 749 -rah----- C:\WINDOWS\system32\wuaucpl.cpl.manifest 2007-11-20 21:58 749 -rah----- C:\WINDOWS\system32\sapi.cpl.manifest 2007-11-20 21:58 749 -rah----- C:\WINDOWS\system32\nwc.cpl.manifest 2007-11-20 21:58 749 -rah----- C:\WINDOWS\system32\ncpa.cpl.manifest 2007-11-20 21:58 488 -rah----- C:\WINDOWS\system32\logonui.exe.manifest 2007-11-20 21:12 1,899,936 --a--c--- C:\WINDOWS\system32\dllcache\NT5.CAT 2007-11-20 21:12 1,086,058 --a--c--- C:\WINDOWS\system32\dllcache\NTPRINT.CAT 2007-11-20 21:12 1,014,663 --a--c--- C:\WINDOWS\system32\dllcache\SP2.CAT 2007-11-20 21:12 817,199 --a--c--- C:\WINDOWS\system32\dllcache\NT5IIS.CAT 2007-11-20 21:12 618,406 --a--c--- C:\WINDOWS\system32\dllcache\NT5INF.CAT 2007-11-20 21:12 24,661 --a------ C:\WINDOWS\system32\spxcoins.dll 2007-11-20 21:12 24,661 --a--c--- C:\WINDOWS\system32\dllcache\spxcoins.dll 2007-11-20 21:12 14,043 --a--c--- C:\WINDOWS\system32\dllcache\IMS.CAT 2007-11-20 21:12 13,824 --a------ C:\WINDOWS\system32\irclass.dll 2007-11-20 21:12 13,824 --a--c--- C:\WINDOWS\system32\dllcache\irclass.dll 2007-11-20 21:12 13,472 --a--c--- C:\WINDOWS\system32\dllcache\HPCRDP.CAT 2007-11-20 21:12 7,382 --a--c--- C:\WINDOWS\system32\dllcache\OEMBIOS.CAT 2007-11-20 19:47 294 --ahs---- C:\WINDOWS\system32\txxjcfbt.ini 2007-11-20 00:04 16,768 --a------ C:\WINDOWS\system32\tcpip_patcher.sys 2007-11-19 23:47 160,373 --ahs---- C:\WINDOWS\system32\nqtss.ini2 2007-11-19 23:47 160,373 --ahs---- C:\WINDOWS\system32\nqtss.ini 2007-11-19 23:42 36,352 --a------ C:\WINDOWS\system32\ljjhiif.dll 2007-11-19 23:42 36,352 --a------ C:\WINDOWS\system32\gebxxyv.dll 2007-11-19 23:35 <DIR> d-------- C:\Dokumente und Einstellungen\primmy.PRIMMY-6CB053A6\Anwendungsdaten\VMware 2007-11-19 23:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\VMware 2007-11-16 21:16 <DIR> d-------- C:\Programme\ICQToolbar 2007-11-15 20:17 <DIR> d-------- C:\Dokumente und Einstellungen\primmy.PRIMMY-6CB053A6\Anwendungsdaten\MatchWare 2007-11-14 22:44 <DIR> d-------- C:\Programme\MatchWare 2007-11-14 20:59 34 --a------ C:\WINDOWS\system32\BD8460N.DAT 2007-11-14 20:58 118,784 --a------ C:\WINDOWS\system32\BROSNMP.DLL 2007-11-14 20:58 77,824 --a------ C:\WINDOWS\system32\BRLMW03A.DLL 2007-11-14 20:58 69,632 --a------ C:\WINDOWS\system32\BRRBTOOL.EXE 2007-11-14 20:58 45,056 --a------ C:\WINDOWS\system32\BRTCPCON.DLL 2007-11-14 20:58 24,223 --a------ C:\WINDOWS\system32\BRLM03A.DLL 2007-11-14 20:58 114 --a------ C:\WINDOWS\system32\BRLMW03A.INI 2007-11-14 20:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Brother . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-11-22 19:24 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira 2007-11-19 00:52 --------- d-----w C:\Dokumente und Einstellungen\primmy.PRIMMY-6CB053A6\Anwendungsdaten\mIRC 2007-11-16 22:11 --------- d-----w C:\Dokumente und Einstellungen\primmy.PRIMMY-6CB053A6\Anwendungsdaten\Skype 2007-11-16 20:15 --------- d-----w C:\Dokumente und Einstellungen\primmy.PRIMMY-6CB053A6\Anwendungsdaten\ICQ 2007-11-05 00:20 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2007-11-03 19:25 --------- d-----w C:\Programme\Gemeinsame Dateien\Agnitum Shared 2007-10-31 01:01 --------- d-----w C:\Dokumente und Einstellungen\Primmy\Anwendungsdaten\Azureus 2007-10-31 01:01 --------- d-----w C:\Dokumente und Einstellungen\primmy.PRIMMY-6CB053A6\Anwendungsdaten\BitTorrent DNA 2007-10-31 01:01 --------- d-----w C:\Dokumente und Einstellungen\primmy.PRIMMY-6CB053A6\Anwendungsdaten\BitTorrent 2007-10-29 14:52 --------- d-----w C:\Dokumente und Einstellungen\primmy.PRIMMY-6CB053A6\Anwendungsdaten\Bioshock 2007-10-29 03:06 --------- d--h--w C:\Programme\InstallShield Installation Information 2007-10-29 03:06 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield 2007-10-20 23:43 --------- d-----w C:\Dokumente und Einstellungen\primmy.PRIMMY-6CB053A6\Anwendungsdaten\teamspeak2 2007-10-16 20:53 --------- d-----w C:\Dokumente und Einstellungen\primmy.PRIMMY-6CB053A6\Anwendungsdaten\ICQ Toolbar 2007-10-15 21:16 --------- d-----w C:\Dokumente und Einstellungen\primmy.PRIMMY-6CB053A6\Anwendungsdaten\InstallShield 2007-10-15 17:54 --------- d-----w C:\Dokumente und Einstellungen\primmy.PRIMMY-6CB053A6\Anwendungsdaten\atitray 2007-10-14 11:08 --------- d-----w C:\Dokumente und Einstellungen\primmy.PRIMMY-6CB053A6\Anwendungsdaten\Miranda 2007-10-11 10:24 85,952 ----a-w C:\WINDOWS\sleen1664.sys 2007-10-11 10:24 79,104 ----a-w C:\WINDOWS\system32\drivers\sleen16.sys 2007-10-10 09:39 --------- d-----w C:\Dokumente und Einstellungen\primmy.PRIMMY-6CB053A6\Anwendungsdaten\VoipCheapCom 2007-10-09 00:12 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy 2007-10-07 16:17 --------- d-----w C:\Programme\AGEIA Technologies 2007-10-06 15:37 --------- d-----w C:\Programme\Skype 2007-10-06 05:02 --------- d-----w C:\Dokumente und Einstellungen\primmy.PRIMMY-6CB053A6\Anwendungsdaten\TrueCrypt 2007-10-05 20:51 --------- d-----w C:\Programme\Java 2007-10-04 21:58 --------- d-----w C:\Dokumente und Einstellungen\primmy.PRIMMY-6CB053A6\Anwendungsdaten\ATI 2007-10-04 21:58 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\ATI 2007-10-04 21:53 --------- d-----w C:\Programme\ATI Technologies 2007-10-04 01:51 --------- d-----w C:\Programme\BitTorrent_DNA 2007-10-03 21:11 --------- d-----w C:\Programme\AviSynth 2.5 2007-10-03 01:08 --------- d-----w C:\Dokumente und Einstellungen\primmy.PRIMMY-6CB053A6\Anwendungsdaten\Ahead 2007-10-01 20:30 --------- d--h--r C:\Dokumente und Einstellungen\primmy.PRIMMY-6CB053A6\Anwendungsdaten\SecuROM 2007-10-01 20:26 685,816 ----a-w C:\WINDOWS\system32\drivers\sptd.sys 2007-10-01 20:23 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TuneUp Software 2007-10-01 18:17 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Nero 2007-10-01 18:01 --------- d-----w C:\Dokumente und Einstellungen\primmy.PRIMMY-6CB053A6\Anwendungsdaten\TuneUp Software 2007-10-01 17:57 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Skype 2007-10-01 17:56 --------- d-----w C:\Dokumente und Einstellungen\primmy.PRIMMY-6CB053A6\Anwendungsdaten\vlc 2007-09-30 22:34 --------- d-----w C:\Dokumente und Einstellungen\Primmy\Anwendungsdaten\Skype 2007-09-28 23:16 --------- d-----w C:\Dokumente und Einstellungen\Primmy\Anwendungsdaten\Bioshock 2007-09-28 22:28 --------- d--h--r C:\Dokumente und Einstellungen\Primmy\Anwendungsdaten\SecuROM 2007-09-28 20:51 --------- d-----w C:\Dokumente und Einstellungen\Primmy\Anwendungsdaten\vlc 2007-09-28 19:36 --------- d-----w C:\Programme\Gemeinsame Dateien\Java 2007-09-28 18:58 --------- d-----w C:\Dokumente und Einstellungen\Primmy\Anwendungsdaten\FileZilla 2007-09-28 18:40 --------- d-----w C:\Dokumente und Einstellungen\Primmy\Anwendungsdaten\Screaming Bee 2007-09-28 18:39 --------- d-----w C:\Programme\Gemeinsame Dateien\Screaming Bee 2007-09-27 23:47 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead 2007-09-27 23:47 --------- d-----w C:\Dokumente und Einstellungen\Primmy\Anwendungsdaten\Ahead 2007-09-27 23:33 --------- d-----w C:\Dokumente und Einstellungen\Primmy\Anwendungsdaten\TuneUp Software 2007-09-27 23:24 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype 2007-09-27 22:29 --------- d-----w C:\Dokumente und Einstellungen\Primmy\Anwendungsdaten\InstallShield 2007-09-27 22:08 --------- d-----w C:\Programme\Intel 2007-09-27 21:54 --------- d-----w C:\Programme\Analog Devices 2007-09-27 21:53 --------- d-----w C:\Programme\Gemeinsame Dateien\SpeechEngines 2007-09-27 21:53 --------- d-----w C:\Programme\Gemeinsame Dateien\ODBC 2007-09-27 21:11 --------- d-----w C:\Programme\microsoft frontpage 2007-09-27 21:10 --------- d-----w C:\Programme\Online-Dienste 2007-09-27 21:09 --------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap 2007-09-27 21:09 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste 2006-05-03 09:06 163,328 --sha-r C:\WINDOWS\system32\flvDX.dll 2007-02-21 10:47 31,232 --sha-r C:\WINDOWS\system32\msfDX.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1427A821-7B93-4F08-9A34-9FA03A3D93DB}] 2007-10-12 15:29 20480 --a------ d:\Programme\Steganos Privacy Suite 2008\PasswordManagerBHO.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 11:35] "SSS2008 PasswordManagerFFAutoFill"="d:\Programme\Steganos Privacy Suite 2008\PasswordManagerFFAutoFill.exe" [2007-10-12 15:29] "SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2006-12-18 20:34] "avgnt"="D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-11-22 20:34] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=sockspy.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\28d46ebf] rundll32.exe C:\WINDOWS\system32\rhkdnfpr.dll,b [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount] D:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe /automount [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BDAgent] 2007-03-26 15:49 69632 --a------ D:\Programme\Softwin\BitDefender10\bdagent.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BDMCon] D:\Programme\Softwin\BitDefender10\bdmcon.exe /reg [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare] D:\Programme\BearShare\BearShare.exe /pause [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent DNA] 2007-10-04 02:51 286016 --a------ C:\Programme\BitTorrent_DNA\dna.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools] d:\Programme\DAEMON Tools\daemon.exe -lang 1033 [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Eraser] D:\Programme\Eraser\eraser.exe -hide [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ] d:\Programme\ICQ6\ICQ.exe silent [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] C:\Programme\Skype\Phone\Skype.exe /nosplash /minimized [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSS2007 Agent] 2006-12-11 17:34 26624 --a------ d:\Programme\Steganos Security Suite 2007\SteganosAgent.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSS2007 File Redirection Starter] 2006-12-11 16:31 53248 --a------ d:\Programme\Steganos Security Suite 2007\fredirstarter.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSS2007 HotKeys] 2006-12-11 17:34 25088 --a------ d:\Programme\Steganos Security Suite 2007\SteganosHotKeyService.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSS2007 PasswordManagerFFAutoFill] 2006-12-11 17:34 20992 --a------ d:\Programme\Steganos Security Suite 2007\PasswordManagerFFAutoFill.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSS2008 File Redirection Starter] 2007-10-11 16:40 57344 --a------ d:\Programme\Steganos Privacy Suite 2008\fredirstarter.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSS2008 HotKeys] 2007-10-12 15:29 25088 --a------ d:\Programme\Steganos Privacy Suite 2008\SteganosHotKeyService.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VMware hqtray] D:\Programme\VMware\VMware Workstation\hqtray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\vmware-tray] D:\Programme\VMware\VMware Workstation\vmware-tray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VoipCheapCom] D:\Programme\VoipCheapCom\VoipCheapCom.exe -nosplash -minimized [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "PnkBstrA"=2 (0x2) "aawservice"=2 (0x2) [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" "MSConfig"=C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto S0 extfs;extfs;C:\WINDOWS\system32\drivers\extfs.sys S1 atitray;atitray;\??\d:\Program Files\DNA-drivers\DNA-ATi\Driver\ATI Tray Tools\atitray.sys S1 SLEE_14_DRIVER;Steganos Live Encryption Engine 14 [Driver];\??\C:\WINDOWS\system32\drivers\Sleen14.sys S1 SLEE_16_DRIVER;Steganos Live Encryption Engine 16 [Driver];\??\C:\WINDOWS\system32\drivers\Sleen16.sys S1 tdiip;tdiip;C:\WINDOWS\system32\drivers\tdiip.sys S1 usbkbd;usbkbd;C:\WINDOWS\system32\drivers\usbkbd.sys S2 Steganos AntiTheft;Steganos AntiTheft;C:\WINDOWS\system32\\SatSrv.exe S2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe -k netsvcs S3 tcpip_patcher;tcpip_patcher;\??\C:\WINDOWS\system32\tcpip_patcher.sys [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{0B42273F-FCC2-16F5-0601-040600000808}] C:\WINDOWS\system32\owned.scr [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{A020B4EE-CA0F-FE68-D589-AE9B1100DF27}] C:\WINDOWS\system32\nvsocketcl.exe . Inhalt des "geplante Tasks" Ordners "2007-10-01 18:02:03 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - D:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe Ich hätte auch noch ein vundofix log escan geht irgendwie nich da bekomm ich nen bluescreen . |
23.11.2007, 21:16 | #7 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Diverse Viren auf meinen System Vundo usw. Hier sind ein paar verdächtige Kandidaten: Code:
ATTFilter C:\WINDOWS\system32\drivers\tdiip.sys C:\WINDOWS\system32\ljjhiif.dll C:\WINDOWS\system32\gebxxyv.dll C:\WINDOWS\sleen1664.sys C:\WINDOWS\system32\drivers\sleen16.sys C:\WINDOWS\system32\rhkdnfpr.dll C:\WINDOWS\system32\drivers\extfs.sys C:\WINDOWS\system32\dllcache\winzm.ime C:\WINDOWS\system32\dllcache\winsp.ime C:\WINDOWS\system32\dllcache\winpy.ime
__________________ Logfiles bitte immer in CODE-Tags posten |
23.11.2007, 21:56 | #8 |
| Diverse Viren auf meinen System Vundo usw. hier die datein die ich finden konnte manche waren nicht aufindbar: ljjhiif.dll VirusTotal - Kostenloser online Viren- und Malwarescanner - Ergebnis gebxxyv.dll VirusTotal - Kostenloser online Viren- und Malwarescanner - Ergebnis sleen VirusTotal - Kostenloser online Viren- und Malwarescanner - Ergebnis tdi VirusTotal - Kostenloser online Viren- und Malwarescanner - Ergebnis die winz.ime ist wohl sauber die andern die du mir noch geschreiben hast sind nicht zu finden winsp.ime scheint auch sauber Geändert von sibrag (23.11.2007 um 22:15 Uhr) |
23.11.2007, 22:57 | #9 |
| Diverse Viren auf meinen System Vundo usw. Danke für die Hilfe aber ich sehe das es wohl keinen Sinn mehr hat aber danke für die Kompetenz echt 1337 |
23.11.2007, 23:04 | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Diverse Viren auf meinen System Vundo usw. Mach mal folgendes: 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop und starte es. 2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein: Code:
ATTFilter files to delete: C:\WINDOWS\system32\bdod.bin C:\WINDOWS\system32\bdss.log C:\WINDOWS\system32\rpfndkhr.ini C:\WINDOWS\system32\drivers\tdiip.sys C:\WINDOWS\system32\ljjhiif.dll C:\WINDOWS\system32\gebxxyv.dll C:\WINDOWS\system32\txxjcfbt.ini C:\WINDOWS\system32\nqtss.ini2 C:\WINDOWS\system32\nqtss.ini 4.) Danach das System unverzüglich neu starten lassen 5.) Poste den Inhalt der C:\avenger.txt Datei. 6.) Mach einen Check mit eScan
__________________ Logfiles bitte immer in CODE-Tags posten |
24.11.2007, 17:43 | #11 |
| Diverse Viren auf meinen System Vundo usw. ich habe gestern abend den escan noch zum laufen bekommen der hat noch von 26 funden berichtet ich installier jetzt das we durch und mach mir für die zukunft mit true image ne kopie das reinigen der andern installation wäre ein absolutes gehackstückele gewesen aber trotzdem danke |
25.11.2007, 14:19 | #12 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Diverse Viren auf meinen System Vundo usw. Also hast du jetzt neu aufgesetzt?
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Diverse Viren auf meinen System Vundo usw. |
.exe datei, add-on, alles weg, antispyware, antivir, auslastung, auslastung cpu, avira, bho, content.ie5, cpu, ctfmon.exe, defender, desktop, einstellungen, firefox, hijack, hijackthis, hijackthis log, internet, internet explorer, mozilla, mozilla firefox, programm, sekunden, software, symantec, system, toolbars, urlsearchhook, verweise, viren, virus, virus gefunden, vundo, windows, windows xp |