| |
| |||||||
Log-Analyse und Auswertung: System Alerts!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
04.12.2007, 16:12
| #1 |
 |  System Alerts! hab heute mittag mein pc angeschaltet und siehe da ich hab einen virus (mein erster). ich hab wirklich keine idee wo der herkommen könnte...naja jetzt ist er da und muss weg! vorab: ich kenn mich nicht wirklich aus...bin zwar net ganz blöd aber mit fachchinesisch kann ich nix anfangen. hab mich aber trotzdem mal bissle schlau gemacht und mein hjt erstellt: Logfile of HijackThis v1.99.1 Scan saved at 14:47:44, on 04.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\htpatch.exe C:\WINDOWS\Dit.exe C:\WINDOWS\DitExp.exe C:\WINDOWS\Logi_MwX.Exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe C:\Programme\Google\Google Updater\GoogleUpdater.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\DT\T-Sinus 130data 11Mbps WLAN USB Adapter\monitordt.exe C:\Programme\Rainlendar-2.2.b45\Rainlendar2.exe C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://softwarereferral.com/jump.php...MjI6Ojg5&lid=2 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.medion.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = fuelpilot-bosch O2 - BHO: MSVPS System - {00A00BA9-9D58-4B56-8FC6-C280650A8BD7} - C:\WINDOWS\vipextpnk.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615. 5858\swg.dll O3 - Toolbar: The voipwet - {167F6405-019D-4F32-8FBE-23B3C63CD8FD} - C:\WINDOWS\voipwet.dll O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe " O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" autostart O4 - HKCU\..\Run: [Rainlendar2] C:\Dokumente und Einstellungen\****\Desktop\Rainlendar-2.2.b45\Rainlendar2.exe O4 - Startup: Verknüpfung mit Rainlendar2.exe.lnk = C:\Programme\Rainlendar-2.2.b45\Rainlendar2.exe O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe O4 - Global Startup: Logitech SetPoint.lnk = ? O4 - Global Startup: T-Sinus 130data WLAN USB Monitor.lnk = C:\Programme\DT\T-Sinus 130data 11Mbps WLAN USB Adapter\monitordt.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.e xe O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.e xe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - h**p://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=h**p://www.medion.com/ O16 - DPF: {2EF98DE5-183F-11D4-83EC-EC6A1DB6E213} - h**p://www.dynageo.de/download/dynageoviewer.cab O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsu.../wuweb_site.ca b?1156073074718 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsof...ent/muweb_site. cab?1166209411281 O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - h**p://messenger.zone.msn.com/binary...o.cab56649.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary...t.cab56907.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O21 - SSODL: kopmet - {34DFC162-6E7C-4B05-9C2E-E31F7713AA02} - C:\WINDOWS\kopmet.dll O21 - SSODL: jetctrl - {503F9140-3962-45A3-BCAF-995A60C2B088} - C:\WINDOWS\jetctrl.dll O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Kaspersky Personal Security Suite V (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe" -r (file missing) O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe diese hjt hab ich bei www.hijackthis.de testen lassen und hab die angezeigten dateien mit virustotal getestet. nur diese datei konnt ich net testen lassen...is ja glaub au eher n link... R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://softwarereferral.com/jump.php...MjI6Ojg5&lid=2 hier jetzt noch die ergebnisse von virustotal: Datei vipextpnk.dll empfangen 2007.12.04 15:06:44 (CET) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.12.4.1 2007.12.04 - AntiVir 7.6.0.34 2007.12.04 - Authentium 4.93.8 2007.12.04 - Avast 4.7.1074.0 2007.12.04 - AVG 7.5.0.503 2007.12.04 Downloader.Zlob.QD BitDefender 7.2 2007.12.04 - CAT-QuickHeal 9.00 2007.12.03 - ClamAV 0.91.2 2007.12.04 - DrWeb 4.44.0.09170 2007.12.04 - eSafe 7.0.15.0 2007.12.03 - eTrust-Vet 31.3.5349 2007.12.04 - Ewido 4.0 2007.12.04 - FileAdvisor 1 2007.12.04 - Fortinet 3.14.0.0 2007.12.04 - F-Prot 4.4.2.54 2007.12.04 - F-Secure 6.70.13030.0 2007.12.04 - Ikarus T3.1.1.12 2007.12.04 Generic.NetAdware McAfee 5176 2007.12.03 AdClicker-FC Microsoft 1.3007 2007.12.03 - NOD32v2 2701 2007.12.04 - Norman 5.80.02 2007.12.04 - Panda 9.0.0.4 2007.12.03 - Prevx1 V2 2007.12.04 - Rising 20.21.10.00 2007.12.04 - Sophos 4.24.0 2007.12.04 - Sunbelt 2.2.907.0 2007.12.01 - Symantec 10 2007.12.04 - TheHacker 6.2.9.148 2007.12.03 - VBA32 3.12.2.5 2007.12.03 - VirusBuster 4.3.26:9 2007.12.04 - Webwasher-Gateway 6.6.2 2007.12.04 - weitere Informationen File size: 307200 bytes MD5: ee3d61fc92d4df532301a21a979d8e58 SHA1: 7f87686e01f96eeb6a8eb586959c325a720e1931 PEiD: - Datei voipwet.dll empfangen 2007.12.04 15:45:14 (CET) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.12.4.1 2007.12.04 - AntiVir 7.6.0.34 2007.12.04 - Authentium 4.93.8 2007.12.04 - Avast 4.7.1074.0 2007.12.04 - AVG 7.5.0.503 2007.12.04 Downloader.Zlob.NC BitDefender 7.2 2007.12.04 - CAT-QuickHeal 9.00 2007.12.03 - ClamAV 0.91.2 2007.12.04 - DrWeb 4.44.0.09170 2007.12.04 - eSafe 7.0.15.0 2007.12.03 - eTrust-Vet 31.3.5349 2007.12.04 - Ewido 4.0 2007.12.04 - FileAdvisor 1 2007.12.04 - Fortinet 3.14.0.0 2007.12.04 - F-Prot 4.4.2.54 2007.12.04 - F-Secure 6.70.13030.0 2007.12.04 - Ikarus T3.1.1.12 2007.12.04 - Kaspersky 7.0.0.125 2007.12.04 - McAfee 5176 2007.12.03 - Microsoft 1.3007 2007.12.03 - NOD32v2 2701 2007.12.04 - Norman 5.80.02 2007.12.04 - Panda 9.0.0.4 2007.12.03 - Prevx1 V2 2007.12.04 - Rising 20.21.10.00 2007.12.04 - Sophos 4.24.0 2007.12.04 - Sunbelt 2.2.907.0 2007.12.01 - Symantec 10 2007.12.04 - TheHacker 6.2.9.148 2007.12.03 - VBA32 3.12.2.5 2007.12.03 - VirusBuster 4.3.26:9 2007.12.04 - Webwasher-Gateway 6.0.1 2007.12.04 - weitere Informationen File size: 192512 bytes MD5: d22686106b4f5f608fce4d7d61f940e9 SHA1: 7faf9796b1bcde269af3d77f94ed56f731fcbe29 PEiD: - Datei jetctrl.dll empfangen 2007.12.04 15:46:03 (CET) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.12.4.1 2007.12.04 - AntiVir 7.6.0.34 2007.12.04 - Authentium 4.93.8 2007.12.04 - Avast 4.7.1074.0 2007.12.04 - AVG 7.5.0.503 2007.12.04 Downloader.Zlob.PU BitDefender 7.2 2007.12.04 - CAT-QuickHeal 9.00 2007.12.03 - ClamAV 0.91.2 2007.12.04 - DrWeb 4.44.0.09170 2007.12.04 - eSafe 7.0.15.0 2007.12.03 - eTrust-Vet 31.3.5349 2007.12.04 - Ewido 4.0 2007.12.04 - FileAdvisor 1 2007.12.04 - Fortinet 3.14.0.0 2007.12.04 - F-Prot 4.4.2.54 2007.12.04 - F-Secure 6.70.13030.0 2007.12.04 - Ikarus T3.1.1.12 2007.12.04 AdWare.NetAdware.S Kaspersky 7.0.0.125 2007.12.04 - McAfee 5176 2007.12.03 - Microsoft 1.3007 2007.12.03 - NOD32v2 2701 2007.12.04 - Norman 5.80.02 2007.12.04 - Panda 9.0.0.4 2007.12.03 - Prevx1 V2 2007.12.04 - Rising 20.21.10.00 2007.12.04 - Sophos 4.24.0 2007.12.04 - Sunbelt 2.2.907.0 2007.12.01 - Symantec 10 2007.12.04 - TheHacker 6.2.9.148 2007.12.03 - VBA32 3.12.2.5 2007.12.03 - VirusBuster 4.3.26:9 2007.12.04 - Webwasher-Gateway 6.0.1 2007.12.04 - weitere Informationen File size: 229376 bytes MD5: 948b42fd48c327e4c0b25ff999ef63f2 SHA1: 1a6c14a21bf3f387c39ee33e560f742c23bcbb38 PEiD: - Datei kopmet.dll empfangen 2007.12.04 15:45:49 (CET) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.12.4.1 2007.12.04 - AntiVir 7.6.0.34 2007.12.04 TR/Zlob.Dll Authentium 4.93.8 2007.12.04 - Avast 4.7.1074.0 2007.12.04 Win32:Agent-LTS AVG 7.5.0.503 2007.12.04 Downloader.Zlob.QE BitDefender 7.2 2007.12.04 - CAT-QuickHeal 9.00 2007.12.03 - ClamAV 0.91.2 2007.12.04 - DrWeb 4.44.0.09170 2007.12.04 - eSafe 7.0.15.0 2007.12.03 - eTrust-Vet 31.3.5349 2007.12.04 - Ewido 4.0 2007.12.04 - FileAdvisor 1 2007.12.04 - Fortinet 3.14.0.0 2007.12.04 - F-Prot 4.4.2.54 2007.12.04 - F-Secure 6.70.13030.0 2007.12.04 - Ikarus T3.1.1.12 2007.12.04 Virus.Win32.Agent.LTS Kaspersky 7.0.0.125 2007.12.04 - McAfee 5176 2007.12.03 - Microsoft 1.3007 2007.12.03 - NOD32v2 2701 2007.12.04 - Norman 5.80.02 2007.12.04 - Panda 9.0.0.4 2007.12.03 - Prevx1 V2 2007.12.04 - Rising 20.21.10.00 2007.12.04 - Sophos 4.24.0 2007.12.04 - Sunbelt 2.2.907.0 2007.12.01 - Symantec 10 2007.12.04 - TheHacker 6.2.9.148 2007.12.03 - VBA32 3.12.2.5 2007.12.03 - VirusBuster 4.3.26:9 2007.12.04 - Webwasher-Gateway 6.0.1 2007.12.04 Trojan.Zlob.Dll weitere Informationen File size: 311296 bytes MD5: 9fc6dcc527026d034c0505f2fece91e7 SHA1: 5f70fc10d8198df593b8c13f029331cccf61db6d PEiD: - also bin über jeglilche hilfe dankbar. lg spoink |
|
04.12.2007, 18:04
| #2 |
  | System Alerts! Hallo
__________________du hast ja schon schön vorgearbeitet  Mach bitte alle versteckten Dateien und Ordner sichtbar. Dann arbeite diese Programme ab. Anleitung SmitfraudFix: Lade dir dieses Tool -> SmitfraudFix -Starte es dann und lass das System durchsuchen (Option 1) und speichere den rapport.txt. -Starte dein System in den abgesicherten Modus (beim start F8 drücken) und führe Smitfraudfix erneut aus dieses mal aber die Option 2 (Bereinigung) und speichere hier den rapport2.txt  Starte dein System neu in den normalen Modus ComboFix -Lade dir das Tool hier herunter -> KLICK -Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein, ebenso die Rapporte von Smitfraudfix! Erstelle bitte ein neues HijackThis Log (aber bitte ohne die unzähligen Lücken im Text) benenne aber vorher die Hijackthis.exe um in ABC.exe. MFG |
|
04.12.2007, 19:52
| #3 |
| | System Alerts! erstmal danke..
__________________ bevor ich des machen werd hab ich noch ne frage... wie siehts mit meinen daten aus?...die bleiben doch normalerweiße bestehen, oder? wenn ich jetzt aber sicherheitshalber doch nochmal die aktuellsten auf meine externe hd rüberziehn will, gibts da probleme..? kann der virus da au auf die externe platte rüberspringen? lg spoink |
|
04.12.2007, 20:14
| #4 |
| | System Alerts! Hallo es sollte keine Probleme geben, wenn du auf ausführbare Dateien verzichtest also exe, bat, com ,scr usw. Filme, MP3, Fotos und Office-Dateien sollten keine Probleme darstellen. Es kann natürlich zum Totalverlust kommen, ist mir bei den o.g. Anwendungen aber nicht bekannt. MFG |
|
04.12.2007, 21:19
| #5 |
| | System Alerts! hey... hab alles so ausgeführt und siehe da...scheint alles wieder in ordnung zu sein! ComboFix: ComboFix 07-12-02.7 - **** 2007-12-04 21:33:58.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.572 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\****\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Autorun.inf C:\Dokumente und Einstellungen\****\Anwendungsdaten\addon.dat C:\WINDOWS\dat.txt C:\WINDOWS\pack.epk . ((((((((((((((((((((((( Dateien erstellt von 2007-11-04 bis 2007-12-04 )))))))))))))))))))))))))))))) . 2007-12-04 21:03 . 2007-12-04 21:15 3,074 --a------ C:\WINDOWS\system32\tmp.reg 2007-12-04 20:38 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2007-12-04 20:38 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2007-12-04 20:38 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2007-12-04 20:38 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2007-12-04 20:38 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2007-12-04 15:24 . 2007-12-04 15:39 <DIR> d-------- C:\Dokumente und Einstellungen\****\Anwendungsdaten\PrevxCSI 2007-12-04 15:24 . 2007-12-04 15:24 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx 2007-12-03 21:26 . 2007-12-03 18:47 307,200 --a------ C:\WINDOWS\vipextpnk.dll 2007-12-03 17:05 . 2007-12-03 17:05 <DIR> d-------- C:\Programme\Kaspersky Lab 2007-12-03 17:05 . 2007-12-04 21:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2007-12-03 17:05 . 2007-12-04 21:38 7,580,192 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat 2007-12-03 17:05 . 2007-12-04 21:09 104,420 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx 2007-12-03 17:05 . 2007-12-03 17:16 82,061 --a------ C:\WINDOWS\system32\drivers\klick.dat 2007-12-03 17:05 . 2007-12-03 17:16 81,549 --a------ C:\WINDOWS\system32\drivers\klin.dat 2007-12-03 17:05 . 2007-12-04 21:38 15,392 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat 2007-12-03 17:05 . 2007-12-04 21:09 2,300 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx 2007-12-03 16:40 . 2007-12-03 16:40 <DIR> d-------- C:\WINDOWS\system32\CatRoot2-Old 2007-12-02 12:42 . 2004-08-04 00:57 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll 2007-12-02 12:42 . 2001-08-18 04:54 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll 2007-11-26 14:26 . 2007-11-26 18:19 <DIR> d-------- C:\Dokumente und Einstellungen\****\Anwendungsdaten\BitTorrent 2007-11-26 14:25 . 2007-11-26 14:25 <DIR> d-------- C:\Programme\BitTorrent 2007-11-24 13:14 . 2007-08-04 14:36 219,648 --a------ C:\WINDOWS\system32\uxtheme.backup 2007-11-24 13:14 . 2007-11-24 13:14 219,648 --a--c--- C:\WINDOWS\system32\dllcache\uxtheme.dll 2007-11-24 13:02 . 2007-11-24 13:14 <DIR> d-------- C:\WINDOWS\VistaMizer 2007-11-24 11:19 . 2007-11-24 17:35 <DIR> d-------- C:\Programme\Cobian Backup 8 2007-11-20 22:26 . 2007-11-20 22:26 268 --ah----- C:\sqmdata19.sqm 2007-11-20 22:26 . 2007-11-20 22:26 244 --ah----- C:\sqmnoopt19.sqm 2007-11-20 22:24 . 2007-11-20 22:25 <DIR> d-------- C:\Dokumente und Einstellungen\Keller\Anwendungsdaten\Skype 2007-11-20 17:12 . 2003-07-20 19:17 5,174 --a------ C:\WINDOWS\system32\nppt9x.vxd 2007-11-20 17:12 . 2005-01-04 10:43 4,682 --a------ C:\WINDOWS\system32\npptNT2.sys 2007-11-20 17:09 . 2007-11-21 14:02 <DIR> d-------- C:\Programme\KartRider 2007-11-20 17:09 . 2007-11-20 17:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NexonUS 2007-11-15 12:31 . 2007-11-15 12:31 <DIR> d-------- C:\Programme\OO Software 2007-11-06 19:55 . 2007-11-06 19:55 <DIR> d-------- C:\Programme\iTunes 2007-11-06 19:55 . 2007-11-06 19:55 <DIR> d-------- C:\Programme\iPod 2007-11-05 20:28 . 2007-11-05 20:28 268 --ah----- C:\sqmdata18.sqm 2007-11-05 20:28 . 2007-11-05 20:28 244 --ah----- C:\sqmnoopt18.sqm . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-03 15:50 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared 2007-12-03 15:50 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec 2007-12-03 15:06 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater 2007-11-24 12:14 219,648 ----a-w C:\WINDOWS\system32\uxtheme.dll 2007-11-20 21:08 --------- d-----w C:\Dokumente und Einstellungen\****\Anwendungsdaten\Skype 2007-11-06 18:54 --------- d-----w C:\Programme\QuickTime 2007-11-06 18:41 --------- d-----w C:\Programme\Safari 2007-11-03 10:18 --------- d-----w C:\Programme\Yahoo! 2007-10-31 13:09 30,464 ----a-w C:\WINDOWS\system32\drivers\usbaapl.sys 2007-10-31 10:38 --------- d-----w C:\Dokumente und Einstellungen\****\Anwendungsdaten\Earthsim 2007-10-29 09:24 --------- d--h--w C:\Programme\InstallShield Installation Information 2007-10-29 08:56 --------- d-----w C:\Programme\KONAMI 2007-10-28 14:23 --------- d-----w C:\Programme\EA SPORTS 2007-10-28 13:11 --------- d-----w C:\Programme\Rainlendar-2.2.b45 2007-10-17 16:22 --------- d-----w C:\Programme\Java 2007-10-13 08:55 805 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.INF 2007-10-13 08:55 10,740 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.CAT 2007-10-12 21:15 --------- d-----w C:\Programme\Winamp 2007-10-05 13:37 --------- d-----w C:\Dokumente und Einstellungen\****\Anwendungsdaten\CyberLink 2007-01-03 20:16 402 --sha-w C:\WINDOWS\Bifrost\klog.dat 2004-08-03 22:58 60,416 --sha-w C:\WINDOWS\BricoPacks\SysFiles\80_msimn.exe 2004-08-03 22:58 60,416 --sha-w C:\WINDOWS\VistaMizer\old\msimn.exe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{00A00BA9-9D58-4B56-8FC6-C280650A8BD7}] 2007-12-03 18:47 307200 --a------ C:\WINDOWS\vipextpnk.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{167F6405-019D-4F32-8FBE-23B3C63CD8FD}"= C:\WINDOWS\voipwet.dll [ ] [HKEY_CLASSES_ROOT\clsid\{167f6405-019d-4f32-8fbe-23b3c63cd8fd}] [HKEY_CLASSES_ROOT\voipwet.ToolBar.1] [HKEY_CLASSES_ROOT\TypeLib\{EFD7B225-FD88-40C7-931F-1FEEA9585D5C}] [HKEY_CLASSES_ROOT\voipwet.ToolBar] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57] "TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" [2006-11-23 15:46] "Rainlendar2"="C:\Dokumente und Einstellungen\****\Desktop\Rainlendar-2.2.b45\Rainlendar2.exe" [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "HTpatch"="C:\WINDOWS\htpatch.exe" [2002-10-30 17:40] "Dit"="Dit.exe" [2002-08-28 13:43 C:\WINDOWS\Dit.exe] "VOBRegCheck"="C:\WINDOWS\System32\VOBREGCheck.exe" [2003-01-08 15:55] "Logitech Utility"="Logi_MwX.Exe" [2003-12-17 08:50 C:\WINDOWS\LOGI_MWX.EXE] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11] "Microsoft Works Update Detection"="C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2002-07-24 18:43] "SoundMan"="SOUNDMAN.EXE" [2006-08-03 04:12 C:\WINDOWS\soundman.exe] "Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2006-07-19 12:03 C:\WINDOWS\KHALMNPR.Exe] "ANIWZCS2Service"="C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2006-06-29 16:34] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51] "StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 11:35] "CloneCDTray"="C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" [2006-09-28 20:21] "QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2007-10-19 20:16] "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-11-02 18:36] "AVP"="C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe" [2007-03-09 20:50] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-03 23:57] "PcSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-11-09 17:15] C:\Dokumente und Einstellungen\****\Startmen\Programme\Autostart\ Verknpfung mit Rainlendar2.exe.lnk - C:\Programme\Rainlendar-2.2.b45\Rainlendar2.exe [2007-10-28 13:25:13] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Google Updater.lnk - C:\Programme\Google\Google Updater\GoogleUpdater.exe [2007-04-08 13:05:40] Logitech SetPoint.lnk - C:\Programme\Logitech\SetPoint\SetPoint.exe [2006-12-15 17:19:23] T-Sinus 130data WLAN USB Monitor.lnk - C:\Programme\DT\T-Sinus 130data 11Mbps WLAN USB Adapter\monitordt.exe [2007-02-09 15:57:53] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "UIHost"="LogonUI.EXE" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "PCMService"=C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot "WinampAgent"=C:\Programme\Winamp\winampa.exe "DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 "PCSuiteTrayApplication"=C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup "HotKey"=C:\WINDOWS\Twain_32\FlatBed\HotKey.exe R2 LBeepKE;LBeepKE;C:\WINDOWS\system32\Drivers\LBeepKE.sys R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe -k netsvcs R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys R3 Intels51;Creatix V.9X DSP Data Fax Modem;C:\WINDOWS\system32\DRIVERS\ctxs51.sys R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys S3 ATWPKT;ATWPKT;\??\C:\WINDOWS\system32\Drivers\ATWPKT.SYS S3 danceflt;XboxCtrl_filt_Service;C:\WINDOWS\system32\DRIVERS\danceflt.sys S3 DT T-Sinus 130data(R);DT T-Sinus 130data(R) Service for T-Sinus 130data;C:\WINDOWS\system32\DRIVERS\dtusbxp.sys S3 IIUSBISP;USB Mass Storage for USB ISP;C:\WINDOWS\system32\Drivers\iiusbisp.sys S3 SISNICXP;SiS PCI Fast Ethernet Adapter Driver for NDIS51;C:\WINDOWS\system32\DRIVERS\sisnicxp.sys S3 StMp3Rec;Treiber für Player-Wiederherstellungsgerät;C:\WINDOWS\system32\Drivers\StMp3Rec.sys S3 USBAAPL;Apple Mobile USB Driver;C:\WINDOWS\system32\Drivers\usbaapl.sys HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{38705444-505f-11db-a485-0030f18c5037}] \Shell\AutoRun\command - L:\Autorun.exe *Newly Created Service* - CATCHME *Newly Created Service* - PROCEXP90 . Inhalt des "geplante Tasks" Ordners "2007-11-23 16:39:03 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe "2007-11-06 18:38:08 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Programme\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1318 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-04 21:38:25 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... HKLM\Software\Microsoft\Windows\CurrentVersion\Run HTpatch = C:\WINDOWS\htpatch.exe?ows\CurrentVersion\Run???\??????[????`??[???[`??[???????????????[???[???[???[$??????[???????????????[???????????[???w????(????3?w???w?????3?w ??w???[:???????d???r??[1??[???[d??????[?-?[????z??w8h?[\2?[?1?[htinst.INI?[?u?[????d????????F? Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2007-12-04 21:39:22 . --- E O F --- Smitfraudfix: Rapport 1: SmitFraudFix v2.257 Scan done at 21:01:41,57, 04.12.2007 Run from C:\Dokumente und Einstellungen\****\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in normal mode »»»»»»»»»»»»»»»»»»»»»»»» Process C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\htpatch.exe C:\WINDOWS\Dit.exe C:\WINDOWS\Logi_MwX.Exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\DitExp.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe C:\Programme\Google\Google Updater\GoogleUpdater.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\DT\T-Sinus 130data 11Mbps WLAN USB Adapter\monitordt.exe C:\Programme\Rainlendar-2.2.b45\Rainlendar2.exe C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE C:\Programme\iPod\bin\iPodService.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\WINDOWS\system32\cmd.exe »»»»»»»»»»»»»»»»»»»»»»»» hosts »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS C:\WINDOWS\jetctrl.dll FOUND ! C:\WINDOWS\kopmet.dll FOUND ! C:\WINDOWS\nretcip.exe FOUND ! C:\WINDOWS\voipwet.dll FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\**** »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\****\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\****\FAVORI~1 C:\DOKUME~1\****\FAVORI~1\Error Cleaner.url FOUND ! C:\DOKUME~1\****\FAVORI~1\Privacy Protector.url FOUND ! C:\DOKUME~1\****\FAVORI~1\Spyware?Malware Protection.url FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» Desktop C:\DOKUME~1\****\Desktop\Error Cleaner.url FOUND ! C:\DOKUME~1\****\Desktop\Privacy Protector.url FOUND ! C:\DOKUME~1\****\Desktop\Spyware?Malware Protection.url FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme C:\Programme\RichVideoCodec\ FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Rustock »»»»»»»»»»»»»»»»»»»»»»»» DNS HKLM\SYSTEM\CS2\Services\Tcpip\..\{FEFCCCCD-BB44-45A0-B75E-33A2481B370D}: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1 »»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End Rapport 2: SmitFraudFix v2.257 Scan done at 21:15:38,23, 04.12.2007 Run from C:\Dokumente und Einstellungen\****\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix S!Ri's WS2Fix: LSP not Found. »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files C:\WINDOWS\jetctrl.dll Deleted Deleting [HKEY_CLASSES_ROOT\CLSID\{503F9140-3962-45A3-BCAF-995A60C2B088}] Deleting [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{503F9140-3962-45A3-BCAF-995A60C2B088}] C:\WINDOWS\kopmet.dll Deleted Deleting [HKEY_CLASSES_ROOT\CLSID\{34DFC162-6E7C-4B05-9C2E-E31F7713AA02}] C:\WINDOWS\nretcip.exe Deleted C:\DOKUME~1\****\Desktop\Error Cleaner.url Deleted C:\DOKUME~1\****\Desktop\Privacy Protector.url Deleted C:\DOKUME~1\****\Desktop\Spyware?Malware Protection.url Deleted C:\DOKUME~1\****\FAVORI~1\Error Cleaner.url Deleted C:\DOKUME~1\****\FAVORI~1\Privacy Protector.url Deleted C:\DOKUME~1\****\FAVORI~1\Spyware?Malware Protection.url Deleted C:\Programme\RichVideoCodec\ Deleted »»»»»»»»»»»»»»»»»»»»»»»» DNS HKLM\SYSTEM\CS2\Services\Tcpip\..\{FEFCCCCD-BB44-45A0-B75E-33A2481B370D}: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1 »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Reboot C:\WINDOWS\voipwet.dll Deleted »»»»»»»»»»»»»»»»»»»»»»»» End danke mfg spoink Geändert von spoink (04.12.2007 um 21:53 Uhr) |
|
04.12.2007, 21:54
| #6 |
| | System Alerts! Neue hjt: Logfile of HijackThis v1.99.1 Scan saved at 21:40:42, on 04.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\htpatch.exe C:\WINDOWS\Dit.exe C:\WINDOWS\Logi_MwX.Exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe C:\WINDOWS\DitExp.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe C:\Programme\Google\Google Updater\GoogleUpdater.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\DT\T-Sinus 130data 11Mbps WLAN USB Adapter\monitordt.exe C:\Programme\Rainlendar-2.2.b45\Rainlendar2.exe C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\explorer.exe C:\Dokumente und Einstellungen\****\Desktop\hijackthis\abc.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fuelpilot-bosch O2 - BHO: MSVPS System - {00A00BA9-9D58-4B56-8FC6-C280650A8BD7} - C:\WINDOWS\vipextpnk.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll O3 - Toolbar: The voipwet - {167F6405-019D-4F32-8FBE-23B3C63CD8FD} - C:\WINDOWS\voipwet.dll (file missing) O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" autostart O4 - HKCU\..\Run: [Rainlendar2] C:\Dokumente und Einstellungen\****\Desktop\Rainlendar-2.2.b45\Rainlendar2.exe O4 - Startup: Verknüpfung mit Rainlendar2.exe.lnk = C:\Programme\Rainlendar-2.2.b45\Rainlendar2.exe O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe O4 - Global Startup: Logitech SetPoint.lnk = ? O4 - Global Startup: T-Sinus 130data WLAN USB Monitor.lnk = C:\Programme\DT\T-Sinus 130data 11Mbps WLAN USB Adapter\monitordt.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - http://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/ O16 - DPF: {2EF98DE5-183F-11D4-83EC-EC6A1DB6E213} - http://www.dynageo.de/download/dynageoviewer.cab O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1156073074718 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1166209411281 O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Kaspersky Personal Security Suite V (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe" -r (file missing) O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe |
|
04.12.2007, 22:12
| #7 | |
| | System Alerts! Hallo es sah so gut aus, währe da nicht dieser Eintrag  Zitat:
AntiRootkit Scanner Anleitung - HijackThis.de Support Board MFG |
|
04.12.2007, 23:35
| #8 |
| | System Alerts! hier die ergebnisse: RootkitRevealer: HKU\.DEFAULT\Control Panel\International 04.12.2007 21:39 0 bytes Security mismatch. HKU\.DEFAULT\Control Panel\International\Geo 04.12.2007 21:39 0 bytes Security mismatch. HKU\S-1-5-21-1179658559-4060942155-3722739889-1007\Control Panel\International 04.12.2007 21:39 0 bytes Security mismatch. HKU\S-1-5-21-1179658559-4060942155-3722739889-1007\Control Panel\International\Geo 04.12.2007 21:39 0 bytes Security mismatch. HKU\S-1-5-18\Control Panel\International 04.12.2007 21:39 0 bytes Security mismatch. HKU\S-1-5-18\Control Panel\International\Geo 04.12.2007 21:39 0 bytes Security mismatch. HKLM\SECURITY\Policy\Secrets\SAC* 05.02.2003 09:34 0 bytes Key name contains embedded nulls (*) HKLM\SECURITY\Policy\Secrets\SAI* 05.02.2003 09:34 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System* 15.11.2007 12:25 0 bytes Key name contains embedded nulls (*) HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 07.02.2007 22:21 0 bytes Access is denied. C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 12.07.2007 09:55 252.00 KB Visible in Windows API, but not in MFT or directory index. C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 12.07.2007 09:55 111.50 KB Visible in Windows API, but not in MFT or directory index. Blacklight: 12/04/07 22:31:00 [Info]: BlackLight Engine 1.0.67 initialized 12/04/07 22:31:00 [Info]: OS: 5.1 build 2600 (Service Pack 2) 12/04/07 22:31:00 [Note]: 7019 4 12/04/07 22:31:00 [Note]: 7005 0 12/04/07 22:31:13 [Note]: 7006 0 12/04/07 22:31:13 [Note]: 7011 1980 12/04/07 22:31:13 [Note]: 7026 0 12/04/07 22:31:14 [Note]: 7026 0 12/04/07 22:31:17 [Note]: FSRAW library version 1.7.1024 12/04/07 22:48:53 [Note]: 2000 1012 12/04/07 22:49:54 [Note]: 7007 0 Trend Micro: +---------------------------------------------------- | Trend Micro RootkitBuster 1.6 Beta. | Module version: 1.6.0.1052 +---------------------------------------------------- --== Dump Hidden File on C:\ ==-- No hidden files found. --== Dump Hidden Registry Value on HKLM ==-- No hidden registry entries found. --== Dump Hidden Process ==-- No hidden processes found. --== Dump Hidden Driver ==-- No hidden drivers found. Sophos: Sophos Anti-Rootkit Version 1.3.1 (data 1.07) (c) 2006 Sophos Plc Started logging on 04.12.2007 at 23:17:13 Stopped logging on 04.12.2007 at 23:28:30 Panda hier hab ich vergessen den Screen-shot zu machen..aber es wurden eh keine Suchergebnisse hervorgebracht. lg spoink |
|
04.12.2007, 23:54
| #9 |
| | System Alerts! hjt-log nach dem laufenlassen der programme... Logfile of HijackThis v1.99.1 Scan saved at 23:51:34, on 04.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\htpatch.exe C:\WINDOWS\Dit.exe C:\WINDOWS\Logi_MwX.Exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE C:\WINDOWS\DitExp.exe C:\Programme\Google\Google Updater\GoogleUpdater.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\DT\T-Sinus 130data 11Mbps WLAN USB Adapter\monitordt.exe C:\Programme\Rainlendar-2.2.b45\Rainlendar2.exe C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE C:\Programme\iPod\bin\iPodService.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Marc\Desktop\hijackthis\abc.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fuelpilot-bosch O2 - BHO: MSVPS System - {00A00BA9-9D58-4B56-8FC6-C280650A8BD7} - C:\WINDOWS\vipextpnk.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll O3 - Toolbar: The voipwet - {167F6405-019D-4F32-8FBE-23B3C63CD8FD} - C:\WINDOWS\voipwet.dll (file missing) O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" autostart O4 - HKCU\..\Run: [Rainlendar2] C:\Dokumente und Einstellungen\Marc\Desktop\Rainlendar-2.2.b45\Rainlendar2.exe O4 - Startup: Verknüpfung mit Rainlendar2.exe.lnk = C:\Programme\Rainlendar-2.2.b45\Rainlendar2.exe O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe O4 - Global Startup: Logitech SetPoint.lnk = ? O4 - Global Startup: T-Sinus 130data WLAN USB Monitor.lnk = C:\Programme\DT\T-Sinus 130data 11Mbps WLAN USB Adapter\monitordt.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - http://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/ O16 - DPF: {2EF98DE5-183F-11D4-83EC-EC6A1DB6E213} - http://www.dynageo.de/download/dynageoviewer.cab O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1156073074718 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1166209411281 O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Kaspersky Personal Security Suite V (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe" -r (file missing) O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe die datei C:\WINDOWS\Bifrost\klog.dat ist nichtmehr dabei... kann ich jetzt davon ausgehen, dass alles wieder in ordnung ist? lg mck |
|
05.12.2007, 06:50
| #10 | |
| | System Alerts! Moin Zitat:
http://www.trojaner-board.de/41125-t...tml#post282018 und nein gehe nicht davon aus, dass alles wieder in Ordnung ist. Führe bitte einen eScan durch http://www.trojaner-board.de/42731-escan-anleitung.html poste das Ergebnis mittels der Find.bat (rechtsklick Ziel speichern unter) und lass Antivir ebenfalls upgedatet übers System schauen. MFG Edit : Moin Undo Geändert von nochdigger (05.12.2007 um 07:42 Uhr) |
|
05.12.2007, 07:34
| #11 |
| /// AVZ-Toolkit Guru | System Alerts! Halli hallo Spoink und einenen guten Morgen an nochdigger  Spoink, magst du nur mir zu liebe noch ein - Silentrunners logFile erstellen? Sozusagen im Sinne der Forschung.?. Das wäre super..
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
05.12.2007, 19:13
| #12 | |
| | System Alerts!Zitat:
Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NETWORK eScan Version: 9.2.6 Sprache: German Virus-Datenbank Datum: 5/28/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "NULLBYTE Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "titanshield antispyware Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "gohip Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "gohip Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "gohip Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "wareout Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen. System found infected with zlob Trojan-Downloader (games.ico)! Action taken: Keine Aktion vorgenommen. System found infected with zlob Trojan-Downloader (games.ico)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\RECYCLER\S-1-5-21-1179658559-4060942155-3722739889-1007\Dc2.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ File C:\Dokumente und Einstellungen\Marc\Desktop\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Dokumente und Einstellungen\Marc\Desktop\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Dokumente und Einstellungen\Marc\Desktop\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Dokumente und Einstellungen\Marc\Desktop\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\Marc\Eigene Dateien\Eigene Downloads\programme dateien\mirc616.exe//data0001.bin markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen. Datei C:\Programme\mIRC\mirc.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.62. Keine Aktion vorgenommen. File C:\System Volume Information\_restore{FA0CEAAD-9AC9-4161-8426-57672CB9C5D3}\RP489\A0155609.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\WINDOWS\system32\process.exe Offending file found: C:\WINDOWS\system32\swreg.exe Offending file found: C:\WINDOWS\system32\swsc.exe Offending file found: C:\Dokumente und Einstellungen\Marc\Desktop\smitfraudfix\process.exe Offending file found: C:\Dokumente und Einstellungen\Marc\Desktop\smitfraudfix\reboot.exe Offending file found: C:\Dokumente und Einstellungen\Marc\Desktop\smitfraudfix\swreg.exe Offending file found: C:\Dokumente und Einstellungen\Marc\Desktop\smitfraudfix\swsc.exe Offending file found: C:\Dokumente und Einstellungen\Marc\Eigene Dateien\eigene downloads\styles\icons\neuer ordner\bi3dicons1-0\games.ico Offending file found: C:\Dokumente und Einstellungen\Marc\Eigene Dateien\eigene downloads\styles\icons\neuer ordner\bi3dicons1-0\games.ico ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ Offending Folder found: C:\Dokumente und Einstellungen\Marc\Anwendungsdaten\icq\bart\1024 Offending Folder found: C:\Dokumente und Einstellungen\Marc\Anwendungsdaten\sopcast\adv Offending Folder found: C:\Dokumente und Einstellungen\Marc\Eigene Dateien\eigene bilder\autos Offending Folder found: C:\Dokumente und Einstellungen\Marc\Eigene Dateien\Eigene Bilder\autos Offending Folder found: C:\Dokumente und Einstellungen\Marc\Eigene Dateien\eigene bilder\autos Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cyberlink\powerdvd\ipower\images\hd ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKLM\Software\magnet !!! Offending Key found: HKCU\Software\magnet !!! Offending Key found: HKCU\\magnet !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{38705444-505f-11db-a485-0030f18c5037} !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}... ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 7.5.0.20\QuickTime.msi nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\QuickTime 7.3.0.70\QuickTime.msi nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\Marc\Eigene Dateien\Eigene Downloads\styles\Themes\Windows XP & Vista Themes\Aero5203\shell\NormalColor\shellstyle_original.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\Marc\Eigene Dateien\Eigene Downloads\styles\Themes\Windows XP & Vista Themes\Royale\shell\NormalColor\shellstyle.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Programme\QuickTime\QTSystem\QuickTimeAudioSupport.Resources\ko.lproj\QuickTimeAudioSupportLocalized.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... D:\Tools\DivX Video\DivX502Bundle.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 155662 Gefundene Viren: 29 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 202 Dauer des Scans bisher: 02:01:58 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 18:54:35,50 Batchende: 18:54:56,71 |
|
05.12.2007, 19:17
| #13 |
| | System Alerts! hier noch die silentrunners logFile : "Silent Runners.vbs", revision 53, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "TuneUp MemOptimizer" = ""C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" autostart" ["TuneUp Software GmbH"] "Rainlendar2" = "C:\Dokumente und Einstellungen\Marc\Desktop\Rainlendar-2.2.b45\Rainlendar2.exe" [file not found] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "HTpatch" = "C:\WINDOWS\htpatch.exe" [null data] "Dit" = "Dit.exe" [null data] "VOBRegCheck" = "C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg" [null data] "Logitech Utility" = "Logi_MwX.Exe" ["Logitech Inc."] "SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"" ["Sun Microsystems, Inc."] "Microsoft Works Update Detection" = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" ["Microsoft® Corporation"] "SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."] "Logitech Hardware Abstraction Layer" = "KHALMNPR.EXE" ["Logitech Inc."] "ANIWZCS2Service" = "C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" ["Alpha Networks Inc."] "Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"] "StartCCC" = "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [null data] "CloneCDTray" = ""C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s" ["SlySoft, Inc."] "QuickTime Task" = ""C:\Programme\QuickTime\QTTask.exe" -atboottime" ["Apple Inc."] "iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Inc."] "AVP" = ""C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe"" ["Kaspersky Lab"] HKLM\Software\Microsoft\Active Setup\Installed Components\ <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988}\(Default) = "IE7 Uninstall Stub" \StubPath = "C:\WINDOWS\system32\ieudinit.exe" [MS] >{881dd1c5-3dcf-431b-b061-f3f88e8be88a}\(Default) = "Outlook Express" \StubPath = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigOE" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "Adobe PDF Reader" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."] {AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\(Default) = (no title provided) -> {HKLM...CLSID} = "Google Toolbar Notifier BHO" \InProcServer32\(Default) = "C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll" ["Google Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{F5D92341-0A64-11D0-9956-0000E8096023}" = "CD Copy Shell Extension" -> {HKLM...CLSID} = "CD Copy Shell Extension" \InProcServer32\(Default) = "C:\WINDOWS\System32\Shellext\CDWshext.dll" ["VoB Computersysteme GmbH"] "{F5D92342-0A64-11D0-9956-0000E8096023}" = "CD Wizard Shell Extension" -> {HKLM...CLSID} = "CD Wizard Shell Extension" \InProcServer32\(Default) = "C:\WINDOWS\System32\Shellext\CDWshext.dll" ["VoB Computersysteme GmbH"] "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] "{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders" -> {HKLM...CLSID} = "Meine freigegebenen Ordner" \InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player" -> {HKLM...CLSID} = "RealOne Player Context Menu Class" \InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."] "{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler" -> {HKLM...CLSID} = "Microsoft Office Outlook" \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~4\OFFICE11\MLSHEXT.DLL" [MS] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler" -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung" \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~4\OFFICE11\OLKFSTUB.DLL" [MS] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS] "{DC70C4A5-2044-4c59-B806-DEFB9AE0DF7C}" = "Logitech Setpoint Extension" -> {HKLM...CLSID} = "KbLogiExt Class" \InProcServer32\(Default) = "C:\Programme\Logitech\SetPoint\kbcplext.dll" ["Logitech Inc."] "{B9B9F083-2B04-452A-8691-83694AC1037B}" = "Logitech Setpoint Extension" -> {HKLM...CLSID} = "LogiExt Class" \InProcServer32\(Default) = "C:\Programme\Logitech\SetPoint\mcplext.dll" ["Logitech Inc."] "{416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A}" = "PhoneBrowser" -> {HKLM...CLSID} = "Nokia Phone Browser" \InProcServer32\(Default) = "C:\Programme\Nokia\Nokia PC Suite 6\PhoneBrowser.dll" ["Nokia"] "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" = "TuneUp Shredder Shell Extension" -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension" \InProcServer32\(Default) = "C:\PROGRA~1\TUNEUP~1\SDShelEx-win32.dll" ["TuneUp Software GmbH"] "{44440D00-FF19-4AFC-B765-9A0970567D97}" = "TuneUp Theme Extension" -> {HKLM...CLSID} = "TuneUp Theme Extension" \InProcServer32\(Default) = "C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"] "{5E2121EE-0300-11D4-8D3B-444553540000}" = "Catalyst Context Menu extension" -> {HKLM...CLSID} = "SimpleShlExt Class" \InProcServer32\(Default) = "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll" [empty string] "{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes" -> {HKLM...CLSID} = "iTunes" \InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."] "{E8D43C7E-EFA1-41A2-9AD9-0CFECD1678B7}" = "SafeErase" -> {HKLM...CLSID} = "SafeEraseObj Class" \InProcServer32\(Default) = "C:\Programme\OO Software\SafeErase\oosesh.dll" ["O&O Software GmbH"] "{85E0B171-04FA-11D1-B7DA-00A0C90348D6}" = "Statistik für Web-Anti-Virus" -> {HKLM...CLSID} = "Statistik für Web-Anti-Virus" \InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll" ["Kaspersky Lab"] HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ "0aMCPClient" = "{F5DF91F9-15E9-416B-A7C3-7519B11ECBFC}" -> {HKLM...CLSID} = "MCPShellInstantiator Class" \InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\Stardock\MCPCore.dll" ["Stardock"] "WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}" -> {HKLM...CLSID} = "WPDShServiceObj Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS] HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ <<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."] <<!>> klogon\DLLName = "C:\WINDOWS\system32\klogon.dll" ["Kaspersky Lab"] HKLM\Software\Classes\PROTOCOLS\Filter\ <<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS] HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\ShellEx.dll" ["Kaspersky Lab"] SafeErase\(Default) = "{E8D43C7E-EFA1-41A2-9AD9-0CFECD1678B7}" -> {HKLM...CLSID} = "SafeEraseObj Class" \InProcServer32\(Default) = "C:\Programme\OO Software\SafeErase\oosesh.dll" ["O&O Software GmbH"] TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension" \InProcServer32\(Default) = "C:\PROGRA~1\TUNEUP~1\SDShelEx-win32.dll" ["TuneUp Software GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension" \InProcServer32\(Default) = "C:\PROGRA~1\TUNEUP~1\SDShelEx-win32.dll" ["TuneUp Software GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\ShellEx.dll" ["Kaspersky Lab"] SafeErase\(Default) = "{E8D43C7E-EFA1-41A2-9AD9-0CFECD1678B7}" -> {HKLM...CLSID} = "SafeEraseObj Class" \InProcServer32\(Default) = "C:\Programme\OO Software\SafeErase\oosesh.dll" ["O&O Software GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Group Policies {policy setting}: -------------------------------- Note: detected settings may not have any effect. HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001 {Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) dword:0x00000001 {Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\Marc\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Startup items in "Marc" & "All Users" startup folders: ------------------------------------------------------ C:\Dokumente und Einstellungen\Marc\Startmenü\Programme\Autostart "Verknüpfung mit Rainlendar2.exe" -> shortcut to: "C:\Programme\Rainlendar-2.2.b45\Rainlendar2.exe" [null data] C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Google Updater" -> shortcut to: "C:\Programme\Google\Google Updater\GoogleUpdater.exe -systray -startup" ["Google"] "Logitech SetPoint" -> shortcut to: "C:\Programme\Logitech\SetPoint\SetPoint.exe" ["Logitech Inc."] "T-Sinus 130data WLAN USB Monitor" -> shortcut to: "C:\Programme\DT\T-Sinus 130data 11Mbps WLAN USB Adapter\monitordt.exe" ["Deutsche Telekom"] Enabled Scheduled Tasks: ------------------------ "1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"] "AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -task" ["Apple Inc."] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 21 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{167F6405-019D-4F32-8FBE-23B3C63CD8FD}" = (no title provided) -> {HKLM...CLSID} = "The voipwet" \InProcServer32\(Default) = "C:\WINDOWS\voipwet.dll" [file not found] Explorer Bars HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\ {FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\(Default) = (no title provided) -> {HKLM...CLSID} = "Real.com" \InProcServer32\(Default) = "C:\WINDOWS\System32\Shdocvw.dll" [MS] HKLM\Software\Classes\CLSID\{85E0B171-04FA-11D1-B7DA-00A0C90348D6}\(Default) = "Statistik für Web-Anti-Virus" Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar] InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll" ["Kaspersky Lab"] HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren" Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar] InProcServer32\(Default) = "C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL" [MS] Extensions (Tools menu items, main toolbar menu buttons) HKCU\Software\Microsoft\Internet Explorer\Extensions\ {01E9CF82-AE9D-42BA-A629-B23D51A4B86B}\ "ButtonText" = "MedionShop" "Exec" = "http://www.medionshop.de/" [file not found] HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}" -> {HKCU...CLSID} = "Java Plug-in 1.6.0_03" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."] -> {HKLM...CLSID} = "Java Plug-in 1.6.0_03" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll" ["Sun Microsystems, Inc."] {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}\ "ButtonText" = "Statistik für Web-Anti-Virus" {92780B25-18CC-41C8-B9BE-3C9C571A8263}\ "ButtonText" = "Recherchieren" {B863453A-26C3-4E1F-A54D-A2CD196348E9}\ "ButtonText" = "ICQ Lite" "MenuText" = "ICQ Lite" "Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."] {CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\ "ButtonText" = "Real.com" {E2E2DD38-D088-4134-82B7-F2BA38496583}\ "MenuText" = "@xpsp3res.dll,-20001" "Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS] {F4430FE8-2638-42E5-B849-800749B94EED}\ "ButtonText" = "PartyPoker.net" "MenuText" = "PartyPoker.net" "Exec" = "C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe" [empty string] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [file not found] Miscellaneous IE Hijack Points ------------------------------ C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings") Added lines (compared with English-language version): [Strings]: START_PAGE_URL=http://www.medion.com/ Missing lines (compared with English-language version): [Strings]: 1 line HKLM\Software\Microsoft\Internet Explorer\AboutURLs\ <<H>> "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ Apple Mobile Device, Apple Mobile Device, ""C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe"" ["Apple, Inc."] Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."] Google Updater Service, gusvc, ""C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe"" ["Google"] iPod-Dienst, iPod Service, "C:\Programme\iPod\bin\iPodService.exe" ["Apple Inc."] Kaspersky Personal Security Suite V, AVP, ""C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe" -r" ["Kaspersky Lab"] Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"" [MS] TuneUp Designerweiterung, UxTuneUp, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]} Windows Driver Foundation - User-mode Driver Framework, WudfSvc, "C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup" {"C:\WINDOWS\System32\WUDFSvc.dll" [MS]} Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS] Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS] PDFCreator\Driver = "pdfcmnnt.dll" [null data] ---------- (launch time: 2007-12-05 19:16:02) <<!>>: Suspicious data at a malware launch point. <<H>>: Suspicious data at a browser hijack point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer "No" at the first message box and "Yes" at the second message box. ---------- (total run time: 48 seconds, including 5 seconds for message boxes) |
|
05.12.2007, 20:21
| #14 |
| | System Alerts! ich denk ich geb den kampf auf  werd wohl formatieren... oder glaub ihr die chancen stehen gut, dass ein weniger großer aufwand noch zu ner lösung führt? lg mck virus  |
|
06.12.2007, 16:59
| #15 | ||
| | System Alerts! Hallo Zitat:
Zitat:
Neuaufsetzen des Systems und anschliessende Absicherung! Ändere nach der Neuinstallation unbedingt alle Pass- und Kennwörter und sichere bitte nur Bilder, Videos, MP3 sowie Officedateien aber keine ausführbaren Dateien (exe, bat, scr, pif usw.). MFG |
|
| Themen zu System Alerts! |
| adobe, bho, defender, desktop, excel, explorer, firefox, gen 2, google, hijack, hijackthis, installation, internet, internet explorer, kaspersky, mozilla, mozilla firefox, personal security, security, security suite, software, symantec, system, tuneup utilities, usb, virus, windows, windows xp, wlan |
Linear-Darstellung
