|
Alles rund um Windows: Nach Virenbefall Recover-Cd erstellen?(Virus:Virtumonde)Windows 7 Hilfe zu allen Windows-Betriebssystemen: Windows XP, Windows Vista, Windows 7, Windows 8(.1) und Windows 10 / Windows 11- als auch zu sämtlicher Windows-Software. Alles zu Windows 10 ist auch gerne willkommen. Bitte benenne etwaige Fehler oder Bluescreens unter Windows mit dem Wortlaut der Fehlermeldung und Fehlercode. Erste Schritte für Hilfe unter Windows. |
09.12.2007, 02:19 | #1 |
| Problem: Nach Virenbefall Recover-Cd erstellen?(Virus:Virtumonde) Guten Abend! Prügel mich nun seit ein paar Tagen mit einem Virus mit Namen :Virtumonde oder so ähnlich rum. Habe nach langem suchen im I-Net und auch aus Tips von hier anscheinend den Virus besiegt. Spybot meldet nichts mehr, Kaspersky auch nicht mehr. Nur die One Care Sache von Windows meldete noch immer beim scannen diesen Virus. Habe dann mal Vundo-Fix V6.7.0 drüber laufen lassen . LOGFILE: VundoFix V6.7.0 Checking Java version... Sun Java not detected Scan started at 23:33:20 06.12.2007 Listing files found while scanning.... C:\windows\system32\jkhhh.dll Beginning removal... Attempting to delete C:\windows\system32\jkhhh.dll C:\windows\system32\jkhhh.dll Has been deleted! Performing Repairs to the registry. Done! VundoFix V6.7.0 Checking Java version... Sun Java not detected Scan started at 23:58:58 06.12.2007 Listing files found while scanning.... No infected files were found. VundoFix V6.7.0 Checking Java version... Sun Java not detected Scan started at 18:17:29 07.12.2007 Listing files found while scanning.... No infected files were found. Beginning removal... VundoFix V6.7.0 Checking Java version... Sun Java not detected Scan started at 17:16:57 08.12.2007 Listing files found while scanning.... No infected files were found. VundoFix V6.7.0 [/B] Checking Java version... Sun Java not detected Scan started at 23:35:01 08.12.2007 Listing files found while scanning.... No infected files were found. [/B] Danach alle Scannprog. wieder.Und wieder nichts ausser wieder bei One Care und das nur wenn es selbst scannt (Task). Und wieder fand es den Virus : Virtumonde. Ansonsten nichts. Dann mal versucht die Logfiles von HJT zu analisieren und siehe da ich fand auch diese DDC Dateien die ich nicht zuordnen konnte. Habe dann danach gegoogelt und ne Seite gefunden die auch beschrieb wo in der Registry sich dieses Teil ein trägt und was es verändert. Habe diese Dateien dann gelöscht/rück-geändert und das System neu gestartet. Danach konnte ich auch die DDC Dateien ( DDC.exe ) löschen. Ging ja vorher nicht da es ein aktiver von sich aus immer wieder startender Prozess war.(Durch eigenständigen Registryeintrag ) Nun wollte ich hier mal erfahren ob die aktuelle Logfile von HJT sauber ist. Währe nett wenn jemand mal drüber schauen kann damit ich weiß ob ich Systehmwiederherstellung wieder einschalten kann und nun eine Rettungs-Cd erstellen kann für künftigen Virenbefall. Hie der aktuelle Log: Logfile of HijackThis v1.99.1 Scan saved at 01:18:44, on 09.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16544) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Microsoft Windows OneCare Live\Antivirus\MsMpEng.exe C:\WINDOWS\System32\svchost.exe D:\Anwendungen\ad-aware07\aawservice.exe C:\WINDOWS\Explorer.EXE C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe C:\Programme\Microsoft Windows OneCare Live\winssnotify.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDClock.exe C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDMedia.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\ASUS\ASUS DH Remote\AsDhRemote.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\emMON.exe D:\Anwendungen\Kaspersky-Anti-Vir\avp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe D:\Anwendungen\OpenOffice.org 2.3\program\soffice.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe D:\Anwendungen\OpenOffice.org 2.3\program\soffice.BIN C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe D:\Anwendungen\Kaspersky-Anti-Vir\avp.exe C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe D:\Anwendungen\Nero 8\InCD\InCDsrv.exe C:\Programme\Microsoft Windows OneCare Live\Firewall\msfwsvc.exe D:\Anwendungen\Nero 8\Nero BackItUp\NBService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\Microsoft Windows OneCare Live\winss.exe C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\WINDOWS\System32\svchost.exe D:\Internet\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Genieser1\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot O4 - HKLM\..\Run: [Ai Quicker Help] "C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe" O4 - HKLM\..\Run: [OneCareUI] "C:\Programme\Microsoft Windows OneCare Live\winssnotify.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe" O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Anwendungen\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [emMON] emMON.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [AVP] "D:\Anwendungen\Kaspersky-Anti-Vir\avp.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe" O4 - Startup: OpenOffice.org 2.3.lnk = D:\Anwendungen\OpenOffice.org 2.3\program\quickstart.exe O4 - Global Startup: ASUS WiFi-AP Solo.lnk.disabled O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O8 - Extra context menu item: Alles mit FDM herunterladen - file://D:\Internet\Free Download Manager\dlall.htm O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://D:\Internet\Free Download Manager\dlselected.htm O8 - Extra context menu item: Datei mit FDM herunterladen - file://D:\Internet\Free Download Manager\dllink.htm O8 - Extra context menu item: Videos mit FDM herunterladen - file://D:\Internet\Free Download Manager\dlfvideo.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Anwendungen\Kaspersky-Anti-Vir\SCIEPlgn.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\ANWEND~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\ANWEND~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://h**p://www.kaspersky.com/kos/...an_unicode.cab O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://h**p://www.systemrequirements...sysreqlab2.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://h**p://www.update.microsoft.c...?1194568181218 O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://h**p://www.nvidia.com/content...aSmartScan.cab O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://h**p://javadl-esd.sun.com/upd...ws-i586-jc.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{722E66EE-BA3F-4E8B-8A8D-D9CA14BC9422}: NameServer = 192.168.178.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{CF6FC620-696B-4CAF-91FA-2954420CA338}: NameServer = 192.168.178.1 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Anwendungen\ad-aware07\aawservice.exe O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - D:\Anwendungen\Kaspersky-Anti-Vir\avp.exe O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Anwendungen\Nero 8\InCD\InCDsrv.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - D:\Anwendungen\Nero 8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.ex Vielen Dank im Vorraus für eure Mühe. Geändert von gennieser1 (09.12.2007 um 02:25 Uhr) |
09.12.2007, 22:24 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Nach Virenbefall Recover-Cd erstellen?(Virus:Virtumonde) Anleitung / Hilfe Hallo.
__________________Im HJT-Log ist nichts ersichtlich, allerdings hattest du auch die alte Version benutzt. Nimm mal diese aktuelle Version und erstelle ein neues Logfile. Nimm besten diese umbenannte hijackthis.exe. Führ mal bitte folgende Tools bzw. Anleitungen aus und poste die Logfiles: - eScanFalls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren: Über ein filelisting mit diesem script:Diese listing.txt z.B. bei file-upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.
__________________ |
09.12.2007, 22:42 | #3 |
| Nach Virenbefall Recover-Cd erstellen?(Virus:Virtumonde) Details so hier mal der Logfile vom neuen HJ:
__________________Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:39:53, on 09.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16544) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Microsoft Windows OneCare Live\Antivirus\MsMpEng.exe C:\WINDOWS\System32\svchost.exe D:\Anwendungen\ad-aware07\aawservice.exe C:\WINDOWS\Explorer.EXE C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe C:\Programme\Microsoft Windows OneCare Live\winssnotify.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDClock.exe C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDMedia.exe C:\Program Files\ASUS\ASUS DH Remote\AsDhRemote.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\emMON.exe D:\Anwendungen\Kaspersky-Anti-Vir\avp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe D:\Anwendungen\OpenOffice.org 2.3\program\soffice.exe D:\Anwendungen\OpenOffice.org 2.3\program\soffice.BIN C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe D:\Anwendungen\Kaspersky-Anti-Vir\avp.exe C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe D:\Anwendungen\Nero 8\InCD\InCDsrv.exe C:\Programme\Microsoft Windows OneCare Live\Firewall\msfwsvc.exe D:\Anwendungen\Nero 8\Nero BackItUp\NBService.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Microsoft Windows OneCare Live\winss.exe C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\taskmgr.exe D:\Internet\Mozilla Firefox\firefox.exe D:\Internet\FREEDO~1\fdm.exe C:\Dokumente und Einstellungen\Genieser1\Desktop\abc123.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\ANWEND~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {75E4E25C-C195-4D47-8548-9EE44EA81942} - C:\WINDOWS\system32\jkkjk.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Internet\Free Download Manager\iefdm2.dll O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot O4 - HKLM\..\Run: [Ai Quicker Help] "C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe" O4 - HKLM\..\Run: [OneCareUI] "C:\Programme\Microsoft Windows OneCare Live\winssnotify.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe" O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Anwendungen\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [emMON] emMON.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [AVP] "D:\Anwendungen\Kaspersky-Anti-Vir\avp.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe" O4 - Startup: OpenOffice.org 2.3.lnk = D:\Anwendungen\OpenOffice.org 2.3\program\quickstart.exe O4 - Global Startup: ASUS WiFi-AP Solo.lnk.disabled O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Anwendungen\Kaspersky-Anti-Vir\SCIEPlgn.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\ANWEND~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\ANWEND~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://h**p://www.kaspersky.com/kos/...an_unicode.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://h**p://www.update.microsoft.c...?1194568181218 O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://h**p://www.nvidia.com/content...aSmartScan.cab O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://h**p://javadl-esd.sun.com/upd...ws-i586-jc.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{722E66EE-BA3F-4E8B-8A8D-D9CA14BC9422}: NameServer = 192.168.178.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{CF6FC620-696B-4CAF-91FA-2954420CA338}: NameServer = 192.168.178.1 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: qomlkji - C:\WINDOWS\ O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Anwendungen\ad-aware07\aawservice.exe O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - D:\Anwendungen\Kaspersky-Anti-Vir\avp.exe O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Anwendungen\Nero 8\InCD\InCDsrv.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - D:\Anwendungen\Nero 8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe -- End of file - 8997 bytes Anderes folgt gleich. Geändert von gennieser1 (09.12.2007 um 23:11 Uhr) |
09.12.2007, 22:49 | #4 |
| Lösung: Nach Virenbefall Recover-Cd erstellen?(Virus:Virtumonde) Hier der Link zum Scriptlogfile: File-Upload.net - Ihr kostenloser File Hoster! Unten drunter Silentrunner Logfile Silentrunner logfile: Silent Runners.vbs", revision 53, Silent Runners - Adware? Disinfect, don't reformat! Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "Skype" = ""C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized" ["Skype Technologies S.A."] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" = ""C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"" ["Nero AG"] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "IAAnotif" = "C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe" ["Intel Corporation"] "JMB36X IDE Setup" = "C:\WINDOWS\JM\JMInsIDE.exe" [null data] "36X Raid Configurer" = "C:\WINDOWS\system32\JMRaidSetup.exe boot" ["JMicron Technology Corp."] "Ai Quicker Help" = ""C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe"" [null data] "OneCareUI" = ""C:\Programme\Microsoft Windows OneCare Live\winssnotify.exe"" [MS] "SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"" ["Sun Microsystems, Inc."] "Launch LCDMon" = ""C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe"" ["Logitech Inc."] "Launch LGDCore" = ""C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE" ["Logitech Inc."] "Logitech Utility" = "Logi_MwX.Exe" ["Logitech Inc."] "RTHDCPL" = "RTHDCPL.EXE" ["Realtek Semiconductor Corp."] "Alcmtr" = "ALCMTR.EXE" ["Realtek Semiconductor Corp."] "Adobe Reader Speed Launcher" = ""D:\Anwendungen\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"] "NeroFilterCheck" = "C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" ["Nero AG"] "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"] "NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS] "emMON" = "emMON.exe" ["eMPIA Technology, Inc."] "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS] "AVP" = ""D:\Anwendungen\Kaspersky-Anti-Vir\avp.exe"" ["Kaspersky Lab"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "Adobe PDF Reader" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided) -> {HKLM...CLSID} = "Spybot-S&D IE Protection" \InProcServer32\(Default) = "D:\ANWEND~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"] {75E4E25C-C195-4D47-8548-9EE44EA81942}\(Default) = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\jkkjk.dll" [null data] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."] {9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided) -> {HKLM...CLSID} = "Windows Live Anmelde-Hilfsprogramm" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS] {CC59E0F9-7E43-44FA-9FAA-8377850BF205}\(Default) = (no title provided) -> {HKLM...CLSID} = "FDMIECookiesBHO Class" \InProcServer32\(Default) = "D:\Internet\Free Download Manager\iefdm2.dll" [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] Geändert von gennieser1 (09.12.2007 um 23:04 Uhr) |
09.12.2007, 23:00 | #5 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Wie Nach Virenbefall Recover-Cd erstellen?(Virus:Virtumonde) Entfern bitte die aktiven Links aus den Logfiles!
__________________ Logfiles bitte immer in CODE-Tags posten |
09.12.2007, 23:15 | #6 |
| Wo Nach Virenbefall Recover-Cd erstellen?(Virus:Virtumonde) Lösung! Combofix läßt sich komischerweiße bei mir nicht starten. Kann sein das ich was falsch mache aber es sagt dauernt es währe keine Windof 32 Anwendung. |
09.12.2007, 23:22 | #7 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Nach Virenbefall Recover-Cd erstellen?(Virus:Virtumonde) Der Link zu combofix ist mal wieder kaputt...nimm diesen => ComboFix - Download - INSTALKI.pl Das silentrunners-Log ist unvollständig!
__________________ Logfiles bitte immer in CODE-Tags posten |
09.12.2007, 23:30 | #8 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Nach Virenbefall Recover-Cd erstellen?(Virus:Virtumonde) MAch mal in Ruhe noch den escan im abgesicherten Modus. Danach kannst du von dort mit HijackThis gleich mal diese Einträge fixen: Code:
ATTFilter O2 - BHO: (no name) - {75E4E25C-C195-4D47-8548-9EE44EA81942} - C:\WINDOWS\system32\jkkjk.dll O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Anwendungen\Adobe\Reader 8.0\Reader\Reader_sl.exe" O20 - Winlogon Notify: qomlkji - C:\WINDOWS\
__________________ Logfiles bitte immer in CODE-Tags posten |
10.12.2007, 00:46 | #9 |
| Nach Virenbefall Recover-Cd erstellen?(Virus:Virtumonde) So hier mal der e-scan log: ( "NUR" 26 Viren gefunden.*g* b]Header[/b] ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NORMAL eScan Version: 9.5.9 Sprache: German Virus-Datenbank Datum: 12/10/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "saminside Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "saminside Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with spyware.imfmonitor Spyware/Adware ({0ba4ac17-3329-4d46-8cf7-40a8f1cb3dca})! Action taken: Keine Aktion vorgenommen. System found infected with spyware.imfmonitor Spyware/Adware ({2a652f47-a8ce-414c-bbb4-203a59031056})! Action taken: Keine Aktion vorgenommen. System found infected with spyware.imfmonitor Spyware/Adware ({30571f17-3201-47ed-a8ac-254f3d5c5b5c})! Action taken: Keine Aktion vorgenommen. System found infected with spyware.imfmonitor Spyware/Adware ({3c43bba2-9e93-4758-8669-adce56687e0c})! Action taken: Keine Aktion vorgenommen. System found infected with spyware.imfmonitor Spyware/Adware ({4898d118-1d1e-4a2d-a8a3-4a75bf333cd5})! Action taken: Keine Aktion vorgenommen. System found infected with spyware.imfmonitor Spyware/Adware ({4acc4c22-2baf-46ca-8287-232e785e77ce})! Action taken: Keine Aktion vorgenommen. System found infected with spyware.imfmonitor Spyware/Adware ({517f778c-078d-4d33-953b-afbf1720c947})! Action taken: Keine Aktion vorgenommen. System found infected with spyware.imfmonitor Spyware/Adware ({76d230aa-fc0c-4dd4-bf9e-4032d60369f1})! Action taken: Keine Aktion vorgenommen. System found infected with spyware.imfmonitor Spyware/Adware ({87b24642-366e-4393-851a-b6cec5d7e641})! Action taken: Keine Aktion vorgenommen. System found infected with spyware.imfmonitor Spyware/Adware ({8c22668a-d7d8-42f5-99e8-4f30ed0d18b0})! Action taken: Keine Aktion vorgenommen. System found infected with spyware.imfmonitor Spyware/Adware ({963dfd8c-2e6a-4db4-bcb3-9d5c78142e41})! Action taken: Keine Aktion vorgenommen. System found infected with spyware.imfmonitor Spyware/Adware ({9c1ab46a-1fe8-4953-be30-327e0d6f7d45})! Action taken: Keine Aktion vorgenommen. System found infected with spyware.imfmonitor Spyware/Adware ({a06d036f-984f-4482-ad5c-ebd11a638b4c})! Action taken: Keine Aktion vorgenommen. System found infected with spyware.imfmonitor Spyware/Adware ({a434ac6f-7286-42c3-982b-20f00263501b})! Action taken: Keine Aktion vorgenommen. System found infected with spyware.imfmonitor Spyware/Adware ({c5a786b9-3bd6-4a4e-b4d7-9b752138dc4b})! Action taken: Keine Aktion vorgenommen. System found infected with spyware.imfmonitor Spyware/Adware ({d044d89c-01e4-4722-8812-8df543680606})! Action taken: Keine Aktion vorgenommen. System found infected with spyware.imfmonitor Spyware/Adware ({d3e78b93-4b65-405d-9095-e82b78555173})! Action taken: Keine Aktion vorgenommen. System found infected with spyware.imfmonitor Spyware/Adware ({dd55f5c5-de77-4de1-a139-1025c66acfb0})! Action taken: Keine Aktion vorgenommen. System found infected with spyware.imfmonitor Spyware/Adware ({e6857874-b535-46d7-a3eb-4103614e91fc})! Action taken: Keine Aktion vorgenommen. System found infected with spyware.imfmonitor Spyware/Adware ({fbd42940-b837-40eb-bdb4-86ae00e1d0d1})! Action taken: Keine Aktion vorgenommen. System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\Dokumente und Einstellungen\Genieser1\Desktop\ComboFix.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\Genieser1\Desktop\ComboFix.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\WINDOWS\system32\unrar.dll ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\k-lite codec pack\tools Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\k-lite codec pack\tools ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{271508ba-9b0c-11dc-b9fa-001bfce832a2} !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}... ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 98078 Gefundene Viren: 26 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 142 Dauer des Scans bisher: 00:53:06 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 0:39:38,48 Batchende: 0:39:54,20 |
10.12.2007, 00:47 | #10 |
| Nach Virenbefall Recover-Cd erstellen?(Virus:Virtumonde) [gelöst] Und hier nun der komplette Silentrunner Log: "Silent Runners.vbs", revision 53, Silent Runners - Adware? Disinfect, don't reformat! Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "Skype" = ""C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized" ["Skype Technologies S.A."] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" = ""C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"" ["Nero AG"] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "IAAnotif" = "C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe" ["Intel Corporation"] "JMB36X IDE Setup" = "C:\WINDOWS\JM\JMInsIDE.exe" [null data] "36X Raid Configurer" = "C:\WINDOWS\system32\JMRaidSetup.exe boot" ["JMicron Technology Corp."] "Ai Quicker Help" = ""C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe"" [null data] "OneCareUI" = ""C:\Programme\Microsoft Windows OneCare Live\winssnotify.exe"" [MS] "SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"" ["Sun Microsystems, Inc."] "Launch LCDMon" = ""C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe"" ["Logitech Inc."] "Launch LGDCore" = ""C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE" ["Logitech Inc."] "Logitech Utility" = "Logi_MwX.Exe" ["Logitech Inc."] "RTHDCPL" = "RTHDCPL.EXE" ["Realtek Semiconductor Corp."] "Alcmtr" = "ALCMTR.EXE" ["Realtek Semiconductor Corp."] "Adobe Reader Speed Launcher" = ""D:\Anwendungen\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"] "NeroFilterCheck" = "C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" ["Nero AG"] "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"] "NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS] "emMON" = "emMON.exe" ["eMPIA Technology, Inc."] "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS] "AVP" = ""D:\Anwendungen\Kaspersky-Anti-Vir\avp.exe"" ["Kaspersky Lab"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "Adobe PDF Reader" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided) -> {HKLM...CLSID} = "Spybot-S&D IE Protection" \InProcServer32\(Default) = "D:\ANWEND~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."] {9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided) -> {HKLM...CLSID} = "Windows Live Anmelde-Hilfsprogramm" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS] {946926DE-C6F1-44CF-9198-82760749D0AA}\(Default) = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\jkkjk.dll" [null data] {CC59E0F9-7E43-44FA-9FAA-8377850BF205}\(Default) = (no title provided) -> {HKLM...CLSID} = "FDMIECookiesBHO Class" \InProcServer32\(Default) = "D:\Internet\Free Download Manager\iefdm2.dll" [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "D:\Anwendungen\WinRAR\rarext.dll" [null data] "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" = "OpenOffice.org Column Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = ""D:\Anwendungen\OpenOffice.org 2.3\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] "{087B3AE3-E237-4467-B8DB-5A38AB959AC9}" = "OpenOffice.org Infotip Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = ""D:\Anwendungen\OpenOffice.org 2.3\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] "{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice.org Property Sheet Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = ""D:\Anwendungen\OpenOffice.org 2.3\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] "{3B092F0C-7696-40E3-A80F-68D74DA84210}" = "OpenOffice.org Thumbnail Viewer" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = ""D:\Anwendungen\OpenOffice.org 2.3\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] "{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders" -> {HKLM...CLSID} = "Meine freigegebenen Ordner" \InProcServer32\(Default) = "C:\Programme\Windows Live\Messenger\fsshext.8.5.1302.1018.dll" [MS] "{09bffb91-ecda-4149-bcfd-d87a345c219e}" = "InCDShellExt extension" -> {HKLM...CLSID} = "InCDShellExt Class" \InProcServer32\(Default) = "D:\Anwendungen\Nero 8\InCD\InCDshx.dll" ["Nero AG"] "{692eb3b0-d034-403e-b742-2407bd43bf9b}" = "InCDUdfPerm extension" -> {HKLM...CLSID} = "InCDUdfPerm Class" \InProcServer32\(Default) = "D:\Anwendungen\Nero 8\InCD\InCDUP.dll" ["Nero AG"] "{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler" -> {HKLM...CLSID} = "NeroDigitalIconHandler Class" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroDigitalExt.dll" ["Nero AG"] "{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler" -> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroDigitalExt.dll" ["Nero AG"] "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class" -> {HKLM...CLSID} = "DesktopContext Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper" -> {HKLM...CLSID} = "NVIDIA CPL Extension" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {HKLM...CLSID} = "Desktop Explorer" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {HKLM...CLSID} = "nView Desktop Context Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{85E0B171-04FA-11D1-B7DA-00A0C90348D6}" = "Statistik für Web-Anti-Virus" -> {HKLM...CLSID} = "Statistik für Web-Anti-Virus" \InProcServer32\(Default) = "D:\Anwendungen\Kaspersky-Anti-Vir\SCIEPlgn.dll" ["Kaspersky Lab"] HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ "WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}" -> {HKLM...CLSID} = "WPDShServiceObj Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS] HKLM\System\CurrentControlSet\Control\Session Manager\ <<!>> "BootExecute" = "autocheck autochk *"|"lsdelete" [null data] HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ <<!>> klogon\DLLName = "C:\WINDOWS\system32\klogon.dll" ["Kaspersky Lab"] HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler" -> {HKLM...CLSID} = "NeroDigitalColumnHandler Class" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroDigitalExt.dll" ["Nero AG"] {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}\(Default) = "OpenOffice.org Column Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = ""D:\Anwendungen\OpenOffice.org 2.3\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ InCDShellExt\(Default) = "{09bffb91-ecda-4149-bcfd-d87a345c219e}" -> {HKLM...CLSID} = "InCDShellExt Class" \InProcServer32\(Default) = "D:\Anwendungen\Nero 8\InCD\InCDshx.dll" ["Nero AG"] Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "D:\Anwendungen\Kaspersky-Anti-Vir\ShellEx.dll" ["Kaspersky Lab"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "D:\Anwendungen\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ InCDShellExt\(Default) = "{09bffb91-ecda-4149-bcfd-d87a345c219e}" -> {HKLM...CLSID} = "InCDShellExt Class" \InProcServer32\(Default) = "D:\Anwendungen\Nero 8\InCD\InCDshx.dll" ["Nero AG"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "D:\Anwendungen\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ InCDShellExt\(Default) = "{09bffb91-ecda-4149-bcfd-d87a345c219e}" -> {HKLM...CLSID} = "InCDShellExt Class" \InProcServer32\(Default) = "D:\Anwendungen\Nero 8\InCD\InCDshx.dll" ["Nero AG"] Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "D:\Anwendungen\Kaspersky-Anti-Vir\ShellEx.dll" ["Kaspersky Lab"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "D:\Anwendungen\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\ AntivirusShlExt\(Default) = "{BE79B9C8-9791-41d3-9267-C4123AC0AEAE}" -> {HKLM...CLSID} = "AVShellExt Class" \InProcServer32\(Default) = "C:\Programme\Microsoft Windows OneCare Live\AVShellExt.dll" [MS] Group Policies {policy setting}: -------------------------------- Note: detected settings may not have any effect. HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001 {Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) dword:0x00000001 {Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Startup items in "Genieser1" & "All Users" startup folders: ----------------------------------------------------------- C:\Dokumente und Einstellungen\Genieser1\Startmenü\Programme\Autostart "OpenOffice.org 2.3" -> shortcut to: "D:\Anwendungen\OpenOffice.org 2.3\program\quickstart.exe" [null data] C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart <<!>> "ASUS WiFi-AP Solo.lnk.disabled" [null data] "hp psc 1000 series" -> shortcut to: "C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe" ["Hewlett-Packard Co."] "hpoddt01.exe" -> shortcut to: "C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" ["Hewlett-Packard"] Enabled Scheduled Tasks: ------------------------ "FRU Task #Hewlett-Packard#hp psc 1100 series#1194773223" -> launches: "C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe -I "#Hewlett-Packard#hp psc 1100 series#1194773223"" [empty string] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 21 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Explorer Bars HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\ HKLM\Software\Classes\CLSID\{85E0B171-04FA-11D1-B7DA-00A0C90348D6}\(Default) = "Statistik für Web-Anti-Virus" Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar] InProcServer32\(Default) = "D:\Anwendungen\Kaspersky-Anti-Vir\SCIEPlgn.dll" ["Kaspersky Lab"] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}" -> {HKCU...CLSID} = "Java Plug-in 1.6.0_03" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."] -> {HKLM...CLSID} = "Java Plug-in 1.6.0_03" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll" ["Sun Microsystems, Inc."] {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}\ "ButtonText" = "Statistik für Web-Anti-Virus" {DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\ "MenuText" = "Spybot - Search & Destroy Configuration" "CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}" -> {HKLM...CLSID} = "Spybot-S&D IE Protection" \InProcServer32\(Default) = "D:\ANWEND~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"] {E2E2DD38-D088-4134-82B7-F2BA38496583}\ "MenuText" = "@xpsp3res.dll,-20001" "Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ Ad-Aware 2007 Service, aawservice, "D:\Anwendungen\ad-aware07\aawservice.exe" ["Lavasoft AB"] InCD Helper, InCDsrv, "D:\Anwendungen\Nero 8\InCD\InCDsrv.exe" ["Nero AG"] Intel(R) Matrix Storage Event Monitor, IAANTMON, "C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe" ["Intel Corporation"] Kaspersky Anti-Virus 7.0, AVP, "D:\Anwendungen\Kaspersky-Anti-Vir\avp.exe -r" ["Kaspersky Lab"] Nero BackItUp Scheduler 3, Nero BackItUp Scheduler 3, "D:\Anwendungen\Nero 8\Nero BackItUp\NBService.exe" ["Nero AG"] NMIndexingService, NMIndexingService, ""C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe"" ["Nero AG"] NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"] OneCare AntiSpyware and AntiVirus, OneCareMP, ""C:\Programme\Microsoft Windows OneCare Live\Antivirus\MsMpEng.exe"" [MS] OneCare Firewall, msfwsvc, ""C:\Programme\Microsoft Windows OneCare Live\Firewall\msfwsvc.exe"" [MS] Windows Live OneCare, winss, "C:\Programme\Microsoft Windows OneCare Live\winss.exe" [MS] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ hpzsnt07\Driver = "hpzsnt07.dll" ["HP"] ---------- (launch time: 2007-12-10 00:45:13) <<!>>: Suspicious data at a malware launch point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer "No" at the first message box and "Yes" at the second message box. ---------- (total run time: 33 seconds, including 10 seconds for message boxes) |
10.12.2007, 00:55 | #11 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Nach Virenbefall Recover-Cd erstellen?(Virus:Virtumonde) [gelöst]Zitat:
Das silentrunners schau ich mir mal eben an...
__________________ Logfiles bitte immer in CODE-Tags posten |
10.12.2007, 01:03 | #12 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Nach Virenbefall Recover-Cd erstellen?(Virus:Virtumonde) [gelöst] Ein paar Dateien hab ich gesehen, die weg sollten, aber bei einer bin ich mir nicht sicher, ob sie noch existiert, macht aber nichts: 1.) Lade dir das Tool Avenger, speichere es auf dem Desktop und starte es. 2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein: Code:
ATTFilter Files to delete: C:\WINDOWS\system32\jkkjk.dll C:\WINDOWS\system32\qomlkji.dll C:\WINDOWS\qomlkji.dll 4.) Danach das System unverzüglich neu starten lassen 5.) Poste den Inhalt der C:\avenger.txt Datei. Reich auch noch das Filelisting nach.
__________________ Logfiles bitte immer in CODE-Tags posten |
10.12.2007, 01:11 | #13 |
| Nach Virenbefall Recover-Cd erstellen?(Virus:Virtumonde) [gelöst] Escan habe ich aber im normalen Modus aus geführt.Schlimm? Im Abgesicherten wollte er nicht so ganz.Bin ja auch über W-Lan verbunden und eigentlich nicht über Router. Oder soll ich morgen nochmal escan versuchen im agesicherten? Hier noch das logfil von Combofix: ComboFix 07-12-09.1 - Genieser1 2007-12-10 0:54:50.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1294 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\Genieser1\Desktop\ComboFix(1).exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\regedit.com C:\WINDOWS\system32\jkkjk.dll C:\WINDOWS\system32\kjkkj.ini C:\WINDOWS\system32\kjkkj.ini2 C:\WINDOWS\system32\rqtwa.ini2 C:\WINDOWS\system32\taskmgr.com . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\LEGACY_DOMAINSERVICE ((((((((((((((((((((((( Dateien erstellt von 2007-11-10 bis 2007-12-10 )))))))))))))))))))))))))))))) . 2007-12-10 00:37 . 2007-12-10 00:37 0 --a------ C:\23990098.$$$ 2007-12-09 23:35 . 2007-12-09 23:35 <DIR> d-a------ C:\WINDOWS\zts2.exe 2007-12-09 23:35 . 2007-12-09 23:35 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll 2007-12-09 23:35 . 2007-12-09 23:35 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll 2007-12-09 23:35 . 2007-12-09 23:35 <DIR> d-a------ C:\WINDOWS\rundll16.exe 2007-12-09 23:35 . 2007-12-09 23:35 <DIR> d-a------ C:\WINDOWS\rundl132.dll 2007-12-09 23:35 . 2007-12-09 23:35 <DIR> d-a------ C:\WINDOWS\logo1_.exe 2007-12-09 23:29 . 2007-12-09 23:43 50 --a------ C:\WINDOWS\Lic.xxx 2007-12-09 23:28 . 2004-08-04 13:00 153,600 --a------ C:\WINDOWS\R.COM 2007-12-09 23:28 . 2004-08-04 13:00 140,800 --a------ C:\WINDOWS\system32\T.COM 2007-12-09 22:55 . 2007-12-09 22:55 <DIR> d-------- C:\Dokumente und Einstellungen\Genieser1\temporary internet files 2007-12-08 15:47 . 2007-11-08 19:01 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2007-12-08 15:47 . 2007-11-08 18:58 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen 2007-12-08 15:47 . 2007-11-08 18:58 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2007-12-08 15:47 . 2007-12-10 01:00 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2007-12-08 15:47 . 2007-11-08 18:58 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten 2007-12-08 15:47 . 2007-11-08 18:58 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung 2007-12-08 15:47 . 2007-11-08 18:58 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2007-12-07 19:53 . 2007-12-10 01:03 3,379,744 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat 2007-12-07 19:53 . 2007-12-07 19:57 82,061 --a------ C:\WINDOWS\system32\drivers\klick.dat 2007-12-07 19:53 . 2007-12-07 19:57 81,549 --a------ C:\WINDOWS\system32\drivers\klin.dat 2007-12-07 19:53 . 2007-12-10 01:01 50,372 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx 2007-12-07 19:53 . 2007-12-10 01:03 43,296 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat 2007-12-07 19:53 . 2007-12-10 01:01 6,152 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx 2007-12-07 18:46 . 2007-12-07 18:46 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab 2007-12-07 18:46 . 2007-12-10 01:03 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2007-12-06 23:33 . 2007-12-08 16:39 <DIR> d-------- C:\VundoFix Backups 2007-12-06 22:22 . 2007-12-06 23:39 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2007-12-06 22:17 . 2007-12-08 01:35 <DIR> d-------- C:\Programme\Google 2007-12-06 21:47 . 2007-12-07 21:02 81,984 --a------ C:\WINDOWS\system32\bdod.bin 2007-12-06 21:27 . 2005-09-23 08:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll 2007-12-06 19:28 . 2007-12-07 18:36 1,134 ---hs---- C:\WINDOWS\system32\bbxjfslh.ini 2007-12-06 19:26 . 2007-12-06 19:26 <DIR> d-------- C:\Programme\Hamachi 2007-12-06 19:26 . 2007-12-06 21:19 <DIR> d-------- C:\Dokumente und Einstellungen\Genieser1\Anwendungsdaten\Hamachi 2007-12-06 19:26 . 2007-12-06 19:26 10,578 --a------ C:\WINDOWS\system32\drivers\hamachi.sys 2007-12-05 19:38 . 2007-12-06 19:18 774 ---hs---- C:\WINDOWS\system32\ggwaarmm.ini 2007-12-05 18:14 . 2007-09-21 10:35 116,416 --a------ C:\WINDOWS\system32\drivers\msfwhlpr.sys 2007-12-05 18:14 . 2007-09-21 10:35 91,328 --a------ C:\WINDOWS\system32\drivers\msfwdrv.sys 2007-12-05 18:13 . 2007-12-05 18:13 <DIR> d-------- C:\WINDOWS\system32\bits 2007-12-05 18:13 . 2007-03-29 13:58 7,168 -----c--- C:\WINDOWS\system32\dllcache\bitsprx4.dll 2007-12-05 18:13 . 2007-03-29 13:58 7,168 --------- C:\WINDOWS\system32\bitsprx4.dll 2007-12-04 20:50 . 2007-12-04 20:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2007-12-04 19:32 . 2007-12-05 19:32 534 ---hs---- C:\WINDOWS\system32\cpgnpjas.ini 2007-12-01 21:45 . 2004-08-04 13:00 221,184 --a------ C:\WINDOWS\system32\wmpns.dll 2007-12-01 19:26 . 2007-12-01 19:55 <DIR> d-------- C:\WINDOWS\UI 2007-12-01 11:49 . 2007-12-01 11:49 2 --a------ C:\1146741292 2007-11-29 19:17 . 2007-11-29 19:50 <DIR> d-------- C:\Programme\EMUSB2.0 2007-11-29 19:17 . 2004-12-15 13:55 188,416 --a------ C:\WINDOWS\emSTI.exe 2007-11-29 19:17 . 1998-09-01 17:24 35,600 --a------ C:\WINDOWS\emAMCAP.exe 2007-11-29 19:07 . 2007-12-10 00:03 <DIR> d-------- C:\Dokumente und Einstellungen\Genieser1\Anwendungsdaten\skypePM 2007-11-29 19:07 . 2007-11-29 19:07 32 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat 2007-11-29 19:06 . 2007-11-29 19:06 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype 2007-11-25 05:11 . 2007-11-25 05:11 533 --a------ C:\WINDOWS\eReg.dat 2007-11-25 05:05 . 2007-11-25 05:05 685,816 --a------ C:\WINDOWS\system32\drivers\sptd.sys 2007-11-24 17:55 . 2007-11-24 17:58 <DIR> d-------- C:\Dokumente und Einstellungen\Genieser1\Anwendungsdaten\Command & Conquer 3 Tiberium Wars 2007-11-24 13:13 . 2007-11-24 13:13 <DIR> d-------- C:\Dokumente und Einstellungen\Genieser1\Anwendungsdaten\InstallShield Installation Information 2007-11-24 13:03 . 2007-11-24 13:03 <DIR> d-------- C:\WINDOWS\system32\AGEIA 2007-11-24 13:03 . 2007-12-04 20:49 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2007-11-24 13:03 . 2007-11-24 13:03 <DIR> d-------- C:\Programme\AGEIA Technologies 2007-11-24 13:03 . 2007-07-19 18:14 3,727,720 --a------ C:\WINDOWS\system32\d3dx9_35.dll 2007-11-24 13:03 . 2007-07-19 18:14 1,358,192 --a------ C:\WINDOWS\system32\D3DCompiler_35.dll 2007-11-24 13:03 . 2007-07-19 18:14 444,776 --a------ C:\WINDOWS\system32\d3dx10_35.dll 2007-11-24 12:50 . 2007-11-24 12:50 290 --a------ C:\WINDOWS\game.ini 2007-11-24 12:34 . 2007-11-24 12:34 <DIR> d-------- C:\WINDOWS\ftpcache 2007-11-24 12:02 . 2007-11-24 12:02 <DIR> d-------- C:\WINDOWS\PIF 2007-11-22 22:35 . 2007-11-22 22:35 <DIR> d-------- C:\Dokumente und Einstellungen\Genieser1\Anwendungsdaten\aignes 2007-11-22 22:18 . 2007-12-02 10:07 <DIR> d-------- C:\WINDOWS\system32\NtmsData 2007-11-22 20:21 . 2007-01-18 13:38 23,600 --a------ C:\WINDOWS\system32\drivers\TVICHW32.SYS 2007-11-20 23:43 . 2007-12-08 00:56 <DIR> d-------- C:\Programme\ffdshow 2007-11-20 23:43 . 2007-04-24 16:30 60,273 --a------ C:\WINDOWS\system32\pthreadGC2.dll 2007-11-20 23:43 . 2007-07-29 16:51 7,680 --a------ C:\WINDOWS\system32\ff_vfw.dll 2007-11-20 23:43 . 2007-07-10 17:10 547 --a------ C:\WINDOWS\system32\ff_vfw.dll.manifest 2007-11-20 22:51 . 2004-02-22 10:11 719,872 --a------ C:\WINDOWS\system32\devil.dll 2007-11-20 22:51 . 2006-10-07 17:43 502,784 --a------ C:\WINDOWS\x2.64.exe 2007-11-20 22:51 . 2007-05-14 15:24 394,240 --a------ C:\WINDOWS\system32\Smab.dll 2007-11-20 22:51 . 2007-05-17 17:30 318,976 --a------ C:\WINDOWS\system32\avisynth.dll 2007-11-20 22:51 . 2005-02-28 13:16 240,128 --a------ C:\WINDOWS\system32\x.264.exe 2007-11-20 22:51 . 2006-04-12 09:47 217,073 --a------ C:\WINDOWS\meta4.exe 2007-11-20 22:51 . 2004-01-25 00:00 70,656 --a------ C:\WINDOWS\system32\i420vfw.dll 2007-11-20 22:51 . 2006-04-05 08:09 66,560 --a------ C:\WINDOWS\MOTA113.exe 2007-11-20 22:51 . 2005-07-14 12:31 27,648 --a------ C:\WINDOWS\system32\AVSredirect.dll 2007-11-20 22:11 . 2007-11-20 22:23 <DIR> d-------- C:\Dokumente und Einstellungen\Genieser1\dwhelper 2007-11-20 18:24 . 2007-10-04 17:14 356,352 --a------ C:\WINDOWS\system32\nvudisp.exe 2007-11-20 18:24 . 2007-11-20 18:26 140,158 --a------ C:\WINDOWS\system32\nvapps.xml 2007-11-20 18:24 . 2007-10-04 17:14 17,525 --a------ C:\WINDOWS\system32\nvdisp.nvu 2007-11-20 18:23 . 2007-10-04 18:16 356,352 --a------ C:\WINDOWS\system32\NVUNINST.EXE 2007-11-20 18:15 . 2007-10-04 17:14 136,260 --a------ C:\WINDOWS\system32\nvapps.nvb 2007-11-18 12:20 . 2007-11-18 12:20 481 --a------ C:\WINDOWS\ipwatch.ini 2007-11-18 12:06 . 2007-11-18 12:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2007-11-17 18:02 . 2007-12-08 03:00 69 --a------ C:\WINDOWS\NeroDigital.ini 2007-11-17 12:20 . 2007-11-17 12:20 <DIR> d-------- C:\Dokumente und Einstellungen\Genieser1\Anwendungsdaten\Nero 2007-11-17 12:15 . 2007-11-17 12:19 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nero 2007-11-17 12:15 . 2007-11-17 12:15 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero 2007-11-17 02:35 . 2007-11-17 02:35 <DIR> d-------- C:\WINDOWS\Performance 2007-11-17 02:35 . 2007-11-17 02:35 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Corporation 2007-11-14 23:28 . 2007-11-14 23:28 <DIR> d-------- C:\Dokumente und Einstellungen\Genieser1\Anwendungsdaten\Thunderbird 2007-11-13 23:49 . 2007-11-20 18:26 <DIR> d-------- C:\WINDOWS\nview 2007-11-13 23:27 . 2007-11-13 23:27 552 --a------ C:\WINDOWS\system32\d3d8caps.dat 2007-11-13 17:33 . 2003-07-17 10:17 5,174 --a------ C:\WINDOWS\system32\nppt9x.vxd 2007-11-13 17:33 . 2005-01-01 01:43 4,682 --a------ C:\WINDOWS\system32\npptNT2.sys . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-10 00:03 --------- d-----w C:\Dokumente und Einstellungen\Genieser1\Anwendungsdaten\Skype 2007-12-09 23:53 --------- d-----w C:\Dokumente und Einstellungen\Genieser1\Anwendungsdaten\Free Download Manager 2007-12-09 13:23 --------- d-----w C:\Programme\Microsoft Windows OneCare Live 2007-12-08 21:54 --------- d--h--w C:\Programme\InstallShield Installation Information 2007-12-05 17:20 244,224 ----a-w C:\WINDOWS\Media\F1100warxy99.dll 2007-11-29 18:06 --------- d-----w C:\Programme\Skype 2007-11-25 04:13 12,400 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys 2007-11-10 15:01 359,808 ----a-w C:\WINDOWS\system32\drivers\TCPIP.SYS 2007-11-09 20:26 --------- d-----w C:\Dokumente und Einstellungen\Genieser1\Anwendungsdaten\Media Player Classic 2007-11-09 17:48 --------- d-----w C:\Dokumente und Einstellungen\Genieser1\Anwendungsdaten\TeamViewer 2007-11-09 16:41 315,392 ----a-w C:\WINDOWS\HideWin.exe 2007-11-09 16:41 --------- d-----w C:\Programme\Realtek 2007-11-09 16:14 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FreeDownloadManager.ORG 2007-11-09 14:03 --------- d-----w C:\Programme\Gemeinsame Dateien\Hewlett-Packard 2007-11-09 14:02 --------- d-----w C:\Programme\Hewlett-Packard 2007-11-09 13:11 --------- d-----w C:\Programme\Logitech 2007-11-09 13:11 --------- d-----w C:\Programme\Gemeinsame Dateien\Logitech 2007-11-09 12:55 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Logitech 2007-11-09 12:17 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype 2007-11-09 11:00 --------- d-----w C:\Programme\eMPIA 2007-11-08 23:26 --------- d-----w C:\Dokumente und Einstellungen\Genieser1\Anwendungsdaten\Talkback 2007-11-08 20:13 --------- d-----w C:\Programme\Java 2007-11-08 20:12 --------- d-----w C:\Programme\Gemeinsame Dateien\Java 2007-11-08 19:56 --------- d-----w C:\Programme\Futuremark 2007-11-08 19:42 --------- d-----w C:\Programme\MSXML 6.0 2007-11-08 19:40 --------- d-----w C:\Programme\MSBuild 2007-11-08 19:38 --------- d-----w C:\Programme\Reference Assemblies 2007-11-08 19:38 --------- d-----w C:\Programme\LeechFTP 2007-11-08 19:37 --------- d-----w C:\Programme\Windows Media Connect 2 2007-11-08 18:32 --------- d-----w C:\Programme\MSXML 4.0 2007-11-08 18:20 --------- d-----w C:\Programme\ASUS 2007-11-08 18:18 21,035 ----a-w C:\WINDOWS\system32\drivers\AegisP.sys 2007-11-08 18:18 --------- d-----w C:\Programme\ASUS WiFi-AP Solo 2007-11-08 18:16 --------- d-----w C:\Programme\Marvell 2007-11-08 18:16 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield 2007-11-08 18:13 --------- d-----w C:\Programme\Intel 2007-11-08 18:04 --------- d-----w C:\Programme\microsoft frontpage 2007-11-08 18:03 --------- d-----w C:\Programme\Online-Dienste 2007-11-08 18:03 --------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap 2007-11-08 18:03 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste 2007-11-08 17:58 --------- d-----w C:\Programme\Gemeinsame Dateien\SpeechEngines 2007-11-08 17:58 --------- d-----w C:\Programme\Gemeinsame Dateien\ODBC 2007-11-01 13:38 4,620,288 ----a-r C:\WINDOWS\system32\drivers\RtkHDAud.sys 2007-10-25 10:57 16,855,552 ----a-r C:\WINDOWS\RTHDCPL.exe 2007-10-24 00:47 96,760 ----a-w C:\WINDOWS\system32\dfshim.dll 2007-10-24 00:47 84,480 ----a-w C:\WINDOWS\system32\mscories.dll 2007-10-24 00:47 282,112 ----a-w C:\WINDOWS\system32\mscoree.dll 2007-10-24 00:47 158,720 ----a-w C:\WINDOWS\system32\mscorier.dll 2007-10-20 00:56 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe 2007-10-20 00:56 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll 2007-10-20 00:56 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll 2007-10-20 00:56 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll 2007-10-20 00:54 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll 2007-10-20 00:54 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll 2007-10-20 00:54 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll 2007-10-20 00:54 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll 2007-10-20 00:54 739,840 ----a-w C:\WINDOWS\system32\DivX.dll 2007-10-20 00:54 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll 2007-10-18 10:31 51,224 ----a-w C:\WINDOWS\system32\sirenacm.dll 2007-10-18 09:06 156,992 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe 2007-10-18 09:03 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll 2007-10-18 09:03 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll 2007-10-18 09:03 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll 2007-10-18 09:03 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll 2007-10-18 09:03 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll 2007-10-18 09:03 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll 2007-10-18 09:02 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll 2007-10-11 10:04 1,826,816 ----a-r C:\WINDOWS\SkyTel.exe 2007-10-11 08:55 88,576 ----a-w C:\WINDOWS\system32\infocardapi.dll 2007-10-11 08:55 579,584 ----a-w C:\WINDOWS\system32\icardagt.exe 2007-10-11 08:55 11,776 ----a-w C:\WINDOWS\system32\icardres.dll 2007-10-09 12:03 779,800 ----a-w C:\WINDOWS\system32\PresentationNative_v0300.dll 2007-10-09 12:03 73,752 ----a-w C:\WINDOWS\system32\dxva2.dll 2007-10-09 12:03 493,080 ----a-w C:\WINDOWS\system32\evr.dll 2007-10-09 12:03 350,744 ----a-w C:\WINDOWS\system32\PresentationHost.exe 2007-10-09 12:03 33,304 ----a-w C:\WINDOWS\system32\PresentationHostProxy.dll 2007-10-09 12:03 161,304 ----a-w C:\WINDOWS\system32\UIAutomationCore.dll 2007-10-09 12:03 106,520 ----a-w C:\WINDOWS\system32\PresentationCFFRasterizerNative_v0300.dll 2007-10-09 12:03 1,986,072 ----a-w C:\WINDOWS\system32\milcore.dll 2007-10-09 11:58 16,896 ----a-w C:\WINDOWS\system32\tswpfwrp.exe 2007-10-04 16:14 81,920 ----a-w C:\WINDOWS\system32\nvwddi.dll 2007-10-04 16:14 81,920 ----a-w C:\WINDOWS\system32\nvmctray.dll 2007-10-04 16:14 8,491,008 ----a-w C:\WINDOWS\system32\nvcpl.dll 2007-10-04 16:14 753,664 ----a-w C:\WINDOWS\system32\nvcplui.exe 2007-10-04 16:14 6,750,208 ----a-w C:\WINDOWS\system32\nvoglnt.dll 2007-10-04 16:14 6,344,704 ----a-w C:\WINDOWS\system32\nvdisps.dll 2007-10-04 16:14 5,783,424 ----a-w C:\WINDOWS\system32\nv4_disp.dll 2007-10-04 16:14 5,509,120 ----a-w C:\WINDOWS\system32\nvdispsr.dll 2007-10-04 16:14 466,944 ----a-w C:\WINDOWS\system32\nvshell.dll 2007-10-04 16:14 458,752 ----a-w C:\WINDOWS\system32\nvmccssr.dll 2007-10-04 16:14 45,056 ----a-w C:\WINDOWS\system32\nvmccsrs.dll 2007-10-04 16:14 442,368 ----a-w C:\WINDOWS\system32\nvappbar.exe 2007-10-04 16:14 425,984 ----a-w C:\WINDOWS\system32\keystone.exe 2007-10-04 16:14 364,544 ----a-w C:\WINDOWS\system32\nvapi.dll 2007-10-04 16:14 36,864 ----a-w C:\WINDOWS\system32\nvcodins.dll 2007-10-04 16:14 36,864 ----a-w C:\WINDOWS\system32\nvcod.dll 2007-10-04 16:14 335,872 ----a-w C:\WINDOWS\system32\nvwrses.dll 2007-10-04 16:14 335,872 ----a-w C:\WINDOWS\system32\nvwrsel.dll 2007-10-04 16:14 327,680 ----a-w C:\WINDOWS\system32\nvwrsfr.dll 2007-10-04 16:14 327,680 ----a-w C:\WINDOWS\system32\nvwrsesm.dll 2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll 2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00] "Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-11-12 15:48] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe" [2007-08-03 12:51] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IAAnotif"="C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2006-05-03 13:35] "JMB36X IDE Setup"="C:\WINDOWS\JM\JMInsIDE.exe" [2006-10-30 13:44] "36X Raid Configurer"="C:\WINDOWS\system32\JMRaidSetup.exe" [2006-11-16 10:05] "Ai Quicker Help"="C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe" [2006-11-09 21:29] "OneCareUI"="C:\Programme\Microsoft Windows OneCare Live\winssnotify.exe" [2007-11-19 09:38] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11] "Launch LCDMon"="C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe" [2007-04-26 16:54] "Launch LGDCore"="C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" [2007-04-26 17:22] "Logitech Utility"="Logi_MwX.Exe" [2003-12-17 09:50 C:\WINDOWS\LOGI_MWX.EXE] "RTHDCPL"="RTHDCPL.EXE" [2007-10-25 11:57 C:\WINDOWS\RTHDCPL.exe] "Alcmtr"="ALCMTR.EXE" [2005-05-03 18:43 C:\WINDOWS\Alcmtr.exe] "NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 15:57] "nwiz"="nwiz.exe" [2007-10-04 17:14 C:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="RUNDLL32.exe" [2004-08-04 13:00 C:\WINDOWS\system32\rundll32.exe] "emMON"="emMON.exe" [2006-05-30 21:24 C:\WINDOWS\emMON.exe] "NvCplDaemon"="RUNDLL32.exe" [2004-08-04 13:00 C:\WINDOWS\system32\rundll32.exe] "AVP"="D:\Anwendungen\Kaspersky-Anti-Vir\avp.exe" [2007-06-28 12:51] "combofix"="C:\WINDOWS\system32\cmd.exe" [2004-08-04 13:00] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\OneCareMP] @="Service" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "NBKeyScan"="D:\Anwendungen\Nero 8\Nero BackItUp\NBKeyScan.exe" "SecurDisc"=D:\Anwendungen\Nero 8\InCD\NBHGui.exe "NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup R1 MSFWHLPR;MSFWHLPR;C:\WINDOWS\system32\DRIVERS\msfwhlpr.sys R2 MSFWDrv;MSFWDrv;C:\WINDOWS\system32\DRIVERS\msfwdrv.sys R2 msfwsvc;OneCare Firewall;"C:\Programme\Microsoft Windows OneCare Live\Firewall\msfwsvc.exe" R2 Nero BackItUp Scheduler 3;Nero BackItUp Scheduler 3;D:\Anwendungen\Nero 8\Nero BackItUp\NBService.exe R2 OneCareMP;OneCare AntiSpyware and AntiVirus;"C:\Programme\Microsoft Windows OneCare Live\Antivirus\MsMpEng.exe" R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys R3 MpFilter;Microsoft Malware Protection Driver;C:\WINDOWS\system32\DRIVERS\MpFilter.sys R3 WmBEnum;Logitech Virtual Bus Enumerator Driver;C:\WINDOWS\system32\drivers\WmBEnum.sys R3 WmFilter;Logitech Gaming HID Filter Driver;C:\WINDOWS\system32\drivers\WmFilter.sys R3 WmXlCore;Logitech Translation Layer Driver;C:\WINDOWS\system32\drivers\WmXlCore.sys S1 ATITool;ATITool Overclocking Utility;C:\WINDOWS\system32\DRIVERS\ATITool.sys S3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;C:\WINDOWS\system32\DRIVERS\RTL8187.sys S3 SjyPkt;SjyPkt;\??\C:\WINDOWS\System32\Drivers\SjyPkt.sys S3 USB28xxBGA;USB 2820 Device;C:\WINDOWS\system32\DRIVERS\emBDA.sys S3 USB28xxOEM;USB 28xx OEM Filter;C:\WINDOWS\system32\DRIVERS\emOEM.sys S3 USRSp50;USRSp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\USRSp50.sys S3 WmVirHid;Logitech Virtual Hid Device Driver;C:\WINDOWS\system32\drivers\WmVirHid.sys [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{271508ba-9b0c-11dc-b9fa-001bfce832a2}] \Shell\AutoRun\command - I:\RunGame.exe . Inhalt des "geplante Tasks" Ordners "2007-11-11 09:27:28 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1100 series#1194773223.job" - C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe . ************************************************************************** catchme 0.3.1331 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-10 01:03:41 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2007-12-10 1:04:42 - machine was rebooted . --- E O F --- |
10.12.2007, 01:27 | #14 |
| Nach Virenbefall Recover-Cd erstellen?(Virus:Virtumonde) [gelöst] Avenger arbeitet anscheinend nicht richtig. Alles so gemacht wie beschrieben aber folgende Fehlermeldung kam dabei raus: ////////////////////////////////////////// Avenger Pre-Processor log ////////////////////////////////////////// Fatal error: could not create new script file. Error code: 0 Error logged to errorlog.txt. Aborting now! Denke aber mal das HJ bzw. Combofix das Problem schön gelößt hat. Werden mal shcnell nun noch ein neues Logfile von HJ erstellen lassen. Hier das Logfile von HJ: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 01:23:21, on 10.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16544) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Microsoft Windows OneCare Live\Antivirus\MsMpEng.exe C:\WINDOWS\System32\svchost.exe D:\Anwendungen\ad-aware07\aawservice.exe C:\WINDOWS\Explorer.EXE C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe C:\Programme\Microsoft Windows OneCare Live\winssnotify.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDClock.exe C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDMedia.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\emMON.exe C:\Program Files\ASUS\ASUS DH Remote\AsDhRemote.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe D:\Anwendungen\Kaspersky-Anti-Vir\avp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe D:\Anwendungen\OpenOffice.org 2.3\program\soffice.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe D:\Anwendungen\OpenOffice.org 2.3\program\soffice.BIN D:\Anwendungen\Kaspersky-Anti-Vir\avp.exe C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe D:\Anwendungen\Nero 8\InCD\InCDsrv.exe C:\Programme\Microsoft Windows OneCare Live\Firewall\msfwsvc.exe D:\Anwendungen\Nero 8\Nero BackItUp\NBService.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Microsoft Windows OneCare Live\winss.exe C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\NOTEPAD.EXE D:\Internet\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Genieser1\Desktop\avenger\avenger.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\Genieser1\Desktop\abc123.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = h**p://go.microsoft.com/fwlink/?LinkId=54843 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\ANWEND~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Internet\Free Download Manager\iefdm2.dll O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot O4 - HKLM\..\Run: [Ai Quicker Help] "C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe" O4 - HKLM\..\Run: [OneCareUI] "C:\Programme\Microsoft Windows OneCare Live\winssnotify.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe" O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [emMON] emMON.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [AVP] "D:\Anwendungen\Kaspersky-Anti-Vir\avp.exe" O4 - HKLM\..\Run: [combofix] "C:\WINDOWS\system32\cmd.exe" /c "cd /d C:\ComboFix\ & Combobatch.bat" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe" O4 - Startup: OpenOffice.org 2.3.lnk = D:\Anwendungen\OpenOffice.org 2.3\program\quickstart.exe O4 - Global Startup: ASUS WiFi-AP Solo.lnk.disabled O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Anwendungen\Kaspersky-Anti-Vir\SCIEPlgn.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\ANWEND~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\ANWEND~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1194568181218 O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - h**p://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - h**p://javadl-esd.sun.com/update/1.6.0/jinstall-6u3-windows-i586-jc.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{722E66EE-BA3F-4E8B-8A8D-D9CA14BC9422}: NameServer = 192.168.178.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{CF6FC620-696B-4CAF-91FA-2954420CA338}: NameServer = 192.168.178.1 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Anwendungen\ad-aware07\aawservice.exe O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - D:\Anwendungen\Kaspersky-Anti-Vir\avp.exe O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Anwendungen\Nero 8\InCD\InCDsrv.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - D:\Anwendungen\Nero 8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe -- End of file - 8783 bytes |
10.12.2007, 01:30 | #15 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Nach Virenbefall Recover-Cd erstellen?(Virus:Virtumonde) [gelöst]Zitat:
Werte mal die Datei C:\WINDOWS\System32\Drivers\SjyPkt.sys bei Virustotal aus. Bei der bin ich mir nicht ganz sicher. Ein andere Dateien müssen noch runter. Gehe wir oben beschrieben mit dem avenger vor, aber kopiere diesmal diesen Text rein: Code:
ATTFilter File to delete: C:\WINDOWS\system32\bdod.bin C:\WINDOWS\system32\bbxjfslh.ini C:\WINDOWS\system32\ggwaarmm.ini C:\WINDOWS\system32\cpgnpjas.ini "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat" C:\WINDOWS\Media\F1100warxy99.dll C:\WINDOWS\HideWin.exe Schau auch mal in den Ordner C:\WINDOWS\UI hinein, ob du dort merkwürdige Dateien siehst.
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Nach Virenbefall Recover-Cd erstellen?(Virus:Virtumonde) |
ad-aware, adobe, antivirus, desktop, eigenständige, einstellungen, ellung, firefox, free download, help, hijack, hijackthis, immer wieder, internet, internet explorer, kaspersky, launch, logfile, mozilla, mozilla firefox, object, prozess, rundll, scan, software, system, system neu, temp, virtumonde, virus, windows, windows xp |