| |
| |||||||
Log-Analyse und Auswertung: Bitte um Unterstützung / CoolWWWSearchWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
07.01.2008, 17:32
| #16 | |
| > MalwareDB   |  Bitte um Unterstützung / CoolWWWSearch 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Quotebox in das Notepad Fenster ein. Zitat:
3. Speichere im Notepad als CFScript.txt auf dem Dektop. 4. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.  5. Nach dem Neustart (es wird gefrat ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Ein neues HijackThis log. |
|
07.01.2008, 17:58
| #17 |
 | Bitte um Unterstützung / CoolWWWSearch Es wurde nichtnach einem Neustart gefragt, habe trotzdem Windows neu gestartet und dann das Hijackthislog erstellt.
__________________Combofix: Code:
ATTFilter ComboFix 08-01-07.5 - Mario 2008-01-07 17:45:12.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.136 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Mario\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Mario\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt
FILE
C:\WINDOWS\addbp.exe
C:\WINDOWS\addos.exe
C:\WINDOWS\apiie32.exe
C:\WINDOWS\apimq32.exe
C:\WINDOWS\apiuz32.exe
C:\WINDOWS\appha.exe
C:\WINDOWS\appqo
C:\WINDOWS\appqo.exe
C:\WINDOWS\atlxn32.exe
C:\WINDOWS\crnh32.exe
C:\WINDOWS\crpy.exe
C:\WINDOWS\d3wn.exe
C:\WINDOWS\ipnp32.exe
C:\WINDOWS\javaab32.exe
C:\WINDOWS\javalc.exe
C:\WINDOWS\javamy.exe
C:\WINDOWS\javaqb.exe
C:\WINDOWS\javaya32.exe
C:\WINDOWS\mfcsb32.exe
C:\WINDOWS\msao.dll
C:\WINDOWS\msjm.exe
C:\WINDOWS\nethq32.exe
C:\WINDOWS\ntib32.ex
C:\WINDOWS\ntib32.exe
C:\WINDOWS\sdkyq.exe
C:\WINDOWS\syscg32.exe
C:\WINDOWS\system32\addju.exe
C:\WINDOWS\system32\apikr32.exe
C:\WINDOWS\system32\apitj.exe
C:\WINDOWS\system32\apixk32.exe
C:\WINDOWS\system32\atlsv32.exe
C:\WINDOWS\system32\cric32.exe
C:\WINDOWS\system32\crypt32o.dll
C:\WINDOWS\system32\d3uk32.exe
C:\WINDOWS\system32\iekr.exe
C:\WINDOWS\system32\iplx32.exe
C:\WINDOWS\system32\javagm.exe
C:\WINDOWS\system32\javakx.exe
C:\WINDOWS\system32\javaod.exe
C:\WINDOWS\system32\javatn.exe
C:\WINDOWS\system32\javavc.exe
C:\WINDOWS\system32\javayu.exe
C:\WINDOWS\system32\mfcbe32.exe
C:\WINDOWS\system32\mfcgo32.exe
C:\WINDOWS\system32\msim.exe
C:\WINDOWS\system32\netio.exe
C:\WINDOWS\system32\ntdw32.exe
C:\WINDOWS\system32\sdkfr.exe
C:\WINDOWS\system32\sdkqb32.exe
C:\WINDOWS\system32\sdkqr.exe
C:\WINDOWS\system32\syszj32.exe
C:\WINDOWS\system32\winbn32.exe
C:\WINDOWS\system32\winoz32.exe
C:\WINDOWS\system32\winqk32.exe
C:\WINDOWS\winbj32.exe
C:\WINDOWS\winbr32.exe
C:\WINDOWS\windk.exe
C:\WINDOWS\winyb32.exe
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\addbp.exe
C:\WINDOWS\addos.exe
C:\WINDOWS\apiie32.exe
C:\WINDOWS\apimq32.exe
C:\WINDOWS\apiuz32.exe
C:\WINDOWS\appha.exe
C:\WINDOWS\appqo.exe
C:\WINDOWS\atlxn32.exe
C:\WINDOWS\crnh32.exe
C:\WINDOWS\crpy.exe
C:\WINDOWS\d3wn.exe
C:\WINDOWS\ipnp32.exe
C:\WINDOWS\javaab32.exe
C:\WINDOWS\javalc.exe
C:\WINDOWS\javamy.exe
C:\WINDOWS\javaqb.exe
C:\WINDOWS\javaya32.exe
C:\WINDOWS\mfcsb32.exe
C:\WINDOWS\msjm.exe
C:\WINDOWS\nethq32.exe
C:\WINDOWS\ntib32.exe
C:\WINDOWS\sdkyq.exe
C:\WINDOWS\syscg32.exe
C:\WINDOWS\system32\addju.exe
C:\WINDOWS\system32\apikr32.exe
C:\WINDOWS\system32\apitj.exe
C:\WINDOWS\system32\apixk32.exe
C:\WINDOWS\system32\atlsv32.exe
C:\WINDOWS\system32\cric32.exe
C:\WINDOWS\system32\d3uk32.exe
C:\WINDOWS\system32\iekr.exe
C:\WINDOWS\system32\iplx32.exe
C:\WINDOWS\system32\javagm.exe
C:\WINDOWS\system32\javakx.exe
C:\WINDOWS\system32\javaod.exe
C:\WINDOWS\system32\javatn.exe
C:\WINDOWS\system32\javavc.exe
C:\WINDOWS\system32\javayu.exe
C:\WINDOWS\system32\mfcbe32.exe
C:\WINDOWS\system32\mfcgo32.exe
C:\WINDOWS\system32\msim.exe
C:\WINDOWS\system32\netio.exe
C:\WINDOWS\system32\ntdw32.exe
C:\WINDOWS\system32\sdkfr.exe
C:\WINDOWS\system32\sdkqb32.exe
C:\WINDOWS\system32\sdkqr.exe
C:\WINDOWS\system32\syszj32.exe
C:\WINDOWS\system32\winbn32.exe
C:\WINDOWS\system32\winoz32.exe
C:\WINDOWS\system32\winqk32.exe
C:\WINDOWS\winbj32.exe
C:\WINDOWS\winbr32.exe
C:\WINDOWS\windk.exe
C:\WINDOWS\winyb32.exe
.
((((((((((((((((((((((( Dateien erstellt von 2007-12-07 bis 2008-01-07 ))))))))))))))))))))))))))))))
.
2008-01-07 16:50 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-07 16:15 . 2008-01-07 16:15 87 --a------ C:\23990098.$$$
2008-01-07 13:16 . 2008-01-07 13:16 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-01-07 13:16 . 2008-01-07 13:16 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-01-07 13:16 . 2008-01-07 13:16 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-01-07 13:16 . 2008-01-07 13:16 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-01-07 13:16 . 2008-01-07 13:16 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-01-07 13:16 . 2008-01-07 13:16 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-01-07 13:08 . 2008-01-07 13:17 <DIR> d-------- C:\mwav
2008-01-02 12:29 . 2008-01-02 12:30 <DIR> d-------- C:\WINDOWS\system32\de-de
2008-01-02 12:23 . 2007-10-11 00:46 6,065,664 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-01-02 12:23 . 2007-07-01 04:31 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-01-02 12:23 . 2007-07-01 04:36 1,040,384 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-01-02 12:23 . 2007-10-11 00:46 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-01-02 12:23 . 2007-10-11 00:46 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-01-02 12:23 . 2007-10-11 00:46 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-01-02 12:23 . 2007-10-11 00:46 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-01-02 12:23 . 2007-10-11 00:46 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-01-02 12:23 . 2007-10-10 11:59 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-01-02 11:30 . 2007-06-05 10:56 44,928 --a------ C:\WINDOWS\system32\drivers\SDTHOOK.SYS
2007-12-29 16:47 . 2007-12-30 15:08 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2007-12-29 16:47 . 2007-12-29 16:47 1,409 --a------ C:\WINDOWS\QTFont.for
2007-12-27 19:58 . 2007-12-27 19:58 <DIR> d-------- C:\Programme\Multimedia V3.52
2007-12-27 19:58 . 2003-08-19 14:11 241,664 --a------ C:\WINDOWS\system32\Keyhook.exe
2007-12-27 19:58 . 2003-08-18 05:21 28,416 --------- C:\WINDOWS\system32\sisesc.sys
2007-12-27 19:58 . 2003-01-07 02:56 1,671 --------- C:\WINDOWS\system32\SiSService.ini
2007-12-27 19:56 . 2007-12-27 19:58 <DIR> d-------- C:\WINDOWS\system32\trayres
2007-12-27 19:25 . 2002-08-20 14:58 139,264 --a------ C:\WINDOWS\system32\IDEproperty.dll
2007-12-27 19:25 . 2002-10-17 15:14 49,024 --a------ C:\WINDOWS\system32\drivers\sisidex.sys
2007-12-27 19:25 . 2002-08-20 17:19 9,472 --a------ C:\WINDOWS\system32\drivers\sisperf.sys
2007-12-27 19:24 . 2003-03-25 17:50 4,096 --a------ C:\WINDOWS\system32\drivers\siside.sys
2007-12-27 18:14 . 2008-01-02 11:30 <DIR> d-------- C:\WINDOWS\system32\AppCert
2007-12-27 18:10 . 2007-12-27 19:49 <DIR> d-------- C:\Programme\sisagp
2007-12-27 17:38 . 2004-08-03 23:10 51,328 --a------ C:\WINDOWS\system32\drivers\msdv.sys
2007-12-27 17:38 . 2004-08-03 23:10 51,328 --a--c--- C:\WINDOWS\system32\dllcache\msdv.sys
2007-12-27 17:38 . 2004-08-03 23:10 48,128 --a------ C:\WINDOWS\system32\drivers\61883.sys
2007-12-27 17:38 . 2004-08-03 23:10 48,128 --a--c--- C:\WINDOWS\system32\dllcache\61883.sys
2007-12-27 17:38 . 2004-08-03 23:10 38,912 --a------ C:\WINDOWS\system32\drivers\avc.sys
2007-12-27 17:38 . 2004-08-03 23:10 38,912 --a--c--- C:\WINDOWS\system32\dllcache\avc.sys
2007-12-27 17:37 . 2007-12-27 17:37 <DIR> d-------- C:\Dokumente und Einstellungen\Werner\Anwendungsdaten\Pinnacle Systems
2007-12-27 17:37 . 2002-07-26 18:02 153,088 --a------ C:\Programme\UNWISE.EXE
2007-12-27 17:30 . 2007-12-27 17:30 49 --a------ C:\WINDOWS\system32\blue.SITENAME
2007-12-27 17:30 . 2007-12-28 20:33 17 --a------ C:\WINDOWS\MovingPicture.ini
2007-12-27 17:29 . 2002-12-17 17:23 33,340 --a------ C:\WINDOWS\system32\dbmsqlgc.dll
2007-12-27 17:29 . 2002-10-20 15:05 24,576 --a------ C:\WINDOWS\system32\dbmsgnet.dll
2007-12-27 17:29 . 2007-12-27 17:44 455 --a------ C:\WINDOWS\VFO.VST
2007-12-27 17:23 . 2007-12-27 17:23 <DIR> d-------- C:\Programme\proDAD
2007-12-27 17:14 . 2007-12-27 17:14 <DIR> d-------- C:\Programme\AdorageI-SAL
2007-12-27 17:14 . 2007-12-27 17:17 <DIR> d-------- C:\Programme\AdorageI-GfxDatas
2007-12-27 16:59 . 2002-09-24 11:12 2,653,888 --a------ C:\WINDOWS\system32\LTRDG13n.OCX
2007-12-27 16:59 . 2002-09-24 11:12 534,192 --a------ C:\WINDOWS\system32\LTRVW13N.OCX
2007-12-27 16:59 . 2002-09-24 11:12 466,624 --a------ C:\WINDOWS\system32\LTRPR13n.DLL
2007-12-27 16:59 . 2005-07-12 14:25 401,408 --a------ C:\WINDOWS\system32\pvmjpg30.dll
2007-12-27 16:59 . 2002-09-24 11:12 194,248 --a------ C:\WINDOWS\system32\LTRFD13n.DLL
2007-12-27 16:59 . 2002-09-24 11:12 185,856 --a------ C:\WINDOWS\system32\lfpng13s.dll
2007-12-27 16:59 . 2002-09-24 11:12 79,360 --a------ C:\WINDOWS\system32\lfeps13s.dll
2007-12-27 16:59 . 2002-09-24 11:12 74,752 --a------ C:\WINDOWS\system32\lfgif13s.dll
2007-12-27 16:59 . 2003-04-21 16:11 44,544 --a------ C:\WINDOWS\system32\msxml4a.dll
2007-12-27 16:01 . 2003-11-10 17:06 26,624 --------- C:\WINDOWS\system32\PSDrvCheck.JP
2007-12-27 16:01 . 2003-11-10 17:06 26,624 --------- C:\WINDOWS\system32\PSDrvCheck.IT
2007-12-27 16:01 . 2003-11-10 17:06 26,624 --------- C:\WINDOWS\system32\PSDrvCheck.FR
2007-12-27 16:01 . 2003-11-10 17:06 26,624 --------- C:\WINDOWS\system32\PSDrvCheck.ES
2007-12-27 16:01 . 2003-11-10 17:06 26,624 --------- C:\WINDOWS\system32\PSDrvCheck.DE
2007-12-27 16:01 . 2003-11-10 17:06 16,896 --------- C:\WINDOWS\system32\PSDrvCheck.NL
2007-12-27 16:01 . 2003-10-21 10:02 16,896 --------- C:\WINDOWS\system32\PSDrvCheck.KO
2007-12-27 15:15 . 2007-12-27 15:15 <DIR> d-------- C:\Programme\Microsoft SQL Server
2007-12-27 15:14 . 2007-12-27 17:26 <DIR> d-------- C:\WINDOWS\Cache
2007-12-27 15:14 . 2003-03-19 04:04 765,952 --------- C:\WINDOWS\system32\msvcp71d.dll
2007-12-27 15:14 . 2003-03-19 04:03 544,768 --------- C:\WINDOWS\system32\msvcr71d.dll
2007-12-27 15:11 . 2007-12-27 15:11 <DIR> d-------- C:\WINDOWS\system32\URTTemp
2007-12-27 15:05 . 2007-12-27 15:05 <DIR> d-------- C:\Programme\SmartSound Software
2007-12-27 15:05 . 2007-12-28 23:45 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SmartSound Software Inc
2007-12-27 15:04 . 2003-11-25 06:02 196,096 --a------ C:\WINDOWS\system32\macd32.dll
2007-12-27 15:04 . 2005-07-13 16:55 171,008 --a------ C:\WINDOWS\system32\drivers\MarvinBus.sys
2007-12-27 15:04 . 2003-11-25 06:02 138,752 --a------ C:\WINDOWS\system32\mase32.dll
2007-12-27 15:04 . 2003-11-25 06:02 136,192 --a------ C:\WINDOWS\system32\mamc32.dll
2007-12-27 15:04 . 2003-11-25 06:02 57,856 --a------ C:\WINDOWS\system32\masd32.dll
2007-12-27 15:04 . 2003-11-25 06:02 27,648 --a------ C:\WINDOWS\system32\ma32.dll
2007-12-27 15:04 . 2008-01-06 14:48 359 --a------ C:\WINDOWS\VFO.INI
2007-12-27 15:02 . 2003-11-21 17:48 61,440 --a------ C:\WINDOWS\system32\MFC71ITA.DLL
2007-12-27 15:02 . 2003-11-21 17:48 61,440 --a------ C:\WINDOWS\system32\MFC71FRA.DLL
2007-12-27 15:02 . 2003-11-21 17:48 61,440 --a------ C:\WINDOWS\system32\MFC71ESP.DLL
2007-12-27 15:02 . 2003-11-21 17:48 57,344 --a------ C:\WINDOWS\system32\MFC71ENU.DLL
2007-12-27 15:02 . 2006-04-21 10:00 49,152 --a------ C:\WINDOWS\system32\PCLEGetGuid.dll
2007-12-27 15:02 . 2003-11-21 17:48 49,152 --a------ C:\WINDOWS\system32\MFC71KOR.DLL
2007-12-27 15:02 . 2003-11-21 17:48 49,152 --a------ C:\WINDOWS\system32\MFC71JPN.DLL
2007-12-27 15:02 . 2003-11-21 17:48 45,056 --a------ C:\WINDOWS\system32\MFC71CHT.DLL
2007-12-27 15:02 . 2003-11-21 17:48 40,960 --a------ C:\WINDOWS\system32\MFC71CHS.DLL
2007-12-27 15:01 . 2007-12-27 17:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Pinnacle Studio
2007-12-27 14:54 . 2007-12-27 17:37 <DIR> d-------- C:\Programme\Pinnacle
2007-12-27 14:54 . 2007-12-27 17:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Pinnacle
2007-12-27 14:54 . 2005-02-09 12:59 14,165 --a------ C:\WINDOWS\system32\drivers\Pclepci.sys
2007-12-18 20:41 . 2001-08-18 04:22 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
2007-12-18 20:41 . 2001-08-18 04:22 12,288 --a--c--- C:\WINDOWS\system32\dllcache\mouhid.sys
2007-12-18 20:41 . 2001-08-17 14:02 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2007-12-18 20:41 . 2001-08-17 14:02 9,600 --a--c--- C:\WINDOWS\system32\dllcache\hidusb.sys
2007-12-11 13:43 . 2007-12-11 13:43 <DIR> d-------- C:\WINDOWS\SIS
2007-12-11 13:43 . 2007-12-27 19:36 <DIR> d-------- C:\Programme\SiS VGA Utilities V3.83
2007-12-11 13:43 . 2003-08-19 14:12 667,648 --a------ C:\WINDOWS\system32\sistray.exe
2007-12-11 13:43 . 2003-08-19 06:09 176,128 --------- C:\WINDOWS\system32\SiSApCom.dll
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-07 15:58 --------- d-----w C:\Programme\WLAN Monitor
2008-01-02 11:12 --------- d-----w C:\Programme\QuickTime
2008-01-02 11:02 --------- d-----w C:\Programme\Gemeinsame Dateien\AccSys
2007-12-31 12:13 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-12-27 17:11 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-10-29 22:42 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll
2007-04-18 15:30 81,440 ----a-w C:\Dokumente und Einstellungen\Werner\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-04-11 16:29 81,440 ----a-w C:\Dokumente und Einstellungen\Ilse\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2005-06-20 15:32 68,792 ----a-w C:\Dokumente und Einstellungen\Mario\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2003-08-15 07:34 57344 C:\WINDOWS\SOUNDMAN.EXE]
"PCSuiteTrayApplication"="C:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe" [2004-11-25 12:59 143360]
"DataLayer"="C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE" [2004-12-09 12:14 1068032]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2005-03-13 00:02 98304]
"CloneCDTray"="C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" [2004-06-28 03:33 57344]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-23 17:31 249896]
"wlconfig"="C:\Programme\WLAN Monitor\wlconfig.exe" [2006-03-06 12:45 1347584]
"PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2004-03-11 01:26 406016]
"USB2Check"="C:\WINDOWS\system32\PCLECoInst.dll" [2004-09-21 03:22 73728]
"USBToolTip"="C:\Programme\Pinnacle\Shared Files\\Programs\USBTip\USBTip.exe" [2006-06-01 03:37 196608]
"SiS Tray"="C:\WINDOWS\system32\sistray.EXE" [2003-08-19 14:12 667648]
"SiS Windows KeyHook"="C:\WINDOWS\system32\keyhook.exe" [2003-08-19 14:11 241664]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]
C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2004-12-31 14:28:11]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04]
R0 a19346b;a19346b;C:\WINDOWS\system32\DRIVERS\a19346b.sys [2004-04-30 09:37]
R0 a19346c;a19346c;C:\WINDOWS\system32\Drivers\a19346c.sys [2004-04-30 09:33]
R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2007-09-12 20:36]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-09-12 20:36]
R1 SiSEsc;SISLIB_ESC;C:\WINDOWS\system32\sisesc.sys [2003-08-18 05:21]
R2 accsvc;AccSys WiFi Component;C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe [2006-01-11 09:06]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-08-17 12:13]
R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI;C:\WINDOWS\system32\DRIVERS\fpcibase.sys [2001-08-17 12:14]
.
Inhalt des "geplante Tasks" Ordners
"2008-01-05 18:05:47 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Programme\Symantec\LiveUpdate\NDETECT.EXE
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-07 17:49:39
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Einträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
Zeit der Fertigstellung: 2008-01-07 17:50:36
ComboFix-quarantined-files.txt 2008-01-07 16:50:09
ComboFix2.txt 2008-01-07 16:03:24
.
2008-01-03 20:45:56 --- E O F ---
Code:
ATTFilter Logfile of HijackThis v1.99.1 Scan saved at 17:56:00, on 07.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\UAService7.exe c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\WLAN Monitor\wlconfig.exe C:\Programme\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe C:\WINDOWS\system32\sistray.EXE C:\WINDOWS\system32\keyhook.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\Mario\Eigene Dateien\Allerlei\Viren\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.net/de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe -onlytray O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [wlconfig] "C:\Programme\WLAN Monitor\wlconfig.exe" -autostart O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [USB2Check] RUNDLL32.EXE "C:\WINDOWS\system32\PCLECoInst.dll",CheckUSBController O4 - HKLM\..\Run: [USBToolTip] "C:\Programme\Pinnacle\Shared Files\\Programs\USBTip\USBTip.exe" O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1140778813593 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing) O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing) O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe |
|
07.01.2008, 18:16
| #18 |
| > MalwareDB | Bitte um Unterstützung / CoolWWWSearch Das Log sieht für gut aus.
__________________Clone Cd solltest Du besser vom Rechner entfernen, könnte z.B. ein mögliches Einfallstor gewesen sein. Stelle Antir ein, wie hier beschrieben, Update die Siganturen und führe einen Systemscan aus. Vorher aber noch den Ordner C:\Combofix löschen. Falls dort noch etwas gefunden wird, das Log hier posten! |
|
07.01.2008, 18:27
| #19 |
| | Bitte um Unterstützung / CoolWWWSearch Super, ich hatte schon Angst, ich müsste das System neu aufsetzen. Vielen Dank für die Unterstützung! Ich habe CloneCD und CloneDVD deinstalliert (die habe ich sowieso nie wirklich gebraucht). Aber wo genau ist denn beschrieben, wie ich Antivir einstellen soll? Gruß Mario |
|
07.01.2008, 19:34
| #21 |
| | Bitte um Unterstützung / CoolWWWSearch Antivir hat etwas gefunden: Code:
ATTFilter
AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Montag, 7. Januar 2008 18:37
Es wird nach 1004655 Virenstämmen gesucht.
Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: SYSTEM
Computername: EX-VIRENKISTE
Versionsinformationen:
BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 12.09.2007 19:36:41
AVSCAN.DLL : 7.0.6.0 57384 Bytes 12.09.2007 19:36:41
LUKE.DLL : 7.0.5.3 147496 Bytes 12.09.2007 19:36:42
LUKERES.DLL : 7.0.6.0 10792 Bytes 12.09.2007 19:36:42
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 16:46:04
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14.12.2007 07:37:38
ANTIVIR2.VDF : 7.0.1.170 311296 Bytes 28.12.2007 19:55:07
ANTIVIR3.VDF : 7.0.1.200 141312 Bytes 07.01.2008 17:36:40
AVEWIN32.DLL : 7.6.0.46 3084800 Bytes 22.12.2007 07:37:38
AVWINLL.DLL : 1.0.0.7 14376 Bytes 22.04.2007 11:11:18
AVPREF.DLL : 7.0.2.2 25640 Bytes 12.09.2007 19:36:41
AVREP.DLL : 7.0.0.1 155688 Bytes 22.04.2007 11:11:21
AVPACK32.DLL : 7.6.0.2 360488 Bytes 22.12.2007 07:37:39
AVREG.DLL : 7.0.1.6 30760 Bytes 12.09.2007 19:36:41
AVARKT.DLL : 1.0.0.20 278568 Bytes 12.09.2007 19:36:40
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 12.09.2007 19:36:40
NETNT.DLL : 7.0.0.0 7720 Bytes 22.04.2007 11:11:20
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 12.09.2007 19:36:27
RCTEXT.DLL : 7.0.62.0 90152 Bytes 12.09.2007 19:36:27
SQLITE3.DLL : 3.3.17.1 339968 Bytes 12.09.2007 19:36:42
Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR,
Beginn des Suchlaufs: Montag, 7. Januar 2008 18:37
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SERVIC~1.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DATALA~1.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Keyhook.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sistray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'USBTip.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLConfig.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Launch Application 2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PMSHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UAService7.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlservr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'accsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '36' Prozesse mit '36' Modulen durchsucht
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '28' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\BlazeVideo\BlazeDVD 7 Professional\BlazeDVDCtrl.dll
[FUND] Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/Asprotect). Bitte verifizieren Sie den Ursprung dieser Datei.
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47e36999.qua' verschoben!
C:\System Volume Information\_restore{E5B31A70-D00A-4340-8860-1C029CB37891}\RP322\A0015240.dll
[FUND] Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/Asprotect). Bitte verifizieren Sie den Ursprung dieser Datei.
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47b26d67.qua' verschoben!
C:\WINDOWS\system32\AppCert\prx97w.dll
[FUND] Enthält Erkennungsmuster des SPR/SpamTool.Age.EH-Programmes
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
C:\WINDOWS\system32\drivers\atapi.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Ende des Suchlaufs: Montag, 7. Januar 2008 19:31
Benötigte Zeit: 53:43 min
Der Suchlauf wurde vollständig durchgeführt.
6585 Verzeichnisse wurden überprüft
337166 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
337163 Dateien ohne Befall
11984 Archive wurden durchsucht
3 Warnungen
34 Hinweise
|
|
08.01.2008, 16:12
| #22 |
| > MalwareDB | Bitte um Unterstützung / CoolWWWSearch Das Log ist fast Ok. Wenn Du BlazeDVD 7 Professional kennst und die Herkunft kennst und Ok ist, kannst Du die Dateien wiederherstellen. Für das andere: 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Quotebox in das Notepad Fenster ein. [QUOTE] File:: C:\WINDOWS\system32\AppCert\prx97w.dll 3. Speichere im Notepad als CFScript.txt auf dem Dektop. 4. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. 5. Nach dem Neustart (es wird gefrat ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt |
|
08.01.2008, 17:33
| #23 |
| | Bitte um Unterstützung / CoolWWWSearch Hallo Der Antivir Guard hat sich jetzt zweimal wegen dieser 'C:\WINDOWS\system32\AppCert\prx97w.dll' gemeldet. Combofix hat gemeldet, dass der Löschvorgang falsch programmiert oder fehlerhaft sei: Code:
ATTFilter ComboFix 08-01-07.5 - Mario 2008-01-08 17:23:11.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.130 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Mario\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Mario\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt
FILE
C:\WINDOWS\system32\AppCert\prx97w.dll
.
((((((((((((((((((((((( Dateien erstellt von 2007-12-08 bis 2008-01-08 ))))))))))))))))))))))))))))))
.
2008-01-07 16:50 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-07 16:15 . 2008-01-07 16:15 87 --a------ C:\23990098.$$$
2008-01-07 13:16 . 2008-01-07 13:16 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-01-07 13:16 . 2008-01-07 13:16 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-01-07 13:16 . 2008-01-07 13:16 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-01-07 13:16 . 2008-01-07 13:16 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-01-07 13:16 . 2008-01-07 13:16 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-01-07 13:16 . 2008-01-07 13:16 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-01-07 13:08 . 2008-01-07 13:17 <DIR> d-------- C:\mwav
2008-01-02 12:29 . 2008-01-02 12:30 <DIR> d-------- C:\WINDOWS\system32\de-de
2008-01-02 12:23 . 2007-10-11 00:46 6,065,664 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-01-02 12:23 . 2007-07-01 04:31 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-01-02 12:23 . 2007-07-01 04:36 1,040,384 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-01-02 12:23 . 2007-10-11 00:46 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-01-02 12:23 . 2007-10-11 00:46 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-01-02 12:23 . 2007-10-11 00:46 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-01-02 12:23 . 2007-10-11 00:46 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-01-02 12:23 . 2007-10-11 00:46 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-01-02 12:23 . 2007-10-10 11:59 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-01-02 11:30 . 2007-06-05 10:56 44,928 --a------ C:\WINDOWS\system32\drivers\SDTHOOK.SYS
2007-12-27 19:58 . 2007-12-27 19:58 <DIR> d-------- C:\Programme\Multimedia V3.52
2007-12-27 19:58 . 2003-08-19 14:11 241,664 --a------ C:\WINDOWS\system32\Keyhook.exe
2007-12-27 19:58 . 2003-08-18 05:21 28,416 --------- C:\WINDOWS\system32\sisesc.sys
2007-12-27 19:58 . 2003-01-07 02:56 1,671 --------- C:\WINDOWS\system32\SiSService.ini
2007-12-27 19:56 . 2007-12-27 19:58 <DIR> d-------- C:\WINDOWS\system32\trayres
2007-12-27 19:25 . 2002-08-20 14:58 139,264 --a------ C:\WINDOWS\system32\IDEproperty.dll
2007-12-27 19:25 . 2002-10-17 15:14 49,024 --a------ C:\WINDOWS\system32\drivers\sisidex.sys
2007-12-27 19:25 . 2002-08-20 17:19 9,472 --a------ C:\WINDOWS\system32\drivers\sisperf.sys
2007-12-27 19:24 . 2003-03-25 17:50 4,096 --a------ C:\WINDOWS\system32\drivers\siside.sys
2007-12-27 18:14 . 2008-01-08 17:17 <DIR> d-------- C:\WINDOWS\system32\AppCert
2007-12-27 18:10 . 2007-12-27 19:49 <DIR> d-------- C:\Programme\sisagp
2007-12-27 17:38 . 2004-08-03 23:10 51,328 --a------ C:\WINDOWS\system32\drivers\msdv.sys
2007-12-27 17:38 . 2004-08-03 23:10 51,328 --a--c--- C:\WINDOWS\system32\dllcache\msdv.sys
2007-12-27 17:38 . 2004-08-03 23:10 48,128 --a------ C:\WINDOWS\system32\drivers\61883.sys
2007-12-27 17:38 . 2004-08-03 23:10 48,128 --a--c--- C:\WINDOWS\system32\dllcache\61883.sys
2007-12-27 17:38 . 2004-08-03 23:10 38,912 --a------ C:\WINDOWS\system32\drivers\avc.sys
2007-12-27 17:38 . 2004-08-03 23:10 38,912 --a--c--- C:\WINDOWS\system32\dllcache\avc.sys
2007-12-27 17:37 . 2007-12-27 17:37 <DIR> d-------- C:\Dokumente und Einstellungen\Werner\Anwendungsdaten\Pinnacle Systems
2007-12-27 17:37 . 2002-07-26 18:02 153,088 --a------ C:\Programme\UNWISE.EXE
2007-12-27 17:30 . 2007-12-27 17:30 49 --a------ C:\WINDOWS\system32\blue.SITENAME
2007-12-27 17:30 . 2007-12-28 20:33 17 --a------ C:\WINDOWS\MovingPicture.ini
2007-12-27 17:29 . 2002-12-17 17:23 33,340 --a------ C:\WINDOWS\system32\dbmsqlgc.dll
2007-12-27 17:29 . 2002-10-20 15:05 24,576 --a------ C:\WINDOWS\system32\dbmsgnet.dll
2007-12-27 17:29 . 2007-12-27 17:44 455 --a------ C:\WINDOWS\VFO.VST
2007-12-27 17:23 . 2007-12-27 17:23 <DIR> d-------- C:\Programme\proDAD
2007-12-27 17:14 . 2007-12-27 17:14 <DIR> d-------- C:\Programme\AdorageI-SAL
2007-12-27 17:14 . 2007-12-27 17:17 <DIR> d-------- C:\Programme\AdorageI-GfxDatas
2007-12-27 16:59 . 2002-09-24 11:12 2,653,888 --a------ C:\WINDOWS\system32\LTRDG13n.OCX
2007-12-27 16:59 . 2002-09-24 11:12 534,192 --a------ C:\WINDOWS\system32\LTRVW13N.OCX
2007-12-27 16:59 . 2002-09-24 11:12 466,624 --a------ C:\WINDOWS\system32\LTRPR13n.DLL
2007-12-27 16:59 . 2005-07-12 14:25 401,408 --a------ C:\WINDOWS\system32\pvmjpg30.dll
2007-12-27 16:59 . 2002-09-24 11:12 194,248 --a------ C:\WINDOWS\system32\LTRFD13n.DLL
2007-12-27 16:59 . 2002-09-24 11:12 185,856 --a------ C:\WINDOWS\system32\lfpng13s.dll
2007-12-27 16:59 . 2002-09-24 11:12 79,360 --a------ C:\WINDOWS\system32\lfeps13s.dll
2007-12-27 16:59 . 2002-09-24 11:12 74,752 --a------ C:\WINDOWS\system32\lfgif13s.dll
2007-12-27 16:59 . 2003-04-21 16:11 44,544 --a------ C:\WINDOWS\system32\msxml4a.dll
2007-12-27 16:01 . 2003-11-10 17:06 26,624 --------- C:\WINDOWS\system32\PSDrvCheck.JP
2007-12-27 16:01 . 2003-11-10 17:06 26,624 --------- C:\WINDOWS\system32\PSDrvCheck.IT
2007-12-27 16:01 . 2003-11-10 17:06 26,624 --------- C:\WINDOWS\system32\PSDrvCheck.FR
2007-12-27 16:01 . 2003-11-10 17:06 26,624 --------- C:\WINDOWS\system32\PSDrvCheck.ES
2007-12-27 16:01 . 2003-11-10 17:06 26,624 --------- C:\WINDOWS\system32\PSDrvCheck.DE
2007-12-27 16:01 . 2003-11-10 17:06 16,896 --------- C:\WINDOWS\system32\PSDrvCheck.NL
2007-12-27 16:01 . 2003-10-21 10:02 16,896 --------- C:\WINDOWS\system32\PSDrvCheck.KO
2007-12-27 15:15 . 2007-12-27 15:15 <DIR> d-------- C:\Programme\Microsoft SQL Server
2007-12-27 15:14 . 2007-12-27 17:26 <DIR> d-------- C:\WINDOWS\Cache
2007-12-27 15:14 . 2003-03-19 04:04 765,952 --------- C:\WINDOWS\system32\msvcp71d.dll
2007-12-27 15:14 . 2003-03-19 04:03 544,768 --------- C:\WINDOWS\system32\msvcr71d.dll
2007-12-27 15:11 . 2007-12-27 15:11 <DIR> d-------- C:\WINDOWS\system32\URTTemp
2007-12-27 15:05 . 2007-12-27 15:05 <DIR> d-------- C:\Programme\SmartSound Software
2007-12-27 15:05 . 2007-12-28 23:45 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SmartSound Software Inc
2007-12-27 15:04 . 2003-11-25 06:02 196,096 --a------ C:\WINDOWS\system32\macd32.dll
2007-12-27 15:04 . 2005-07-13 16:55 171,008 --a------ C:\WINDOWS\system32\drivers\MarvinBus.sys
2007-12-27 15:04 . 2003-11-25 06:02 138,752 --a------ C:\WINDOWS\system32\mase32.dll
2007-12-27 15:04 . 2003-11-25 06:02 136,192 --a------ C:\WINDOWS\system32\mamc32.dll
2007-12-27 15:04 . 2003-11-25 06:02 57,856 --a------ C:\WINDOWS\system32\masd32.dll
2007-12-27 15:04 . 2003-11-25 06:02 27,648 --a------ C:\WINDOWS\system32\ma32.dll
2007-12-27 15:04 . 2008-01-06 14:48 359 --a------ C:\WINDOWS\VFO.INI
2007-12-27 15:02 . 2003-11-21 17:48 61,440 --a------ C:\WINDOWS\system32\MFC71ITA.DLL
2007-12-27 15:02 . 2003-11-21 17:48 61,440 --a------ C:\WINDOWS\system32\MFC71FRA.DLL
2007-12-27 15:02 . 2003-11-21 17:48 61,440 --a------ C:\WINDOWS\system32\MFC71ESP.DLL
2007-12-27 15:02 . 2003-11-21 17:48 57,344 --a------ C:\WINDOWS\system32\MFC71ENU.DLL
2007-12-27 15:02 . 2006-04-21 10:00 49,152 --a------ C:\WINDOWS\system32\PCLEGetGuid.dll
2007-12-27 15:02 . 2003-11-21 17:48 49,152 --a------ C:\WINDOWS\system32\MFC71KOR.DLL
2007-12-27 15:02 . 2003-11-21 17:48 49,152 --a------ C:\WINDOWS\system32\MFC71JPN.DLL
2007-12-27 15:02 . 2003-11-21 17:48 45,056 --a------ C:\WINDOWS\system32\MFC71CHT.DLL
2007-12-27 15:02 . 2003-11-21 17:48 40,960 --a------ C:\WINDOWS\system32\MFC71CHS.DLL
2007-12-27 15:01 . 2007-12-27 17:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Pinnacle Studio
2007-12-27 14:54 . 2007-12-27 17:37 <DIR> d-------- C:\Programme\Pinnacle
2007-12-27 14:54 . 2007-12-27 17:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Pinnacle
2007-12-27 14:54 . 2005-02-09 12:59 14,165 --a------ C:\WINDOWS\system32\drivers\Pclepci.sys
2007-12-18 20:41 . 2001-08-18 04:22 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
2007-12-18 20:41 . 2001-08-18 04:22 12,288 --a--c--- C:\WINDOWS\system32\dllcache\mouhid.sys
2007-12-18 20:41 . 2001-08-17 14:02 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2007-12-18 20:41 . 2001-08-17 14:02 9,600 --a--c--- C:\WINDOWS\system32\dllcache\hidusb.sys
2007-12-11 13:43 . 2007-12-11 13:43 <DIR> d-------- C:\WINDOWS\SIS
2007-12-11 13:43 . 2007-12-27 19:36 <DIR> d-------- C:\Programme\SiS VGA Utilities V3.83
2007-12-11 13:43 . 2003-08-19 14:12 667,648 --a------ C:\WINDOWS\system32\sistray.exe
2007-12-11 13:43 . 2003-08-19 06:09 176,128 --------- C:\WINDOWS\system32\SiSApCom.dll
2007-12-11 13:43 . 2007-10-03 15:57 110,592 --------- C:\WINDOWS\system32\TVMode.dll
2007-12-11 13:43 . 2007-10-03 15:58 65,536 --------- C:\WINDOWS\system32\SiSHook.dll
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-08 16:16 --------- d-----w C:\Programme\WLAN Monitor
2008-01-07 17:23 --------- d-----w C:\Programme\SlySoft
2008-01-02 11:12 --------- d-----w C:\Programme\QuickTime
2008-01-02 11:02 --------- d-----w C:\Programme\Gemeinsame Dateien\AccSys
2007-12-31 12:13 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-12-27 17:11 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-10-29 22:42 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll
2007-04-18 15:30 81,440 ----a-w C:\Dokumente und Einstellungen\Werner\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-04-11 16:29 81,440 ----a-w C:\Dokumente und Einstellungen\Ilse\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2005-06-20 15:32 68,792 ----a-w C:\Dokumente und Einstellungen\Mario\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2003-08-15 07:34 57344 C:\WINDOWS\SOUNDMAN.EXE]
"PCSuiteTrayApplication"="C:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe" [2004-11-25 12:59 143360]
"DataLayer"="C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE" [2004-12-09 12:14 1068032]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2005-03-13 00:02 98304]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-23 17:31 249896]
"wlconfig"="C:\Programme\WLAN Monitor\wlconfig.exe" [2006-03-06 12:45 1347584]
"PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2004-03-11 01:26 406016]
"USB2Check"="C:\WINDOWS\system32\PCLECoInst.dll" [2004-09-21 03:22 73728]
"USBToolTip"="C:\Programme\Pinnacle\Shared Files\\Programs\USBTip\USBTip.exe" [2006-06-01 03:37 196608]
"SiS Tray"="C:\WINDOWS\system32\sistray.EXE" [2003-08-19 14:12 667648]
"SiS Windows KeyHook"="C:\WINDOWS\system32\keyhook.exe" [2003-08-19 14:11 241664]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]
C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2004-12-31 14:28:11]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04]
R0 a19346b;a19346b;C:\WINDOWS\system32\DRIVERS\a19346b.sys [2004-04-30 09:37]
R0 a19346c;a19346c;C:\WINDOWS\system32\Drivers\a19346c.sys [2004-04-30 09:33]
R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2007-09-12 20:36]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-09-12 20:36]
R1 SiSEsc;SISLIB_ESC;C:\WINDOWS\system32\sisesc.sys [2003-08-18 05:21]
R2 accsvc;AccSys WiFi Component;C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe [2006-01-11 09:06]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-08-17 12:13]
R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI;C:\WINDOWS\system32\DRIVERS\fpcibase.sys [2001-08-17 12:14]
.
Inhalt des "geplante Tasks" Ordners
"2008-01-07 18:06:45 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Programme\Symantec\LiveUpdate\NDETECT.EXE
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-08 17:27:18
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Einträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
Zeit der Fertigstellung: 2008-01-08 17:28:21
ComboFix-quarantined-files.txt 2008-01-08 16:27:52
ComboFix2.txt 2008-01-07 16:50:37
ComboFix3.txt 2008-01-07 16:03:24
.
2008-01-03 20:45:56 --- E O F ---
Code:
ATTFilter Logfile of HijackThis v1.99.1 Scan saved at 17:30:54, on 08.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\UAService7.exe c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\WLAN Monitor\wlconfig.exe C:\Programme\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe C:\WINDOWS\system32\sistray.EXE C:\WINDOWS\system32\keyhook.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\wuauclt.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\WINDOWS\explorer.exe C:\Dokumente und Einstellungen\Mario\Eigene Dateien\Allerlei\Viren\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.net/de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe -onlytray O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [wlconfig] "C:\Programme\WLAN Monitor\wlconfig.exe" -autostart O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [USB2Check] RUNDLL32.EXE "C:\WINDOWS\system32\PCLECoInst.dll",CheckUSBController O4 - HKLM\..\Run: [USBToolTip] "C:\Programme\Pinnacle\Shared Files\\Programs\USBTip\USBTip.exe" O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1140778813593 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing) O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing) O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe |
|
08.01.2008, 17:49
| #24 | |
| > MalwareDB | Bitte um Unterstützung / CoolWWWSearch Anleitung Killbox: Lade dir folgendes Tool herunter -> KILLBOX -Starte dann das Programm -klick auf die Option -> "delete on reboot" -kopiere diesen Text unter -> "Full Path of File to delete" Zitat:
 |
|
08.01.2008, 17:57
| #25 |
| | Bitte um Unterstützung / CoolWWWSearch Nach dem Neustart hat sich wieder Antivir gemeldet: Erst Code:
ATTFilter In der Datei 'C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WAGFU78E\prx97w[1].dll'
wurde ein Virus oder unerwünschtes Programm 'SPR/SpamTool.Age.EH' [SPR/SpamTool.Age.EH] gefunden.
Ausgeführte Aktion: Datei löschen
Code:
ATTFilter In der Datei 'C:\WINDOWS\system32\AppCert\prx97w.dll'
wurde ein Virus oder unerwünschtes Programm 'SPR/SpamTool.Age.EH' [SPR/SpamTool.Age.EH] gefunden.
Ausgeführte Aktion: Datei löschen
Ich habe mir diesen AppCert Ordner mal angesehen. Da befinden sich vier Dateien: filter.drv options.dat wnl32.dll wsil32.dll Google findet zumindest bei den letzten beiden Dateien Hinweise auf Trojaner. |
|
08.01.2008, 18:02
| #26 |
| > MalwareDB | Bitte um Unterstützung / CoolWWWSearch - Lade ATF- The Cleaner - Doppelklicke die ATF-CLeaner.exe um das Programm zu starten - Unter Main, wähle alle - Klicke den Empty selected Button - Wenn Du Firefox benutzt, klicke den Firefox Button und wähle alle - Drücke den Empty Selected Button Wichtig. Wenn Du Deine Passwörter behalten willst, sage nein bei dem Prompt - Wenn Du Opera benutzt, klicke Opera und wähle alle - Drücke den Empty Selected Button Wichtig. Wenn Du Deine Passwörter behalten willst, sage nein bei dem Prompt - Klicke Exit im Main Menü um das Programm zu schließen Führe Killbox für den Ordner wieder aus. Geändert von BataAlexander (08.01.2008 um 18:16 Uhr) Grund: Falsche Anleitung |
|
08.01.2008, 18:15
| #27 |
| | Bitte um Unterstützung / CoolWWWSearch Hat leider nichts gebracht. Nach dem Neustart ist der Ordner noch da und nach ein paar Sekunden kommen wieder die Antivir-Meldungen wegen der prx97w.dll  |
|
08.01.2008, 18:17
| #28 |
| > MalwareDB | Bitte um Unterstützung / CoolWWWSearch Ok, GMER - Rootkit Detection * Lade GMER von hier * entpacke es auf den Dektop * Dopperlklicke die gmer.exe * Der Reiter Rootkit oben ist schon angewählt * Entferne die Häckchen rechts bei -System, -Section, -IAT/EAT, -Devices, -Module, -Processes, -Threads, -Libraries  * Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern * nach Beendigung des Scan, drücke "Copy" * nun kannst Du das Ergebnis hier posten * Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden. |
|
08.01.2008, 18:37
| #29 |
| | Bitte um Unterstützung / CoolWWWSearch Und das kam dabei raus: Code:
ATTFilter GMER 1.0.13.12551 - http://www.gmer.net
Rootkit scan 2008-01-08 18:36:07
Windows 5.1.2600 Service Pack 2
---- Registry - GMER 1.0.13 ----
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@cd042efbbd7f7af1647644e76e06692b 0x2E 0xE8 0xE1 0x00 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@bca643cdc5c2726b20d2ecedcc62c59b 0x71 0x3B 0x04 0x66 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@2c81e34222e8052573023a60d06dd016 0x25 0xDA 0xEC 0x7E ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@2582ae41fb52324423be06337561aa48 0x3E 0x1E 0x9E 0xE0 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@caaeda5fd7a9ed7697d9686d4b818472 0xE9 0x02 0x6C 0xFA ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@a4a1bcf2cc2b8bc3716b74b2b4522f5d 0x50 0x93 0xE5 0xAB ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@4d370831d2c43cd13623e232fed27b7b 0xFB 0xA7 0x78 0xE6 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@1d68fe701cdea33e477eb204b76f993d 0x83 0x6C 0x56 0x8B ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@1fac81b91d8e3c5aa4b0a51804d844a3 0x51 0xFA 0x6E 0x91 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@f5f62a6129303efb32fbe080bb27835b 0xB1 0xCD 0x45 0x5A ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@fd4e2e1a3940b94dceb5a6a021f2e3c6 0xF8 0x31 0x0F 0xA9 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@8a8aec57dd6508a385616fbc86791ec2 0x05 0x73 0x21 0xDD ...
---- EOF - GMER 1.0.13 ----
|
|
08.01.2008, 18:38
| #30 |
| > MalwareDB | Bitte um Unterstützung / CoolWWWSearch Ok, das ist in Ordnung und gut so. MWAV (eScan) - Free Antivirus -> Lies dir folgende Anleitung genau durch und arbeite sie ab -> Anleitung eScan Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'. (rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop) Dauer des eScan: ca. 2-3 Stunden, je nach System! |
|
| Themen zu Bitte um Unterstützung / CoolWWWSearch |
| abgesicherten modus, adobe, antivir, application, avira, bho, drivers, einstellungen, excel, explorer, google, helfen, highjackthis, hijack, hijackthis, internet, internet explorer, launch, mehrere, monitor, mssql, pdfcreator, programm, rundll, software, super, symantec, system, trojaner, usb, viren, windows, windows xp, wlan |
Linear-Darstellung
