| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: swizzor genWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
21.04.2008, 22:45
| #16 |
 |  swizzor gen welche filelist?? meinst du das main.txt oder das extra.txt, was ich vorher reingestellt hab?? |
|
21.04.2008, 22:49
| #17 |
| > MalwareDB   | swizzor gen Filelist
__________________1. Lade das filelist.zip auf deinen Desktop herunter. 2. Entpacke die Zip-Datei auf deinen Desktop (mit einem Packprogramm), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei 3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen 4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein. Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen: Verzeichnis von C:\ Verzeichnis von C:\WINDOWS\system32 Verzeichnis von C:\WINDOWS Verzeichnis von C:\WINDOWS\Prefetch (Windows XP) Verzeichnis von C:\WINDOWS\tasks Verzeichnis von C:\WINDOWS\Temp Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp Credits to Karl83 / KarlKarl  |
|
21.04.2008, 22:53
| #18 |
| | swizzor genCode:
ATTFilter ----- Root -----------------------------
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 3CDB-6672
Verzeichnis von C:\
21.04.2008 18:47 526.569.472 hiberfil.sys
21.04.2008 18:47 792.723.456 pagefile.sys
20.04.2008 00:58 268 sqmdata15.sqm
20.04.2008 00:58 244 sqmnoopt15.sqm
20.04.2008 00:49 268 sqmdata14.sqm
20.04.2008 00:49 244 sqmnoopt14.sqm
20.04.2008 00:33 268 sqmdata13.sqm
20.04.2008 00:33 244 sqmnoopt13.sqm
18.04.2008 18:34 232 sqmdata12.sqm
18.04.2008 18:34 244 sqmnoopt12.sqm
04.04.2008 16:41 268 sqmdata11.sqm
04.04.2008 16:41 244 sqmnoopt11.sqm
04.04.2008 11:38 232 sqmdata10.sqm
04.04.2008 11:38 244 sqmnoopt10.sqm
20.03.2008 19:19 232 sqmdata09.sqm
20.03.2008 19:19 244 sqmnoopt09.sqm
06.03.2008 18:48 268 sqmdata08.sqm
06.03.2008 18:48 244 sqmnoopt08.sqm
06.03.2008 10:47 268 sqmdata07.sqm
06.03.2008 10:47 244 sqmnoopt07.sqm
04.03.2008 15:11 268 sqmdata06.sqm
04.03.2008 15:11 244 sqmnoopt06.sqm
02.03.2008 05:14 268 sqmdata05.sqm
02.03.2008 05:14 244 sqmnoopt05.sqm
02.03.2008 02:28 268 sqmdata04.sqm
02.03.2008 02:28 244 sqmnoopt04.sqm
28.02.2008 14:07 268 sqmdata03.sqm
28.02.2008 14:07 244 sqmnoopt03.sqm
13.02.2008 16:06 268 sqmdata02.sqm
13.02.2008 16:06 244 sqmnoopt02.sqm
12.02.2008 21:29 268 sqmdata01.sqm
12.02.2008 21:29 244 sqmnoopt01.sqm
12.02.2008 16:42 268 sqmdata00.sqm
12.02.2008 16:42 244 sqmnoopt00.sqm
12.02.2008 09:36 268 sqmdata19.sqm
12.02.2008 09:36 244 sqmnoopt19.sqm
12.02.2008 01:00 268 sqmdata18.sqm
12.02.2008 01:00 244 sqmnoopt18.sqm
28.01.2008 15:34 268 sqmdata17.sqm
28.01.2008 15:34 244 sqmnoopt17.sqm
28.01.2008 13:45 268 sqmdata16.sqm
28.01.2008 13:45 244 sqmnoopt16.sqm
07.09.2006 12:48 209 boot.ini
15.07.2006 10:35 794 IPH.PH
06.07.2006 17:23 0 CONFIG.SYS
06.07.2006 17:23 0 MSDOS.SYS
06.07.2006 17:23 0 IO.SYS
06.07.2006 17:23 0 AUTOEXEC.BAT
24.03.2006 14:00 251.184 ntldr
24.03.2006 14:00 47.564 NTDETECT.COM
24.03.2006 14:00 4.952 bootfont.bin
51 Datei(en) 1.319.607.763 Bytes
0 Verzeichnis(se), 46.174.097.408 Bytes frei
|
|
21.04.2008, 22:55
| #19 |
| | swizzor genCode:
ATTFilter ----- System32 -------------------------
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 3CDB-6672
Verzeichnis von C:\WINDOWS\system32
21.04.2008 18:48 2.206 wpa.dbl
11.04.2008 02:03 408.004 perfh009.dat
11.04.2008 02:03 423.648 perfh007.dat
11.04.2008 02:03 78.128 perfc007.dat
11.04.2008 02:03 64.534 perfc009.dat
11.04.2008 02:03 940.440 PerfStringBackup.INI
09.04.2008 18:20 1.525.480 FNTCACHE.DAT
06.04.2008 07:56 19.836.024 MRT.exe
20.03.2008 10:03 1.845.376 win32k.sys
|
|
21.04.2008, 22:56
| #20 |
| | swizzor genCode:
ATTFilter ----- Prefetch -------------------------
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 3CDB-6672
Verzeichnis von C:\WINDOWS\Prefetch
21.04.2008 23:51 11.118 FIND.EXE-0EC32F1E.pf
21.04.2008 23:51 14.818 CMD.EXE-087B4001.pf
21.04.2008 23:51 16.184 VERCLSID.EXE-3667BD89.pf
21.04.2008 23:47 30.678 AVWSC.EXE-3AC95876.pf
21.04.2008 23:17 52.476 FIREFOX.EXE-1BB603CB.pf
21.04.2008 23:17 92.400 AVNOTIFY.EXE-0B59FC42.pf
21.04.2008 23:17 57.674 UPDATE.EXE-3A80F1D2.pf
21.04.2008 23:17 14.612 PREUPD.EXE-18CBCD87.pf
21.04.2008 23:00 20.366 WUAUCLT.EXE-399A8E72.pf
21.04.2008 23:00 33.600 MSNTBUP.EXE-0FE4C519.pf
21.04.2008 22:43 81.854 WMIPRVSE.EXE-28F301A9.pf
21.04.2008 22:32 56.122 NOTEPAD.EXE-336351A9.pf
21.04.2008 22:32 52.254 HIJACKTHIS.EXE-39024128.pf
21.04.2008 22:29 25.210 R1PUNINST.EXE-2B4226D1.pf
21.04.2008 22:29 60.236 MSIEXEC.EXE-2F8A8CAE.pf
21.04.2008 22:28 59.222 IDRIVER.EXE-2B899D9D.pf
21.04.2008 22:27 31.262 IDRIVER.EXE-18BC780C.pf
21.04.2008 22:27 12.296 IDRIVERT.EXE-311FC647.pf
21.04.2008 22:27 16.770 AU_.EXE-28649703.pf
21.04.2008 22:27 14.736 UNINST-EMUSIC-PROMOTION.EXE-1E1AC7DF.pf
21.04.2008 22:27 35.972 IKERNEL.EXE-2B93D17C.pf
21.04.2008 22:27 15.806 SET59.TMP-2702BC71.pf
21.04.2008 22:27 58.502 RUNDLL32.EXE-28D1B909.pf
21.04.2008 22:25 27.592 EASYCLEA.EXE-33E355EE.pf
21.04.2008 22:07 14.606 NOTEPAD.EXE-189578DA.pf
21.04.2008 22:06 10.628 SORT.EXE-194AE83C.pf
21.04.2008 22:06 30.762 CSCRIPT.EXE-1C26180C.pf
21.04.2008 22:06 4.388 SED.EXE-3AB193D6.pf
21.04.2008 22:06 20.122 SWREG.EXE-0F0B2377.pf
21.04.2008 22:06 11.794 FINDSTR.EXE-0CA6274B.pf
21.04.2008 22:06 49.830 EVA KELLNER.EXE-03ED1329.pf
21.04.2008 22:06 6.034 MD5DEEP.EXE-1C579C7B.pf
21.04.2008 22:04 19.272 DSS.EXE-26D32021.pf
21.04.2008 21:21 17.770 HJTINSTALL.EXE-19BEF9D4.pf
21.04.2008 21:21 19.380 IGFXSRVC.EXE-2FB63FE8.pf
21.04.2008 19:42 55.854 SSSTARS.SCR-2D6FC20D.pf
21.04.2008 19:13 115.856 ACRORD32.EXE-0EC716D9.pf
21.04.2008 18:57 50.808 WINAMP.EXE-08C38ED9.pf
21.04.2008 18:50 62.078 USNSVC.EXE-1D8C2356.pf
21.04.2008 18:49 49.734 AVSCAN.EXE-0D0CD933.pf
21.04.2008 18:49 43.900 AVCENTER.EXE-324B1681.pf
21.04.2008 18:49 1.263.604 NTOSBOOT-B00DFAAD.pf
21.04.2008 15:37 22.562 LOGONUI.EXE-0AF22957.pf
21.04.2008 11:38 10.180 QKXYIBCKM.EXE-17CC8312.pf
21.04.2008 11:37 8.402 DRWTSN32.EXE-2B4B52AC.pf
20.04.2008 23:17 15.514 REGSVR32.EXE-25EEFE2F.pf
20.04.2008 23:17 21.286 AVGNT.EXE-18356F59.pf
20.04.2008 22:10 35.514 WMPLAYER.EXE-09969336.pf
20.04.2008 21:50 320.584 Layout.ini
20.04.2008 21:29 36.344 IMAPI.EXE-0BF740A4.pf
20.04.2008 21:29 12.488 RUNDLL32.EXE-451FC2C0.pf
20.04.2008 21:26 21.696 RASAUTOU.EXE-18B88A68.pf
20.04.2008 18:59 37.662 HELPSVC.EXE-2878DDA2.pf
20.04.2008 18:56 44.348 DFRGNTFS.EXE-269967DF.pf
20.04.2008 18:56 15.894 DEFRAG.EXE-273F131E.pf
20.04.2008 16:56 16.954 MSN_SL.EXE-3A7EBB4D.pf
20.04.2008 16:56 30.176 WLLOGINPROXY.EXE-33926225.pf
20.04.2008 16:56 82.070 IEXPLORE.EXE-2CA9778D.pf
20.04.2008 16:47 74.796 EHREC.EXE-3B4F59C8.pf
20.04.2008 16:47 11.626 EHMSAS.EXE-181DA6C9.pf
20.04.2008 00:57 34.232 ACRORD32INFO.EXE-30CEC19C.pf
20.04.2008 00:46 14.430 HELPER.EXE-284FD6A3.pf
20.04.2008 00:46 76.190 FIREFOX.EXE-1D57670A.pf
20.04.2008 00:44 20.980 SETUP.EXE-0D5E987A.pf
20.04.2008 00:44 46.878 FIREFOX SETUP 3.0 BETA 5.EXE-01AD9D06.pf
20.04.2008 00:37 37.488 NNBRZW.EXE-28E20145.pf
20.04.2008 00:37 11.896 READER_SL.EXE-36135169.pf
20.04.2008 00:37 15.188 CTFMON.EXE-0E17969B.pf
20.04.2008 00:37 25.462 TEATIMER.EXE-38E505A8.pf
20.04.2008 00:37 24.716 MSNMSGR.EXE-091111D0.pf
20.04.2008 00:37 23.446 GOOGLETOOLBARNOTIFIER.EXE-09E6E9C6.pf
20.04.2008 00:37 10.388 WINAMPA.EXE-2BDF6A16.pf
20.04.2008 00:37 15.416 SYNTPENH.EXE-3967AE36.pf
20.04.2008 00:37 9.668 IGFXPERS.EXE-2C07C174.pf
20.04.2008 00:37 9.650 HKCMD.EXE-1D05234B.pf
20.04.2008 00:37 17.204 EHTRAY.EXE-02EFC9BD.pf
20.04.2008 00:37 13.446 SKYTEL.EXE-12751D3A.pf
20.04.2008 00:37 12.606 IGFXTRAY.EXE-3391579A.pf
78 Datei(en) 3.975.560 Bytes
0 Verzeichnis(se), 46.173.982.720 Bytes frei
|
|
21.04.2008, 22:57
| #21 |
| | swizzor genCode:
ATTFilter ----- Windows --------------------------
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 3CDB-6672
Verzeichnis von C:\WINDOWS
21.04.2008 18:48 4.186 ModemLog_Motorola SM56 Data Fax Modem.txt
21.04.2008 18:47 0 0.log
21.04.2008 18:47 159 wiadebug.log
21.04.2008 18:47 1.321.066 WindowsUpdate.log
21.04.2008 18:47 50 wiaservc.log
21.04.2008 18:47 2.048 bootstat.dat
21.04.2008 15:37 32.442 SchedLgU.Txt
19.04.2008 23:28 9.438 setupapi.log
17.04.2008 12:20 754 WORDPAD.INI
09.04.2008 16:02 131.090 MedCtrOC.log
09.04.2008 16:02 62.518 ehOCGen.log
09.04.2008 16:02 216.786 ntdtcsetup.log
09.04.2008 16:02 351.288 comsetup.log
09.04.2008 16:02 1.275.678 iis6.log
09.04.2008 16:02 50.743 tabletoc.log
09.04.2008 16:02 494.786 tsoc.log
09.04.2008 16:02 1.355 imsins.log
09.04.2008 16:02 57.890 ocmsn.log
09.04.2008 16:02 12.176 KB948881.log
09.04.2008 16:02 541.206 ocgen.log
09.04.2008 16:02 131.835 plusoc.log
09.04.2008 16:02 195.643 netfxocm.log
09.04.2008 16:02 53.182 msgsocm.log
09.04.2008 16:02 1.043.293 FaxSetup.log
09.04.2008 16:02 344.772 msmqinst.log
09.04.2008 16:02 1.355 imsins.BAK
09.04.2008 16:02 37.553 KB947864.log
09.04.2008 16:02 55.696 updspapi.log
09.04.2008 16:02 14.865 KB941693.log
09.04.2008 16:02 14.669 KB948590.log
09.04.2008 16:00 15.356 KB944338.log
09.04.2008 16:00 14.641 KB945553.log
06.04.2008 19:32 54.156 QTFont.qfn
01.04.2008 22:10 1.421 IE4 Error Log.txt
28.03.2008 12:21 202 NeroDigital.ini
11.03.2008 00:25 123.826 wmsetup.log
|
|
21.04.2008, 22:59
| #22 |
| | swizzor genCode:
ATTFilter ----- Tasks ----------------------------
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 3CDB-6672
Verzeichnis von C:\WINDOWS\tasks
21.04.2008 23:00 258 Auf Updates fr Windows Live Toolbar prfen.job
21.04.2008 18:47 6 SA.DAT
24.03.2006 14:00 65 desktop.ini
3 Datei(en) 329 Bytes
0 Verzeichnis(se), 46.173.966.336 Bytes frei
|
|
21.04.2008, 23:00
| #23 |
| | swizzor genCode:
ATTFilter ----- Wintemp --------------------------
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 3CDB-6672
Verzeichnis von C:\WINDOWS\temp
----- Temp -----------------------------
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 3CDB-6672
Verzeichnis von C:\DOKUME~1\EVAKEL~1\LOKALE~1\Temp
21.04.2008 23:51 134.528 filelist.txt
21.04.2008 22:32 114.688 ~DF1770.tmp
21.04.2008 22:29 25.414 MSIab6d9.LOG
|
|
21.04.2008, 23:01
| #24 |
| | swizzor gen das müsste alles sein.... =) |
|
21.04.2008, 23:06
| #25 |
| > MalwareDB | swizzor gen Da seh ich nichts, trotzdem noch mal dies bitte: Combofix - Download ComboFix von hier oder hier auf Deinen Desktop. - Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen!) - Mache einen Doppelklick auf combofix.exe - Wenn combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht. |
|
21.04.2008, 23:26
| #26 |
| | swizzor genCode:
ATTFilter ComboFix 08-04-20.5 - xxx 2008-04-22 0:12:48.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.143 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\xxx\Desktop\HJT\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\gsdhyjfwg_navtmp.dat
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\qkxyibckm.dat
c:\dokumente und einstellungen\xxx\lokale einstellungen\anwendungsdaten\qkxyibckm.exe
c:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\qkxyibckm_nav.dat
c:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\qkxyibckm_navps.dat
.
((((((((((((((((((((((( Dateien erstellt von 2008-03-21 bis 2008-04-21 ))))))))))))))))))))))))))))))
.
2008-04-21 22:04 . 2008-04-21 22:04 <DIR> d-------- C:\Deckard
2008-04-21 21:21 . 2008-04-21 21:21 <DIR> d-------- C:\Programme\Trend Micro
2008-04-20 00:44 . 2008-04-21 19:50 <DIR> d-------- C:\Programme\Mozilla Firefox 3 Beta 5
2008-04-20 00:09 . 2008-04-20 00:13 <DIR> d-------- C:\Programme\EasyCleaner2_0
2008-04-19 23:40 . 2008-04-19 23:40 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-04-19 23:40 . 2008-04-20 00:12 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-21 20:29 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-04-21 20:29 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2008-04-21 20:27 --------- d-----w C:\Programme\Winamp
2008-04-19 22:16 --------- d-----w C:\Programme\Elaborate Bytes
2008-04-14 18:03 --------- d-----w C:\Programme\eMule
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-04 12:26 5,344 -c--a-w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\wklnhst.dat
2008-02-22 16:06 74,752 ----a-w C:\WINDOWS\ST6UNST.EXE
2008-02-22 16:06 253,952 ------w C:\WINDOWS\Setup1.exe
2008-02-22 16:06 --------- d-----w C:\Programme\Nettoentgelt
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-16 09:30 671,744 ----a-w C:\WINDOWS\system32\wininet.dll
2006-07-07 07:13 8 -csh--r C:\WINDOWS\system32\B63ACF7CE3.sys
2006-08-25 15:46 617,472 --sha-w C:\WINDOWS\system32\comctl32.dll
2006-07-07 07:13 4,704 -csha-w C:\WINDOWS\system32\KGyGaAvL.sys
2006-03-24 12:00 1,028,096 --sha-w C:\WINDOWS\system32\mfc42.dll
2006-03-24 12:00 413,696 --sha-w C:\WINDOWS\system32\msvcp60.dll
2006-03-24 12:00 343,040 --sha-w C:\WINDOWS\system32\msvcrt.dll
2006-03-24 12:00 253,952 -csha-w C:\WINDOWS\system32\msvcrt20.dll
2006-03-24 12:00 30,749 -csha-w C:\WINDOWS\system32\vbajet32.dll
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-22 00:25 68856]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 09:56 204288]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-24 14:00 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-08-05 13:34 64512]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-07-19 11:09 94208]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-07-19 11:06 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-07-19 11:10 114688]
"SkyTel"="SkyTel.EXE" [2006-05-16 18:04 2879488 C:\WINDOWS\SkyTel.exe]
"SMSERIAL"="sm56hlpr.exe" [2005-09-16 21:01 557056 C:\WINDOWS\sm56hlpr.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-07-06 21:00 16251904 C:\WINDOWS\RTHDCPL.exe]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-07-14 14:06 798810]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2006-08-05 08:23 108160]
"EPSON Stylus DX3800 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.exe" [2005-02-08 06:00 98304]
"Omnipage"="C:\Programme\ScanSoft\OmniPageSE\opware32.exe" [2002-06-10 10:56 49152]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-07-07 08:20 155648]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2007-05-15 00:22 35328]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-18 21:56 262401]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-24 14:00 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.dvacm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\Vio\Dvacm.acm
"msacm.mpegacm"= mpegacm.acm
"msacm.ulmp3acm"= ulmp3acm.acm
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOLDialer]
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOLMIcon]
C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BullGuard]
C:\Programme\BullGuard Software\BullGuard\bullguard.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CtrlVol]
--a--c--- 2003-09-16 14:28 20480 C:\Programme\Launch Manager\CtrlVol.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotkeyApp]
--a--c--- 2006-07-17 10:48 65536 C:\Programme\Launch Manager\HotkeyApp.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LaunchAp]
--a--c--- 2005-07-25 13:36 32768 C:\Programme\Launch Manager\LaunchAp.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LMgrOSD]
--a--c--- 2005-03-16 13:52 204800 C:\Programme\Launch Manager\OSD.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Wbutton]
--a--c--- 2006-07-10 19:02 86016 C:\Programme\Launch Manager\Wbutton.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\WINDOWS\\system32\\fxsclnt.exe"=
"C:\\Programme\\NetMeeting\\Conf.exe"=
"C:\\Programme\\InterVideo\\DVD7\\WinDVD.exe"=
"C:\\Programme\\InterVideo\\MediaOne Gallery\\mediaone.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\eMule\\emule.exe"=
R1 Hotkey;Hotkey;C:\WINDOWS\system32\drivers\Hotkey.sys [2003-04-28 11:27]
R2 ithsgt;ithsgt;C:\WINDOWS\system32\DRIVERS\ithsgt.sys [2008-01-10 18:34]
R2 lilsgt;lilsgt;C:\WINDOWS\system32\DRIVERS\lilsgt.sys [2008-01-10 18:34]
S1 Wbutton;Wbutton;C:\WINDOWS\system32\drivers\Wbutton.sys []
*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2008-04-21 22:00:00 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job"
- C:\Programme\Windows Live Toolbar\MSNTBUP.EXE
.
**************************************************************************
catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-22 00:15:24
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Einträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 2
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-22 0:16:35
ComboFix-quarantined-files.txt 2008-04-21 22:16:28
8 Verzeichnis(se), 46,209,204,224 Bytes frei
10 Verzeichnis(se), 46,702,469,120 Bytes frei
140 --- E O F --- 2008-04-11 00:04:48
|
|
21.04.2008, 23:29
| #27 |
| | swizzor genCode:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:28:51, on 22.04.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\WINDOWS\sm56hlpr.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE C:\Programme\ScanSoft\OmniPageSE\opware32.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Winamp\winampa.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\Windows Media Player\WMPNSCFG.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\eHome\ehmsas.exe C:\Programme\MSN Messenger\usnsvc.exe C:\Programme\Mozilla Firefox 3 Beta 5\firefox.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\explorer.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800" O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{710C9174-03FC-4E31-9ACE-CC00D8F191F9}: NameServer = 212.114.152.1 212.114.153.1 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe -- End of file - 8398 bytes |
|
21.04.2008, 23:31
| #28 |
| > MalwareDB | swizzor gen Schön, Combofix hat die Infektionen gefunden und gelöscht. Bekommst Du noch Meldungen? |
|
21.04.2008, 23:35
| #29 |
| | swizzor gen im moment nicht =) ich tests mal... ich glaub es ist echt weg......   mein held  vielen vielen vielen lieben dank  |
|
| Themen zu swizzor gen |
| anhänge, antivir, firefox, freund, gen, helfen, hängen, interne, internet, lieber, log, nervt, neu, programm, sache, sachen, seite, seiten, spybot, swizzor, trojaner, tödlich, versucht, wirklich, öffnet |
Linear-Darstellung
