| |
| |||||||
Log-Analyse und Auswertung: Antivir lässt sich nicht mehr starten und AV-Programme werden unterbundenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
02.05.2008, 22:39
| #16 |
 |  Antivir lässt sich nicht mehr starten und AV-Programme werden unterbunden Malwarebytes Antimalware lass ich gerade durchlaufen, aber Kaspersky kann ich wie am anfang schon erwähnt knicken, das wird geblockt |
|
02.05.2008, 22:40
| #17 |
| Administrator > Competence Manager  | Antivir lässt sich nicht mehr starten und AV-Programme werden unterbunden Der Online-Scanner funktioniert auch nicht? Hast du es schon ausprobiert oder gehst du davon aus?
__________________
__________________ |
|
02.05.2008, 22:44
| #18 |
| | Antivir lässt sich nicht mehr starten und AV-Programme werden unterbunden ausprobiert ^^
__________________ |
|
02.05.2008, 23:33
| #19 |
| | Antivir lässt sich nicht mehr starten und AV-Programme werden unterbunden so, Malwarebytes Antimalware ist fertig und hat nichts gefunen: Code:
ATTFilter Malwarebytes' Anti-Malware 1.11
Datenbank Version: 709
Scan Art: Komplett Scan (C:\|D:\|E:\|)
Objekte gescannt: 104985
Scan Dauer: 57 minute(s), 37 second(s)
Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)
Infizierte Speicher Module:
(Keine Malware Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)
Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)
Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)
Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)
Infizierte Dateien:
(Keine Malware Objekte gefunden)
|
|
03.05.2008, 00:34
| #20 |
| > MalwareDB   | Antivir lässt sich nicht mehr starten und AV-Programme werden unterbunden Gpoint! 1. Combofix deinstalliern Um Combofix zu loeschen(den qoobox ordner) gebe unter Start /Ausführen "combofix /u" ein. Ohne die " natürlich.  2.GMER - Rootkit Detection * Lade GMER von hier * entpacke es auf den Dektop * Dopperlklicke die gmer.exe * Der Reiter Rootkit oben ist schon angewählt * Entferne die Häckchen rechts bei -System, -Section, -IAT/EAT, -Module, -Processes, -Threads, -Libraries  * Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern * nach Beendigung des Scan, drücke "Copy" * nun kannst Du das Ergebnis hier posten * Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden. 3. Neues HJT Log
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
|
03.05.2008, 09:32
| #21 |
| | Antivir lässt sich nicht mehr starten und AV-Programme werden unterbunden hier die log von GMER: Code:
ATTFilter GMER 1.0.14.14205 - h**p://www.gmer.net
Rootkit scan 2008-05-03 10:29:31
Windows 5.1.2600 Service Pack 2
---- Registry - GMER 1.0.14 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\ssmdrv\Products@Avira AntiVir Personal \x2013 Free Antivirus C:\Programme\Avira\AntiVir PersonalEdition Classic\??????????????????????????????????????????????????????????????????????????????
Reg HKLM\SYSTEM\ControlSet003\Services\ssmdrv\Products@Avira AntiVir Personal \x2013 Free Antivirus C:\Programme\Avira\AntiVir PersonalEdition Classic\??????????????????????????????????????????????????????????????????????????????
---- EOF - GMER 1.0.14 ----
HJT: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:31:36, on 03.05.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Java\jre1.6.0_06\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\iPod\bin\iPodService.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\18150.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\18c8b.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Unknown owner - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe (file missing) O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Unknown owner - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe (file missing) O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe -- End of file - 5423 bytes |
|
03.05.2008, 10:11
| #22 |
| > MalwareDB | Antivir lässt sich nicht mehr starten und AV-Programme werden unterbunden Seltsamer Eintrag mit AntiVir? Jetzt versuchen wir nochmal Combofix Combofix - Download ComboFix von hier oder hier auf Deinen Desktop. - Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen!) - Mache einen Doppelklick auf combofix.exe - Wenn combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
|
03.05.2008, 10:44
| #23 |
| | Antivir lässt sich nicht mehr starten und AV-Programme werden unterbunden so, combofix ist wieder durch: Code:
ATTFilter ComboFix 08-05-01.3 - Administrator 2008-05-03 11:38:28.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.726 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((( Dateien erstellt von 2008-04-03 bis 2008-05-03 ))))))))))))))))))))))))))))))
.
2008-05-03 10:42 . 2008-05-03 10:42 <DIR> d-------- C:\WINDOWS\LastGood
2008-05-03 10:24 . 2008-05-03 10:24 250 --a------ C:\WINDOWS\gmer.ini
2008-05-02 23:31 . 2008-05-02 23:33 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-05-02 23:31 . 2008-05-02 23:31 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-05-02 23:31 . 2008-05-02 23:31 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-05-02 21:01 . 2008-05-02 21:01 <DIR> d-------- C:\kav
2008-05-02 19:23 . 2008-05-02 20:10 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-05-02 19:23 . 2008-05-02 19:23 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-05-02 19:11 . 2008-05-02 19:11 <DIR> d-------- C:\Programme\Trend Micro
2008-05-02 18:19 . 2008-05-02 18:35 <DIR> d-------- C:\Programme\Tracktion2
2008-05-02 18:19 . 2008-05-02 18:40 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Tracktion
2008-05-02 18:19 . 2005-04-20 14:28 225,280 --a------ C:\WINDOWS\system32\ReWire.dll
2008-05-02 17:45 . 2004-08-03 23:08 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2008-05-01 13:59 . 2008-05-01 13:59 <DIR> d-------- C:\WINDOWS\Sun
2008-04-27 21:54 . 2008-04-27 21:54 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\.thumbnails
2008-04-27 21:52 . 2008-04-27 21:54 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\gtk-2.0
2008-04-27 20:41 . 2008-04-27 20:41 <DIR> d-------- C:\Programme\GIMP-2.0
2008-04-27 20:41 . 2008-04-27 21:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\.gimp-2.4
2008-04-27 12:32 . 2008-04-27 12:32 <DIR> d-------- C:\Programme\IrfanView
2008-04-27 10:18 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-04-27 10:18 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll
2008-04-27 10:18 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-04-26 21:54 . 2008-04-26 21:59 <DIR> d-------- C:\Programme\ICQ6
2008-04-26 21:54 . 2008-04-26 21:58 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ICQ
2008-04-26 21:46 . 2008-04-27 10:17 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Contacts
2008-04-26 21:30 . 2008-04-26 21:43 <DIR> d-------- C:\Programme\Windows Live
2008-04-26 21:30 . 2008-04-26 21:43 <DIR> d--hsc--- C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-04-26 21:30 . 2008-04-26 21:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-04-26 17:14 . 2008-04-26 17:14 <DIR> d-------- C:\Programme\Apple Software Update
2008-04-22 14:32 . 2008-04-22 14:32 1,144 --a------ C:\WINDOWS\mozver.dat
2008-04-21 23:56 . 2008-04-21 23:56 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
2008-04-21 23:56 . 2005-08-26 07:00 140,288 --a------ C:\WINDOWS\system32\CNMLM78.DLL
2008-04-21 23:56 . 2005-08-26 07:00 8,704 --a------ C:\WINDOWS\system32\CNMVS78.DLL
2008-04-21 23:54 . 2008-04-21 23:54 <DIR> d--h----- C:\BJPrinter
2008-04-21 23:54 . 2002-09-05 07:00 87,552 --a------ C:\WINDOWS\system32\CNMLM47.DLL
2008-04-21 23:54 . 2002-09-05 07:00 5,632 --a------ C:\WINDOWS\system32\CNMVS47.DLL
2008-04-21 23:52 . 2008-04-21 23:52 <DIR> d-------- C:\Programme\FRITZ!Box
2008-04-21 23:52 . 2005-05-11 15:11 53,760 -ra------ C:\WINDOWS\system32\avmadd32.dll
2008-04-21 23:52 . 2005-04-26 17:57 16,896 -ra------ C:\WINDOWS\system32\avmprmon.dll
2008-04-21 21:40 . 2008-04-21 21:40 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Talkback
2008-04-21 21:39 . 2008-04-21 21:39 0 --a------ C:\WINDOWS\nsreg.dat
2008-04-21 21:27 . 2008-04-21 21:28 <DIR> d-------- C:\Programme\JFritz
2008-04-21 21:27 . 2008-04-21 21:27 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\.jfritz
2008-04-21 21:27 . 2008-03-25 02:37 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-04-21 21:26 . 2008-04-21 21:27 <DIR> d-------- C:\Programme\Java
2008-04-21 21:24 . 2008-04-21 21:24 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-04-21 21:03 . 2003-06-18 17:31 17,920 --a------ C:\WINDOWS\system32\mdimon.dll
2008-04-21 21:03 . 2008-04-21 21:03 400 --a------ C:\WINDOWS\ODBC.INI
2008-04-21 21:02 . 2008-04-21 21:02 <DIR> d-------- C:\WINDOWS\SHELLNEW
2008-04-21 21:02 . 2008-04-21 21:02 <DIR> d-------- C:\Programme\Microsoft.NET
2008-04-21 20:36 . 2008-04-21 20:36 <DIR> d-------- C:\WINDOWS\usb-audio.deMindprintTrio
2008-04-21 20:35 . 2005-07-19 13:02 71,296 --a------ C:\WINDOWS\system32\drivers\MpUSBMd2.sys
2008-04-21 20:35 . 2005-07-19 13:00 23,520 --a------ C:\WINDOWS\system32\drivers\pgusbmm3.sys
2008-04-21 19:02 . 2008-04-21 19:02 <DIR> d-------- C:\Programme\iTunes
2008-04-21 19:02 . 2008-04-21 19:02 <DIR> d-------- C:\Programme\iPod
2008-04-21 19:02 . 2008-04-21 19:02 <DIR> d-------- C:\Programme\Bonjour
2008-04-21 19:02 . 2008-04-21 19:02 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Apple Computer
2008-04-21 19:02 . 2008-05-03 10:39 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-04-21 19:02 . 2008-04-21 19:02 1,409 --a------ C:\WINDOWS\QTFont.for
2008-04-21 19:01 . 2008-04-26 21:44 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-04-21 19:01 . 2008-04-21 19:02 <DIR> d-------- C:\Programme\QuickTime
2008-04-21 19:01 . 2008-04-21 19:01 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Apple
2008-04-21 19:01 . 2008-04-21 19:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-04-21 19:01 . 2008-04-21 19:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-04-21 14:45 . 2008-04-21 14:46 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-04-21 14:38 . 2004-08-04 00:58 61,952 --a------ C:\WINDOWS\system32\kstvtune.ax
2008-04-21 14:37 . 2006-04-04 11:29 86,016 --a------ C:\WINDOWS\system32\drivers\878BDA.sys
2008-04-21 14:34 . 2008-05-02 21:15 292 --a------ C:\WINDOWS\system\cmicnfg.ini
2008-04-21 14:25 . 2008-04-21 14:25 <DIR> d-------- C:\Programme\MSBuild
2008-04-21 14:22 . 2008-04-21 21:22 <DIR> d-------- C:\WINDOWS\system32\XPSViewer
2008-04-21 14:21 . 2008-04-21 14:21 <DIR> d-------- C:\Programme\Reference Assemblies
2008-04-21 14:18 . 2008-04-21 14:18 <DIR> d-------- C:\Programme\CONEXANT
2008-04-21 13:59 . 2008-04-21 13:59 13,646 --a------ C:\WINDOWS\system32\wpa.bak
2008-04-21 13:41 . 2008-04-21 13:41 <DIR> d-------- C:\Programme\NVIDIA Corporation
2008-04-21 13:41 . 2008-04-26 21:57 <DIR> d--h----- C:\Programme\InstallShield Installation Information
2008-04-21 13:41 . 2008-04-21 13:41 <DIR> d-------- C:\Programme\Gemeinsame Dateien\NVIDIA Shared
2008-04-21 13:40 . 2008-04-21 13:41 <DIR> d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2008-04-21 13:39 . 2008-04-21 13:39 <DIR> d-------- C:\NVIDIA
2008-04-21 13:36 . 2008-04-21 13:36 <DIR> d-------- C:\Programme\Avira
2008-04-21 13:36 . 2008-05-02 19:31 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-04-19 22:56 . 2008-03-01 14:53 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-04-19 22:49 . 2008-04-19 22:49 <DIR> d-------- C:\Programme\MSXML 6.0
2008-04-19 22:49 . 2008-04-19 22:49 <DIR> d-------- C:\Programme\MSXML 4.0
2008-04-19 22:49 . 2008-03-01 14:53 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-04-19 22:49 . 2007-04-17 11:32 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-04-19 22:49 . 2007-03-08 07:09 1,040,384 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-04-19 22:49 . 2008-03-01 14:53 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-04-19 22:49 . 2008-03-01 14:53 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-04-19 22:49 . 2008-03-01 14:53 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-04-19 22:49 . 2008-03-01 14:53 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-04-19 22:49 . 2008-02-22 12:00 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-04-19 22:48 . 2008-04-19 21:55 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Vorlagen
2008-04-19 22:48 . 2008-04-19 22:48 <DIR> dr------- C:\Dokumente und Einstellungen\Default User\Startmenü
2008-04-19 22:48 . 2008-04-19 22:48 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Netzwerkumgebung
2008-04-19 22:48 . 2008-04-19 22:48 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen
2008-04-19 22:48 . 2008-04-19 22:48 <DIR> d-------- C:\Dokumente und Einstellungen\Default User\Favoriten
2008-04-19 22:48 . 2008-04-19 22:48 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Druckumgebung
2008-04-19 22:48 . 2008-04-19 22:48 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Anwendungsdaten
2008-04-19 22:48 . 2008-04-19 22:48 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users\Vorlagen
2008-04-19 22:48 . 2008-04-21 13:59 <DIR> dr------- C:\Dokumente und Einstellungen\All Users\Startmenü
2008-04-19 22:48 . 2008-04-19 22:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Favoriten
2008-04-19 22:48 . 2008-04-19 21:57 <DIR> dr------- C:\Dokumente und Einstellungen\All Users\Dokumente
2008-04-19 22:48 . 2008-05-02 23:31 <DIR> dr-h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten
2008-04-19 22:47 . 2008-04-19 21:59 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User
2008-04-19 22:47 . 2008-04-19 21:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users
2008-04-19 22:47 . 2008-04-19 22:08 <DIR> d-------- C:\Dokumente und Einstellungen
2008-04-19 22:42 . 2008-04-19 22:42 <DIR> d-------- C:\Programme\Windows Media Connect 2
2008-04-19 22:42 . 2006-10-18 22:47 1,661,440 --------- C:\WINDOWS\system32\wmpencen.dll
2008-04-19 22:42 . 2006-10-18 22:47 613,376 --------- C:\WINDOWS\system32\wmpmde.dll
2008-04-19 22:42 . 2006-10-18 22:47 295,936 --------- C:\WINDOWS\system32\wmpeffects.dll
2008-04-19 22:42 . 2006-10-18 21:05 232,448 --------- C:\WINDOWS\system32\l3codecp.acm
2008-04-19 22:42 . 2006-10-18 22:47 204,288 --------- C:\WINDOWS\system32\wmpsrcwp.dll
2008-04-19 22:42 . 2006-10-18 22:47 130,048 --------- C:\WINDOWS\system32\wmpps.dll
2008-04-19 22:42 . 2008-04-19 22:42 3 --a------ C:\WINDOWS\system32\EUupdate.installed
2008-04-19 22:33 . 2008-04-21 14:26 <DIR> d-------- C:\WINDOWS\system32\de-de
2008-04-19 22:29 . 2006-10-31 12:26 36,864 -----c--- C:\WINDOWS\system32\dllcache\hidclass.sys
2008-04-19 22:25 . 2006-06-14 10:47 172,416 -----c--- C:\WINDOWS\system32\dllcache\kmixer.sys
2008-04-19 22:25 . 2006-06-14 11:00 82,944 -----c--- C:\WINDOWS\system32\dllcache\wdmaud.sys
2008-04-19 22:25 . 2006-11-08 10:51 62,336 --------- C:\WINDOWS\system32\drivers\rspndr.sys
2008-04-19 22:25 . 2006-11-08 10:51 10,752 --------- C:\WINDOWS\system32\rspndr.exe
2008-04-19 22:25 . 2006-06-14 10:47 6,400 -----c--- C:\WINDOWS\system32\dllcache\splitter.sys
2008-04-19 22:25 . 2008-04-19 22:25 3 --a------ C:\WINDOWS\system32\vbrun60sp6.installed
2008-04-19 22:22 . 2006-08-18 14:38 476,160 -----c--- C:\WINDOWS\system32\dllcache\wzcsvc.dll
2008-04-19 22:22 . 2006-08-18 14:38 52,736 -----c--- C:\WINDOWS\system32\dllcache\wzcsapi.dll
2008-04-19 22:22 . 2006-08-18 11:36 14,592 -----c--- C:\WINDOWS\system32\dllcache\ndisuio.sys
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-19 19:59 --------- d-----w C:\Programme\microsoft frontpage
2008-04-19 19:58 --------- d-----w C:\Programme\Online-Dienste
2008-04-19 19:57 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [ ]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NVMixerTray"="C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-06-03 20:51 245760]
"Cmaudio"="cmicnfg.cpl" []
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 97136]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-03-28 23:37 471040]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 04:28 144784]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"D:\\Setup-Dateien\\Media\\De- bzw. Encoder\\Lame 2.97\\lame.exe"=
"C:\\WINDOWS\\Explorer.EXE"=
"C:\\Programme\\NVIDIA Corporation\\NvMixer\\NVMixerTray.exe"=
"C:\\WINDOWS\\system32\\userinit.exe"=
"C:\\Programme\\iTunes\\iTunesHelper.exe"=
"C:\\WINDOWS\\system32\\notepad.exe"= C:\\WINDOWS\\system32\\NOTEPAD.EXE
"C:\\WINDOWS\\system32\\wscntfy.exe"=
"C:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\3721c5.exe"=
"C:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\wintrtiqr.exe"=
R0 878BDA;DVB-TV 878 BDA Driver;C:\WINDOWS\system32\Drivers\878BDA.sys [2006-04-04 11:29]
R3 MPSTAMER;usb-audio.de driver for Mindprint Trio;C:\WINDOWS\system32\Drivers\MpUSBMd2.sys [2005-07-19 13:02]
R3 pgusbmme;usb-audio.de MME-Adapter;C:\WINDOWS\system32\drivers\pgusbmm3.sys [2005-07-19 13:00]
R3 WMI_MFC_TPSHOKER_80;WMI_MFC_TPSHOKER_80;C:\WINDOWS\system32\drivers\juhokp.sys []
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{07b18140-0e57-11dd-a70f-806d6172696f}]
\Shell\AutoRun\command - F:\setup.exe
.
Inhalt des "geplante Tasks" Ordners
"2008-04-26 15:14:51 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************
catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-05-03 11:39:16
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Einträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-03 11:41:38
ComboFix-quarantined-files.txt 2008-05-03 09:41:09
ComboFix2.txt 2008-05-02 20:09:00
7 Verzeichnis(se), 34,369,212,416 Bytes frei
11 Verzeichnis(se), 34,356,338,688 Bytes frei
205 --- E O F --- 2008-04-27 19:06:17
Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:42:15, on 03.05.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Java\jre1.6.0_06\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Windows Live\Messenger\usnsvc.exe C:\WINDOWS\System32\svchost.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\3721c5.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\wintrtiqr.exe C:\WINDOWS\system32\notepad.exe C:\WINDOWS\explorer.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Unknown owner - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe (file missing) O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Unknown owner - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe (file missing) O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe -- End of file - 5500 bytes C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\3721c5.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\wintrtiqr.exe |
|
03.05.2008, 10:46
| #24 |
| > MalwareDB | Antivir lässt sich nicht mehr starten und AV-Programme werden unterbunden Diesmal ist CF richtig durchgelaufen  Meld mich gleich!
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
|
03.05.2008, 11:06
| #25 |
| > MalwareDB | Antivir lässt sich nicht mehr starten und AV-Programme werden unterbunden Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code:
ATTFilter KILLALL::
File::
C:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\3721c5.exe
C:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\wintrtiqr.exe
C:\WINDOWS\system32\drivers\juhokp.sys
FileLook::
C:\\WINDOWS\\system32\\userinit.exe
C:\\WINDOWS\\system32\\notepad.exe
D:\\Setup-Dateien\\Media\\De- bzw. Encoder\\Lame 2.97\\lame.exe
Driver::
WMI_MFC_TPSHOKER_80
Registry::
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\userinit.exe"=-
"C:\\WINDOWS\\system32\\notepad.exe"=-
"C:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\3721c5.exe"=-
"C:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\wintrtiqr.exe"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{07b18140-0e57-11dd-a70f-806d6172696f}]
\Shell\AutoRun\command - F:\setup.exe
4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer!) 5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.  6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall Geändert von BataAlexander (03.05.2008 um 11:12 Uhr) |
|
03.05.2008, 11:35
| #26 |
| | Antivir lässt sich nicht mehr starten und AV-Programme werden unterbunden so, combofix ist durch, ich habe das ganze skript auch noch um die datei C:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\52c4b8.exe ergänzt. Das ganez hat aber denke ich nichts geholfen weil im Verzeichnis C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp schon wieder lauter *.exe's mit diesen kryptischen Namen sind. Ich denke mal der Trojaner kopiert sich die Dateien bei jedem Start hier rein. Boah ey, ich dreh langsam wirklich am Rad. Lässt sich der überhaupt wegbekommen? Code:
ATTFilter ComboFix 08-05-01.3 - Administrator 2008-05-03 12:24:04.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.719 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Administrator\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
FILE ::
C:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\3721c5.exe
C:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\52c4b8.exe
C:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\wintrtiqr.exe
C:\WINDOWS\system32\drivers\juhokp.sys
.
(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\3721c5.exe
C:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\52c4b8.exe
C:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\wintrtiqr.exe
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_WMI_MFC_TPSHOKER_80
-------\Service_WMI_MFC_TPSHOKER_80
((((((((((((((((((((((( Dateien erstellt von 2008-04-03 bis 2008-05-03 ))))))))))))))))))))))))))))))
.
2008-05-03 12:26 . 5,941 C:\WINDOWS\system32\drivers\juhokp.sys
2008-05-03 10:24 . 2008-05-03 10:24 250 --a------ C:\WINDOWS\gmer.ini
2008-05-02 23:31 . 2008-05-02 23:33 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-05-02 23:31 . 2008-05-02 23:31 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-05-02 23:31 . 2008-05-02 23:31 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-05-02 21:01 . 2008-05-02 21:01 <DIR> d-------- C:\kav
2008-05-02 19:23 . 2008-05-02 20:10 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-05-02 19:23 . 2008-05-02 19:23 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-05-02 19:11 . 2008-05-02 19:11 <DIR> d-------- C:\Programme\Trend Micro
2008-05-02 18:19 . 2008-05-02 18:35 <DIR> d-------- C:\Programme\Tracktion2
2008-05-02 18:19 . 2008-05-02 18:40 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Tracktion
2008-05-02 18:19 . 2005-04-20 14:28 225,280 --a------ C:\WINDOWS\system32\ReWire.dll
2008-05-02 17:45 . 2004-08-03 23:08 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2008-05-01 13:59 . 2008-05-01 13:59 <DIR> d-------- C:\WINDOWS\Sun
2008-04-27 21:54 . 2008-04-27 21:54 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\.thumbnails
2008-04-27 21:52 . 2008-04-27 21:54 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\gtk-2.0
2008-04-27 20:41 . 2008-04-27 20:41 <DIR> d-------- C:\Programme\GIMP-2.0
2008-04-27 20:41 . 2008-04-27 21:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\.gimp-2.4
2008-04-27 12:32 . 2008-04-27 12:32 <DIR> d-------- C:\Programme\IrfanView
2008-04-27 10:18 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-04-27 10:18 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll
2008-04-27 10:18 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-04-26 21:54 . 2008-04-26 21:59 <DIR> d-------- C:\Programme\ICQ6
2008-04-26 21:54 . 2008-04-26 21:58 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ICQ
2008-04-26 21:46 . 2008-04-27 10:17 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Contacts
2008-04-26 21:30 . 2008-04-26 21:43 <DIR> d-------- C:\Programme\Windows Live
2008-04-26 21:30 . 2008-04-26 21:43 <DIR> d--hsc--- C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-04-26 21:30 . 2008-04-26 21:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-04-26 17:14 . 2008-04-26 17:14 <DIR> d-------- C:\Programme\Apple Software Update
2008-04-22 14:32 . 2008-04-22 14:32 1,144 --a------ C:\WINDOWS\mozver.dat
2008-04-21 23:56 . 2008-04-21 23:56 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
2008-04-21 23:56 . 2005-08-26 07:00 140,288 --a------ C:\WINDOWS\system32\CNMLM78.DLL
2008-04-21 23:56 . 2005-08-26 07:00 8,704 --a------ C:\WINDOWS\system32\CNMVS78.DLL
2008-04-21 23:54 . 2008-04-21 23:54 <DIR> d--h----- C:\BJPrinter
2008-04-21 23:54 . 2002-09-05 07:00 87,552 --a------ C:\WINDOWS\system32\CNMLM47.DLL
2008-04-21 23:54 . 2002-09-05 07:00 5,632 --a------ C:\WINDOWS\system32\CNMVS47.DLL
2008-04-21 23:52 . 2008-04-21 23:52 <DIR> d-------- C:\Programme\FRITZ!Box
2008-04-21 23:52 . 2005-05-11 15:11 53,760 -ra------ C:\WINDOWS\system32\avmadd32.dll
2008-04-21 23:52 . 2005-04-26 17:57 16,896 -ra------ C:\WINDOWS\system32\avmprmon.dll
2008-04-21 21:40 . 2008-04-21 21:40 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Talkback
2008-04-21 21:39 . 2008-04-21 21:39 0 --a------ C:\WINDOWS\nsreg.dat
2008-04-21 21:27 . 2008-04-21 21:28 <DIR> d-------- C:\Programme\JFritz
2008-04-21 21:27 . 2008-04-21 21:27 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\.jfritz
2008-04-21 21:27 . 2008-03-25 02:37 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-04-21 21:26 . 2008-04-21 21:27 <DIR> d-------- C:\Programme\Java
2008-04-21 21:24 . 2008-04-21 21:24 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-04-21 21:03 . 2003-06-18 17:31 17,920 --a------ C:\WINDOWS\system32\mdimon.dll
2008-04-21 21:03 . 2008-04-21 21:03 400 --a------ C:\WINDOWS\ODBC.INI
2008-04-21 21:02 . 2008-04-21 21:02 <DIR> d-------- C:\WINDOWS\SHELLNEW
2008-04-21 21:02 . 2008-04-21 21:02 <DIR> d-------- C:\Programme\Microsoft.NET
2008-04-21 20:36 . 2008-04-21 20:36 <DIR> d-------- C:\WINDOWS\usb-audio.deMindprintTrio
2008-04-21 20:35 . 2005-07-19 13:02 71,296 --a------ C:\WINDOWS\system32\drivers\MpUSBMd2.sys
2008-04-21 20:35 . 2005-07-19 13:00 23,520 --a------ C:\WINDOWS\system32\drivers\pgusbmm3.sys
2008-04-21 19:02 . 2008-04-21 19:02 <DIR> d-------- C:\Programme\iTunes
2008-04-21 19:02 . 2008-04-21 19:02 <DIR> d-------- C:\Programme\iPod
2008-04-21 19:02 . 2008-04-21 19:02 <DIR> d-------- C:\Programme\Bonjour
2008-04-21 19:02 . 2008-04-21 19:02 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Apple Computer
2008-04-21 19:02 . 2008-05-03 10:39 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-04-21 19:02 . 2008-04-21 19:02 1,409 --a------ C:\WINDOWS\QTFont.for
2008-04-21 19:01 . 2008-04-26 21:44 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-04-21 19:01 . 2008-04-21 19:02 <DIR> d-------- C:\Programme\QuickTime
2008-04-21 19:01 . 2008-04-21 19:01 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Apple
2008-04-21 19:01 . 2008-04-21 19:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-04-21 19:01 . 2008-04-21 19:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-04-21 14:45 . 2008-04-21 14:46 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-04-21 14:38 . 2004-08-04 00:58 61,952 --a------ C:\WINDOWS\system32\kstvtune.ax
2008-04-21 14:37 . 2006-04-04 11:29 86,016 --a------ C:\WINDOWS\system32\drivers\878BDA.sys
2008-04-21 14:34 . 2008-05-02 21:15 292 --a------ C:\WINDOWS\system\cmicnfg.ini
2008-04-21 14:25 . 2008-04-21 14:25 <DIR> d-------- C:\Programme\MSBuild
2008-04-21 14:22 . 2008-04-21 21:22 <DIR> d-------- C:\WINDOWS\system32\XPSViewer
2008-04-21 14:21 . 2008-04-21 14:21 <DIR> d-------- C:\Programme\Reference Assemblies
2008-04-21 14:18 . 2008-04-21 14:18 <DIR> d-------- C:\Programme\CONEXANT
2008-04-21 13:59 . 2008-04-21 13:59 13,646 --a------ C:\WINDOWS\system32\wpa.bak
2008-04-21 13:41 . 2008-04-21 13:41 <DIR> d-------- C:\Programme\NVIDIA Corporation
2008-04-21 13:41 . 2008-04-26 21:57 <DIR> d--h----- C:\Programme\InstallShield Installation Information
2008-04-21 13:41 . 2008-04-21 13:41 <DIR> d-------- C:\Programme\Gemeinsame Dateien\NVIDIA Shared
2008-04-21 13:40 . 2008-04-21 13:41 <DIR> d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2008-04-21 13:39 . 2008-04-21 13:39 <DIR> d-------- C:\NVIDIA
2008-04-21 13:36 . 2008-04-21 13:36 <DIR> d-------- C:\Programme\Avira
2008-04-21 13:36 . 2008-05-02 19:31 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-04-19 22:56 . 2008-03-01 14:53 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-04-19 22:49 . 2008-04-19 22:49 <DIR> d-------- C:\Programme\MSXML 6.0
2008-04-19 22:49 . 2008-04-19 22:49 <DIR> d-------- C:\Programme\MSXML 4.0
2008-04-19 22:49 . 2008-03-01 14:53 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-04-19 22:49 . 2007-04-17 11:32 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-04-19 22:49 . 2007-03-08 07:09 1,040,384 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-04-19 22:49 . 2008-03-01 14:53 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-04-19 22:49 . 2008-03-01 14:53 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-04-19 22:49 . 2008-03-01 14:53 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-04-19 22:49 . 2008-03-01 14:53 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-04-19 22:49 . 2008-02-22 12:00 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-04-19 22:48 . 2008-04-19 21:55 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Vorlagen
2008-04-19 22:48 . 2008-04-19 22:48 <DIR> dr------- C:\Dokumente und Einstellungen\Default User\Startmen
2008-04-19 22:48 . 2008-04-19 22:48 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Netzwerkumgebung
2008-04-19 22:48 . 2008-04-19 22:48 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen
2008-04-19 22:48 . 2008-04-19 22:48 <DIR> d-------- C:\Dokumente und Einstellungen\Default User\Favoriten
2008-04-19 22:48 . 2008-04-19 22:48 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Druckumgebung
2008-04-19 22:48 . 2008-04-19 22:48 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Anwendungsdaten
2008-04-19 22:48 . 2008-04-19 22:48 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users\Vorlagen
2008-04-19 22:48 . 2008-04-21 13:59 <DIR> dr------- C:\Dokumente und Einstellungen\All Users\Startmen
2008-04-19 22:48 . 2008-04-19 22:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Favoriten
2008-04-19 22:48 . 2008-04-19 21:57 <DIR> dr------- C:\Dokumente und Einstellungen\All Users\Dokumente
2008-04-19 22:48 . 2008-05-02 23:31 <DIR> dr-h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten
2008-04-19 22:47 . 2008-04-19 21:59 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User
2008-04-19 22:47 . 2008-04-19 21:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users
2008-04-19 22:47 . 2008-04-19 22:08 <DIR> d-------- C:\Dokumente und Einstellungen
2008-04-19 22:42 . 2008-04-19 22:42 <DIR> d-------- C:\Programme\Windows Media Connect 2
2008-04-19 22:42 . 2006-10-18 22:47 1,661,440 --------- C:\WINDOWS\system32\wmpencen.dll
2008-04-19 22:42 . 2006-10-18 22:47 613,376 --------- C:\WINDOWS\system32\wmpmde.dll
2008-04-19 22:42 . 2006-10-18 22:47 295,936 --------- C:\WINDOWS\system32\wmpeffects.dll
2008-04-19 22:42 . 2006-10-18 21:05 232,448 --------- C:\WINDOWS\system32\l3codecp.acm
2008-04-19 22:42 . 2006-10-18 22:47 204,288 --------- C:\WINDOWS\system32\wmpsrcwp.dll
2008-04-19 22:42 . 2006-10-18 22:47 130,048 --------- C:\WINDOWS\system32\wmpps.dll
2008-04-19 22:42 . 2008-04-19 22:42 3 --a------ C:\WINDOWS\system32\EUupdate.installed
2008-04-19 22:33 . 2008-04-21 14:26 <DIR> d-------- C:\WINDOWS\system32\de-de
2008-04-19 22:29 . 2006-10-31 12:26 36,864 -----c--- C:\WINDOWS\system32\dllcache\hidclass.sys
2008-04-19 22:25 . 2006-06-14 10:47 172,416 -----c--- C:\WINDOWS\system32\dllcache\kmixer.sys
2008-04-19 22:25 . 2006-06-14 11:00 82,944 -----c--- C:\WINDOWS\system32\dllcache\wdmaud.sys
2008-04-19 22:25 . 2006-11-08 10:51 62,336 --------- C:\WINDOWS\system32\drivers\rspndr.sys
2008-04-19 22:25 . 2006-11-08 10:51 10,752 --------- C:\WINDOWS\system32\rspndr.exe
2008-04-19 22:25 . 2006-06-14 10:47 6,400 -----c--- C:\WINDOWS\system32\dllcache\splitter.sys
2008-04-19 22:25 . 2008-04-19 22:25 3 --a------ C:\WINDOWS\system32\vbrun60sp6.installed
2008-04-19 22:22 . 2006-08-18 14:38 476,160 -----c--- C:\WINDOWS\system32\dllcache\wzcsvc.dll
2008-04-19 22:22 . 2006-08-18 14:38 52,736 -----c--- C:\WINDOWS\system32\dllcache\wzcsapi.dll
2008-04-19 22:22 . 2006-08-18 11:36 14,592 -----c--- C:\WINDOWS\system32\dllcache\ndisuio.sys
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-19 19:59 --------- d-----w C:\Programme\microsoft frontpage
2008-04-19 19:58 --------- d-----w C:\Programme\Online-Dienste
2008-04-19 19:57 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
.
(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
---- C:\\WINDOWS\\system32\\notepad.exe ----
Company: Microsoft Corporation
File Description: Editor
File Version: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
Product Name: Betriebssystem Microsoft© Windows©
Copyright: ¸ Microsoft Corporation. Alle Rechte vorbehalten.
Original file name: NOTEPAD.EXE
---- C:\\WINDOWS\\system32\\userinit.exe ----
Company: Microsoft Corporation
File Description: Userinit-Anmeldeanwendung
File Version: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
Product Name: Betriebssystem Microsoft© Windows©
Copyright: ¸ Microsoft Corporation. Alle Rechte vorbehalten.
Original file name: USERINIT.EXE
- Unable to find Resource table header in file.
((((((((((((((((((((((((((((( snapshot@2008-05-03_11.40.41,89 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-03 08:39:23 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-03 10:25:45 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2005-10-20 18:02:28 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [ ]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NVMixerTray"="C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-06-03 20:51 245760]
"Cmaudio"="cmicnfg.cpl" []
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 97136]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-03-28 23:37 471040]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 04:28 144784]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"D:\\Setup-Dateien\\Media\\De- bzw. Encoder\\Lame 2.97\\lame.exe"=
"C:\\WINDOWS\\Explorer.EXE"=
"C:\\Programme\\NVIDIA Corporation\\NvMixer\\NVMixerTray.exe"=
"C:\\WINDOWS\\system32\\userinit.exe"=
"C:\\Programme\\iTunes\\iTunesHelper.exe"=
"C:\\WINDOWS\\system32\\notepad.exe"= C:\\WINDOWS\\system32\\NOTEPAD.EXE
"C:\\WINDOWS\\system32\\wscntfy.exe"=
"C:\\WINDOWS\\system32\\CF24479.exe"=
"C:\\ComboFix\\NirCmd.cfexe"=
"C:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\17692.exe"=
"C:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\1f97e.exe"=
"C:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\winodtvj.exe"=
R0 878BDA;DVB-TV 878 BDA Driver;C:\WINDOWS\system32\Drivers\878BDA.sys [2006-04-04 11:29]
R3 MPSTAMER;usb-audio.de driver for Mindprint Trio;C:\WINDOWS\system32\Drivers\MpUSBMd2.sys [2005-07-19 13:02]
R3 pgusbmme;usb-audio.de MME-Adapter;C:\WINDOWS\system32\drivers\pgusbmm3.sys [2005-07-19 13:00]
R3 WMI_MFC_TPSHOKER_80;WMI_MFC_TPSHOKER_80;C:\WINDOWS\system32\drivers\juhokp.sys []
*Newly Created Service* - WMI_MFC_TPSHOKER_80
.
Inhalt des "geplante Tasks" Ordners
"2008-04-26 15:14:51 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************
catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-03 12:26:21
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Eintr„ge...
Scanne versteckte Dateien...
C:\WINDOWS\system32\drivers\juhokp.sys 5941 bytes executable
Scan erfolgreich abgeschlossen
versteckte Dateien: 1
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\wscntfy.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\temp\17692.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\temp\1f97e.exe
C:\Programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-03 12:30:42 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-03 10:30:39
ComboFix2.txt 2008-05-03 09:41:39
ComboFix3.txt 2008-05-02 20:09:00
7 Verzeichnis(se), 34,349,449,216 Bytes frei
10 Verzeichnis(se), 34,209,660,928 Bytes frei
258 --- E O F --- 2008-04-27 19:06:17
|
|
03.05.2008, 11:49
| #27 |
| > MalwareDB | Antivir lässt sich nicht mehr starten und AV-Programme werden unterbunden Das können auch Dateien der AVs sein? Du hast AntiVir und Kaspersky installiert? Müsste noch mal nachsehen, aber von einem ist mir bekannt, das es kryptische Prozesse erzeugt um nicht von einem Virus beendet zu werder. Die Datei C:\WINDOWS\system32\drivers\juhokp.sys bitte mal bei VirusTotal - Free Online Virus and Malware Scan prüfen lassen. Das Ergebnis hier posten. Lassen sich die AVs wieder starten?
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
|
03.05.2008, 11:59
| #28 |
| | Antivir lässt sich nicht mehr starten und AV-Programme werden unterbunden wie gesagt, diese Seite wird blockiert, ich kann sie nicht aufrufen. Der Trojaner hat sich anscheinend in der host-Datei oder sonst wo (in diesen Tiefen kenne ich mich nicht wirklich aus) eingenistet. ESET konnte ich jetzt installieren .. Avira und Kaspersky habe ich ja beide schon längt wieder deinstalliert weil sie sich nicht starten liesen. Die Installation von Avira wird auch noch vom Trojaner unterbunden, die Installation bricht einfach ab. Ich lasse ESET gerade einmal durchlaufen |
|
03.05.2008, 12:03
| #29 | |
| > MalwareDB | Antivir lässt sich nicht mehr starten und AV-Programme werden unterbundenZitat:
Schließen uns gleich kurz 
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
|
03.05.2008, 12:23
| #30 |
| | Antivir lässt sich nicht mehr starten und AV-Programme werden unterbunden Tipp hört sich schon mal gut an ;D |
|
| Themen zu Antivir lässt sich nicht mehr starten und AV-Programme werden unterbunden |
| adobe, antivir, antivirus, avira, bho, bonjour, excel, explorer, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, internet security, kaspersky, logfile, object, problem, rundll, security, shockwave, software, starten, system, temp, trojaner, virus/trojaner, windows, windows xp |
Linear-Darstellung
