| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: verschiedene hartnäckige Trojaner, PC langsamWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
17.05.2008, 07:46
| #1 |
 |  verschiedene hartnäckige Trojaner, PC langsam Hallo! Da mein PC plötzlich total verseucht war, hab ich die Festplatte formatiert und alles neu installiert. Leider kamen die Probleme gleich wieder. Ich benutze zur Zeit eine Probeversion von Kaspersky Internet Security 7.0. (Vorher Anti-Vir Freeware). Das Programm findet immer wieder Trojaner und meldet häufig Sypware-Angriffe, Phishingversuche usw. Der letzte Trojaner war Win32.monder, der immer wieder kommt. Vorher hatte ich schon Win32.KillAV und Vundo. Auch ein Suchlauf im abgesicherten Modus mit Neustart hat nicht geholfen. Mittlerweile kann ich auf einige Homepages zeitweise nicht mehr richtig zugreifen (z. B. google und yahoo) und phasenweise ist der Rechner so langsam, dass kaum noch was geht. Ich hoffe wirklich, dass mir jemand helfen kann, von Virenproblemen war ich bis vor kurzem verschont geblieben und kenn mich daher überhaupt nicht aus. Hier kommt mein Hijackthis-logfile. An combofix hab ich mich nicht dran getraut wegen all der Warnhinweise. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 08:42:02, on 17.05.2008 Platform: Windows XP SP2, v.2149 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0013) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\AAV\aavus.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\Rundll32.exe C:\Programme\phonostar\ps_timer.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\***\Desktop\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freemail.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" O4 - HKLM\..\Run: [480774d1] rundll32.exe "C:\WINDOWS\system32\iinjoxeq.dll",b O4 - HKLM\..\Run: [BM4b34474d] Rundll32.exe "C:\WINDOWS\system32\mkregchu.dll",s O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Gemeinsame Dateien\AAV\aavus.exe O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe -- End of file - 4715 bytes Danke schon mal im Voraus! |
|
17.05.2008, 08:49
| #2 |
| /// the machine /// TB-Ausbilder    | verschiedene hartnäckige Trojaner, PC langsam hi kamark,
__________________1. Vergewissere dich zunächst, dass du auf deinem Rechner alles siehst: (siehe diese Abbildungen, unser Dankeschön an Rene-gad) In den Ordneroptionen sollte zuerst das Häkchen entfernt werden bei "geschützte Systemdateien ausblenden" und etwas weiter unten wählt man bei "Versteckte Ordner und Verzeichnisse" den Punkt "Alle Dateien und Ordner anzeigen". 2. Datei Überprüfung Kannst du >>diese<< Datei(en) vorzugsweise mit Virustotal scannen und wenn das Ergebnis vorliegt, den kleinen Button "filter" drücken, dann das Ergebnis (egal wie es aussieht) kopieren und hier posten. Alternativ kannst du diese Datei(en) auch bei virscan oder bei jotti scannen lassen: C:\WINDOWS\system32\mkregchu.dll C:\WINDOWS\system32\iinjoxeq.dll Teile uns >>alle Einzel-Scan-Ergebnisse mittels copy&paste<< mit, inklusive Dateigröße und Name, MD5 und SHA1. gruß schrauber |
|
17.05.2008, 09:28
| #3 |
| | verschiedene hartnäckige Trojaner, PC langsam So, die versteckten Dateien hab ich, wie in der Anleitung erklärt, sichtbar gemacht.
__________________Hier schonmal das Ergebnis vom Scan von C:\WINDOWS\system32\mkregchu.dll bei Virustotal (sieht ja gruselig aus!). Hab einfach mal alles kopiert, damit nichts fehlt. Datei mkregchu.dll empfangen 2008.05.17 10:23:55 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 9/32 (28.13%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: ___. Geschätzte Startzeit is zwischen ___ und ___ . Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.5.16.0 2008.05.16 - AntiVir 7.8.0.19 2008.05.17 TR/Vundo.Gen Authentium 5.1.0.4 2008.05.17 - Avast 4.8.1195.0 2008.05.17 - AVG 7.5.0.516 2008.05.16 Generic10.ZBD BitDefender 7.2 2008.05.17 - CAT-QuickHeal 9.50 2008.05.16 - ClamAV None 2008.05.17 - DrWeb 4.44.0.09170 2008.05.17 - eSafe 7.0.15.0 2008.05.16 - eTrust-Vet 31.4.5796 2008.05.16 Win32/Vundo!generic Ewido 4.0 2008.05.14 - F-Prot 4.4.2.54 2008.05.16 - F-Secure 6.70.13260.0 2008.05.17 Vundo.gen176 Fortinet 3.14.0.0 2008.05.17 - GData 2.0.7306.1023 2008.05.17 - Ikarus T3.1.1.26.0 2008.05.17 Win32.Rigel.6468 Kaspersky 7.0.0.125 2008.05.17 - McAfee 5297 2008.05.17 Vundo.gen.c Microsoft 1.3408 2008.05.13 - NOD32v2 3106 2008.05.16 - Norman 5.80.02 2008.05.16 Vundo.gen176 Panda 9.0.0.4 2008.05.17 - Prevx1 V2 2008.05.17 Cloaked Malware Rising 20.44.51.00 2008.05.17 - Sophos 4.29.0 2008.05.17 - Sunbelt 3.0.1123.1 2008.05.17 - Symantec 10 2008.05.17 - TheHacker 6.2.92.311 2008.05.15 - VBA32 3.12.6.6 2008.05.17 - VirusBuster 4.3.26:9 2008.05.16 - Webwasher-Gateway 6.6.2 2008.05.17 Trojan.Vundo.Gen weitere Informationen File size: 96832 bytes MD5...: cab10f1fd03c901cb4bc374510c2d4c6 SHA1..: c07e1b7442fc4de2b16c7a418acb84fc007fd703 SHA256: 0a4c86d9cb6f5883bbd337661b128ca986d93459305f3a74c2432d02e0168b38 SHA512: 5c9d4c6daea07d80255851e4b88cd43aaf5aaa3e5b681b95cd588c8d4740608e 46e85ab0f9e57f26f65c0b6e572e186502f5fdea0b05db3c077aba8ba25a8e5f PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x10005a97 timedatestamp.....: 0xdc3e4322L (invalid) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x1a000 0x4e00 7.75 d35c085d8f404d925ee1dfa938af86c6 .data 0x1b000 0x12000 0x12000 7.99 910089012c3cb141e6645715b47a6321 .rdata 0x2d000 0x1000 0x400 7.15 cbd28e28ea9931be6efa5aebd5ce6b2a .idata 0x2e000 0x1000 0x400 1.56 4354d933a04348fa7d22536d1398f6ce ( 1 imports ) > kernel32.dll: ExitProcess, GetLastError, GetModuleHandleA, GetStartupInfoA, GetSystemTimeAsFileTime, TlsFree, lstrcpyA, lstrcpynA ( 0 exports ) Prevx info: 04053268.DLL - Prevx |
|
17.05.2008, 09:31
| #4 |
| | verschiedene hartnäckige Trojaner, PC langsam so, hier noch die Ergebnisse für die Datei C:\WINDOWS\system32\iinjoxeq.dll Vielen Dank für die schnelle Antwort! Datei iinjoxeq.dll empfangen 2008.05.17 10:30:16 (CET) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.5.16.0 2008.05.16 - AntiVir 7.8.0.19 2008.05.17 TR/Vundo.Gen Authentium 5.1.0.4 2008.05.17 - Avast 4.8.1195.0 2008.05.17 - AVG 7.5.0.516 2008.05.16 Generic10.ZBF BitDefender 7.2 2008.05.17 - CAT-QuickHeal 9.50 2008.05.16 - ClamAV None 2008.05.17 - DrWeb 4.44.0.09170 2008.05.17 - eSafe 7.0.15.0 2008.05.16 - eTrust-Vet 31.4.5798 2008.05.16 Win32/Vundo!generic Ewido 4.0 2008.05.14 - F-Prot 4.4.2.54 2008.05.16 - F-Secure 6.70.13260.0 2008.05.17 Vundo.gen177 Fortinet 3.14.0.0 2008.05.17 - GData 2.0.7306.1023 2008.05.17 Trojan.Win32.Monder.fb Ikarus T3.1.1.26.0 2008.05.17 Win32.Rigel.6468 Kaspersky 7.0.0.125 2008.05.17 Trojan.Win32.Monder.fb McAfee 5297 2008.05.17 Vundo.gen.c Microsoft 1.3408 2008.05.13 - NOD32v2 3106 2008.05.16 - Norman 5.80.02 2008.05.16 Vundo.gen177 Panda 9.0.0.4 2008.05.17 - Prevx1 V2 2008.05.17 Cloaked Malware Rising 20.44.51.00 2008.05.17 - Sophos 4.29.0 2008.05.17 - Sunbelt 3.0.1123.1 2008.05.17 - Symantec 10 2008.05.17 - TheHacker 6.2.92.311 2008.05.15 - VBA32 3.12.6.6 2008.05.17 - VirusBuster 4.3.26:9 2008.05.16 - Webwasher-Gateway 6.6.2 2008.05.17 Trojan.Vundo.Gen weitere Informationen File size: 90688 bytes MD5...: edb572081b0f5c014005d08979a52538 SHA1..: db74e9d5d5f6ba5114a7787014a4e873c0f029c2 SHA256: bc5dda26549f411dad250007ec621dbe41c3d887c84d6396c188f940773d6bfc SHA512: 4841f3c2b53f53ae03a90470976f4c8039d5fe65791259f841f9aa042d4a7374<br>b6c4828aaee5d21a6ba0588bb0cff9919d0422015eb9afabc4d6086c65d30603 PEiD..: - PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x100063b3<br>timedatestamp.....: 0xdc3854f2L (invalid)<br>machinetype.......: 0x14c (I386)<br><br>( 4 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x18000 0x5600 7.79 f14f4879981053c7b124c4070000051a<br>.data 0x19000 0x10000 0x10000 7.99 eff984969b451a064e0924072cda4523<br>.rdata 0x29000 0x1000 0x400 6.40 b0759c245fe687a61d738abef5b20d28<br>.idata 0x2a000 0x1000 0x400 1.16 96e3213084f40a2797fa63067a104f50<br><br>( 1 imports ) <br>> kernel32.dll: GetLastError, GetLocalTime, LocalAlloc, SetLastError, lstrcpynA, ExitProcess<br><br>( 0 exports ) <br> Prevx info: 03332976.DLL - Prevx |
|
17.05.2008, 09:34
| #5 |
| | verschiedene hartnäckige Trojaner, PC langsam Sehe gerade, dass ich beim ersten Mal wohl was falsches gepastet habe, sorry! Hier nochmal die Ergebnisse vom Filter für C:\WINDOWS\system32\mkregchu.dll: Datei mkregchu.dll empfangen 2008.05.17 10:23:55 (CET) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.5.16.0 2008.05.16 - AntiVir 7.8.0.19 2008.05.17 TR/Vundo.Gen Authentium 5.1.0.4 2008.05.17 - Avast 4.8.1195.0 2008.05.17 - AVG 7.5.0.516 2008.05.16 Generic10.ZBD BitDefender 7.2 2008.05.17 - CAT-QuickHeal 9.50 2008.05.16 - ClamAV None 2008.05.17 - DrWeb 4.44.0.09170 2008.05.17 - eSafe 7.0.15.0 2008.05.16 - eTrust-Vet 31.4.5796 2008.05.16 Win32/Vundo!generic Ewido 4.0 2008.05.14 - F-Prot 4.4.2.54 2008.05.16 - F-Secure 6.70.13260.0 2008.05.17 Vundo.gen176 Fortinet 3.14.0.0 2008.05.17 - GData 2.0.7306.1023 2008.05.17 - Ikarus T3.1.1.26.0 2008.05.17 Win32.Rigel.6468 Kaspersky 7.0.0.125 2008.05.17 - McAfee 5297 2008.05.17 Vundo.gen.c Microsoft 1.3408 2008.05.13 - NOD32v2 3106 2008.05.16 - Norman 5.80.02 2008.05.16 Vundo.gen176 Panda 9.0.0.4 2008.05.17 - Prevx1 V2 2008.05.17 Cloaked Malware Rising 20.44.51.00 2008.05.17 - Sophos 4.29.0 2008.05.17 - Sunbelt 3.0.1123.1 2008.05.17 - Symantec 10 2008.05.17 - TheHacker 6.2.92.311 2008.05.15 - VBA32 3.12.6.6 2008.05.17 - VirusBuster 4.3.26:9 2008.05.16 - Webwasher-Gateway 6.6.2 2008.05.17 Trojan.Vundo.Gen weitere Informationen File size: 96832 bytes MD5...: cab10f1fd03c901cb4bc374510c2d4c6 SHA1..: c07e1b7442fc4de2b16c7a418acb84fc007fd703 SHA256: 0a4c86d9cb6f5883bbd337661b128ca986d93459305f3a74c2432d02e0168b38 SHA512: 5c9d4c6daea07d80255851e4b88cd43aaf5aaa3e5b681b95cd588c8d4740608e<br>46e85ab0f9e57f26f65c0b6e572e186502f5fdea0b05db3c077aba8ba25a8e5f PEiD..: - PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x10005a97<br>timedatestamp.....: 0xdc3e4322L (invalid)<br>machinetype.......: 0x14c (I386)<br><br>( 4 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x1a000 0x4e00 7.75 d35c085d8f404d925ee1dfa938af86c6<br>.data 0x1b000 0x12000 0x12000 7.99 910089012c3cb141e6645715b47a6321<br>.rdata 0x2d000 0x1000 0x400 7.15 cbd28e28ea9931be6efa5aebd5ce6b2a<br>.idata 0x2e000 0x1000 0x400 1.56 4354d933a04348fa7d22536d1398f6ce<br><br>( 1 imports ) <br>> kernel32.dll: ExitProcess, GetLastError, GetModuleHandleA, GetStartupInfoA, GetSystemTimeAsFileTime, TlsFree, lstrcpyA, lstrcpynA<br><br>( 0 exports ) <br> Prevx info: 04053268.DLL - Prevx |
|
17.05.2008, 09:47
| #6 |
| /// the machine /// TB-Ausbilder | verschiedene hartnäckige Trojaner, PC langsam hi, Hier die Anweisung für das VundoFix :
Lass in diesem Falle das VundoFix nach dem neu aufstarten nochmal laufen. gruß schrauber
__________________ --> verschiedene hartnäckige Trojaner, PC langsam |
|
17.05.2008, 11:12
| #7 |
| | verschiedene hartnäckige Trojaner, PC langsam Vundofix hat nichts gefunden! Ich hab das übrigens schon mal ausprobiert gehabt, er hat noch nie was gefunden, obwohl die Virenscanner den Trojaner angezeigt hatten. Demnach konnte ich auch nichts entfernen und wurde auch nicht zum Neustart aufgefordert. Ich nehme mal an, dass sich am Hijackthis-logfile nicht viel geändert hat, poste es aber nochmal. Logfile of Trend Micro HijackThis v2.0.2 [edit] bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 danke GUA  [/edit] |
|
17.05.2008, 11:24
| #8 |
| /// the machine /// TB-Ausbilder | verschiedene hartnäckige Trojaner, PC langsam 1. starte hijackthis,klicke do a system scan only und hake folgende kästchen an: Code:
ATTFilter O4 - HKLM\..\Run: [480774d1] rundll32.exe "C:\WINDOWS\system32\iinjoxeq.dll",b
O4 - HKLM\..\Run: [BM4b34474d] Rundll32.exe "C:\WINDOWS\system32\mkregchu.dll",s
2. Dateien mit OTMoveIt verschieben Bitte lade Dir OTMoveIt von OldTimer herunter.
3. lade bitte den Deckard's System Scanner (DSS) herunter und speichere ihn auf deinem Desktop. NB: Du musst mit Administrator-Rechten angemeldet sein, um dieses Programm laufen lassen zu können. 1. Schließe ALLE Anwendungen und Fenster. 2. Mach einen Doppelklick auf die dss.exe um sie auszuführen und folge den Prompts. 3. Wenn der Scan vollendet ist, werden sich zwei Textdateien öffnen - main.txt <- dieses wird maximiert dargestellt und extra.txt <- dieses wird als minmierte Datei dargestellt 4. Kopiere (STRG+A und STRG+C) und füge (STRG+V) den Inhalt von main.txt und den Inhalt von extra.txt in deine nächste Antwort. Die Logdateien können sehr lang werden. bitte die Logs in Code- Tags setzen
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
|
17.05.2008, 13:54
| #9 |
| | verschiedene hartnäckige Trojaner, PC langsam Punkt 1 und 2 habe ich ausgeführt. Hier kommt das neue Log: DllUnregisterServer procedure not found in C:\WINDOWS\system32\iinjoxeq.dll C:\WINDOWS\system32\iinjoxeq.dll NOT unregistered. C:\WINDOWS\system32\iinjoxeq.dll moved successfully. DllUnregisterServer procedure not found in C:\WINDOWS\system32\mkregchu.dll C:\WINDOWS\system32\mkregchu.dll NOT unregistered. C:\WINDOWS\system32\mkregchu.dll moved successfully. OTMoveIt2 by OldTimer - Version 1.0.4.2 log created on 05172008_143928 DSS stürzt immer gegen Ende des Scans ab (Windowsmeldung: hat einen Fehler festgestellt und muss beendet werden), daher gibts auch keine Logs. Neustart hat auch nichts gebracht, Programm stürzt wieder ab. |
|
17.05.2008, 14:17
| #10 |
| /// the machine /// TB-Ausbilder | verschiedene hartnäckige Trojaner, PC langsam komisch....naja dann versuchen wir mal das: Filelist 1. Lade das filelist.zip auf deinen Desktop herunter. 2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei 3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen 4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein. Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen: Verzeichnis von C:\ Verzeichnis von C:\WINDOWS\system32 Verzeichnis von C:\WINDOWS Verzeichnis von C:\WINDOWS\Prefetch (Windows XP) Verzeichnis von C:\WINDOWS\tasks Verzeichnis von C:\WINDOWS\Temp Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp gruß schrauber
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
|
17.05.2008, 14:28
| #11 |
| | verschiedene hartnäckige Trojaner, PC langsam Prefetch kommt in der Datei gar nicht vor, der Rest folgt hier: Verzeichnis von C:\ 17.05.2008 14:48 1.610.612.736 pagefile.sys 17.05.2008 12:08 1.083 VundoFix.txt 15.05.2008 19:04 205 boot.ini 17.04.2008 13:17 47.564 NTDETECT.COM 17.04.2008 13:17 251.184 ntldr 17.04.2008 12:59 0 MSDOS.SYS 17.04.2008 12:59 0 CONFIG.SYS 17.04.2008 12:59 0 AUTOEXEC.BAT 17.04.2008 12:59 0 IO.SYS ----- System32 ------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 4807-747E Verzeichnis von C:\WINDOWS\system32 17.05.2008 15:22 560.345 XELkRrCf.ini 17.05.2008 15:21 559.829 XELkRrCf.ini2 17.05.2008 14:35 1.467.518 qexojnii.ini 17.05.2008 10:25 143 mcrh.tmp 16.05.2008 16:43 2.112 hlumrpfw.exe 16.05.2008 16:40 102.464 jrfjfedx.dll 16.05.2008 16:38 1.467.038 bkvfwkhp.ini 16.05.2008 16:38 0 clkcnt.txt 15.05.2008 16:07 2.112 vdpebaaf.exe 15.05.2008 16:01 101.952 jwvwlnrx.dll 15.05.2008 15:55 99.904 dacsrreb.dll 15.05.2008 11:11 354 jaskkbfk.ini 14.05.2008 16:03 2.112 jvxodwqy.exe 14.05.2008 16:00 100.928 evjjltgd.dll 14.05.2008 15:55 99.392 jspqlbaa.dll 13.05.2008 08:32 1.490.346 bfihjpyj.ini 12.05.2008 23:36 101.440 wnggfnng.dll 12.05.2008 23:33 2.112 lulnmrlh.exe 12.05.2008 23:26 1.500.180 quuvoefd.ini 12.05.2008 23:23 2.206 wpa.dbl 09.05.2008 21:32 2.112 hjovtsys.exe 09.05.2008 21:29 102.976 tcjfcqdy.dll 08.05.2008 21:01 274.944 fCrRkLEX.dll 02.05.2008 23:39 196.683 FegQYJjl.ini 02.05.2008 23:38 196.683 FegQYJjl.ini2 25.04.2008 21:03 129.296 FNTCACHE.DAT 25.04.2008 14:13 6.074 jupdate-1.6.0_04-b12.log 18.04.2008 10:11 185.944 rmoc3260.dll 18.04.2008 10:11 5.632 pndx5032.dll 18.04.2008 10:11 6.656 pndx5016.dll 18.04.2008 10:11 348.160 msvcr71.dll 18.04.2008 10:11 499.712 msvcp71.dll 18.04.2008 10:11 278.528 pncrt.dll 17.04.2008 18:10 98.304 CmdLineExt.dll 17.04.2008 13:55 0 h323log.txt 17.04.2008 13:33 58.596 perfc009.dat 17.04.2008 13:33 392.296 perfh009.dat 17.04.2008 13:33 405.118 perfh007.dat 17.04.2008 13:33 70.580 perfc007.dat 17.04.2008 13:33 827.488 PerfStringBackup.INI 17.04.2008 13:24 251 spupdwxp.log 17.04.2008 13:05 25.065 wmpscheme.xml 17.04.2008 13:01 261 $winnt$.inf 17.04.2008 12:59 2.951 CONFIG.NT 17.04.2008 12:59 16.832 amcompat.tlb 17.04.2008 12:59 23.392 nscompat.tlb 17.04.2008 12:59 488 logonui.exe.manifest 17.04.2008 12:59 488 WindowsLogon.manifest 17.04.2008 12:59 749 nwc.cpl.manifest 17.04.2008 12:59 749 wuaucpl.cpl.manifest 17.04.2008 12:59 749 cdplayer.exe.manifest 17.04.2008 12:59 749 sapi.cpl.manifest 17.04.2008 12:59 749 ncpa.cpl.manifest 17.04.2008 12:57 21.740 emptyregdb.dat ----- Windows -------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 4807-747E Verzeichnis von C:\WINDOWS 17.05.2008 14:55 186.089 WindowsUpdate.log 17.05.2008 14:49 0 0.log 17.05.2008 14:49 159 wiadebug.log 17.05.2008 14:49 50 wiaservc.log 17.05.2008 14:48 2.048 bootstat.dat 17.05.2008 14:47 17.088 SchedLgU.Txt 17.05.2008 14:35 22 pskt.ini 17.05.2008 12:18 109.859 BM4b34474d.xml 16.05.2008 18:20 1.144 mozver.dat 15.05.2008 19:52 143 cookies.ini 15.05.2008 19:04 688 win.ini 15.05.2008 19:04 227 system.ini 15.05.2008 11:40 103.832 BM4b34474d.txt 13.05.2008 18:05 128.218 ntbtlog.txt 13.05.2008 10:34 1.436 wmsetup.log 09.05.2008 16:04 9.042 setupapi.log 08.05.2008 22:32 0 nsreg.dat 17.04.2008 19:04 403 ODBC.INI 17.04.2008 18:39 59 vbaddin.ini 17.04.2008 18:21 120 SIERRA.INI 17.04.2008 18:05 316.640 WMSysPr9.prx 17.04.2008 13:53 0 Sti_Trace.log 17.04.2008 13:02 8.192 REGLOCS.OLD 17.04.2008 12:59 0 control.ini 17.04.2008 12:59 299.552 WMSysPrx.prx 17.04.2008 12:59 4.161 ODBCINST.INI 17.04.2008 12:59 749 WindowsShell.Manifest 17.04.2008 12:57 36 vb.ini Verzeichnis von C:\WINDOWS\tasks 17.05.2008 14:48 6 SA.DAT Verzeichnis von C:\WINDOWS\temp 17.05.2008 15:22 8.192 cch~1b3d45bec.htp 17.05.2008 15:22 8.192 cch~1b3d457e6.htp 2 Datei(en) 16.384 Bytes 0 Verzeichnis(se), 30.515.613.696 Bytes frei ----- Temp ----------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 4807-747E Verzeichnis von C:\DOKUME~1\Katrina\LOKALE~1\Temp 17.05.2008 15:22 106.975 filelist.txt 1 Datei(en) 106.975 Bytes 0 Verzeichnis(se), 30.515.613.696 Bytes frei |
|
17.05.2008, 15:00
| #12 |
| Administrator > Competence Manager | verschiedene hartnäckige Trojaner, PC langsam Hallo.  Schrauber26 hat mich gebeten deinen Beitrag weiter zu bearbeiten da er es heute nicht mehr schafft.  Daher zusätzlich zur Filelist folgendes: ComboFix
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
|
17.05.2008, 17:34
| #13 |
| | verschiedene hartnäckige Trojaner, PC langsam Kann es denn passieren, dass mir combofix den ganzen Rechner ruiniert? Die Warnmeldung klingt so dramatisch. Ist es ratsam, vorher Daten zu sichern? Ist denn die andere Festplatte ohne Betriebssystem sicher? |
|
17.05.2008, 17:37
| #14 |
| Administrator > Competence Manager | verschiedene hartnäckige Trojaner, PC langsam Combofix kann(!) dein System zum Absturz bringen, so wie jede andere Software auch. Deine Daten sind danach sicherlich noch vorhanden, und können auch wiederhergestellt werden. Ansonsten würde ich dir vorschlagen zumindest die Daten auf deiner Systempartition zu sichern.
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
|
18.05.2008, 07:39
| #15 |
| | verschiedene hartnäckige Trojaner, PC langsam So, ich habs gewagt :-) Allerdings hat sich beim Neustart der Virenscanner gestartet, ich hoffe, das hat das Ergebnis nicht verfälscht, sonst mach ichs einfach nochmal und deaktiviere den vorher. (Während des Scans war er abgeschaltet) ComboFix 08-05-15.3 - Katrina 2008-05-18 8:26:40.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.648 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Katrina\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\Katrina\Anwendungsdaten\AntispywareBot C:\Dokumente und Einstellungen\Katrina\Anwendungsdaten\AntispywareBot\Log\2008 May 02 - 03_53_05 PM_984.log C:\Dokumente und Einstellungen\Katrina\Anwendungsdaten\AntispywareBot\Log\2008 May 02 - 03_53_26 PM_812.log C:\Dokumente und Einstellungen\Katrina\Anwendungsdaten\AntispywareBot\Log\2008 May 02 - 03_53_28 PM_500.log C:\Dokumente und Einstellungen\Katrina\Anwendungsdaten\AntispywareBot\Log\2008 May 02 - 03_54_12 PM_593.log C:\Dokumente und Einstellungen\Katrina\Anwendungsdaten\AntispywareBot\Log\2008 May 02 - 03_54_13 PM_718.log C:\WINDOWS\cookies.ini C:\WINDOWS\pskt.ini C:\WINDOWS\system32\bajicogb.exe C:\WINDOWS\system32\bfihjpyj.ini C:\WINDOWS\system32\bkvfwkhp.ini C:\WINDOWS\system32\dacsrreb.dll C:\WINDOWS\system32\evjjltgd.dll C:\WINDOWS\system32\fCrRkLEX.dll C:\WINDOWS\system32\FegQYJjl.ini C:\WINDOWS\system32\FegQYJjl.ini2 C:\WINDOWS\system32\gsetvwhn.ini C:\WINDOWS\system32\hjovtsys.exe C:\WINDOWS\system32\hlumrpfw.exe C:\WINDOWS\system32\jrfjfedx.dll C:\WINDOWS\system32\jspqlbaa.dll C:\WINDOWS\system32\jvxodwqy.exe C:\WINDOWS\system32\jwvwlnrx.dll C:\WINDOWS\system32\lulnmrlh.exe C:\WINDOWS\system32\mcrh.tmp C:\WINDOWS\system32\muhlumid.dll C:\WINDOWS\system32\nhwvtesg.dll C:\WINDOWS\system32\qexojnii.ini C:\WINDOWS\system32\quuvoefd.ini C:\WINDOWS\system32\tcjfcqdy.dll C:\WINDOWS\system32\vdpebaaf.exe C:\WINDOWS\system32\wlofhhgp.dll C:\WINDOWS\system32\wnggfnng.dll C:\WINDOWS\system32\XELkRrCf.ini C:\WINDOWS\system32\XELkRrCf.ini2 . ((((((((((((((((((((((( Dateien erstellt von 2008-04-18 bis 2008-05-18 )))))))))))))))))))))))))))))) . 2008-05-17 14:41 . 2008-05-17 14:41 <DIR> d-------- C:\Deckard 2008-05-17 14:39 . 2008-05-17 14:39 <DIR> d-------- C:\_OTMoveIt 2008-05-16 18:20 . 2008-05-16 18:20 1,144 --a------ C:\WINDOWS\mozver.dat 2008-05-14 16:06 . 2008-05-15 11:11 354 ---hs---- C:\WINDOWS\system32\jaskkbfk.ini 2008-05-13 10:26 . 2008-05-13 10:26 <DIR> d-------- C:\Dokumente und Einstellungen\Katrina\Anwendungsdaten\vlc 2008-05-13 10:23 . 2008-05-13 10:23 <DIR> d-------- C:\Programme\VideoLAN 2008-05-09 16:04 . 2008-05-09 16:11 96,645 --a------ C:\WINDOWS\system32\drivers\klin.dat 2008-05-09 16:04 . 2008-05-09 16:11 87,941 --a------ C:\WINDOWS\system32\drivers\klick.dat 2008-05-09 16:03 . 2008-05-09 16:03 <DIR> d-------- C:\Programme\Kaspersky Lab 2008-05-09 16:03 . 2008-05-18 08:33 2,490,912 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat 2008-05-09 16:03 . 2008-05-18 08:32 37,664 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat 2008-05-09 16:03 . 2008-05-18 08:31 34,412 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx 2008-05-09 16:03 . 2008-05-18 08:31 4,556 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx 2008-05-09 15:57 . 2008-05-09 15:57 <DIR> d-------- C:\kav 2008-05-09 14:41 . 2008-05-09 14:41 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab 2008-05-09 14:41 . 2008-05-18 08:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2008-05-08 22:33 . 2008-05-08 22:33 <DIR> d-------- C:\Dokumente und Einstellungen\Katrina\Anwendungsdaten\Talkback 2008-05-08 22:32 . 2008-05-08 22:32 0 --a------ C:\WINDOWS\nsreg.dat 2008-05-07 16:27 . 2008-05-07 16:27 <DIR> d-------- C:\WINDOWS\Downloaded Installations 2008-05-07 16:27 . 2008-05-07 16:27 <DIR> d-------- C:\Programme\CD-Autostart-Manager 2006 2008-05-04 12:53 . 2008-05-04 12:53 <DIR> d-------- C:\Programme\Lavasoft 2008-05-04 12:53 . 2008-05-04 12:53 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-05-04 12:53 . 2008-05-04 12:54 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-05-02 23:28 . 2008-05-02 23:28 <DIR> d-------- C:\VundoFix Backups 2008-05-02 23:09 . 2008-05-17 16:39 109,778 --a------ C:\WINDOWS\BM4b34474d.xml 2008-05-02 23:04 . 2008-05-02 23:04 <DIR> d-------- C:\WINDOWS\system32\de-de 2008-05-02 23:02 . 2008-05-02 23:02 <DIR> d--h----- C:\WINDOWS\$hf_mig$ 2008-04-30 17:42 . 2008-04-30 17:42 <DIR> d-------- C:\Programme\CCleaner 2008-04-28 09:00 . 2008-04-28 09:00 <DIR> d-------- C:\WINDOWS\Sun 2008-04-26 10:56 . 2008-04-26 10:56 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien 2008-04-25 23:16 . 2008-05-13 13:23 <DIR> d-------- C:\Dokumente und Einstellungen\Katrina\Anwendungsdaten\skypePM 2008-04-25 23:16 . 2008-04-25 23:16 32 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat 2008-04-25 23:15 . 2008-04-25 23:15 <DIR> d-------- C:\Programme\Skype 2008-04-25 23:15 . 2008-04-25 23:15 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype 2008-04-25 23:15 . 2008-05-13 13:56 <DIR> d-------- C:\Dokumente und Einstellungen\Katrina\Anwendungsdaten\Skype 2008-04-25 23:15 . 2008-04-25 23:15 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype 2008-04-25 14:16 . 2008-04-28 21:03 <DIR> d-------- C:\Dokumente und Einstellungen\Katrina\Anwendungsdaten\OpenOffice.org2 2008-04-25 14:13 . 2008-04-25 14:14 <DIR> d-------- C:\Programme\OpenOffice.org 2.4 2008-04-25 14:13 . 2008-04-25 14:13 <DIR> d-------- C:\Programme\Java 2008-04-25 14:13 . 2008-04-25 14:13 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java 2008-04-25 14:13 . 2007-12-14 01:59 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl 2008-04-25 14:12 . 2008-04-25 14:12 <DIR> d-------- C:\Programme\openoffice 2008-04-24 22:46 . 2004-06-10 16:25 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys 2008-04-24 20:08 . 2008-04-25 13:43 <DIR> d-------- C:\Programme\Google 2008-04-22 20:10 . 2008-04-22 20:10 <DIR> d--h----- C:\BJPrinter 2008-04-22 20:10 . 2001-08-29 07:00 94,720 --a------ C:\WINDOWS\system32\CNMLM38.DLL 2008-04-22 20:10 . 2001-08-29 07:00 5,632 --a------ C:\WINDOWS\system32\CNMVS38.DLL 2008-04-22 20:08 . 2004-06-10 16:19 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys 2008-04-22 20:08 . 2004-06-10 16:19 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys 2008-04-20 22:39 . 2008-04-20 22:42 <DIR> d-------- C:\Programme\cdex 2008-04-20 22:34 . 2008-04-20 22:34 <DIR> d-------- C:\Programme\mp3DirectCut 2008-04-20 20:10 . 2004-06-11 16:42 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll 2008-04-20 20:10 . 2004-06-10 16:17 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys 2008-04-20 20:10 . 2004-06-10 16:17 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys 2008-04-20 20:10 . 2001-08-18 04:54 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll 2008-04-18 15:12 . 2008-04-18 15:12 <DIR> d-------- C:\Dokumente und Einstellungen\Katrina\Anwendungsdaten\Atari 2008-04-18 10:11 . 2008-04-18 10:11 <DIR> d-------- C:\Programme\Gemeinsame Dateien\xing shared 2008-04-18 10:11 . 2008-04-18 10:11 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Real 2008-04-18 10:11 . 2008-04-18 10:11 <DIR> d-------- C:\Program Files 2008-04-18 10:11 . 2008-04-18 10:11 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll 2008-04-18 10:11 . 2008-04-18 10:11 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll 2 Datei(en) . 94 C:\ComboFix\Bytes . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-05-17 15:29 --------- d-----w C:\Dokumente und Einstellungen\Katrina\Anwendungsdaten\phonostar-Player 2008-05-09 14:01 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-05-03 20:00 --------- d-----w C:\Programme\The Moment of Silence 2008-04-21 10:58 --------- d-----w C:\Dokumente und Einstellungen\Katrina\Anwendungsdaten\ICQ 2008-04-20 20:25 --------- d-----w C:\Programme\phonostar 2008-04-18 13:12 --------- d-----w C:\Programme\RollerCoaster Tycoon 3 2008-04-17 19:38 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe 2008-04-17 16:35 --------- d-----w C:\Programme\microsoft frontpage 2008-04-17 16:35 --------- d-----w C:\Dokumente und Einstellungen\Katrina\Anwendungsdaten\Microsoft Web Folders 2008-04-17 16:12 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-04-17 16:10 98,304 ----a-w C:\WINDOWS\system32\CmdLineExt.dll 2008-04-17 16:05 --------- d-----w C:\Programme\Gemeinsame Dateien\PocketSoft 2008-04-17 16:02 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield 2008-04-17 15:49 --------- d-----w C:\Programme\ICQ6 2008-04-17 12:36 --------- d-----w C:\Programme\Gemeinsame Dateien\AAV 2008-04-17 12:36 --------- d-----w C:\Programme\Akademische Arbeitsgemeinschaft 2008-04-17 12:36 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AAV 2008-04-17 12:30 --------- d-----w C:\Dokumente und Einstellungen\Katrina\Anwendungsdaten\DeepBurner 2008-04-17 11:53 --------- d-----w C:\Programme\UltraPlayer 2008-04-17 11:52 --------- d-----w C:\Programme\DeepBurner 2008-04-17 11:37 --------- d-----w C:\Dokumente und Einstellungen\Katrina\Anwendungsdaten\ATI 2008-04-17 11:34 --------- d-----w C:\Programme\ATI Technologies 2008-04-17 11:33 --------- d-----w C:\Programme\Gemeinsame Dateien\ATI Technologies 2008-04-17 11:15 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BF8051E7-626F-4a11-AF7A-625A7B555862 2008-04-17 10:57 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "PhonostarTimer"="C:\Programme\phonostar\ps_timer.exe" [2007-12-05 16:14 126976] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-06-11 16:42 14336] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 09:12 90112] "SoundMan"="SOUNDMAN.EXE" [2006-08-02 23:12 577536 C:\WINDOWS\SOUNDMAN.EXE] "AVP"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2008-02-08 18:36 227856] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-06-11 16:42 14336] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "UseDesktopIniCache"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\opnmKAtR] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "UpdatesDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\ICQ6\\ICQ.exe"= "C:\\Program Files\\Real\\RealPlayer\\realplay.exe"= "C:\\Programme\\phonostar\\ps_olect.exe"= "C:\\kav\\kis7.0\\german\\setup.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= R2 AAV UpdateService;AAV UpdateService;C:\Programme\Gemeinsame Dateien\AAV\aavus.exe [2007-10-04 15:32] R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 13:28] . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-18 08:32:45 Windows 5.1.2600 Service Pack 2, v.2149 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\system32\ati2evxx.exe C:\WINDOWS\system32\ati2evxx.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Programme\ATI Technologies\ATI.ACE\CLI.exe C:\WINDOWS\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-05-18 8:35:58 - machine was rebooted [Katrina] ComboFix-quarantined-files.txt 2008-05-18 06:35:54 10 Verzeichnis(se), 30,451,736,576 Bytes frei 13 Verzeichnis(se), 30,424,723,456 Bytes frei 199 |
|
| Themen zu verschiedene hartnäckige Trojaner, PC langsam |
| abgesicherten modus, ad-aware, appinit_dlls, combofix, desktop, dll, einstellungen, explorer, f-secure, festplatte, firefox, google, helfen, hijack, hkus\s-1-5-18, immer wieder, internet, internet explorer, internet security, kaspersky, langsam, mozilla, mozilla firefox, neustart, object, programm, rundll, security, software, suchlauf, system, toolbars, trojaner, windows, windows xp |
Linear-Darstellung
