|
Log-Analyse und Auswertung: Virtumonde - HiJackThis Log FileWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
20.06.2008, 16:14 | #1 |
| Virtumonde - HiJackThis Log File Hallo ihr guten Helfer! hab das gefühl, dass ich seit fast ner woche von nem virus befallen bin. Anzeichen waren: PC versucht beim hochfahren, die Verbindung zum Internet herzustellen, wenn eine Verbindung zum Internet besteht, öffneten sich immer tabs mit viruswarnungen und einmal auch ne xxxsite . diese anzeichen sind seit 2 tagen nicht mehr da. hab aber selbst schon einiges getan: da mein avira nichts gefunden hat, hab ich die escan testversion heruntergeholt. Ergebnis: scannt ewig, fast nur Fehlermeldungen und die warnung, dass das File C:\Windows\System32\tuvSkKBQ.dll infected ist bei virus: not-a-virus:AdWare.Win32.Virtumonde.yti Diesen kann er aber nicht löschen! Hab jetzt grad HijackThis File erstellt, die sieht wie folgt aus: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:52:54, on 20.06.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\taskswitch.exe C:\WINDOWS\system32\rmctrl.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\PROGRA~1\eScan\TRAYICOS.EXE C:\PROGRA~1\eScan\AVPMWrap.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Skype\Phone\Skype.exe C:\PROGRA~1\eScan\MAILDISP.EXE C:\PROGRA~1\eScan\AvpM.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\PROGRA~1\eScan\TRAYSSER.EXE C:\PROGRA~1\eScan\avpm.exe C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE C:\PROGRA~1\ESCAN\SPOOLER.EXE C:\PROGRA~1\eScan\MAILSCAN.EXE C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\PROGRA~1\eScan\vista\ScanningProcess.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\XXX\Desktop\HiJackThis\HijackThis.exe C:\Dokumente und Einstellungen\Martha\Desktop\HiJackThis\test.com.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.at/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://register.spss.com/prod_reg/1.cfm?prod_id=spss R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {FAFEFDA6-712E-450B-A604-B7BBA73A235E} - C:\WINDOWS\system32\tuvSkKBQ.dll O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE O4 - HKLM\..\Run: [MailScan Dispatcher] C:\PROGRA~1\eScan\LAUNCH.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\bin\npjpi150.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O14 - IERESET.INF: START_PAGE_URL=h**p://www.google.at O17 - HKLM\System\CCS\Services\Tcpip\..\{EFD9EE8C-2191-498A-84A4-DFB9F42743BE}: NameServer = 213.153.32.1,213.153.32.129 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 5650 bytes Jetzt steh ich an, was muss ich tun? Bin ich den Virus nun schon los? Danke für die Hilfe! LG Lorenzina |
20.06.2008, 16:24 | #2 | ||
/// Winkelfunktion /// TB-Süch-Tiger™ | Virtumonde - HiJackThis Log FileZitat:
Zitat:
Code:
ATTFilter O2 - BHO: (no name) - {FAFEFDA6-712E-450B-A604-B7BBA73A235E} - C:\WINDOWS\system32\tuvSkKBQ.dll R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://register.spss.com/prod_reg/1.cfm?prod_id=spss Folge danach dem DSS-Link in meiner Sig und beachte die Anweisungen.
__________________ |
20.06.2008, 19:12 | #3 |
| Virtumonde - HiJackThis Log File DANKE für deine hilfe. hab das jetzt mal gemacht, DSS spuckt dann 2 (sehr lange) Logfiles aus, die hier folgen:
__________________extra.txt Code:
ATTFilter Deckard's System Scanner v20071014.68 Extra logfile - please post this as an attachment with your post. -------------------------------------------------------------------------------- -- System Information ---------------------------------------------------------- Microsoft Windows XP Professional (build 2600) SP 2.0 Architecture: X86; Language: German CPU 0: AMD Athlon(tm) Percentage of Memory in Use: 58% Physical Memory (total/avail): 255.48 MiB / 106.36 MiB Pagefile Memory (total/avail): 618.22 MiB / 364.53 MiB Virtual Memory (total/avail): 2047.88 MiB / 1945.23 MiB A: is Removable (No Media) C: is Fixed (NTFS) - 37.27 GiB total, 30.38 GiB free. D: is CDROM (No Media) E: is Removable (FAT) F: is CDROM (CDFS) \\.\PHYSICALDRIVE0 - ST340810A - 37.27 GiB - 1 partition \PARTITION0 (bootable) - Installierbares Dateisystem - 37.27 GiB - C: \\.\PHYSICALDRIVE1 - CBM Flash Disk USB Device - 243.17 MiB - 1 partition \PARTITION0 (bootable) - MS-DOS V4 Huge - 243.61 MiB - E: -- Security Center ------------------------------------------------------------- AUOptions is disabled. Windows Internal Firewall is enabled. FirstRunDisabled is set. AntiVirusDisableNotify is set. FirewallDisableNotify is set. UpdatesDisableNotify is set. AV: Avira AntiVir PersonalEdition v8.0.1.18 (Avira GmbH) Outdated [HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE"="C:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE:*:Enabled:MicroWorld Management Agent" "C:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\eScanRAD\\ESCANRAD.EXE"="C:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\eScanRAD\\ESCANRAD.EXE:*:Enabled:eScan Remote Administration Tool" [HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\Java\\bin\\javaw.exe"="C:\\Programme\\Java\\bin\\javaw.exe:*:Enabled:Java(TM) 2 Platform Standard Edition binary" "C:\\WINDOWS\\system32\\winver.exe"="C:\\WINDOWS\\system32\\winver.exe:*:Enabled:winver" "C:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE"="C:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE:*:Enabled:MicroWorld Management Agent" "C:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\eScanRAD\\ESCANRAD.EXE"="C:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\eScanRAD\\ESCANRAD.EXE:*:Enabled:eScan Remote Administration Tool" "C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype" -- Environment Variables ------------------------------------------------------- ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users APPDATA=C:\Dokumente und Einstellungen\XXX\Anwendungsdaten ARCGISHOME=C:\Programme\ArcGIS\ CLIENTNAME=Console CommonProgramFiles=C:\Programme\Gemeinsame Dateien COMPUTERNAME=AMD2400 ComSpec=C:\WINDOWS\system32\cmd.exe DEFAULT_CA_NR=CA8 FP_NO_HOST_CHECK=NO HOMEDRIVE=C: HOMEPATH=\Dokumente und Einstellungen\XXX LOGONSERVER=\\AMD2400 NUMBER_OF_PROCESSORS=1 OS=Windows_NT Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Programme\VDMSound\;C:\Programme\Gemeinsame Dateien\Teleca Shared PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH PROCESSOR_ARCHITECTURE=x86 PROCESSOR_IDENTIFIER=x86 Family 6 Model 8 Stepping 1, AuthenticAMD PROCESSOR_LEVEL=6 PROCESSOR_REVISION=0801 ProgramFiles=C:\Programme PROMPT=$P$G PYTHONPATH=C:\Programme\ArcGIS\bin SESSIONNAME=Console SystemDrive=C: SystemRoot=C:\WINDOWS TEMP=C:\DOKUME~1\XXX\LOKALE~1\Temp TMP=C:\DOKUME~1\XXX\LOKALE~1\Temp USERDOMAIN=AMD2400 USERNAME=XXX USERPROFILE=C:\Dokumente und Einstellungen\XXX VDMSPath=C:\Programme\VDMSound\ windir=C:\WINDOWS -- User Profiles --------------------------------------------------------------- XXX (admin) Administrator (admin) -- Add/Remove Programs --------------------------------------------------------- --> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf Adobe Reader 7.0 - Deutsch --> MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A70000000000} Alt-Tab Task Switcher Powertoy for Windows XP --> MsiExec.exe /I{A7050037-F0EA-4BAB-BCD5-FC05507D6147} ArcGIS Desktop --> MsiExec.exe /I{1F34839E-4826-4B64-B1B3-42E5AE8DEC5A} ArcGIS Tutorial Data --> MsiExec.exe /I{1032F58F-D319-42C1-A25F-2D3C9A26705B} Avira AntiVir Personal – Free Antivirus --> C:\Programme\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE CmdHere Powertoy For Windows XP --> MsiExec.exe /I{6855CCDD-BDF9-48E4-B80A-80DFB96FE36C} eMusic - 50 Free MP3 offer --> "C:\Programme\Winamp\eMusic\Uninst-eMusic-promotion.exe" f4 3.0.3 --> C:\Programme\f4\uninstall.exe HijackThis 2.0.2 --> "C:\Dokumente und Einstellungen\XXX\Desktop\HiJackThis\HijackThis.exe" /uninstall Hotfix für Windows XP (KB907865) --> "C:\WINDOWS\$NtUninstallKB907865$\spuninst\spuninst.exe" J2SE Runtime Environment 5.0 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150000} K-Lite Mega Codec Pack 1.16 --> "C:\Programme\K-Lite Codec Pack\unins000.exe" Microsoft Data Access Components KB870669 --> C:\WINDOWS\muninst.exe C:\WINDOWS\INF\KB870669.inf Microsoft Office Professional Edition 2003 --> MsiExec.exe /I{90110407-6000-11D3-8CFE-0150048383C9} Microsoft SQL Server Native Client --> MsiExec.exe /I{50A0893D-47D8-48E0-A7E8-44BCD7E4422E} Microsoft SQL Server Setup Support Files (English) --> MsiExec.exe /X{53F5C3EE-05ED-4830-994B-50B2F0D50FCE} Mobile Connect --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3EAAC5FD-E209-4856-8C49-D4EA40F85032}\setup.exe" -l0x7 -removeonly Mozilla Firefox (1.5.0.12) --> C:\PROGRA~1\MOZILL~1\uninstall\uninstall.exe /ua "1.5.0.12 (de)" Nero 6 --> C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL NVIDIA Drivers --> C:\WINDOWS\system32\nvudisp.exe UninstallGUI NvMixer --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{D7A6C517-11F2-419F-B5BB-27772B939698}\Setup.exe" -uninstall PowerDVD --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\Setup.exe" -uninstall Shockwave --> C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\INSTALL.LOG Sicherheitsupdate für Step by Step Interactive Training (KB898458) --> "C:\WINDOWS\$NtUninstallKB898458$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB890046) --> "C:\WINDOWS\$NtUninstallKB890046$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB893066) --> "C:\WINDOWS\$NtUninstallKB893066$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB893756) --> "C:\WINDOWS\$NtUninstallKB893756$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB896358) --> "C:\WINDOWS\$NtUninstallKB896358$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB896422) --> "C:\WINDOWS\$NtUninstallKB896422$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB896423) --> "C:\WINDOWS\$NtUninstallKB896423$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB896424) --> "C:\WINDOWS\$NtUninstallKB896424$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB896428) --> "C:\WINDOWS\$NtUninstallKB896428$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB896688) --> "C:\WINDOWS\$NtUninstallKB896688$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB899587) --> "C:\WINDOWS\$NtUninstallKB899587$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB899588) --> "C:\WINDOWS\$NtUninstallKB899588$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB899589) --> "C:\WINDOWS\$NtUninstallKB899589$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB899591) --> "C:\WINDOWS\$NtUninstallKB899591$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB900725) --> "C:\WINDOWS\$NtUninstallKB900725$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB901017) --> "C:\WINDOWS\$NtUninstallKB901017$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB901214) --> "C:\WINDOWS\$NtUninstallKB901214$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB902400) --> "C:\WINDOWS\$NtUninstallKB902400$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB904706) --> "C:\WINDOWS\$NtUninstallKB904706$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB905414) --> "C:\WINDOWS\$NtUninstallKB905414$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB905749) --> "C:\WINDOWS\$NtUninstallKB905749$\spuninst\spuninst.exe" Skype™ 3.5 --> MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82} Sony Ericsson Device Data --> MsiExec.exe /I{C92E7DF1-624A-4D95-A4C4-18CB491B44A4} Sony Ericsson Drivers --> MsiExec.exe /I{5CC68528-24FF-4DF8-91C9-AF540F98505A} Sony Ericsson PC Suite --> C:\WINDOWS\Installer\{D6BF6477-8369-489F-8DE6-3731F4B88560}\setup.exe /uninstall Sony Ericsson PC Suite --> MsiExec.exe /I{B192E1BB-98A4-4369-9271-96117A57F546} SPSS 13.0 for Windows --> MsiExec.exe /X{381CC72A-6BC3-430a-A847-A7BCEB63A8A1} SPSS 15.0 für Windows [Auswertung Version] --> MsiExec.exe /X{6D9B9CF3-1E9C-45B6-B41E-5CF568605556} Update für Windows XP (KB894391) --> "C:\WINDOWS\$NtUninstallKB894391$\spuninst\spuninst.exe" Update für Windows XP (KB898461) --> "C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe" Update für Windows XP (KB900930) --> "C:\WINDOWS\$NtUninstallKB900930$\spuninst\spuninst.exe" VDMSound 2.0.4 --> MsiExec.exe /I{8ECBE643-8230-11D5-9D6B-00A024112F81} Winamp (remove only) --> "C:\Programme\Winamp\UninstWA.exe" Windows Media Format SDK Hotfix - KB891122 --> "C:\WINDOWS\$NtUninstallKB891122$\spuninst\spuninst.exe" Windows XP-Hotfix - KB826939 --> C:\WINDOWS\$NtUninstallKB826939$\spuninst\spuninst.exe Windows XP-Hotfix - KB873333 --> C:\WINDOWS\$NtUninstallKB873333$\spuninst\spuninst.exe Windows XP-Hotfix - KB873339 --> C:\WINDOWS\$NtUninstallKB873339$\spuninst\spuninst.exe Windows XP-Hotfix - KB884020 --> C:\WINDOWS\$NtUninstallKB884020$\spuninst\spuninst.exe Windows XP-Hotfix - KB884883 --> "C:\WINDOWS\$NtUninstallKB884883$\spuninst\spuninst.exe" Windows XP-Hotfix - KB885222 --> C:\WINDOWS\$NtUninstallKB885222$\spuninst\spuninst.exe Windows XP-Hotfix - KB885250 --> C:\WINDOWS\$NtUninstallKB885250$\spuninst\spuninst.exe Windows XP-Hotfix - KB885523 --> C:\WINDOWS\$NtUninstallKB885523$\spuninst\spuninst.exe Windows XP-Hotfix - KB885835 --> C:\WINDOWS\$NtUninstallKB885835$\spuninst\spuninst.exe Windows XP-Hotfix - KB885836 --> C:\WINDOWS\$NtUninstallKB885836$\spuninst\spuninst.exe Windows XP-Hotfix - KB885894 --> C:\WINDOWS\$NtUninstallKB885894$\spuninst\spuninst.exe Windows XP-Hotfix - KB886185 --> C:\WINDOWS\$NtUninstallKB886185$\spuninst\spuninst.exe Windows XP-Hotfix - KB886677 --> C:\WINDOWS\$NtUninstallKB886677$\spuninst\spuninst.exe Windows XP-Hotfix - KB886716 --> "C:\WINDOWS\$NtUninstallKB886716$\spuninst\spuninst.exe" Windows XP-Hotfix - KB887472 --> C:\WINDOWS\$NtUninstallKB887472$\spuninst\spuninst.exe Windows XP-Hotfix - KB887742 --> C:\WINDOWS\$NtUninstallKB887742$\spuninst\spuninst.exe Windows XP-Hotfix - KB887797 --> C:\WINDOWS\$NtUninstallKB887797$\spuninst\spuninst.exe Windows XP-Hotfix - KB888113 --> C:\WINDOWS\$NtUninstallKB888113$\spuninst\spuninst.exe Windows XP-Hotfix - KB888302 --> C:\WINDOWS\$NtUninstallKB888302$\spuninst\spuninst.exe Windows XP-Hotfix - KB890047 --> C:\WINDOWS\$NtUninstallKB890047$\spuninst\spuninst.exe Windows XP-Hotfix - KB890175 --> C:\WINDOWS\$NtUninstallKB890175$\spuninst\spuninst.exe Windows XP-Hotfix - KB890831 --> C:\WINDOWS\$NtUninstallKB890831$\spuninst\spuninst.exe Windows XP-Hotfix - KB890859 --> "C:\WINDOWS\$NtUninstallKB890859$\spuninst\spuninst.exe" Windows XP-Hotfix - KB891781 --> C:\WINDOWS\$NtUninstallKB891781$\spuninst\spuninst.exe Windows XP-Hotfix - KB893086 --> "C:\WINDOWS\$NtUninstallKB893086$\spuninst\spuninst.exe" WinRAR Archivierer --> C:\Programme\WinRAR\uninstall.exe -- Application Event Log ------------------------------------------------------- Event Record #/Type5771 / Warning Event Submitted/Written: 06/17/2008 05:47:03 PM Event ID/Source: 63 / WinMgmt Event Description: Ein Anbieter, OffProv11, wurde im WMI-Namespace, Root\MSAPPS11, zum Verwenden des Kontos "LocalSystem" registriert. Dieses Konto ist ein bevorzugtes Konto, d.h. der Anbieter kann Sicherheitsverletzungen verursachen, falls Benutzeranfragen nicht richtig verarbeitet werden. Event Record #/Type5770 / Warning Event Submitted/Written: 06/17/2008 05:47:03 PM Event ID/Source: 63 / WinMgmt Event Description: Ein Anbieter, OffProv11, wurde im WMI-Namespace, Root\MSAPPS11, zum Verwenden des Kontos "LocalSystem" registriert. Dieses Konto ist ein bevorzugtes Konto, d.h. der Anbieter kann Sicherheitsverletzungen verursachen, falls Benutzeranfragen nicht richtig verarbeitet werden. Event Record #/Type5746 / Error Event Submitted/Written: 06/14/2008 10:38:13 PM Event ID/Source: 1000 / Application Error Event Description: Fehlgeschlagene Anwendung acrord32.exe, Version 7.0.0.0, fehlgeschlagenes Modul unknown, Version 0.0.0.0, Fehleradresse 0x00000000. Das medienspezifische Ereignis für [acrord32.exe!ws!] wird verarbeitet. Event Record #/Type5744 / Error Event Submitted/Written: 06/14/2008 05:13:54 PM Event ID/Source: 1000 / Application Error Event Description: Fehlgeschlagene Anwendung drwtsn32.exe, Version 5.1.2600.0, fehlgeschlagenes Modul dbghelp.dll, Version 5.1.2600.2180, Fehleradresse 0x0001295d. Das medienspezifische Ereignis für [drwtsn32.exe!ws!] wird verarbeitet. Event Record #/Type5743 / Error Event Submitted/Written: 06/14/2008 05:13:40 PM Event ID/Source: 1000 / Application Error Event Description: Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.2649, fehlgeschlagenes Modul shlwapi.dll, Version 6.0.2900.2753, Fehleradresse 0x00019abd. Das medienspezifische Ereignis für [explorer.exe!ws!] wird verarbeitet. -- Security Event Log ---------------------------------------------------------- No Errors/Warnings found. -- System Event Log ------------------------------------------------------------ Event Record #/Type21948 / Error Event Submitted/Written: 06/20/2008 06:46:31 PM Event ID/Source: 10005 / DCOM Event Description: Bei DCOM ist der Fehler "%%1084" aufgetreten, als der Dienst "EventSystem" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF} Event Record #/Type21947 / Error Event Submitted/Written: 06/20/2008 06:46:09 PM Event ID/Source: 10005 / DCOM Event Description: Bei DCOM ist der Fehler "%%1084" aufgetreten, als der Dienst "netman" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {BA126AE5-2166-11D1-B1D0-00805FC1270E} Event Record #/Type21946 / Error Event Submitted/Written: 06/20/2008 06:40:11 PM Event ID/Source: 10005 / DCOM Event Description: Bei DCOM ist der Fehler "%%1084" aufgetreten, als der Dienst "netman" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {BA126AE5-2166-11D1-B1D0-00805FC1270E} Event Record #/Type21945 / Error Event Submitted/Written: 06/20/2008 06:40:11 PM Event ID/Source: 10005 / DCOM Event Description: Bei DCOM ist der Fehler "%%1084" aufgetreten, als der Dienst "EventSystem" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF} Event Record #/Type21944 / Error Event Submitted/Written: 06/20/2008 06:39:45 PM Event ID/Source: 7026 / Service Control Manager Event Description: Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen: AFD AmdK7 avgio avipbb Fips IPSec MRxSmb NetBIOS NetBT RasAcd Rdbss ssmdrv Tcpip -- End of Deckard's System Scanner: finished at 2008-06-20 19:02:00 ------------ Lorenzing |
20.06.2008, 19:13 | #4 |
| Virtumonde - HiJackThis Log File Hier die Fortsetzung: Log File main.txt Code:
ATTFilter Deckard's System Scanner v20071014.68 Run by XXX on 2008-06-20 18:55:20 Computer is in Normal Mode. -------------------------------------------------------------------------------- -- System Restore -------------------------------------------------------------- System Restore is disabled; attempting to re-enable...success. -- Last 1 Restore Point(s) -- 1: 2008-06-20 16:55:25 UTC - RP1 - Systemprüfpunkt Backed up registry hives. Performed disk cleanup. Total Physical Memory: 256 MiB (512 MiB recommended). -- HijackThis (run as XXX.exe) ---------------------------------------------- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:00:39, on 20.06.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\taskswitch.exe C:\WINDOWS\system32\rmctrl.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\cisvc.exe C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Dokumente und Einstellungen\XXX\Desktop\dss.exe C:\WINDOWS\system32\cidaemon.exe C:\DOKUME~1\XXX\Desktop\HIJACK~1\XXX.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.at/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {979741AE-13BB-479B-9259-952609511619} - C:\WINDOWS\system32\tuvSkKBQ.dll O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\bin\npjpi150.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O14 - IERESET.INF: START_PAGE_URL=h**p://www.google.at O17 - HKLM\System\CCS\Services\Tcpip\..\{EFD9EE8C-2191-498A-84A4-DFB9F42743BE}: NameServer = 213.153.32.1,213.153.32.129 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 4821 bytes -- HijackThis Fixed Entries (C:\DOKUME~1\XXX\Desktop\HIJACK~1\backups\) ----- backup-20080620-184451-643 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://register.spss.com/prod_reg/1.cfm?prod_id=spss backup-20080620-184451-685 O2 - BHO: (no name) - {172FC286-641A-495A-ABF9-4F964DF7D8AF} - C:\WINDOWS\system32\tuvSkKBQ.dll -- File Associations ----------------------------------------------------------- All associations okay. -- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------- R1 ssmdrv - c:\windows\system32\drivers\ssmdrv.sys <Not Verified; AVIRA GmbH; > S3 A3AB (D-Link AirPro 802.11a/b Wireless Adapter Service(A3AB)) - c:\windows\system32\drivers\a3ab.sys <Not Verified; D-Link Corporation; D-Link Wireless Network adapter> S3 aaudstum - c:\dokume~1\XXX\lokale~1\temp\aaudstum.sys (file missing) S3 Ext2Fsd (Ext2 File System Driver for NT) - c:\windows\system32\drivers\ext2fsd.sys <Not Verified; Tuning Software (tuningsoft.com); Ext2 File System Driver> -- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled -------------------- R2 AntiVirScheduler (AntiVir PersonalEdition Classic Planer) - "c:\programme\avira\antivir personaledition classic\sched.exe" <Not Verified; Avira GmbH; AntiVir Workstation> R2 MWAgent - c:\programme\gemeinsame dateien\microworld\agent\mwaser.exe <Not Verified; MicroWorld Technologies Inc.; eScan> -- Device Manager: Disabled ---------------------------------------------------- No disabled devices found. -- Files created between 2008-05-20 and 2008-06-20 ----------------------------- 2008-06-20 18:47:38 0 d------c- C:\WINDOWS\Prefetch 2008-06-17 23:15:30 0 d-a----c- C:\WINDOWS\zts2.exe 2008-06-17 23:15:30 0 d-a----c- C:\WINDOWS\system32\vcmgcd32.dll 2008-06-17 23:15:30 0 d-a----c- C:\WINDOWS\system32\systems.txt 2008-06-17 23:15:30 0 d-a----c- C:\WINDOWS\system32\iifgfgf.dll 2008-06-17 23:15:30 0 d-a----c- C:\WINDOWS\rundll16.exe 2008-06-17 23:15:30 0 d-a----c- C:\WINDOWS\rundl132.dll 2008-06-17 23:15:30 0 d-a----c- C:\WINDOWS\logo1_.exe 2008-06-17 21:02:38 65335772 --a----c- C:\WINDOWS\hklmSW.reg 2008-06-17 21:00:32 43139406 --a----c- C:\WINDOWS\hkcrRT.reg 2008-06-17 20:53:29 0 d------c- C:\WINDOWS\system32\winpdc32.dll 2008-06-17 18:12:44 0 d------c- C:\PUB 2008-06-17 18:12:08 105888 --a----c- C:\WINDOWS\winsbak2.reg 2008-06-17 18:12:08 14866 --a----c- C:\WINDOWS\winsbak.reg 2008-06-17 18:11:57 0 d------c- C:\Programme\Gemeinsame Dateien\MicroWorld 2008-06-17 18:10:46 43520 --a----c- C:\WINDOWS\killproc.exe <Not Verified; MicroWorld Technologies Inc.; KILLPROC> 2008-06-17 18:10:24 1044480 --a----c- C:\WINDOWS\system32\contfilt.dll <Not Verified; MicroWorld Technologies Inc.; contfilt> 2008-06-17 18:10:23 126976 --a----c- C:\WINDOWS\system32\mwnsp.dll <Not Verified; MicroWorld Technologies Inc.; MicroWorld Internet Traffic Scanner> 2008-06-17 18:10:18 7680 --a----c- C:\WINDOWS\sporder.exe <Not Verified; Microsoft Corporation; Microsoft(R) Windows NT(R) Operating System> 2008-06-17 18:10:18 9488 --a----c- C:\WINDOWS\sporder.dll <Not Verified; Microsoft Corporation; Microsoft(R) Windows NT(R) Operating System> 2008-06-17 18:10:17 130560 --a----c- C:\WINDOWS\system32\ZIPDLL.DLL <Not Verified; ; BCB/Delphi Zip> 2008-06-17 18:10:17 125440 --a----c- C:\WINDOWS\system32\UNZDLL.DLL <Not Verified; ; BCB/Delphi UnZip> 2008-06-17 18:10:16 356352 --a----c- C:\WINDOWS\system32\mwtsp.dll <Not Verified; MicroWorld Technologies Inc.; MicroWorld Internet Traffic Scanner> 2008-06-17 18:10:16 44032 --a----c- C:\WINDOWS\inst_tsp.exe <Not Verified; MicroWorld Technologies Inc.; eScan/MailScan/eConceal/X-Spam> 2008-06-17 18:10:11 0 d------c- C:\WINDOWS\system32\FLCSS.EXE 2008-06-17 15:12:47 0 d------c- C:\VIRUSfighter 2008-06-14 17:23:22 3407872 --a------ C:\Dokumente und Einstellungen\XXX\ntuser.dat 2008-06-14 17:21:26 2075 --ahs--c- C:\WINDOWS\system32\QBKkSvut.ini2 2008-06-14 17:20:53 285696 --a----c- C:\WINDOWS\system32\tuvSkKBQ.dll 2008-06-08 18:41:25 0 --a----c- C:\Programme\temp01 2008-05-22 10:52:45 0 d------c- C:\WINDOWS\system32\DRVSTORE 2008-05-22 10:48:23 0 d------c- C:\Programme\Gemeinsame Dateien\Sony Ericsson Shared 2008-05-22 10:48:13 0 d------c- C:\Programme\Gemeinsame Dateien\Teleca Shared 2008-05-22 10:48:04 0 d------c- C:\Programme\Sony Ericsson -- Find3M Report --------------------------------------------------------------- 2008-06-20 18:59:46 0 d------c- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Skype 2008-06-19 19:39:22 0 d------c- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Help 2008-06-17 18:11:57 0 d------c- C:\Programme\Gemeinsame Dateien 2008-06-17 15:12:44 0 d--h---c- C:\Programme\InstallShield Installation Information 2008-06-12 20:27:48 0 d------c- C:\Programme\SPSSEVAL 2008-06-12 19:13:59 73 --a----c- C:\WINDOWS\system32\ssprs.dll 2008-06-12 19:13:48 341 --a----c- C:\WINDOWS\system32\lsprst7.dll 2008-06-08 18:49:16 0 d------c- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Adobe 2008-05-22 11:00:35 0 d------c- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Teleca 2008-05-22 10:49:23 0 d------c- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Sony Ericsson 2008-05-15 20:21:42 408618 --a----c- C:\WINDOWS\system32\perfh007.dat 2008-05-15 20:21:42 71598 --a----c- C:\WINDOWS\system32\perfc007.dat 2008-05-07 22:29:38 0 d------c- C:\Programme\Microsoft SQL Server 2008-05-07 20:55:03 0 d------c- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\ESRI 2008-05-07 13:23:25 0 d------c- C:\Programme\ESRI 2008-05-07 13:14:14 0 d------c- C:\Programme\Gemeinsame Dateien\ESRI 2008-05-07 13:13:22 0 d------c- C:\Programme\ArcGIS 2008-05-07 13:06:30 0 d------c- C:\Programme\Leica Geosystems 2008-05-07 12:34:11 0 d------c- C:\Programme\Gemeinsame Dateien\AnswerWorks 4.0 2008-04-22 19:36:40 0 d------c- C:\Programme\f4 2008-04-22 16:02:24 15532238 --a----c- C:\Programme\f4-v303.exe -- Registry Dump --------------------------------------------------------------- *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{979741AE-13BB-479B-9259-952609511619}] 14.06.2008 17:21 285696 --a--c--- C:\WINDOWS\system32\tuvSkKBQ.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CoolSwitch"="C:\WINDOWS\system32\taskswitch.exe" [19.03.2002 18:30] "NVMixerTray"="C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [03.06.2004 21:51] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [15.06.2005 18:20] "nwiz"="nwiz.exe" [15.06.2005 18:20 C:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [15.06.2005 18:20] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [09.07.2001 12:50] "RemoteControl"="C:\WINDOWS\system32\rmctrl.exe" [09.11.2001 21:17] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [27.04.2008 19:23] "Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [28.05.2007 10:14] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [04.08.2004 01:57] "Skype"="C:\Programme\Skype\Phone\Skype.exe" [13.09.2007 13:31] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [14.12.2004 05:44:06] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "SynchronousMachineGroupPolicy"=0 (0x0) "SynchronousUserGroupPolicy"=0 (0x0) [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] "Authentication Packages"= msv1_0 C:\WINDOWS\system32\tuvSkKBQ -- End of Deckard's System Scanner: finished at 2008-06-20 19:02:00 ------------ Danke fürs checken , ich hab alleine einfach nicht mehr weiter gewußt! |
24.06.2008, 10:13 | #5 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Virtumonde - HiJackThis Log FileZitat:
Wegen der Updates für Win hab ich Dich schon drauf angesprochen, was noch wichtig wäre ist ein Java-Update. Deinstalliere vorher die alte Java-Version und installiere erst dann die neue Version von java.com: Java für Sie Den AdobeReader7 auch wegschmeißen und durch einen aktuellen Reader von Adobe oder Foxitsoftware ersetzen. Dann müssen einige Dateien gelöscht werden, denn das sind noch einige Schädlingsdateien im System. Gehe nach dieser Anleitung vor => The Avenger Aber benutze folgenden Text fürs das scriptfeld: Code:
ATTFilter files to delete: C:\WINDOWS\hklmSW.reg C:\WINDOWS\hkcrRT.reg C:\WINDOWS\winsbak2.reg C:\WINDOWS\winsbak.reg C:\WINDOWS\system32\tuvSkKBQ.dll C:\WINDOWS\system32\QBKkSvut.ini2
__________________ Logfiles bitte immer in CODE-Tags posten |
26.06.2008, 15:58 | #6 |
| Virtumonde - HiJackThis Log File Hallo das mein lieber computer etwas wenig Leistung hat, weiss ich und werd mal schauen, wie ich ihn am besten aufrüste. Updates bin ich dabei. Hier das Avenger File: Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46 h**p://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File "C:\WINDOWS\hklmSW.reg" deleted successfully. File "C:\WINDOWS\hkcrRT.reg" deleted successfully. File "C:\WINDOWS\winsbak2.reg" deleted successfully. File "C:\WINDOWS\winsbak.reg" deleted successfully. File "C:\WINDOWS\system32\tuvSkKBQ.dll" deleted successfully. File "C:\WINDOWS\system32\QBKkSvut.ini2" deleted successfully. Completed script processing. ******************* Finished! Terminate. Code:
ATTFilter Deckard's System Scanner v20071014.68 Run by XXX on 2008-06-26 16:23:40 Computer is in Normal Mode. -------------------------------------------------------------------------------- Total Physical Memory: 256 MiB (512 MiB recommended). -- HijackThis (run as XXX.exe) ---------------------------------------------- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:23:56, on 26.06.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\taskswitch.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\cisvc.exe C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\rmctrl.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.6.0_06\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\WINDOWS\system32\cidaemon.exe C:\Dokumente und Einstellungen\XXX\Desktop\dss.exe C:\DOKUME~1\XXX\Desktop\HIJACK~1\XXX.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.at/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O2 - BHO: (no name) - {942206EF-5F60-45A3-918A-3415EA766D84} - C:\WINDOWS\system32\tuvSkKBQ.dll (file missing) O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O14 - IERESET.INF: START_PAGE_URL=h**p://www.google.at O17 - HKLM\System\CCS\Services\Tcpip\..\{EFD9EE8C-2191-498A-84A4-DFB9F42743BE}: NameServer = 213.153.32.1,213.153.32.129 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 4956 bytes -- Files created between 2008-05-26 and 2008-06-26 ----------------------------- 2008-06-26 15:05:12 0 d------c- C:\Programme\Java 2008-06-26 15:05:04 0 d------c- C:\Programme\Gemeinsame Dateien\Java 2008-06-20 18:47:38 0 d------c- C:\WINDOWS\Prefetch 2008-06-17 23:15:30 0 d-a----c- C:\WINDOWS\zts2.exe 2008-06-17 23:15:30 0 d-a----c- C:\WINDOWS\system32\vcmgcd32.dll 2008-06-17 23:15:30 0 d-a----c- C:\WINDOWS\system32\systems.txt 2008-06-17 23:15:30 0 d-a----c- C:\WINDOWS\system32\iifgfgf.dll 2008-06-17 23:15:30 0 d-a----c- C:\WINDOWS\rundll16.exe 2008-06-17 23:15:30 0 d-a----c- C:\WINDOWS\rundl132.dll 2008-06-17 23:15:30 0 d-a----c- C:\WINDOWS\logo1_.exe 2008-06-17 20:53:29 0 d------c- C:\WINDOWS\system32\winpdc32.dll 2008-06-17 18:12:44 0 d------c- C:\PUB 2008-06-17 18:11:57 0 d------c- C:\Programme\Gemeinsame Dateien\MicroWorld 2008-06-17 18:10:46 43520 --a----c- C:\WINDOWS\killproc.exe <Not Verified; MicroWorld Technologies Inc.; KILLPROC> 2008-06-17 18:10:24 1044480 --a----c- C:\WINDOWS\system32\contfilt.dll <Not Verified; MicroWorld Technologies Inc.; contfilt> 2008-06-17 18:10:23 126976 --a----c- C:\WINDOWS\system32\mwnsp.dll <Not Verified; MicroWorld Technologies Inc.; MicroWorld Internet Traffic Scanner> 2008-06-17 18:10:18 7680 --a----c- C:\WINDOWS\sporder.exe <Not Verified; Microsoft Corporation; Microsoft(R) Windows NT(R) Operating System> 2008-06-17 18:10:18 9488 --a----c- C:\WINDOWS\sporder.dll <Not Verified; Microsoft Corporation; Microsoft(R) Windows NT(R) Operating System> 2008-06-17 18:10:17 130560 --a----c- C:\WINDOWS\system32\ZIPDLL.DLL <Not Verified; ; BCB/Delphi Zip> 2008-06-17 18:10:17 125440 --a----c- C:\WINDOWS\system32\UNZDLL.DLL <Not Verified; ; BCB/Delphi UnZip> 2008-06-17 18:10:16 356352 --a----c- C:\WINDOWS\system32\mwtsp.dll <Not Verified; MicroWorld Technologies Inc.; MicroWorld Internet Traffic Scanner> 2008-06-17 18:10:16 44032 --a----c- C:\WINDOWS\inst_tsp.exe <Not Verified; MicroWorld Technologies Inc.; eScan/MailScan/eConceal/X-Spam> 2008-06-17 18:10:11 0 d------c- C:\WINDOWS\system32\FLCSS.EXE 2008-06-14 17:23:22 3407872 --a------ C:\Dokumente und Einstellungen\XXX\ntuser.dat 2008-06-08 18:41:25 0 --a----c- C:\Programme\temp01 -- Find3M Report --------------------------------------------------------------- 2008-06-26 16:08:58 0 d------c- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Skype 2008-06-26 15:05:04 0 d------c- C:\Programme\Gemeinsame Dateien 2008-06-21 01:35:12 0 d------c- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Teleca 2008-06-21 01:34:29 0 d------c- C:\Programme\Gemeinsame Dateien\Teleca Shared 2008-06-19 19:39:22 0 d------c- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Help 2008-06-17 15:12:44 0 d--h---c- C:\Programme\InstallShield Installation Information 2008-06-12 20:27:48 0 d------c- C:\Programme\SPSSEVAL 2008-06-12 19:13:59 73 --a----c- C:\WINDOWS\system32\ssprs.dll 2008-06-12 19:13:48 341 --a----c- C:\WINDOWS\system32\lsprst7.dll 2008-06-08 18:49:16 0 d------c- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Adobe 2008-05-22 10:49:23 0 d------c- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Sony Ericsson 2008-05-15 20:21:42 408618 --a----c- C:\WINDOWS\system32\perfh007.dat 2008-05-15 20:21:42 71598 --a----c- C:\WINDOWS\system32\perfc007.dat 2008-05-07 22:29:38 0 d------c- C:\Programme\Microsoft SQL Server 2008-05-07 20:55:03 0 d------c- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\ESRI 2008-05-07 13:23:25 0 d------c- C:\Programme\ESRI 2008-05-07 13:14:14 0 d------c- C:\Programme\Gemeinsame Dateien\ESRI 2008-05-07 13:13:22 0 d------c- C:\Programme\ArcGIS 2008-05-07 13:06:30 0 d------c- C:\Programme\Leica Geosystems 2008-05-07 12:34:11 0 d------c- C:\Programme\Gemeinsame Dateien\AnswerWorks 4.0 2008-04-22 16:02:24 15532238 --a----c- C:\Programme\f4-v303.exe -- Registry Dump --------------------------------------------------------------- *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{942206EF-5F60-45A3-918A-3415EA766D84}] C:\WINDOWS\system32\tuvSkKBQ.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CoolSwitch"="C:\WINDOWS\system32\taskswitch.exe" [19.03.2002 18:30] "NVMixerTray"="C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [03.06.2004 21:51] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [15.06.2005 18:20] "nwiz"="nwiz.exe" [15.06.2005 18:20 C:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [15.06.2005 18:20] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [09.07.2001 12:50] "RemoteControl"="C:\WINDOWS\system32\rmctrl.exe" [09.11.2001 21:17] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [27.04.2008 19:23] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_06\bin\jusched.exe" [25.03.2008 04:28] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [04.08.2004 01:57] "Skype"="C:\Programme\Skype\Phone\Skype.exe" [13.09.2007 13:31] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [14.12.2004 05:44:06] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "SynchronousMachineGroupPolicy"=0 (0x0) "SynchronousUserGroupPolicy"=0 (0x0) [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] "Authentication Packages"= msv1_0 C:\WINDOWS\system32\tuvSkKBQ [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{777853af-fe42-11d5-929b-000c7613516b}] AutoRun\command- F:\AutoRun.exe -- End of Deckard's System Scanner: finished at 2008-06-26 16:24:42 ------------ Silentrunners folgt gleich! LG |
26.06.2008, 16:01 | #7 |
| Virtumonde - HiJackThis Log File Hier nun silentrunners scan: Code:
ATTFilter "Silent Runners.vbs", revision 58, h**p://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "Skype" = ""C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized" ["Skype Technologies S.A."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "CoolSwitch" = "C:\WINDOWS\system32\taskswitch.exe" [null data] "NVMixerTray" = ""C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"" ["NVIDIA Corporation"] "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS] "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"] "NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS] "NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "RemoteControl" = "C:\WINDOWS\system32\rmctrl.exe" [null data] "avgnt" = ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"] "SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"" ["Sun Microsystems, Inc."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "AcroIEHlprObj Class" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."] {942206EF-5F60-45A3-918A-3415EA766D84}\(Default) = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\tuvSkKBQ.dll" [file not found] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] "{64BC5640-700F-4E7E-8462-D3092DD74B0F}" = "VDMSound LaunchPad" -> {HKLM...CLSID} = "LaunchPadShellEx Class" \InProcServer32\(Default) = "C:\Programme\VDMSound\LaunchPad.dll" [empty string] "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player" -> {HKLM...CLSID} = "RealOne Player Context Menu Class" \InProcServer32\(Default) = "C:\Programme\K-Lite Codec Pack\Real\rpshell.dll" ["RealNetworks, Inc."] "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class" -> {HKLM...CLSID} = "DesktopContext Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper" -> {HKLM...CLSID} = "NVIDIA CPL Extension" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {HKLM...CLSID} = "Desktop Explorer" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {HKLM...CLSID} = "nView Desktop Context Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler" -> {HKLM...CLSID} = "Microsoft Office Outlook" \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler" -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung" \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS] "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] HKLM\SYSTEM\CurrentControlSet\Control\Lsa\ <<!>> "Authentication Packages" = "msv1_0"|"C:\WINDOWS\system32\tuvSkKBQ" HKLM\SOFTWARE\Classes\PROTOCOLS\Filter\ <<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS] HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\ {4A681BEC-7727-49BD-B695-79F8354CD2E5}\(Default) = "PMF Custom Columns" -> {HKLM...CLSID} = "PMFColumns Class" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\ESRI\esriShellExt.dll" ["ESRI "] {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\ Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\ Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) dword:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} "SynchronousMachineGroupPolicy" = (REG_DWORD) dword:0x00000000 {unrecognized setting} "SynchronousUserGroupPolicy" = (REG_DWORD) dword:0x00000000 {unrecognized setting} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\system32\logon.scr" [MS] Windows Portable Device AutoPlay Handlers ----------------------------------------- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\ NeroAutoPlay2AudioToNeroDigital\ "Provider" = "Nero Burning ROM" "InvokeProgID" = "Nero.AutoPlay2" "InvokeVerb" = "PlayCDAudioOnArrival_AudioToNeroDigital" HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\PlayCDAudioOnArrival_AudioToNeroDigital\command\(Default) = "C:\Programme\Ahead\nero\nero.exe /Dialog:SaveTracks /Drive:%L" ["Ahead Software AG"] NeroAutoPlay2CDAudio\ "Provider" = "Nero Express" "InvokeProgID" = "Nero.AutoPlay2" "InvokeVerb" = "HandleCDBurningOnArrival_CDAudio" HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\HandleCDBurningOnArrival_CDAudio\command\(Default) = "C:\Programme\Ahead\nero\nero.exe /w /New:AudioCD /Drive:%L" ["Ahead Software AG"] NeroAutoPlay2CopyCD\ "Provider" = "Nero Express" "InvokeProgID" = "Nero.AutoPlay2" "InvokeVerb" = "PlayCDAudioOnArrival_CopyCD" HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\PlayCDAudioOnArrival_CopyCD\command\(Default) = "C:\Programme\Ahead\nero\nero.exe /w /Dialog:DiscCopy /Drive:%L" ["Ahead Software AG"] NeroAutoPlay2DataDisc\ "Provider" = "Nero Express" "InvokeProgID" = "Nero.AutoPlay2" "InvokeVerb" = "HandleCDBurningOnArrival_DataDisc" HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\HandleCDBurningOnArrival_DataDisc\command\(Default) = "C:\Programme\Ahead\nero\nero.exe /w /New:ISODisc /Drive:%L" ["Ahead Software AG"] NeroAutoPlay2LaunchNeroStartSmart\ "Provider" = "Nero StartSmart" "InvokeProgID" = "Nero.AutoPlay2" "InvokeVerb" = "HandleCDBurningOnArrival_LaunchNeroStartSmart" HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\HandleCDBurningOnArrival_LaunchNeroStartSmart\command\(Default) = "C:\Programme\Ahead\Nero StartSmart\NeroStartSmart.exe /AutoPlay /Drive:%L" ["Ahead Software AG"] NeroAutoPlay2RipCD\ "Provider" = "Nero Burning ROM" "InvokeProgID" = "Nero.AutoPlay2" "InvokeVerb" = "PlayCDAudioOnArrival_RipCD" HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\PlayCDAudioOnArrival_RipCD\command\(Default) = "C:\Programme\Ahead\nero\nero.exe /Dialog:SaveTracks /Drive:%L" ["Ahead Software AG"] Startup items in "XXX" & "All Users" startup folders: -------------------------------------------------------- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Explorer Bars HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\ HKLM\SOFTWARE\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren" Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar] InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS] Extensions (Tools menu items, main toolbar menu buttons) HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0016-0000-0006-ABCDEFFEDCBC}" -> {HKCU...CLSID} = "Java Plug-in 1.6.0_06" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."] -> {HKLM...CLSID} = "Java Plug-in 1.6.0_06" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_06\bin\npjpi160_06.dll" ["Sun Microsystems, Inc."] {92780B25-18CC-41C8-B9BE-3C9C571A8263}\ "ButtonText" = "Recherchieren" {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\MSMSGS.EXE" [MS] Miscellaneous IE Hijack Points ------------------------------ C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings") Added lines (compared with English-language version): [Strings]: START_PAGE_URL=h**p://www.google.at Missing lines (compared with English-language version): [Strings]: 1 line Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"] AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"] MWAgent, MWAgent, "C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE" ["MicroWorld Technologies Inc."] NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"] Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS] ---------- (launch time: 2008-06-26 16:35:53) <<!>>: Suspicious data at a malware launch point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer "No" at the first message box and "Yes" at the second message box. ---------- (total run time: 85 seconds, including 12 seconds for message boxes) Lg Lorenzina |
26.06.2008, 20:39 | #8 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Virtumonde - HiJackThis Log FileCode:
ATTFilter O2 - BHO: (no name) - {942206EF-5F60-45A3-918A-3415EA766D84} - C:\WINDOWS\system32\tuvSkKBQ.dll (file missing) Dann wieder den Avenger anwenden, diesmal diesen Text: Code:
ATTFilter registry keys to delete: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{942206EF-5F60-45A3-918A-3415EA766D84} Schau auch mal mit dem Registry-Editor (regedit.exe) nach diesem Eintrag: Code:
ATTFilter [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] "Authentication Packages"= msv1_0 C:\WINDOWS\system32\tuvSkKBQ
__________________ Logfiles bitte immer in CODE-Tags posten |
27.06.2008, 17:31 | #9 |
| Virtumonde - HiJackThis Log File Hallo also, hab mit HJT den Eintrag gefixt und bin dann mit dem Avenger drüber. Hier das File: Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: registry key "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{942206EF-5F60-45A3-918A-3415EA766D84}" not found! Deletion of registry key "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{942206EF-5F60-45A3-918A-3415EA766D84}" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. Im Registry-Editor hab ich geschaut, Name: Authentication Packages Typ: REG_MULTI_SZ Wert: msv1_0 C:\WINDOWS\system32\tuvSkKBQ was genau soll ich hier machen? Lg, schönes WE Lorenzina |
27.06.2008, 19:55 | #10 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Virtumonde - HiJackThis Log FileZitat:
Werden überhaupt noch diese XXX-Seiten angezeigt? Egal ob ja oder nein, mach mal noch nen Durchlauf mit malwarebytes.
__________________ Logfiles bitte immer in CODE-Tags posten |
01.07.2008, 16:33 | #11 | ||
| Virtumonde - HiJackThis Log File Hallo Zitat:
Zitat:
Logfile von Malwarebytes: Code:
ATTFilter Malwarebytes' Anti-Malware 1.19 Datenbank Version: 899 Windows 5.1.2600 Service Pack 2 17:21:16 01.07.2008 mbam-log-7-1-2008 (17-20-46).txt Scan Art: Komplett Scan (C:\|) Objekte gescannt: 77879 Scan Dauer: 29 minute(s), 12 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 2 Infizierte Registrierungswerte: 0 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken. Infizierte Registrierungswerte: (Keine Malware Objekte gefunden) Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> No action taken. Die Seiten werden nicht mehr geöffnet, mir fallen beim Arbeiten am Computer selbst keine Merkwürdigkeiten mehr auf. Kriegen wir das Zeug noch weg? Bin am überlegen, ob ich ihn nicht einfach neu aufsetzen soll. Lg und sonnige Grüsse aus Salzburg |
01.07.2008, 16:57 | #12 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Virtumonde - HiJackThis Log File Die Dateien kannste von Malwarebytes löschen lassen. Deine Kiste sollte soweit wieder okay sein, nat. kann ich einige Einträge übersehen haben, aber die Symptome sind weg. Wenn Du Garantie für ein sauberes System haben willst, mußt Du natürlich neu aufsetzen.
__________________ Logfiles bitte immer in CODE-Tags posten |
01.07.2008, 18:39 | #13 |
| Virtumonde - HiJackThis Log File Danke!:aplaus: |
Themen zu Virtumonde - HiJackThis Log File |
adobe, antivir, application, avira, bho, desktop, einstellungen, excel, firefox, hijack, hijackthis, hijackthis log, hkus\s-1-5-18, internet, internet explorer, kaspersky, log file, monitor, mozilla, mozilla firefox, rundll, software, system, virtumonde, virus, vista, windows, windows xp |