| |
| |||||||
Log-Analyse und Auswertung: Probleme mit TrojanernWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
30.06.2008, 20:07
| #1 |
| |  Probleme mit Trojanern Hi leute, ich bin neu hier und habe ein riesen probelm gehabt naja das problem ist halbiert^^ ich habe mir heute mittag ein crack gesaugt und das war ein ziemlich heftiger virus -.- 1.wo die zeit steht unten rechts stand immer VIRUS und noch irgend was 2.ich konnte nicht mehr Alle programme,Systemseteuerung und den Task-Maneger öffnen 3.ich wurde vollgespammt von antivirprogramme-.- 4.immer ein weißer bildschirm diese probleme habe ich eigenständig gemeistert das einzigste was jetzt noch ist mein antivirus classic zeigt mir immer neue trojaner an -.- und diese verschibe ich immer in der quarantäne! so meine frage ist jetzt womit soll ich die vieren am besten beseitigen irgendein gutes programm währe sehr hilfreich und ob mein pc wieder soweit voll einsetzbar ist habe nehmlich am freitag ne lanparty^^ ich habe schon ma ein HijackThis Log-File gemacht^^ Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:53:37, on 30.06.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\svchost.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe C:\Programme\RALINK\Common\RaUI.exe C:\Programme\Malwarebytes' Anti-Malware\mbam.exe C:\Programme\Opera\Opera.exe C:\Programme\Spybot - Search & Destroy\SpybotSD.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" autostart O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Programme\Ares\chatServer.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 6158 bytes ist hir mit alles ok?? ich bedanke mich schon mal im vorraus^^  |
|
01.07.2008, 11:39
| #2 |
| | Probleme mit Trojanern ich habe mein system jetzt repariert mit der windows pro. 2008 cd^^
__________________ein neues HijackThis log Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:36:51, on 01.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\svchost.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wscntfy.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe C:\Programme\RALINK\Common\RaUI.exe C:\Programme\TuneUp Utilities 2008\OneClick.exe C:\Programme\TuneUp Utilities 2008\RegistryCleaner.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\System32\TuneUpDefragService.exe R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: (no name) - {7C109800-A5D5-438F-9640-18D17E168B88} - (no file) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (no name) - {92A0B4A2-15C1-4AC8-A2CB-6332AE8CB100} - (no file) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" autostart O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Programme\Ares\chatServer.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 6861 bytes ich hoffe das das alles ok ist^^ |
|
01.07.2008, 11:41
| #3 | |
| /// AVZ-Toolkit Guru   | Probleme mit Trojanern Was meinst du mit repariert?
__________________Wenn du nicht sicher neuaufsetzt ist das alles nur Augenwischerei.. Dein HJt log ist nicht sauber. Und dein Rechner wahrscheinlich auch nicht. Lerne aus deinem Fehler und setzte sauber neu auf. Bereinigung nach einer Kompromitierung Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist. Master Boot Record überprüfen: Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei aus. Poste das log! Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck Zitat:
Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop. Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig. Dann führe die mbr.bat. durch einen Doppelklick aus. Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden! Der MBR wird bereinigt und es erscheint ein log. Poste auch diese log! Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen. Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!
__________________ |
|
01.07.2008, 13:41
| #4 |
| | Probleme mit Trojanern mbr.exe log Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK mbr.bat log Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK ich hoffe das dies gut aussiht^^ und noch was mit dem hitjackthis im 2 post was muss ich da fixen?? und noch etwas ich kann mein sys nicht formatiern da ich sonst meine grafikkarte nicht wieder installieren kann (es kommt dann immer bei der geräteinstall. zugriff verweigert und wenn ich es denn mal schaffe kommt ein schwarzer bildschirm -.- das hat mir ein computer freak gemacht von meinem vater^^ und es sind sehr wwichtige datein auf meinem rechen die ich brauche^^) ich würde formatieren wenn ich wüsste wie ich das mit der graka machen könnte und ich habe keine lust dann wieder 60 euro hinzublettern -.- Geändert von Jorge (01.07.2008 um 13:56 Uhr) |
|
01.07.2008, 14:11
| #5 |
| /// AVZ-Toolkit Guru | Probleme mit Trojanern Dann frag ihn doch ob er es dir wieder macht.. Eigentlich sollte es so oder so keine Probleme geben... Hast du schonmal neuaufgesetzt? Ist garicht schwer und hinterher funktioniert wenigstens alles.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
01.07.2008, 14:22
| #6 |
| | Probleme mit Trojanern ich habe schon mal neu aufgesetzt und das mit der graka meine alte funktioniert immer sofort aber die neue die ich gekauft habe nvidia geforce 8600 gts (ist nicht defekt oder so) bekomme ich nie hin kp warum und wenn ich wieder frage muss ich mein pc wieder weggeben und geld abblättern-.- mein pc leuft ya so weit immoment gut aber ich habe halt ein dumme gefühl weil ich neu aufsetzten soll und dann wieder mit der graka und noch was mit meinem ram is dann auch wieder was habe 4 gb dual change es werde nua 3 angezeit is mia auch kla das das so ist und da hat er auch was gemacht weil wenn ich die drinn habe wird die onboard soundkarte nicht mehr erkannt und da hat er auch was gemacht. |
|
01.07.2008, 14:36
| #7 |
| /// AVZ-Toolkit Guru | Probleme mit Trojanern Dein Rechner ist definitiv nicht gesund! Auch wenn es evtl. nach außen so scheint. Warum sollte die neue Graka nicht funktionieren? Hast du mit der schonmal neuaufgesetzt? Die ist doch jetzt installier oder? Einfach nach unsere Anleitung neuaufsetzten und danach die mitgelieferten Treiber installieren. Sollte passen..  O.k. Wenn du mich so dermaßen per PN nervst dann probieren wir es halt...Systembereinigung
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
01.07.2008, 17:25
| #8 |
| | Probleme mit Trojanern also erst mal danke das wir es so versuchen ^^ ja ich habe das system schon mal neu aufgesetzt (auch in vista) für die graka hat aber auch nicht gefuntzt wenn die geräteinstallation kommt nach dem hochfahren war immer "zugriff verweigert" und wenn uch es versucht habe mit den dazugehörigen treibern kam immer mitten in der installation ein schwarzer bildschirm. im abgesicherten modus konnte ich sie installieren aber wenn ich dann gerebootet habe (normal) kam immer schwarz weisser bildschirm -.- als ich dieses AVZ gemacht habe hatte ich danach ekin zugriff mehr auf garnichts musste rechner nue starten und dann ging es wieder -.- was das wohl war erster log von avz AVZ Antiviral Toolkit log; AVZ version is 4.30 Scanning started at 01.07.2008 17:23:55 Database loaded: signatures - 174076, NN profile(s) - 2, microprograms of healing - 56, signature database released 30.06.2008 21:10 Heuristic microprograms loaded: 370 SPV microprograms loaded: 9 Digital signatures of system files loaded: 71156 Heuristic analyzer mode: Maximum heuristics level Healing mode: enabled Windows version: 5.1.2600, Service Pack 2 ; AVZ is launched with administrator rights System Restore: Disabled 1. Searching for Rootkits and programs intercepting API functions 1.1 Searching for user-mode API hooks Analysis: kernel32.dll, export table found in section .text Analysis: ntdll.dll, export table found in section .text Analysis: user32.dll, export table found in section .text Analysis: advapi32.dll, export table found in section .text Analysis: ws2_32.dll, export table found in section .text Analysis: wininet.dll, export table found in section .text Analysis: rasapi32.dll, export table found in section .text Analysis: urlmon.dll, export table found in section .text Analysis: netapi32.dll, export table found in section .text 1.2 Searching for kernel-mode API hooks Driver loaded successfully SDT found (RVA=0846E0) Kernel ntkrnlpa.exe found in memory at address 804D7000 SDT = 8055B6E0 KiST = 80503734 (284) Function NtCreateThread (35) intercepted (805CF804->BAE8FC7C), hook not defined Function NtOpenProcess (7A) intercepted (805C9C46->BAE8FC68), hook not defined Function NtOpenThread (80) intercepted (805C9ED2->BAE8FC6D), hook not defined Function NtTerminateProcess (101) intercepted (805D1170->BAE8FC77), hook not defined Function NtWriteVirtualMemory (115) intercepted (805B2D5C->BAE8FC72), hook not defined Functions checked: 284, intercepted: 5, restored: 0 1.3 Checking IDT and SYSENTER Analysis for CPU 1 Analysis for CPU 2 Checking IDT and SYSENTER - complete 1.4 Searching for masking processes and drivers Checking not performed: extended monitoring driver (AVZPM) is not installed Driver loaded successfully 1.5 Checking of IRP handlers Checking - complete 2. Scanning memory Number of processes found: 35 Analyzer: process under analysis is 1660 C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe [ES]:Contains network functionality [ES]:Application has no visible windows Analyzer: process under analysis is 204 C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe [ES]:Contains network functionality [ES]:Application has no visible windows [ES]:Loads RASAPI DLL - may use dialing ? Analyzer: process under analysis is 288 C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe [ES]:Contains network functionality [ES]:Application has no visible windows [ES]:Loads RASAPI DLL - may use dialing ? Analyzer: process under analysis is 416 C:\WINDOWS\system32\PnkBstrA.exe [ES]:Contains network functionality [ES]:Capable of sending mail ?! [ES]:Application has no visible windows [ES]:Located in system folder Analyzer: process under analysis is 680 C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe [ES]:Contains network functionality [ES]:Application has no visible windows Analyzer: process under analysis is 1872 C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe [ES]:Contains network functionality [ES]:Application has no visible windows [ES]:Registered in autoruns !! Analyzer: process under analysis is 3344 C:\Programme\RALINK\Common\RaUI.exe [ES]:Contains network functionality [ES]:Application has no visible windows [ES]:Registered in autoruns !! Number of modules loaded: 350 Scanning memory - complete 3. Scanning disks Direct reading C:\Dokumente und Einstellungen\Jorge\Cookies\index.dat Direct reading C:\Dokumente und Einstellungen\Jorge\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat C:\Dokumente und Einstellungen\Jorge\Lokale Einstellungen\Temp\mexe.com - PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%) File quarantined succesfully (C:\Dokumente und Einstellungen\Jorge\Lokale Einstellungen\Temp\mexe.com) C:\Dokumente und Einstellungen\Jorge\Lokale Einstellungen\Temp\MWAVSCAN.COM - PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%) File quarantined succesfully (C:\Dokumente und Einstellungen\Jorge\Lokale Einstellungen\Temp\MWAVSCAN.COM) C:\Dokumente und Einstellungen\Jorge\Lokale Einstellungen\Temp\ScanningProcess.exe >>> suspicion for Trojan-Spy.Win32.Cpatcha ( 005D5D6D 08CCEE7D 00202E3B 002202DD 139264) File quarantined succesfully (C:\Dokumente und Einstellungen\Jorge\Lokale Einstellungen\Temp\ScanningProcess.exe) Direct reading C:\Dokumente und Einstellungen\Jorge\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Direct reading C:\Dokumente und Einstellungen\Jorge\Lokale Einstellungen\Verlauf\History.IE5\index.dat Direct reading C:\Dokumente und Einstellungen\Jorge\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008070120080702\index.dat Direct reading C:\Dokumente und Einstellungen\Jorge\ntuser.dat Direct reading C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Direct reading C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Direct reading C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Direct reading C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Direct reading C:\Dokumente und Einstellungen\LocalService\ntuser.dat Direct reading C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat Direct reading C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Direct reading C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Direct reading C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Direct reading C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT C:\Programme\Netdevil\Warmonger\Binaries\Log-WMGame.com - PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%) File quarantined succesfully (C:\Programme\Netdevil\Warmonger\Binaries\Log-WMGame.com) Direct reading C:\WINDOWS\SchedLgU.Txt Direct reading C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Direct reading C:\WINDOWS\system32\CatRoot2\edb.log Direct reading C:\WINDOWS\system32\CatRoot2\tmp.edb Direct reading C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb Direct reading C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb Direct reading C:\WINDOWS\system32\config\AppEvent.Evt Direct reading C:\WINDOWS\system32\config\default Direct reading C:\WINDOWS\system32\config\sam Direct reading C:\WINDOWS\system32\config\SecEvent.Evt Direct reading C:\WINDOWS\system32\config\security Direct reading C:\WINDOWS\system32\config\software Direct reading C:\WINDOWS\system32\config\SysEvent.Evt Direct reading C:\WINDOWS\system32\config\system Direct reading C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Direct reading C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Direct reading C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Direct reading C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Direct reading C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Direct reading C:\WINDOWS\Temp\Perflib_Perfdata_120.dat Direct reading C:\WINDOWS\WindowsUpdate.log 4. Checking Winsock Layered Service Provider (SPI/LSP) LSP settings checked. No errors detected 5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs) C:\WINDOWS\system32\nview.dll --> Suspicion for Keylogger or Trojan DLL C:\WINDOWS\system32\nview.dll>>> Behavioural analysis 1. Reacts to events: keyboard, mouse, all events 2. Determines PID of current process C:\WINDOWS\system32\nview.dll>>> Neural net: file with probability 0.22% like a typical keyboard/mouse events interceptor File quarantined succesfully (C:\WINDOWS\system32\nview.dll) C:\WINDOWS\system32\NVWRSDE.DLL --> Suspicion for Keylogger or Trojan DLL C:\WINDOWS\system32\NVWRSDE.DLL>>> Behavioural analysis Behaviour typical for keyloggers not detected File quarantined succesfully (C:\WINDOWS\system32\NVWRSDE.DLL) Note: Do NOT delete suspicious files, send them for analysis (see FAQ for more details), because there are lots of useful hooking DLLs 6. Searching for opened TCP/UDP ports used by malicious programs Checking disabled by user 7. Heuristic system check Checking - complete 8. Searching for vulnerabilities >> Services: potentially dangerous service allowed: RemoteRegistry (Remote-Registrierung) >> Services: potentially dangerous service allowed: TermService (Terminaldienste) >> Services: potentially dangerous service allowed: SSDPSRV (SSDP-Suchdienst) >> Services: potentially dangerous service allowed: Schedule (Taskplaner) >> Services: potentially dangerous service allowed: mnmsrvc (NetMeeting-Remotedesktop-Freigabe) >> Services: potentially dangerous service allowed: RDSessMgr (Sitzungs-Manager für Remotedesktophilfe) > Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)! >> Security: disk drives' autorun is enabled >> Security: administrative shares (C$, D$ ...) are enabled >> Security: anonymous user access is enabled >> Security: sending Remote Assistant queries is enabled Checking - complete 9. Troubleshooting wizard >> Abnormal REG files association >> HDD autorun are allowed >> Autorun from network drives are allowed >> Removable media autorun are allowed Checking - complete Files scanned: 312724, extracted from archives: 211341, malicious software found 0, suspicions - 1 Scanning finished at 01.07.2008 17:47:20 Time of scanning: 00:23:26 If you have a suspicion on presence of viruses or questions on the suspected objects, you can address VirusInfo conference zweiter log C:\Dokumente und Einstellungen\Jorge\Lokale Einstellungen\Temp\mexe.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%) C:\Dokumente und Einstellungen\Jorge\Lokale Einstellungen\Temp\MWAVSCAN.COM;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%) C:\Dokumente und Einstellungen\Jorge\Lokale Einstellungen\Temp\ScanningProcess.exe;2;Suspicion for Trojan-Spy.Win32.Cpatcha ( 005D5D6D 08CCEE7D 00202E3B 002202DD 139264) C:\Programme\Netdevil\Warmonger\Binaries\Log-WMGame.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%) C:\WINDOWS\system32\nview.dll;5;Suspicion for Keylogger or Trojan DLL C:\WINDOWS\system32\NVWRSDE.DLL;5;Suspicion for Keylogger or Trojan DLL hoffe das das nicht so schlimm aussiht^^  :aplaus:und sry wegen den pn´s Geändert von Jorge (01.07.2008 um 17:48 Uhr) |
|
01.07.2008, 17:48
| #9 | |
| /// AVZ-Toolkit Guru | Probleme mit Trojanern Das erste log erscheint mir sehr kurz. Hast du auch definitiv alle deine Festplatten durchsuchen lassen? Zitat:
Das log sollte übrigens einegtlich angehängt werden. Bei der Größe macht das aber nichts.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
01.07.2008, 20:20
| #10 |
| | Probleme mit Trojanern ich habe meine beiden festplatten angekreutzt (C=360GB,D=19GB) und 45 GB sind belegt habe also ALLE festplatten angekreutzt die eingebaut sind^^ siht das denn soweit gut aus??^^ |
|
01.07.2008, 21:19
| #11 |
| /// AVZ-Toolkit Guru | Probleme mit Trojanern Ja, soweit sieht's ganz gut aus. Aber für diesen Rechner kann ich auch bei noch so vielen Scans keine Garantie übernehmen. ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Wichtiger Hinweis: Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
01.07.2008, 21:56
| #12 |
| | Probleme mit Trojanern so habe alles gemacht die autostart funktion is zwar aus oder so aber das is egal^^ hia der log hat super funktioniert Code:
ATTFilter ComboFix 08-06-30.2 - Jorge 2008-07-01 22:34:40.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2530 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Jorge\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com
C:\WINDOWS\system32\wFOpoUvw.ini
C:\WINDOWS\system32\wFOpoUvw.ini2
----- BITS: Possible infected sites -----
hxxp://au.downloaõj
.
((((((((((((((((((((((( Dateien erstellt von 2008-06-01 bis 2008-07-01 ))))))))))))))))))))))))))))))
.
2008-07-01 21:35 . 2008-07-01 21:35 <DIR> d-------- C:\Programme\Xvid
2008-07-01 21:35 . 2008-07-01 21:35 <DIR> d-------- C:\Programme\DsNET Corp
2008-07-01 21:35 . 2007-06-28 18:52 765,952 --a------ C:\WINDOWS\system32\xvidcore.dll
2008-07-01 21:35 . 2007-06-28 18:54 180,224 --a------ C:\WINDOWS\system32\xvidvfw.dll
2008-07-01 21:35 . 2007-06-28 18:55 77,824 --a------ C:\WINDOWS\system32\xvid.ax
2008-07-01 21:31 . 2008-07-01 21:31 0 --a------ C:\WINDOWS\Infob.dat
2008-07-01 21:31 . 2008-07-01 21:31 0 --a------ C:\WINDOWS\Infoa.dat
2008-07-01 18:11 . 2008-07-01 18:11 0 --a------ C:\WINDOWS\nsreg.dat
2008-07-01 18:08 . 2008-07-01 18:08 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator.JORGE-17C7542F0\Anwendungsdaten\Grisoft
2008-07-01 14:48 . 2008-07-01 14:48 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-07-01 14:48 . 2008-07-01 14:48 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-07-01 14:48 . 2008-07-01 14:48 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-07-01 14:48 . 2008-07-01 14:48 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-07-01 14:48 . 2008-07-01 14:48 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-07-01 14:48 . 2008-07-01 14:48 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-07-01 14:43 . 2004-08-04 14:00 153,600 --a------ C:\WINDOWS\R.COM
2008-07-01 14:43 . 2004-08-04 14:00 140,800 --a------ C:\WINDOWS\system32\T.COM
2008-07-01 14:43 . 2008-07-01 14:43 26 --a------ C:\WINDOWS\Lic.xxx
2008-07-01 12:49 . 2008-07-01 12:55 <DIR> d-------- C:\Programme\HS-04U
2008-07-01 12:30 . 2004-08-04 14:00 13,463,552 --a--c--- C:\WINDOWS\system32\dllcache\hwxjpn.dll
2008-07-01 12:29 . 2004-08-04 14:00 2,134,528 --a--c--- C:\WINDOWS\system32\dllcache\smtpsnap.dll
2008-07-01 12:28 . 2008-07-01 12:28 749 -rah----- C:\WINDOWS\WindowsShell.Manifest
2008-07-01 12:28 . 2008-07-01 12:28 749 -rah----- C:\WINDOWS\system32\wuaucpl.cpl.manifest
2008-07-01 12:28 . 2008-07-01 12:28 749 -rah----- C:\WINDOWS\system32\sapi.cpl.manifest
2008-07-01 12:28 . 2008-07-01 12:28 749 -rah----- C:\WINDOWS\system32\nwc.cpl.manifest
2008-07-01 12:28 . 2008-07-01 12:28 749 -rah----- C:\WINDOWS\system32\ncpa.cpl.manifest
2008-07-01 12:28 . 2008-07-01 12:28 488 -rah----- C:\WINDOWS\system32\logonui.exe.manifest
2008-07-01 12:19 . 2004-08-04 14:00 1,086,058 -ra------ C:\WINDOWS\SET30.tmp
2008-07-01 12:19 . 2004-08-04 14:00 1,014,663 -ra------ C:\WINDOWS\SET2D.tmp
2008-07-01 12:19 . 2004-08-04 14:00 14,043 -ra------ C:\WINDOWS\SET3C.tmp
2008-07-01 11:57 . 2008-07-01 11:57 <DIR> d-------- C:\WINDOWS\NV9761908.TMP
2008-07-01 11:56 . 2001-08-17 12:13 27,165 --a------ C:\WINDOWS\system32\drivers\fetnd5.sys
2008-06-30 18:13 . 2008-06-30 18:35 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-06-30 18:13 . 2008-06-30 18:13 <DIR> d-------- C:\Dokumente und Einstellungen\Jorge\Anwendungsdaten\Malwarebytes
2008-06-30 18:13 . 2008-06-30 18:13 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-06-30 18:13 . 2008-06-28 14:16 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-30 18:13 . 2008-06-28 14:16 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-30 18:01 . 2008-06-30 18:01 <DIR> d-------- C:\Programme\Trend Micro
2008-06-30 17:58 . 2008-06-30 17:58 <DIR> d-------- C:\Programme\CCleaner
2008-06-30 16:35 . 2008-06-30 16:35 <DIR> d-------- C:\Dokumente und Einstellungen\Jorge\Anwendungsdaten\Grisoft
2008-06-30 16:35 . 2008-06-30 16:35 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft
2008-06-30 16:35 . 2007-05-30 14:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2008-06-30 16:23 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-06-30 16:23 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-06-30 16:23 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-06-30 16:23 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-06-30 16:23 . 2008-06-23 23:34 82,432 --a------ C:\WINDOWS\system32\IEDFix.C.exe
2008-06-30 16:23 . 2008-05-23 18:21 81,920 --a------ C:\WINDOWS\system32\404Fix.exe
2008-06-30 16:23 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-06-30 16:23 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-06-30 16:23 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-06-30 16:23 . 2008-06-30 16:23 1,316 --a------ C:\WINDOWS\system32\tmp.reg
2008-06-30 15:57 . 2008-06-30 15:57 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy
2008-06-30 15:17 . 2008-07-01 21:37 <DIR> d-------- C:\Programme\Steam
2008-06-23 19:27 . 2008-06-23 19:27 268 --ah----- C:\sqmdata19.sqm
2008-06-21 16:34 . 2008-06-29 16:27 <DIR> d-------- C:\Programme\WarRock
2008-06-20 16:28 . 2008-06-20 16:33 <DIR> d-------- C:\WINDOWS\system32\Adobe
2008-06-18 20:35 . 2008-06-18 20:35 66,872 --a------ C:\WINDOWS\system32\PnkBstrA.exe
2008-06-18 20:35 . 2008-07-01 19:38 22,328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-06-16 23:35 . 2008-06-16 23:40 <DIR> d-------- C:\Programme\MSN Webcam Recorder
2008-06-16 16:52 . 2008-06-16 16:52 <DIR> d-------- C:\WINDOWS\system32\windows media
2008-06-16 16:52 . 2008-06-16 23:35 <DIR> d--h----- C:\WINDOWS\msdownld.tmp
2008-06-16 14:13 . 2008-06-16 14:13 33,824 --a------ C:\WINDOWS\system32\drivers\oreans32.sys
2008-06-09 15:41 . 2008-06-09 15:41 268 --ah----- C:\sqmdata18.sqm
2008-06-09 15:41 . 2008-06-09 15:41 244 --ah----- C:\sqmnoopt18.sqm
2008-06-09 15:39 . 2007-03-23 19:19 9,715,200 -ra------ C:\WINDOWS\RTLCPL.exe
2008-06-09 15:39 . 2008-04-17 16:33 4,707,328 -ra------ C:\WINDOWS\system32\drivers\RtkHDAud.sys
2008-06-09 15:39 . 2007-11-20 18:15 1,826,816 -ra------ C:\WINDOWS\SkyTel.exe
2008-06-09 15:39 . 2008-04-02 09:27 1,196,032 -ra------ C:\WINDOWS\RtlUpd.exe
2008-06-09 15:39 . 2008-03-13 14:52 266,240 -ra------ C:\WINDOWS\system32\RTSndMgr.cpl
2008-06-09 15:39 . 2006-07-21 16:14 86,016 -ra------ C:\WINDOWS\SoundMan.exe
2008-06-09 15:39 . 2006-08-01 15:02 49,152 -ra------ C:\WINDOWS\system32\ChCfg.exe
2008-06-09 15:39 . 2007-11-14 15:18 553 -ra------ C:\WINDOWS\USetup.iss
2008-06-09 15:39 . 2008-04-30 11:10 18 -ra------ C:\WINDOWS\system32\drivers\VERSION.DAT
2008-06-09 15:38 . 2008-06-09 15:38 <DIR> d-------- C:\Programme\Realtek
2008-06-09 15:38 . 2008-04-10 16:52 16,861,184 -ra------ C:\WINDOWS\RTHDCPL.exe
2008-06-09 15:38 . 2006-05-04 16:26 2,808,832 -ra------ C:\WINDOWS\alcwzrd.exe
2008-06-09 15:38 . 2007-06-28 16:44 2,165,760 -ra------ C:\WINDOWS\MicCal.exe
2008-06-09 15:38 . 2008-03-05 18:07 520,192 -ra------ C:\WINDOWS\RtlExUpd.dll
2008-06-09 15:38 . 2005-09-21 10:25 299,008 -ra------ C:\WINDOWS\system32\ALSndMgr.cpl
2008-06-09 15:38 . 2005-05-03 18:43 69,632 -ra------ C:\WINDOWS\Alcmtr.exe
2008-06-09 15:38 . 2008-06-09 15:38 268 --ah----- C:\sqmdata17.sqm
2008-06-09 15:38 . 2008-06-09 15:38 244 --ah----- C:\sqmnoopt17.sqm
2008-06-09 11:28 . 2008-06-09 11:28 268 --ah----- C:\sqmdata16.sqm
2008-06-09 11:28 . 2008-06-09 11:28 244 --ah----- C:\sqmnoopt16.sqm
2008-06-06 19:47 . 2008-06-23 17:49 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-06-06 19:47 . 2008-06-06 19:47 1,409 --a------ C:\WINDOWS\QTFont.for
2008-06-04 18:04 . 2008-06-04 18:04 <DIR> d-------- C:\Programme\PhraseExpress
2008-06-04 18:04 . 2008-06-04 18:11 <DIR> d-------- C:\Dokumente und Einstellungen\Jorge\Anwendungsdaten\PhraseExpress
2008-06-04 18:04 . 2008-06-04 18:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PhraseExpress
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-01 19:42 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-07-01 19:41 --------- d-----w C:\Programme\Total Video Converter
2008-07-01 16:51 --------- d-----w C:\Programme\ICQToolbar
2008-07-01 10:46 --------- d-----w C:\Dokumente und Einstellungen\Jorge\Anwendungsdaten\teamspeak2
2008-07-01 10:40 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-06-23 10:13 --------- d-----w C:\Dokumente und Einstellungen\Jorge\Anwendungsdaten\ICQ
2008-06-19 12:02 --------- d-----w C:\Programme\TuneUp Utilities 2008
2008-06-18 17:34 --------- d-----w C:\Programme\eMule
2008-05-26 11:18 --------- d-----w C:\Programme\TrackMania Sunrise
2008-05-25 14:17 --------- d-----w C:\Programme\Crazy Machines II
2008-05-25 14:15 --------- d-----w C:\Programme\OpenAL
2008-05-25 14:15 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-05-17 16:26 --------- d-----w C:\Programme\Deep Silver
2008-05-17 15:42 --------- d-----w C:\Programme\Yahoo!
2008-05-17 15:41 --------- d-----w C:\Programme\Java
2008-05-17 15:40 --------- d-----w C:\Programme\MAGIX
2008-05-16 23:25 --------- d-----w C:\Programme\RivaTuner v2.08
2008-05-16 23:25 --------- d-----w C:\Programme\DivX
2008-05-16 16:08 --------- d-----w C:\Programme\MTA San Andreas
2008-05-15 11:22 --------- d-----w C:\Dokumente und Einstellungen\Jorge\Anwendungsdaten\DivX
2008-05-14 17:21 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrackMania
2008-05-14 11:32 --------- d-----w C:\Programme\Futuremark
2008-05-13 20:00 --------- d-----w C:\Programme\Gemeinsame Dateien\Futuremark Shared
2008-05-13 13:56 --------- d-----w C:\Dokumente und Einstellungen\Jorge\Anwendungsdaten\MAGIX
2008-05-13 13:55 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
2008-05-05 10:18 --------- d-----w C:\Programme\UrbanTerror
2008-05-04 19:41 --------- d-----w C:\Dokumente und Einstellungen\Jorge\Anwendungsdaten\Yahoo!
2008-05-04 19:36 --------- d-----w C:\Programme\Veoh Networks
2008-05-03 09:05 --------- d-----w C:\Programme\TrackMania Nations ESWC
2008-05-02 11:53 --------- d-----w C:\Programme\TmNationsForever
2008-04-12 09:37 22,328 ----a-w C:\Dokumente und Einstellungen\Jorge\Anwendungsdaten\PnkBstrK.sys
2008-03-04 18:51 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]
"TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" [2008-06-11 11:54 154368]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-20 17:10 262401]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-01-31 23:13 385024]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-09-17 01:07 8491008]
"NVIDIA nTune"="C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" [2007-01-22 17:22 81920]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"!AVG Anti-Spyware"="C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-09-17 01:07 81920]
"nwiz"="nwiz.exe" [2007-09-17 01:07 1626112 C:\WINDOWS\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2008-04-10 16:52 16861184 C:\WINDOWS\RTHDCPL.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SBCSSvc]
@=""
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe
"Skype"="C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
"ares"="C:\Programme\Ares\Ares.exe" -h
"Veoh"="C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
"MsnMsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
"ICQ"="C:\Programme\ICQ6\ICQ.exe" silent
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"CmUsbSound"=RunDll32 cmcnfgu.cpl,CMICtrlWnd
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Programme\\Ares\\Ares.exe"=
"C:\\Dokumente und Einstellungen\\Jorge\\Desktop\\Quake 3\\quake3.exe"=
"C:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"C:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\GameSpy\\Comrade\\Comrade.exe"=
"C:\\Programme\\MTA San Andreas\\server\\MTA Server.exe"=
"C:\\Programme\\TmNationsForever\\TmForever.exe"=
"C:\\Programme\\UrbanTerror\\ioUrbanTerror.exe"=
"C:\\Programme\\TrackMania Sunrise\\TmSunrise.exe"=
"C:\\Programme\\PhraseExpress\\phraseexpress.exe"=
"C:\\Programme\\Opera\\Opera.exe"=
R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);C:\WINDOWS\system32\drivers\sfdrv01a.sys [2006-07-05 14:46]
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-09-07 12:17]
R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys [2006-09-07 12:17]
R1 oreans32;oreans32;C:\WINDOWS\system32\drivers\oreans32.sys [2008-06-16 14:13]
R3 cmudau32;C-Media USB UDA Sound Interface;C:\WINDOWS\system32\drivers\cmudaxu.sys [2006-08-09 14:39]
R3 X10Hid;X10 Hid Device;C:\WINDOWS\system32\Drivers\x10hid.sys [2005-11-28 11:45]
S2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14:00]
S3 teamviewervpn;TeamViewer VPN Adapter;C:\WINDOWS\system32\DRIVERS\teamviewervpn.sys [2008-01-25 11:12]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-06-19 14:02]
.
Inhalt des "geplante Tasks" Ordners
"2008-07-01 20:42:04 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe
"2008-06-21 19:35:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
- - - - ORPHANS REMOVED - - - -
BHO-{7C109800-A5D5-438F-9640-18D17E168B88} - (no file)
BHO-{92A0B4A2-15C1-4AC8-A2CB-6332AE8CB100} - (no file)
HKLM-Run-CmUsbSound - cmcnfgu.cpl,CMICtrlWnd
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-01 22:42:27
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Eintr„ge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Common Files\X10\Common\X10nets.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\RALINK\Common\RaUI.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-01 22:44:09 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-01 20:44:07
8 Verzeichnis(se), 264,584,306,688 Bytes frei
10 Verzeichnis(se), 264,529,694,720 Bytes frei
248 --- E O F --- 2008-04-01 11:34:57
Geändert von Jorge (01.07.2008 um 22:03 Uhr) |
|
| Themen zu Probleme mit Trojanern |
| alle programme, antivirus, avira, browser, ctfmon.exe, dll, explorer, frage, hijack, hijackthis, hijackthis log-file, hilfreich, hkus\s-1-5-18, icq, internet, internet explorer, log-file, malwarebytes' anti-malware, neu, nvidia, opera, plug-in, problem, programme, quara, rundll, server, software, trojaner, tuneup.defrag, unknown file in winsock lsp, urlsearchhook, virus, windows, windows xp |
Linear-Darstellung
