|
Log-Analyse und Auswertung: Malware?Spyware?Virus? HiJackThis Log-FileWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
16.09.2008, 14:24 | #1 |
| Malware?Spyware?Virus? HiJackThis Log-File Hallo Zusammen! Ich habe seit gestern ein Problem, was auch in diesem Forum schon angesprochen wurde. Auf meinem Desktop erscheint bei jedem start oder neustart ein blauunterlegtes anzeigebild mit dem Text "Warning! Spyware detected on your computer!" Ich würde gerne um eine vollständige Formatierung herumkommen, da ich aber gar keine Ahnung von der Materie habe frage ich nach eurer Meinung / eurer Hilfe. Was ich selber "geschaft" habe, ist highjackthis zu instalieren und einen scan durchzuführen. Hier das log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:00:07, on 16.09.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\CyberLink\PowerCinema\PCMService.exe C:\WINDOWS\system32\RunDLL32.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\Programme\Winamp\winampa.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\Programme\Electronic Arts\EA Downloader\Core.exe C:\WINDOWS\system32\drivers\svchost.exe C:\Programme\NETGEAR\WG311v3\wlancfg5.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.web.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [PCMService] "C:\Programme\CyberLink\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SW20] C:\WINDOWS\System32\sw20.exe O4 - HKLM\..\Run: [SW24] C:\WINDOWS\System32\sw24.exe O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [inrhcp8sj0ej7c] C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\.ttE.tmp.exe /CR=D41D8CD98F00B204E9800998ECF8427E O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [EA Core] C:\Programme\Electronic Arts\EA Downloader\Core.exe -silent O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: NETGEAR WG311v3 Wireless Assistant.lnk = ? O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Download All by FlashGet - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Download using FlashGet - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing) O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://87.106.18.150/database/mgaxctrl.cab O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe -- End of file - 8170 bytes ich würde mich sehr freuen wenn sich jemand bereit erklären würde mir zu helfen, da ich auf hilfe absolut angewiesen bin. Danke schon mal im Voraus Gruß, Frank |
16.09.2008, 17:04 | #2 |
/// the machine /// TB-Ausbilder | Malware?Spyware?Virus? HiJackThis Log-Filehi sombrero und lasse Malwarebytes scannen, log posten. ==== Lade Combofix von einem der folgenden Download-Spiegel herunter: BleepingComputer.com - ForoSpyware.com - GeeksTogo.com und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig! Wenn Du ComboFix bereits vorher auf dem Rechner hattest, lösche die alte Version, da ComboFix laufend aktualisiert wird. Vorbereitung und wichtige Hinweise
Bitte Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen!
__________________ |
16.09.2008, 23:10 | #3 |
| Malware?Spyware?Virus? HiJackThis Log-File Hi schrauber26!
__________________Zunächst mal Vielen Dank für deine schnelle Antwort und die klaren und verständlichen anweisungen Habe Malwarebytes scannen lassen, Combofix folgt dann morgen. Muss dazu aber noch sagen, dass ich die von dir angegebenen Links auf dem "befallenen" Computer gar nich öffnen konnte. Habe sie dann an einem sicheren PC downgeloaded und die Setup Dateien per CD auf den betroffenen Computer überspielt. Außerdem kam zwischendurch mal ein blue screen, der einen Neustart angekündigt hat, aber trotzdem lief der scan zu ende und hat alles scheinbar geklappt. Hier der Log von MalwareBytes (der von Combofix folgt wie gesagt morgen): Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1163 Windows 5.1.2600 Service Pack 2 17.09.2008 00:01:57 mbam-log-2008-09-17 (00-01-57).txt Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|E:\|F:\|J:\|) Durchsuchte Objekte: 139446 Laufzeit: 29 minute(s), 10 second(s) Infizierte Speicherprozesse: 1 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 3 Infizierte Registrierungswerte: 7 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 0 Infizierte Dateien: 21 Infizierte Speicherprozesse: C:\WINDOWS\system32\drivers\svchost.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully. Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sw24 (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\inrhcp8sj0ej7c (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\drivers\svchost.exe (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\sw24.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\blphct8sj0ej7c.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\system32\lphct8sj0ej7c.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\system32\phct8sj0ej7c.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Fabi&Lulu\Lokale Einstellungen\Temp\.tt2.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Fabi&Lulu\Lokale Einstellungen\Temp\.tt3.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Fabi&Lulu\Lokale Einstellungen\Temp\.tt4.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Fabi&Lulu\Lokale Einstellungen\Temp\.tt7.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Fabi&Lulu\Lokale Einstellungen\Temp\.tt8.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Fabi&Lulu\Lokale Einstellungen\Temp\.ttB.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Fabi&Lulu\Lokale Einstellungen\Temp\.ttD.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Fabi&Lulu\Lokale Einstellungen\Temp\.ttE.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. |
16.09.2008, 23:16 | #4 |
| Malware?Spyware?Virus? HiJackThis Log-File Übrigens ist nach dem empfohlenen Neustart das warnende Desktopbild verschwunden (jetzt standard einfarbig blauer hintergrund) und ich könnte wieder einstellungen für hintergrundbild und bildschirmschoner machen. |
17.09.2008, 03:19 | #5 |
/// the machine /// TB-Ausbilder | Malware?Spyware?Virus? HiJackThis Log-File wir sind noch nicht durch, mach mit combofix weiter und dann das:
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
17.09.2008, 17:36 | #6 |
| Malware?Spyware?Virus? HiJackThis Log-File Hier der ComboFix Log: ComboFix 08-09-16.05 - Fabi&Lulu 2008-09-17 18:14:46.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1140 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Fabi&Lulu\Desktop\ComboFix.exe Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Fabi&Lulu\Desktop\WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\Fabi&Lulu\Cookies\fabi&lulu@ad.yieldmanager[2].txt C:\Dokumente und Einstellungen\Fabi&Lulu\Cookies\fabi&lulu@asn.advolution[2].txt C:\Dokumente und Einstellungen\Fabi&Lulu\Cookies\fabi&lulu@clicktorrent[1].txt C:\Dokumente und Einstellungen\Fabi&Lulu\Cookies\fabi&lulu@komtrack[1].txt C:\Dokumente und Einstellungen\Fabi&Lulu\Cookies\fabi&lulu@serving-sys[2].txt C:\Dokumente und Einstellungen\Fabi&Lulu\Cookies\fabi&lulu@webmasterplan[1].txt C:\Dokumente und Einstellungen\Fabi&Lulu\Cookies\fabi&lulu@www.clicktorrent[2].txt C:\WINDOWS\system32\FTPx.dll C:\WINDOWS\system32\MabryObj.dll . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_TDSSSERV -------\Service_TDSSserv ((((((((((((((((((((((( Dateien erstellt von 2008-08-17 bis 2008-09-17 )))))))))))))))))))))))))))))) . 2008-09-16 23:28 . 2008-09-16 23:29 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-09-16 23:28 . 2008-09-16 23:28 <DIR> d-------- C:\Dokumente und Einstellungen\Fabi&Lulu\Anwendungsdaten\Malwarebytes 2008-09-16 23:28 . 2008-09-16 23:28 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-09-16 23:28 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-09-16 23:28 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-09-16 14:59 . 2008-09-16 14:59 <DIR> d-------- C:\Programme\Trend Micro 2008-09-15 00:04 . 2008-09-15 00:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NVIDIA 2008-08-29 18:02 . 2008-09-16 14:08 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared 2008-08-25 14:26 . 2008-08-25 14:26 <DIR> d-------- C:\Dokumente und Einstellungen\Fabi&Lulu\Anwendungsdaten\ArcSoft 2008-08-25 14:06 . 2008-08-25 14:06 <DIR> d-------- C:\Programme\Gemeinsame Dateien\ArcSoft 2008-08-25 14:06 . 2008-08-25 14:06 <DIR> d-------- C:\Programme\ArcSoft 2008-08-25 14:06 . 2004-05-04 11:53 1,645,320 --a------ C:\WINDOWS\system32\gdiplus.dll 2008-08-25 14:06 . 2005-06-21 10:29 245,408 --a------ C:\WINDOWS\system32\unicows.dll 2008-08-25 14:06 . 2007-07-07 10:58 18,560 --a------ C:\WINDOWS\system32\drivers\vtcdrv.sys 2008-08-25 14:05 . 2008-08-25 14:05 <DIR> d-------- C:\Programme\Philips 2008-08-18 18:56 . 2008-09-17 18:00 <DIR> d-------- C:\Programme\Norton Security Scan . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-09-17 15:54 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater 2008-09-17 15:51 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2008-09-09 15:55 27,522 ----a-w C:\Dokumente und Einstellungen\Fabi&Lulu\Anwendungsdaten\wklnhst.dat 2008-08-29 14:33 --------- d-----w C:\Dokumente und Einstellungen\Fabi&Lulu\Anwendungsdaten\temp 2008-08-27 16:40 --------- d-----w C:\Programme\ICQ6 2008-08-25 12:06 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe 2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll 2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es.dll 2008-06-24 16:22 74,240 ----a-w C:\WINDOWS\system32\mscms.dll 2008-06-24 16:12 295,936 ------w C:\WINDOWS\system32\wmpeffects.dll 2008-06-24 14:23 542 ----a-w C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\wklnhst.dat 2008-06-23 16:14 826,368 ----a-w C:\WINDOWS\system32\wininet.dll 2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll 2007-10-11 18:09 47,032 ----a-w C:\Dokumente und Einstellungen\Fabi&Lulu\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2007-02-07 17:46 87,608 ----a-w C:\Dokumente und Einstellungen\Fabi&Lulu\Anwendungsdaten\ezpinst.exe 2007-02-07 17:46 47,360 ----a-w C:\Dokumente und Einstellungen\Fabi&Lulu\Anwendungsdaten\pcouffin.sys . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-01-15 147456] "EA Core"="C:\Programme\Electronic Arts\EA Downloader\Core.exe" [2006-08-16 1826816] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "PCMService"="C:\Programme\CyberLink\PowerCinema\PCMService.exe" [2004-11-03 81920] "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2006-06-01 7618560] "SW20"="C:\WINDOWS\System32\sw20.exe" [2006-05-18 208896] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-08-12 282624] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496] "WinampAgent"="C:\Programme\Winamp\winampa.exe" [2006-09-26 35328] "NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648] "SoundMan"="SOUNDMAN.EXE" [2006-03-01 C:\WINDOWS\soundman.exe] "nwiz"="nwiz.exe" [2006-06-01 C:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="NvMCTray.dll" [2006-06-01 C:\WINDOWS\system32\nvmctray.dll] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "AllowLegacyWebView"= 1 (0x1) "AllowUnhashedWebView"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.clmp3enc"= C:\PROGRA~1\CYBERL~1\Power2Go\CLMP3Enc.ACM [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AUtHorizedapplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Messenger\\msmsgs.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\BearShare\\BearShare.exe"= "C:\\Programme\\MSN Messenger\\msnmsgr.exe"= "C:\\Programme\\MSN Messenger\\livecall.exe"= "C:\\Programme\\ICQ6\\ICQ.exe"= S2 ousbehci;OrangeWare USB Enhanced Host Controller Service;C:\WINDOWS\system32\Drivers\ousbehci.sys [2004-06-15 44928] S3 ousb2hub;OrangeWare USB 2.0 Root Hub Support;C:\WINDOWS\system32\DRIVERS\ousb2hub.sys [2004-06-15 55808] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ca6f90f8-3e89-11db-98ce-00146c74b3c7}] \Shell\AutoRun\command - G:\LaunchU3.exe . Inhalt des "geplante Tasks" Ordners . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKCU-Run-Power2GoExpress - (no file) . ------- Zusätzlicher Suchlauf ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\Fabi&Lulu\Anwendungsdaten\Mozilla\Firefox\Profiles\pg4k0vlg.default\ FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-17 18:19:32 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Weitere laufende Prozesse ------------------------ . C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\NETGEAR\WG311v3\wlancfg5.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe C:\Programme\Java\jre1.6.0_03\bin\jucheck.exe C:\ComboFix\pv.cfexe . ************************************************************************** . Zeit der Fertigstellung: 2008-09-17 18:26:26 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2008-09-17 16:26:23 Vor Suchlauf: 3,214,475,264 Bytes frei Nach Suchlauf: 3,951,947,776 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn 156 --- E O F --- 2008-09-10 18:04:01 gruß, sombrero |
17.09.2008, 18:50 | #7 |
| Malware?Spyware?Virus? HiJackThis Log-File Hi! Bin nicht ganz sicher ob SDFix optimal geklappt hat. Da stand mehrfach "System konnte den angegebenen Pfad nicht finden" oder so ähnlich, dann lief es aber weiter. Nach einer Weile hat es sich geschlossen und ich habe über den Taskmanager neugestartet. Danach hat es sich aber wieder geöffnet und den scan beendet. Ach ja konnte auch nicht auf den Desktop entpacken, sondern es hat sich automatisch in C: entpackt aber dachte das wär kein problem. Naja mal sehen was du sagst. Hier die logs: SDFix: SDFix: Version 1.226 Run by Fabi Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Checking Services : Restoring Default Security Values Restoring Default Hosts File Rebooting Checking Files : No Trojan Files Found Removing Temp Files ADS Check : Final Check : catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-17 19:34:02 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden services & system hive ... [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg] "s1"=dword:2df9c43f "s2"=dword:110480d0 "h0"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "p0"="C:\Programme\DAEMON Tools\" "h0"=dword:00000000 "khjeh"=hex:51,d7,1d,23,2d,12,61,df,c6,e5,13,d9,1b,d6,72,8c,03,6e,19,e3,25,.. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001] "a0"=hex:20,01,00,00,4d,42,02,66,0a,66,a6,b1,95,9c,8f,bd,1b,58,d4,39,b3,.. "khjeh"=hex:72,16,72,44,1d,19,b6,3c,2d,6c,d1,47,ff,87,b2,44,d3,7c,da,54,a9,.. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40] "khjeh"=hex:71,c7,e8,45,3e,ab,ca,31,78,8b,b6,17,e9,92,39,4d,60,18,4e,bb,4c,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "p0"="C:\Programme\DAEMON Tools\" "h0"=dword:00000000 "khjeh"=hex:51,d7,1d,23,2d,12,61,df,c6,e5,13,d9,1b,d6,72,8c,03,6e,19,e3,25,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001] "a0"=hex:20,01,00,00,4d,42,02,66,0a,66,a6,b1,95,9c,8f,bd,1b,58,d4,39,b3,.. "khjeh"=hex:72,16,72,44,1d,19,b6,3c,2d,6c,d1,47,ff,87,b2,44,d3,7c,da,54,a9,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40] "khjeh"=hex:71,c7,e8,45,3e,ab,ca,31,78,8b,b6,17,e9,92,39,4d,60,18,4e,bb,4c,.. scanning hidden registry entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services : Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\\Programme\\BearShare\\BearShare.exe"="C:\\Programme\\BearShare\\BearShare.exe:*:Enabled:BearShare" "C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1" "C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)" "C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1" "C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)" Remaining Files : Files with Hidden Attributes : Wed 6 Sep 2006 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak" Fri 6 Aug 2004 1,953,792 ...HR --- "C:\Programme\Microsoft Works Suite 2005\Setup\launcher.exe" Fri 6 Aug 2004 53,760 ...HR --- "C:\Programme\Microsoft Works Suite 2005\Setup\mnyinsta.dll" Fri 6 Aug 2004 94,208 ...HR --- "C:\Programme\Microsoft Works Suite 2005\Setup\RmvSuite.exe" Fri 6 Aug 2004 35,328 ...HR --- "C:\Programme\Microsoft Works Suite 2005\Setup\setuplng.dll" Fri 6 Aug 2004 20,480 ...HR --- "C:\Programme\Microsoft Works Suite 2005\Setup\unregwtr.exe" Sun 10 Dec 2006 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv02.tmp" Sun 2 Mar 2008 88,064 ...H. --- "C:\Dokumente und Einstellungen\Fabi&Lulu\Anwendungsdaten\Microsoft\Word\~WRL1521.tmp" Wed 9 Apr 2008 857 ...HR --- "C:\Dokumente und Einstellungen\Fabi&Lulu\Anwendungsdaten\SecuROM\UserData\securom_v7_01.bak" Wed 6 Sep 2006 4,348 ...H. --- "C:\Dokumente und Einstellungen\Fabi&Lulu\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv1key.bak" Wed 6 Sep 2006 20 A..H. --- "C:\Dokumente und Einstellungen\Fabi&Lulu\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv1lic.bak" Mon 14 Aug 2006 312 A.SH. --- "C:\Dokumente und Einstellungen\Fabi&Lulu\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv2key.bak" Mon 3 Mar 2008 34,304 ...H. --- "C:\Dokumente und Einstellungen\Fabi&Lulu\Eigene Dateien\Fabi\Facharbeit\~WRL0077.tmp" Sun 2 Mar 2008 30,208 ...H. --- "C:\Dokumente und Einstellungen\Fabi&Lulu\Eigene Dateien\Fabi\Facharbeit\~WRL0763.tmp" Mon 3 Mar 2008 32,768 ...H. --- "C:\Dokumente und Einstellungen\Fabi&Lulu\Eigene Dateien\Fabi\Facharbeit\~WRL1042.tmp" Sun 2 Mar 2008 31,744 ...H. --- "C:\Dokumente und Einstellungen\Fabi&Lulu\Eigene Dateien\Fabi\Facharbeit\~WRL1629.tmp" Mon 3 Mar 2008 33,280 ...H. --- "C:\Dokumente und Einstellungen\Fabi&Lulu\Eigene Dateien\Fabi\Facharbeit\~WRL3780.tmp" Mon 3 Mar 2008 34,304 ...H. --- "C:\Dokumente und Einstellungen\Fabi&Lulu\Eigene Dateien\Fabi\Facharbeit\~WRL3969.tmp" Finished! Und der danach durchgeführte Hijack: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:41:11, on 17.09.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\notepad.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\CyberLink\PowerCinema\PCMService.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\Programme\Winamp\winampa.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\Programme\Electronic Arts\EA Downloader\Core.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe C:\Programme\NETGEAR\WG311v3\wlancfg5.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\wuauclt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [PCMService] "C:\Programme\CyberLink\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SW20] C:\WINDOWS\System32\sw20.exe O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [EA Core] C:\Programme\Electronic Arts\EA Downloader\Core.exe -silent O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: NETGEAR WG311v3 Wireless Assistant.lnk = ? O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Download All by FlashGet - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Download using FlashGet - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing) O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://87.106.18.150/database/mgaxctrl.cab O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe -- End of file - 7690 bytes |
17.09.2008, 18:53 | #8 | |
/// the machine /// TB-Ausbilder | Malware?Spyware?Virus? HiJackThis Log-File Kaspersky Online Scan Überprüfe Dein komplettes System mit dem Kaspersky Online-Scanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten. Java muss aktiv sein. Bei Nutzung des Internet Explorer musst Du die ActiveX Steuerelemente (Controls) zulassen. Wenn es nicht funktioniert, die jeweilige Seite zu den Sicheren hinzufügen bzw. die Sicherheitseinstellungen (Extras => Internetoptionen) für die Internetzone herabsetzen (danach aber sofort wieder hochsetzen). Der Scan kann auch mit dem Firefox ausgeführt werden. Dafür muss Java installiert und aktiv/erlaubt sein. Bebilderte Anleitung von sundavis. Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick. Wir werden Dir helfen, die Funde manuell vom System zu entfernen.
Zitat:
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
18.09.2008, 12:05 | #9 |
| Malware?Spyware?Virus? HiJackThis Log-File Kaspersky Protokoll: -------------------------------------------------------------------------------- KASPERSKY ONLINE SCANNER 7 REPORT Thursday, September 18, 2008 Operating System: Microsoft Windows XP Home Edition Service Pack 2 (build 2600) Kaspersky Online Scanner 7 version: 7.0.25.0 Program database last update: Thursday, September 18, 2008 06:22:22 Records in database: 1247115 -------------------------------------------------------------------------------- Scan settings: Scan using the following database: extended Scan archives: yes Scan mail databases: yes Scan area - My Computer: A:\ C:\ D:\ E:\ F:\ J:\ Scan statistics: Files scanned: 80554 Threat name: 11 Infected objects: 32 Suspicious objects: 0 Duration of the scan: 01:21:19 File name / Threat name / Threats count C:\Dokumente und Einstellungen\Fabi&Lulu\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\25\2365d359-768a5293 Infected: Trojan.Java.ClassLoader.as 3 C:\Dokumente und Einstellungen\Fabi&Lulu\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\35\362cfe3-71861e40 Infected: Trojan-Downloader.Java.OpenStream.ac 1 C:\Dokumente und Einstellungen\Fabi&Lulu\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\38\295aa0e6-45bd3bd5 Infected: Trojan.Java.ClassLoader.as 3 C:\Dokumente und Einstellungen\Fabi&Lulu\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\cnte-dhncgts.jar-1c783fca-72f913ec.zip Infected: Trojan.Java.ClassLoader.as 3 C:\Dokumente und Einstellungen\Fabi&Lulu\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\cnte-dhncgts.jar-21768b3c-2a900360.zip Infected: Trojan.Java.ClassLoader.as 3 C:\Dokumente und Einstellungen\Fabi&Lulu\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\cnte-dhncgts.jar-3fb89606-4b95a8d9.zip Infected: Trojan.Java.ClassLoader.as 3 C:\Dokumente und Einstellungen\Fabi&Lulu\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\cnte-dhncgts.jar-48a1f951-6d62f389.zip Infected: Trojan.Java.ClassLoader.as 3 C:\Dokumente und Einstellungen\Fabi&Lulu\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\cnte-dhncgts.jar-65cf7b83-5488dab1.zip Infected: Trojan.Java.ClassLoader.as 3 C:\System Volume Information\_restore{B509B1FE-2D6D-439A-9B85-509E3D5D2381}\RP0\A0000001.sys Infected: Hoax.Win32.Agent.fu 1 C:\System Volume Information\_restore{B509B1FE-2D6D-439A-9B85-509E3D5D2381}\RP0\A0000006.exe Infected: Trojan-Downloader.Win32.Small.adfx 1 C:\System Volume Information\_restore{B509B1FE-2D6D-439A-9B85-509E3D5D2381}\RP0\A0000007.dll Infected: Rootkit.Win32.Clbd.jy 1 C:\System Volume Information\_restore{B509B1FE-2D6D-439A-9B85-509E3D5D2381}\RP0\A0000009.dll Infected: Backdoor.Win32.UltimateDefender.gen 1 C:\System Volume Information\_restore{B509B1FE-2D6D-439A-9B85-509E3D5D2381}\RP0\A0000010.dll Infected: Backdoor.Win32.Agent.rfv 1 C:\System Volume Information\_restore{B509B1FE-2D6D-439A-9B85-509E3D5D2381}\RP0\A0000011.dll Infected: Backdoor.Win32.Agent.rfw 1 C:\System Volume Information\_restore{B509B1FE-2D6D-439A-9B85-509E3D5D2381}\RP0\A0000012.dll Infected: Trojan-Downloader.Win32.FraudLoad.vbxt 1 C:\System Volume Information\_restore{B509B1FE-2D6D-439A-9B85-509E3D5D2381}\RP0\A0000013.sys Infected: Backdoor.Win32.Agent.roc 1 F:\Programme\brennprogs\Nero-7.7.5.1_deu.exe Infected: not-a-virus:AdTool.Win32.MyWebSearch.bm 1 F:\Programme\brennprogs\Nero-7.7.5.1_deu_trial.exe Infected: not-a-virus:AdTool.Win32.MyWebSearch.bm 1 The selected area was scanned. |
18.09.2008, 15:04 | #10 |
/// the machine /// TB-Ausbilder | Malware?Spyware?Virus? HiJackThis Log-File Vorbereitung Lösche die vorhandene Version von Combofix und lade das Programm von einem der folgenden Download-Spiegel neu herunter: BleepingComputer.com - ForoSpyware.com - GeeksTogo.comund speichere es auf dem Desktop (nicht woanders hin, das ist wichtig)! Wenn Du ComboFix bereits vorher auf dem Rechner hattest, lösche die alte Version, da ComboFix laufend aktualisiert wird.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen. ==== Tool-Bereinigung mit OTMoveIt2 Bitte lade Dir OTMoveIt von OldTimer herunter.
==== Systemwiederherstellung deaktivieren und wieder aktivieren:
=== diesen onlinescan mit internet explorer machen, log posten. F-Secure Support-Seiten: F-Secure Online-Virenscanner
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
18.09.2008, 16:41 | #11 |
| Malware?Spyware?Virus? HiJackThis Log-File Hier schon mal der ComboFIx log: ComboFix 08-09-16.05 - Fabi&Lulu 2008-09-18 16:38:02.2 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1124 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Fabi&Lulu\Desktop\ComboFix.exe Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Fabi&Lulu\Desktop\CFScript.txt * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . F:\Programme\brennprogs\Nero-7.7.5.1_deu.exe F:\Programme\brennprogs\Nero-7.7.5.1_deu_trial.exe . ((((((((((((((((((((((( Dateien erstellt von 2008-08-18 bis 2008-09-18 )))))))))))))))))))))))))))))) . 2008-09-17 19:24 . 2008-09-17 19:37 <DIR> d-------- C:\SDFix 2008-09-17 18:46 . 2008-09-17 18:46 <DIR> d-------- C:\WINDOWS\ERUNT 2008-09-16 23:28 . 2008-09-16 23:29 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-09-16 23:28 . 2008-09-16 23:28 <DIR> d-------- C:\Dokumente und Einstellungen\Fabi&Lulu\Anwendungsdaten\Malwarebytes 2008-09-16 23:28 . 2008-09-16 23:28 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-09-16 23:28 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-09-16 23:28 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-09-16 14:59 . 2008-09-16 14:59 <DIR> d-------- C:\Programme\Trend Micro 2008-09-15 00:04 . 2008-09-15 00:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NVIDIA 2008-08-29 18:02 . 2008-09-16 14:08 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared 2008-08-25 14:26 . 2008-08-25 14:26 <DIR> d-------- C:\Dokumente und Einstellungen\Fabi&Lulu\Anwendungsdaten\ArcSoft 2008-08-25 14:06 . 2008-08-25 14:06 <DIR> d-------- C:\Programme\Gemeinsame Dateien\ArcSoft 2008-08-25 14:06 . 2008-08-25 14:06 <DIR> d-------- C:\Programme\ArcSoft 2008-08-25 14:06 . 2004-05-04 11:53 1,645,320 --a------ C:\WINDOWS\system32\gdiplus.dll 2008-08-25 14:06 . 2005-06-21 10:29 245,408 --a------ C:\WINDOWS\system32\unicows.dll 2008-08-25 14:06 . 2007-07-07 10:58 18,560 --a------ C:\WINDOWS\system32\drivers\vtcdrv.sys 2008-08-25 14:05 . 2008-08-25 14:05 <DIR> d-------- C:\Programme\Philips 2008-08-18 18:56 . 2008-09-17 18:00 <DIR> d-------- C:\Programme\Norton Security Scan . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-09-17 15:54 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater 2008-09-17 15:51 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2008-09-09 15:55 27,522 ----a-w C:\Dokumente und Einstellungen\Fabi&Lulu\Anwendungsdaten\wklnhst.dat 2008-08-29 14:33 --------- d-----w C:\Dokumente und Einstellungen\Fabi&Lulu\Anwendungsdaten\temp 2008-08-27 16:40 --------- d-----w C:\Programme\ICQ6 2008-08-25 12:06 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe 2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll 2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es.dll 2008-06-24 16:22 74,240 ----a-w C:\WINDOWS\system32\mscms.dll 2008-06-24 16:12 295,936 ------w C:\WINDOWS\system32\wmpeffects.dll 2008-06-24 14:23 542 ----a-w C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\wklnhst.dat 2008-06-23 16:14 826,368 ----a-w C:\WINDOWS\system32\wininet.dll 2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll 2007-10-11 18:09 47,032 ----a-w C:\Dokumente und Einstellungen\Fabi&Lulu\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2007-02-07 17:46 87,608 ----a-w C:\Dokumente und Einstellungen\Fabi&Lulu\Anwendungsdaten\ezpinst.exe 2007-02-07 17:46 47,360 ----a-w C:\Dokumente und Einstellungen\Fabi&Lulu\Anwendungsdaten\pcouffin.sys . ((((((((((((((((((((((((((((( snapshot@2008-09-17_18.26.08.76 ))))))))))))))))))))))))))))))))))))))))) . + 2008-08-07 14:27:04 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE + 2008-09-17 17:26:18 8,396,800 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000001\NTUSER.DAT + 2008-09-17 17:26:18 147,456 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat + 2008-08-07 14:27:04 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE + 2008-09-17 16:46:29 8,396,800 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000001\NTUSER.DAT + 2008-09-17 16:46:29 147,456 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-01-15 147456] "EA Core"="C:\Programme\Electronic Arts\EA Downloader\Core.exe" [2006-08-16 1826816] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "PCMService"="C:\Programme\CyberLink\PowerCinema\PCMService.exe" [2004-11-03 81920] "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2006-06-01 7618560] "SW20"="C:\WINDOWS\System32\sw20.exe" [2006-05-18 208896] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-08-12 282624] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496] "WinampAgent"="C:\Programme\Winamp\winampa.exe" [2006-09-26 35328] "NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648] "SoundMan"="SOUNDMAN.EXE" [2006-03-01 C:\WINDOWS\soundman.exe] "nwiz"="nwiz.exe" [2006-06-01 C:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="NvMCTray.dll" [2006-06-01 C:\WINDOWS\system32\nvmctray.dll] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "AllowLegacyWebView"= 1 (0x1) "AllowUnhashedWebView"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.clmp3enc"= C:\PROGRA~1\CYBERL~1\Power2Go\CLMP3Enc.ACM [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AUtHorizedapplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Messenger\\msmsgs.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\BearShare\\BearShare.exe"= "C:\\Programme\\MSN Messenger\\msnmsgr.exe"= "C:\\Programme\\MSN Messenger\\livecall.exe"= "C:\\Programme\\ICQ6\\ICQ.exe"= S2 ousbehci;OrangeWare USB Enhanced Host Controller Service;C:\WINDOWS\system32\Drivers\ousbehci.sys [2004-06-15 44928] S3 ousb2hub;OrangeWare USB 2.0 Root Hub Support;C:\WINDOWS\system32\DRIVERS\ousb2hub.sys [2004-06-15 55808] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ca6f90f8-3e89-11db-98ce-00146c74b3c7}] \Shell\AutoRun\command - G:\LaunchU3.exe . Inhalt des "geplante Tasks" Ordners . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-18 16:40:49 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-09-18 16:42:19 ComboFix-quarantined-files.txt 2008-09-18 14:42:08 ComboFix2.txt 2008-09-17 16:26:27 Vor Suchlauf: 3,743,858,688 Bytes frei Nach Suchlauf: 3,412,348,928 Bytes frei 126 --- E O F --- 2008-09-10 18:04:01 |
18.09.2008, 21:43 | #12 |
| Malware?Spyware?Virus? HiJackThis Log-File Hallo! Folgende Info noch zum F-Secure scan. hatte antivir vorher wieder eingeschaltet, das hat dann während dem f secure check angezeigt ein trojanisches pferd gefunden zu haben genau an der stelle wo der scan grad lief. dieser hat dann gestoppt. habe bei antivir dann auf zugriff verweigern gedrück und es für den rest des scans deaktiviert. hier der bericht: Scanning Report Thursday, September 18, 2008 17:54:35 - 22:37:12 Computer name: LUFA Scanning type: Scan system for malware, rootkits Target: C:\ F:\ -------------------------------------------------------------------------------- Result: 22 malware found TrackingCookie.2o7 (spyware) System TrackingCookie.Adbrite (spyware) System TrackingCookie.Adrevolver (spyware) System TrackingCookie.Adtech (spyware) System TrackingCookie.Advertising (spyware) System TrackingCookie.Atdmt (spyware) System TrackingCookie.Atwola (spyware) System TrackingCookie.Clickbank (spyware) System TrackingCookie.Doubleclick (spyware) System TrackingCookie.Mediaplex (spyware) System TrackingCookie.Questionmarket (spyware) System TrackingCookie.Revsci (spyware) System TrackingCookie.Specificclick (spyware) System TrackingCookie.Statcounter (spyware) System TrackingCookie.Tradedoubler (spyware) System TrackingCookie.Webtrends (spyware) System TrackingCookie.Xiti (spyware) System TrackingCookie.Yieldmanager (spyware) System TrackingCookie.Zanox (spyware) System W32/Packed/FSG_2.A (virus) C:\PROGRAMME\VSO\PATCH.EXE C:\PROGRAMME\VSO\CONVERTXTODVD\PATCH.EXE F:\PROGRAMME\BRENNPROGS\VSOCONVERTXTODVD2.1.9BUILD200\PATCH\PATCH.EXE -------------------------------------------------------------------------------- Statistics Scanned: Files: 47909 System: 4667 Not scanned: 8 Actions: Disinfected: 0 Renamed: 0 Deleted: 0 None: 22 Submitted: 0 Files not scanned: C:\PAGEFILE.SYS C:\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT C:\WINDOWS\SYSTEM32\CONFIG\SAM C:\WINDOWS\SYSTEM32\CONFIG\SECURITY C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM C:\WINDOWS\SOFTWAREDISTRIBUTION\EVENTCACHE\{C39E5200-7146-4EC6-AF4B-6B90D5C1DF6B}.BIN -------------------------------------------------------------------------------- Options Scanning engines: F-Secure USS: 2.30.0 F-Secure Hydra: 2.8.8110, 2008-09-18 F-Secure AVP: 7.0.171, 2008-09-18 F-Secure Pegasus: 1.20.0, 2008-08-09 F-Secure Blacklight: 2.2.1092 Scanning options: Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR Use Advanced heuristics |
19.09.2008, 08:31 | #13 | |
/// the machine /// TB-Ausbilder | Malware?Spyware?Virus? HiJackThis Log-FileZitat:
ich liebe es meine zeit zu verschwenden
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
19.09.2008, 11:42 | #14 |
| Malware?Spyware?Virus? HiJackThis Log-File Wieso? Was heißt das denn? Und was bedeutet das für mich? Alles Formatieren? |
19.09.2008, 11:44 | #15 |
/// the machine /// TB-Ausbilder | Malware?Spyware?Virus? HiJackThis Log-File das da oben sind ja wohl keygens....
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
Themen zu Malware?Spyware?Virus? HiJackThis Log-File |
antivir, avira, bereit, bho, computer, desktop, downloader, drivers, frage, google, helfen, highjackthis, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, keine ahnung, malware, netgear, netgear wg311v3, object, problem, rundll, scan, software, spyware, system, virus, windows, windows xp, windows\system32\drivers |