|
Plagegeister aller Art und deren Bekämpfung: Zlob.DNSChange.RtkWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
13.10.2008, 16:39 | #1 |
| Zlob.DNSChange.Rtk Habe mir heute den Virus ZLob.DNS Change eingefangen. Habe ihn dann versucht zu entfernen, jedoch geht mein Netzwerk seid ich den Virus hatte nichtmehr und auch nachdem ich ihn entfernt habe immer noch nicht. Er zeigt immer Eingeschränkte oder keine Konektivität. Habe es mit Spybot search & destroy, avira antivir, Hijackthis, ComboFix und Smitfraudfix versucht. Hier noch die Logfiles: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:23:53, on 13.10.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\DAEMON Tools Pro\DTProAgent.exe C:\Programme\TechniSat DVB\bin\Server4PC.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrB.exe C:\WINDOWS\system32\svchost.exe C:\Programme\VMware\VMware Server\vmware-authd.exe C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe C:\WINDOWS\system32\vmnetdhcp.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\VMware\VMware Server\vmserverdWin32.exe C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [PRONoMgrWired] C:\Programme\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Programme\DAEMON Tools Pro\DTProAgent.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Server4PC.lnk = C:\Programme\TechniSat DVB\bin\Server4PC.exe O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1203189750890 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Server\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe O23 - Service: VMware Registration Service (vmserverdWin32) - VMware, Inc. - C:\Programme\VMware\VMware Server\vmserverdWin32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 9910 bytes SmitFraudFix v2.359 Scan done at 16:57:00,70, 13.10.2008 Run from C:\Dokumente und Einstellungen\***\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost »»»»»»»»»»»»»»»»»»»»»»»» VACFix VACFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix S!Ri's WS2Fix: LSP not Found. »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files »»»»»»»»»»»»»»»»»»»»»»»» IEDFix IEDFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» 404Fix 404Fix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix AntiXPVSTFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» RK »»»»»»»»»»»»»»»»»»»»»»»» DNS HKLM\SYSTEM\CS2\Services\Tcpip\..\{893F2703-01B6-4922-B402-335F0889D077}: DhcpNameServer=192.168.2.2 HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.2 »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "system"="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End |
13.10.2008, 16:40 | #2 |
| Zlob.DNSChange.Rtk ComboFix 08-10-12.01 - Jan Arenskötter 2008-10-13 15:58:04.1 - NTFSx86
__________________ausgeführt von:: M:\ComboFix.exe Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . ADS - WINDOWS: deleted 24 bytes in 1 streams. (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Autorun.inf C:\resycled C:\resycled\boot.com C:\WINDOWS\system32\BReWErS.dll C:\WINDOWS\system32\Cfx32.lic C:\WINDOWS\system32\cfx32.ocx C:\WINDOWS\system32\kdlbb.exe C:\WINDOWS\system32\tmp87.tmp C:\WINDOWS\system32\tmp88.tmp J:\Autorun.inf K:\Autorun.inf M:\autorun.inf . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_VMWARE_NAT_SERVICE -------\Service_VMware NAT Service ((((((((((((((((((((((( Dateien erstellt von 2008-09-13 bis 2008-10-13 )))))))))))))))))))))))))))))) . 2008-10-13 15:56 . 2008-10-13 15:56 3,012 --a------ C:\WINDOWS\system32\tmp.reg 2008-10-13 14:21 . 2008-10-13 14:21 <DIR> d-------- C:\Programme\Trend Micro 2008-10-07 12:25 . 2008-10-07 12:25 288 --a------ C:\WINDOWS\vtmb.ini 2008-10-06 12:48 . 2008-10-06 12:48 <DIR> d--h-c--- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{0691F710-1ECA-4B5A-9727-25554F1BFDC6} 2008-09-30 18:13 . 2008-09-30 18:13 <DIR> d-------- C:\Programme\Microsoft Visual Studio .NET 2003 2008-09-30 18:10 . 2008-09-30 18:10 <DIR> d-------- C:\WINDOWS\system32\URTTEMP 2008-09-24 17:09 . 2008-09-24 17:09 <DIR> d-------- C:\Programme\EA GAMES 2008-09-21 14:58 . 2008-09-21 14:58 0 --a------ C:\WINDOWS\nsreg.dat 2008-09-19 20:48 . 2008-09-19 20:48 <DIR> d-------- C:\Dokumente und Einstellungen\Jan Arenskötter\Anwendungsdaten\SPORE 2008-09-13 17:11 . 2008-09-13 17:11 <DIR> d-------- C:\Programme\iTunes 2008-09-13 17:11 . 2008-09-13 17:11 <DIR> d-------- C:\Programme\iPod 2008-09-13 17:11 . 2008-09-13 17:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6} 2008-09-13 17:07 . 2008-09-13 17:08 <DIR> d-------- C:\Programme\QuickTime . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-13 14:15 18,024,480 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat 2008-10-13 14:14 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VMware 2008-10-13 14:10 5,039,785 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip 2008-10-13 14:09 215,312 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2008-10-13 12:17 --------- d-----w C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\VMware 2008-10-13 12:17 --------- d-----w C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\VMware 2008-10-13 09:18 2,828 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys 2008-10-10 06:58 82,944 ----a-w C:\WINDOWS\system32\o4Patch.exe 2008-10-10 06:58 82,944 ----a-w C:\WINDOWS\system32\IEDFix.C.exe 2008-10-08 10:55 138,464 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys 2008-10-08 10:54 183,128 ----a-w C:\WINDOWS\system32\PnkBstrB.exe 2008-10-08 10:53 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe 2008-10-07 10:25 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-10-07 10:06 --------- d-----w C:\Programme\Activision 2008-10-06 11:02 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll 2008-10-06 10:43 --------- d-----w C:\Programme\Electronic Arts 2008-10-06 09:44 --------- d-----w C:\Programme\Lexmark X74-X75 2008-10-05 16:17 1,072,693,248 ---ha-w C:\timeshift.dat 2008-10-01 13:51 87,552 ----a-w C:\WINDOWS\system32\VACFix.exe 2008-09-30 16:19 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help 2008-09-30 16:18 --------- d-----w C:\Programme\Gemeinsame Dateien\Borland Shared 2008-09-30 16:18 --------- d-----w C:\Programme\Borland 2008-09-30 16:13 --------- d-----w C:\Programme\Microsoft.NET 2008-09-30 13:14 --------- d-----w C:\Programme\FreePDF_XP 2008-09-22 17:13 --------- d-----w C:\Programme\ICQ6 2008-09-13 15:09 --------- d-----w C:\Programme\Bonjour 2008-09-13 15:08 --------- d-----w C:\Programme\Gemeinsame Dateien\Apple 2008-09-08 21:38 88,576 ----a-w C:\WINDOWS\system32\AntiXPVSTFix.exe 2008-09-04 15:12 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll 2008-09-02 14:23 --------- d-----w C:\Dokumente und Einstellungen\Jan Arenskötter\Anwendungsdaten\Autodesk 2008-09-02 14:23 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Autodesk 2008-08-29 08:18 87,336 ----a-w C:\WINDOWS\system32\dns-sd.exe 2008-08-29 07:53 61,440 ----a-w C:\WINDOWS\system32\dnssd.dll 2008-08-28 13:30 --------- d-----w C:\Programme\Gemeinsame Dateien\Autodesk Shared 2008-08-28 13:30 --------- d-----w C:\Programme\AutoCAD 2008 2008-08-28 13:27 --------- d-----w C:\Programme\Autodesk 2008-08-25 16:02 --------- d-----w C:\Programme\X-Projects 2008-08-23 12:53 --------- d-----w C:\Programme\Miles Sound Tools 2008-08-23 12:07 --------- d-----w C:\Programme\LucasArts 2008-08-23 09:33 361,216 ----a-w C:\WINDOWS\system32\TuneUpDefragService.exe 2008-08-23 09:33 --------- d-----w C:\Programme\TuneUp Utilities 2008 2008-08-19 16:59 --------- d-----w C:\Programme\Microsoft Silverlight 2008-08-18 10:19 82,432 ----a-w C:\WINDOWS\system32\404Fix.exe 2008-08-15 16:35 --------- d-----w C:\Programme\Apple Software Update 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe 2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll 2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll 2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll 2008-04-13 18:16 22,328 ----a-w C:\Dokumente und Einstellungen\Jan Arenskötter\Anwendungsdaten\PnkBstrK.sys . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe" [2007-08-03 202024] "LightScribe Control Panel"="C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe" [2007-08-23 455968] "SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 2097488] "DAEMON Tools Pro Agent"="C:\Programme\DAEMON Tools Pro\DTProAgent.exe" [2007-09-06 136136] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "PRONoMgrWired"="C:\Programme\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe" [2004-11-18 86016] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 8523776] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 81920] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-06-26 312320] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] "ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 919016] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-09-06 413696] "AppleSyncNotifier"="C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-09-03 111936] "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-09-10 289576] "SoundMan"="SOUNDMAN.EXE" [2005-06-14 C:\WINDOWS\SOUNDMAN.EXE] "nwiz"="nwiz.exe" [2007-12-05 C:\WINDOWS\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Server4PC.lnk - C:\Programme\TechniSat DVB\bin\Server4PC.exe [2008-04-06 328968] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor] --a------ 2007-08-24 08:00 33648 C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup] --a------ 2005-08-11 17:30 249856 C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler] --a------ 2005-08-11 17:30 81920 C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] --a------ 2008-09-10 17:40 289576 C:\Programme\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lexmark X74-X75] --a------ 2002-07-31 11:54 57344 C:\Programme\Lexmark X74-X75\lxbbbmgr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan] --a------ 2007-08-08 10:25 1828136 C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2007-03-01 16:57 153136 C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2008-09-06 15:09 413696 C:\Programme\QuickTime\QTTask.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "AnyDVD"=C:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe "DAEMON Tools Pro Agent"="C:\Programme\DAEMON Tools Pro\DTProAgent.exe" "EA Core"=C:\Programme\Electronic Arts\EADM\Core.exe -silent [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"= "C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"= "C:\\Programme\\ICQ6\\ICQ.exe"= "C:\\Programme\\Electronic Arts\\Aufstieg des Hexenkönigs\\game.dat"= "C:\\WINDOWS\\system32\\PnkBstrA.exe"= "C:\\WINDOWS\\system32\\PnkBstrB.exe"= "C:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\Electronic Arts\\Command & Conquer 3 Kanes Rache\\RetailExe\\1.0\\cnc3ep1.dat"= "C:\\Programme\\Ubisoft\\Tom Clancy's Rainbow Six Vegas 2\\Binaries\\R6Vegas2_Game.exe"= "C:\\Programme\\Ubisoft\\Tom Clancy's Rainbow Six Vegas 2\\Binaries\\R6Vegas2_Launcher.exe"= "C:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx9.exe"= "C:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx10.exe"= "C:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Launcher.exe"= "C:\\Programme\\Electronic Arts\\Battlefield 2142\\BF2142.exe"= "C:\\Programme\\Bonjour\\mDNSResponder.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= "C:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"= R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2008-04-14 14336] S2 vmserverdWin32;VMware Registration Service;C:\Programme\VMware\VMware Server\vmserverdWin32.exe [2008-05-09 1650781] S3 SKYNET;TechniSat DVB-PC TV Star PCI;C:\WINDOWS\system32\DRIVERS\SkyNET.SYS [2007-10-01 419344] S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-08-23 361216] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{022b424e-7cba-11dd-93ba-001731201913}] \Shell\AutoRun\command - M:\start.exe [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}] "C:\Programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe" . Inhalt des "geplante Tasks" Ordners 2008-10-13 C:\WINDOWS\Tasks\1-Klick-Wartung.job - C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe [2008-08-01 17:22] 2008-08-15 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34] 2008-10-13 C:\WINDOWS\Tasks\User_Feed_Synchronization-{56B4524F-A1DC-4691-B561-86539E3C27E8}.job - C:\WINDOWS\system32\msfeedssync.exe [2007-08-13 19:36] . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKLM-Run-C:\WINDOWS\system32\kdlbb.exe - C:\WINDOWS\system32\kdlbb.exe . ------- Zusätzlicher Suchlauf ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\Jan Arenskötter\Anwendungsdaten\Mozilla\Firefox\Profiles\zaiizmjt.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de/ FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll FF -: plugin - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-13 16:11:41 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Weitere laufende Prozesse ------------------------ . C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\LEXBCES.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\rundll32.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrB.exe C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe C:\WINDOWS\system32\vmnetdhcp.exe C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-10-13 16:23:25 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2008-10-13 14:23:18 Vor Suchlauf: 14 Verzeichnis(se), 193.559.441.408 Bytes frei Nach Suchlauf: 18 Verzeichnis(se), 193,460,703,232 Bytes frei 242 --- E O F --- 2008-10-02 12:00:55 ist er jetzt ganz entfernt oder was könnt ihr sonst noch empfelen zu tun? |
Themen zu Zlob.DNSChange.Rtk |
analysis, antivir, attention, avira, bho, bonjour, browser, combofix, desktop, entfernen, hijack, hijackthis, hkus\s-1-5-18, home, internet, internet explorer, malware, netzwerk, object, registry, rundll, senden, server, software, system, tuneup.defrag, virus, windows, windows xp, windows xp sp3, xp sp3 |