| |
| |||||||
Log-Analyse und Auswertung: AntiVir Warnung im MasterbootsektorWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
06.11.2008, 00:50
| #1 |
 |  AntiVir Warnung im Masterbootsektor Hallo Ich habe alle golden Regeln des Forums beachtet und hoffe jemand kann mir bei meinem Problem weiterhelfen! Meine AntiVir software hat mir eine Meldung gebracht (diese habe ich mir leider nicht notiert), dass ich mir Trojaner eingefangen habe. Daraufhin habe ich einen Systemckeck durchgeführt. Jedoch konnte sich dieser Trojaner nicht entfernen lassen. Hier wurden 6 Warnungen erteilt. Den Report habe ich ganz unten gepostet. Daraufhin habe ich mir Spy- und Maleware Programme herruntergeladen. Diese konnten es schaffen das die Meldung bei AntiVir nicht mehr angezeigt wird. Durch nachlesen musste ich feststellen, dass es schlecht ist mehrere solcher programme gleichzeitig laufen zu lassen und habe se kurzer hand deinstalliert. Bin mir jetzt nicht sicher ob jetzt alles damit entfernt wurde. Ebenso musste ich feststellen das das Defragmentieren nicht mehr ausfürhbar ist. Es kommt diese Meldung "Die Defragmentirung konnte nicht gestartet werden" Zudem habe ich den Eindruck gewonnen das mein Rechner langsamer ist. Sind evtl. auch unnötige Prozesse am laufen. Meine Ausstattung: Celeron 3,2Ghz mit 512MB Arbeitsspeicher. Als Betriebssystem läuft Window xp Home. Jetzt möchte ich hier mein Hijack posten. Ich habe versucht alle persönlichen dinge herauszunehmen. Ebenso habe ich versucht mich schlau zumachen wo der fehler liegen konnt unter h**p://www.hijackthis.de/de konnte mich hier aber nicht zurechtfinden welche massnahmen ich ergreifen muss. Mein Hijack: Logfile of Trend Micro h**p://HiJackThis v2.0.2 Scan saved at 16:06:09, on 29.10.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\ALCWZRD.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9 CE.EXE C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\WINDOWS\vsnp2uvc.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Microsoft ActiveSync\wcescomm.exe C:\Dokumente und Einstellungen\Fritzeflink\Lokale Einstellungen\Anwendungsdaten\Google\Update\Google Update.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\xampp\apache\bin\apache.exe C:\PROGRA~1\MI3AA1~1\rapimgr.exe C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Microsoft SQL Server\MSSQL$AUTODESKVAULT\Binn\sqlservr.exe C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe C:\Programme\UltimateZip 2.7\uzqkst.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\xampp\apache\bin\apache.exe C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\wuauclt.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9 CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe " O4 - HKLM\..\Run: [snp2uvc] C:\WINDOWS\vsnp2uvc.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\Fighters\spywarefighter\Spywarefighte rUser.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe" O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\Fritzeflink\Lokale Einstellungen\Anwendungsdaten\Google\Update\Google Update.exe" /c O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: UltimateZip Quick Start.lnk = C:\Programme\UltimateZip 2.7\uzqkst.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/ge...sh/swflash.cab[/url] O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apache2.2 - Apache Software Foundation - C:\xampp\apache\bin\apache.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - c:\xampp\FileZillaFTP\FileZillaServer.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O24 - Desktop Component 1: (no name) - h**p://www.google.de/ -- End of file - 8736 bytes AntiVir Report Avira AntiVir Personal Erstellungsdatum der Reportdatei: Montag, 3. November 2008 12:00 Es wird nach 1001710 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 3) [5.1.2600] Boot Modus: Normal gebootet Benutzername: SYSTEM Computername: FLITZEFLINK Versionsinformationen: BUILD.DAT : 8.2.0.334 16933 Bytes 16.10.2008 14:53:00 AVSCAN.EXE : 8.1.4.7 315649 Bytes 21.07.2008 13:35:51 AVSCAN.DLL : 8.1.4.0 48897 Bytes 21.07.2008 13:35:51 LUKE.DLL : 8.1.4.5 164097 Bytes 21.07.2008 13:35:51 LUKERES.DLL : 8.1.4.0 12545 Bytes 21.07.2008 13:35:51 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 00:59:46 ANTIVIR1.VDF : 7.1.0.21 130560 Bytes 31.10.2008 00:59:48 ANTIVIR2.VDF : 7.1.0.22 2048 Bytes 31.10.2008 00:59:48 ANTIVIR3.VDF : 7.1.0.26 14848 Bytes 31.10.2008 00:59:49 Engineversion : 8.2.0.10 AEVDF.DLL : 8.1.0.6 102772 Bytes 17.10.2008 22:05:35 AESCRIPT.DLL : 8.1.1.9 319867 Bytes 17.10.2008 22:05:34 AESCN.DLL : 8.1.1.3 123252 Bytes 17.10.2008 22:05:32 AERDL.DLL : 8.1.1.2 438644 Bytes 19.09.2008 21:32:48 AEPACK.DLL : 8.1.2.4 369014 Bytes 17.10.2008 22:05:31 AEOFFICE.DLL : 8.1.0.29 196988 Bytes 01.11.2008 01:00:02 AEHEUR.DLL : 8.1.0.63 1479032 Bytes 01.11.2008 01:00:01 AEHELP.DLL : 8.1.1.2 115062 Bytes 17.10.2008 22:05:28 AEGEN.DLL : 8.1.0.42 319861 Bytes 01.11.2008 00:59:52 AEEMU.DLL : 8.1.0.9 393588 Bytes 17.10.2008 22:05:25 AECORE.DLL : 8.1.2.9 172407 Bytes 01.11.2008 00:59:50 AEBB.DLL : 8.1.0.3 53618 Bytes 17.10.2008 22:05:22 AVWINLL.DLL : 1.0.0.12 15105 Bytes 21.07.2008 13:35:51 AVPREF.DLL : 8.0.2.0 38657 Bytes 21.07.2008 13:35:51 AVREP.DLL : 8.0.0.2 98344 Bytes 01.08.2008 08:02:48 AVREG.DLL : 8.0.0.1 33537 Bytes 21.07.2008 13:35:51 AVARKT.DLL : 1.0.0.23 307457 Bytes 23.04.2008 17:48:23 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 21.07.2008 13:35:51 SQLITE3.DLL : 3.3.17.1 339968 Bytes 23.04.2008 17:48:24 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 21.07.2008 13:35:51 NETNT.DLL : 8.0.0.1 7937 Bytes 23.04.2008 17:48:24 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 21.07.2008 13:35:46 RCTEXT.DLL : 8.0.52.0 86273 Bytes 21.07.2008 13:35:46 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Lokale Festplatten Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldiscs.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Montag, 3. November 2008 12:00 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EXCEL.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WINWORD.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'OUTLOOK.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'apache.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'uzqkst.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sqlmangr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sqlservr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AdskScSrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NMIndexStoreSvr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rapimgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'apache.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleUpdate.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wcescomm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SpywarefighterUser.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'vsnp2uvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ALCWZRD.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '42' Prozesse mit '42' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit. Masterbootsektor HD2 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit. Masterbootsektor HD3 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit. Masterbootsektor HD4 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit. Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '71' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <HDD> C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Ende des Suchlaufs: Montag, 3. November 2008 13:17 Benötigte Zeit: 1:17:40 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 7475 Verzeichnisse wurden überprüft 391424 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 391422 Dateien ohne Befall 7464 Archive wurden durchsucht 6 Warnungen 0 Hinweise Ich möchte mich somit für Antworten/Hilfestellung vorab bedanken |
|
06.11.2008, 21:51
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   |  AntiVir Warnung im Masterbootsektor Hallo,
__________________Hast Du zufällig einen Kartenleser am PC angeschlossen? Das würde die Nichtbereitschaft erklären... Dein Logfile sieht irgendwie merkwürdig matschig aus, Poste ein (neues) Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!! Außerdem: Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten
__________________ |
|
07.11.2008, 10:22
| #3 |
| | AntiVir Warnung im Masterbootsektor Hallo root24
__________________zu deiner Frage ob ich einen Kartenleser angesteckt habe. Nein. Der Computer besitzt einen bereits integrierten. Jedoch stecke ich meinen Ipod, Kamera und Handy ein. Dies sind ebenso als externe Geräte mit speicher zu zählen. Daher kann die Vermutung durch aus stimmen. Ich habe jetzt alle Geräte abgesteckt. Ein neues Hijack log Logfile of Trend Micro h**p://HijackThis v2.0.2 Scan saved at 23:38:50, on 06.11.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\xampp\apache\bin\apache.exe C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\ALCWZRD.EXE C:\Programme\Microsoft SQL Server\MSSQL$AUTODESKVAULT\Binn\sqlservr.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\WINDOWS\vsnp2uvc.exe C:\Programme\Fighters\spywarefighter\SpywarefighterUser.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Microsoft ActiveSync\wcescomm.exe C:\Dokumente und Einstellungen\Fritzeflink\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe C:\PROGRA~1\MI3AA1~1\rapimgr.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe C:\Programme\UltimateZip 2.7\uzqkst.exe C:\xampp\apache\bin\apache.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\AntiVir PersonalEdition Classic\avnotify.exe C:\Dokumente und Einstellungen\Fritzeflink\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7CJWKP3M\qlketzd[1].com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [snp2uvc] C:\WINDOWS\vsnp2uvc.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\Fighters\spywarefighter\SpywarefighterUser.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe" O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\Fritzeflink\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: UltimateZip Quick Start.lnk = C:\Programme\UltimateZip 2.7\uzqkst.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: karna.dat O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apache2.2 - Apache Software Foundation - C:\xampp\apache\bin\apache.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - c:\xampp\FileZillaFTP\FileZillaServer.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O24 - Desktop Component 1: (no name) - h**p://www.google.de/ -- End of file - 8135 bytes mbam log Malwarebytes' Anti-Malware 1.24 Datenbank Version: 1012 Windows 5.1.2600 Service Pack 3 09:55:44 07.11.2008 mbam-log-11-7-2008 (09-55-44).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 117604 Laufzeit: 49 minute(s), 52 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 1 Infizierte Dateien: 8 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\antiviruspro2009 (Rogue.Antivirus2008) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: C:\Programme\AntivirusPro2009 (Rogue.Antivirus) -> Quarantined and deleted successfully. Infizierte Dateien: C:\Programme\AntivirusPro2009\AntivirusPro2009.exe (Rogue.Antivirus) -> Quarantined and deleted successfully. C:\Programme\AntivirusPro2009\AVEngn.dll (Rogue.Antivirus) -> Quarantined and deleted successfully. C:\Programme\AntivirusPro2009\htmlayout.dll (Rogue.Antivirus) -> Quarantined and deleted successfully. C:\Programme\AntivirusPro2009\pthreadVC2.dll (Rogue.Antivirus) -> Quarantined and deleted successfully. C:\Programme\AntivirusPro2009\Uninstall.exe (Rogue.Antivirus) -> Quarantined and deleted successfully. C:\WINDOWS\msacm32.drv (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\delself.bat (Malware.Trace) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\esysuqur.dll (Trojan.Agent) -> Quarantined and deleted successfully. Blacklight konnte ich keinen Logfile posten. Habs aber über mein system laufen lassen und er hat keinen Rootkid gefunden "Scan complete no hidden items found" Mir kam das ziemlich schnell vor, sonst bei einer Systemdurchsuchung sieht man wie alle Verzeichnisse abgeklappert werden. zusatzliche Anmerkung Zudem geht wie schon erwähnt das Defragmentieren nicht. Danke fürs durchsehen |
|
07.11.2008, 11:29
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | AntiVir Warnung im Masterbootsektor Also ich hatte das auch schonmal , aber statt der Defragmentierung wars bei mir die Datenträgerverwaltung. Ich weiß nicht mehr welche Diesnte das waren, aber einige waren nicht gestartet. Du könntest mal anhand dieser Liste überprüfen, ob Deine Dienste auch so konfiguriert sind. Lt. diesem Strang bei chip benötigt Defrag DCOM. Da war ja doch einiges an Malware, lass daher mal Combofix durchlaufen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code]
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
09.11.2008, 11:29
| #5 |
| | AntiVir Warnung im Masterbootsektor Hallo root24 ich habe Combofix so wie du es gesagt hast über meinen PC laufen lassen. Hier das Log: Code:
ATTFilter ComboFix 08-11-07.01 - Fritzeflink 2008-11-09 10:37:41.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.57 [GMT 1:00]
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\msacm32.drv
c:\windows\sdfinacs.dll
c:\windows\sdfixwcs.dll
c:\windows\system32\_scui.cpl
c:\windows\system32\drivers\TDSSpaxt.sys
c:\windows\system32\TDSScfub.log
c:\windows\system32\TDSSfpmp.dll
c:\windows\system32\TDSSmaxt.log
c:\windows\system32\TDSSnrsr.dll
c:\windows\system32\TDSSoeqh.dll
c:\windows\system32\TDSSofxh.dll
c:\windows\system32\TDSSofxh.log
c:\windows\system32\TDSSosvd.dll
c:\windows\system32\TDSSpaxt.dat
c:\windows\system32\TDSSriqp.dll
c:\windows\system32\wini108014.exe
c:\windows\wuasirvy.dll
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_TDSSSERV.SYS
-------\Legacy_TDSSSERV.SYS
((((((((((((((((((((((( Dateien erstellt von 2008-10-09 bis 2008-11-09 ))))))))))))))))))))))))))))))
.
2008-11-07 00:38 . 2008-11-07 00:39 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-11-07 00:38 . 2008-07-30 20:07 38,472 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-07 00:38 . 2008-07-30 20:07 17,144 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-06 09:31 . 2008-11-06 09:31 19,320 --a------ c:\dokumente und einstellungen\Fritzeflink\Anwendungsdaten\jofulu.sys
2008-11-06 09:31 . 2008-11-06 09:31 17,330 --a------ c:\windows\tedodin.ban
2008-11-06 09:31 . 2008-11-06 09:31 17,315 --a------ c:\programme\Gemeinsame Dateien\yseri.reg
2008-11-06 09:31 . 2008-11-06 09:31 15,923 --a------ c:\programme\Gemeinsame Dateien\oraxivo.dat
2008-11-06 09:31 . 2008-11-06 09:31 15,553 --a------ c:\windows\lapywel.pif
2008-11-06 09:31 . 2008-11-06 09:31 13,985 --a------ c:\windows\gikix.dat
2008-11-06 09:31 . 2008-11-06 09:31 13,867 --a------ c:\windows\cuwumudi.sys
2008-11-06 09:31 . 2008-11-06 09:31 12,935 --a------ c:\windows\rydyxomy.inf
2008-11-06 09:31 . 2008-11-06 09:31 12,269 --a------ c:\windows\solatoj.db
2008-11-06 09:31 . 2008-11-06 09:31 11,187 --a------ c:\windows\etov._sy
2008-11-06 09:31 . 2008-11-06 09:31 10,931 --a------ c:\programme\Gemeinsame Dateien\kiru.dll
2008-11-06 09:27 . 2008-11-06 09:27 19,002 --a------ c:\windows\ogijyzohu.dl
2008-11-06 09:27 . 2008-11-06 09:27 18,905 --a------ c:\windows\system32\xepu.reg
2008-11-06 09:27 . 2008-11-06 09:27 17,284 --a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\figasocu.reg
2008-11-06 09:27 . 2008-11-06 09:27 15,747 --a------ c:\windows\eviwilax.inf
2008-11-06 09:27 . 2008-11-06 09:27 15,053 --a------ c:\windows\dumozefuvi.inf
2008-11-06 09:27 . 2008-11-06 09:27 13,613 --a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\xuhy.sys
2008-11-06 09:27 . 2008-11-06 09:27 13,343 --a------ c:\programme\Gemeinsame Dateien\fyxokixoqi.sys
2008-11-06 09:27 . 2008-11-06 09:27 12,858 --a------ c:\programme\Gemeinsame Dateien\hucyhyg.dat
2008-11-06 09:27 . 2008-11-06 09:27 12,830 --a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\yrenasyv.dat
2008-11-06 09:27 . 2008-11-06 09:27 12,442 --a------ c:\windows\system32\iwemoqux.bin
2008-11-06 09:27 . 2008-11-06 09:27 11,560 --a------ c:\windows\system32\xazudogaci.bat
2008-11-06 09:27 . 2008-11-06 09:27 10,348 --a------ c:\windows\system32\besuzery.pif
2008-11-06 09:27 . 2008-11-06 09:27 10,008 --a------ c:\windows\owyrahu.pif
2008-10-27 10:29 . 2008-10-15 17:35 337,408 --------- c:\windows\system32\dllcache\netapi32.dll
2008-10-15 23:06 . 2008-09-08 11:41 333,824 --------- c:\windows\system32\dllcache\srv.sys
2008-10-15 23:05 . 2008-08-14 14:19 2,191,488 --------- c:\windows\system32\dllcache\ntoskrnl.exe
2008-10-15 23:05 . 2008-08-14 14:19 2,147,840 --------- c:\windows\system32\dllcache\ntkrnlmp.exe
2008-10-15 23:05 . 2008-08-14 14:19 2,068,352 --------- c:\windows\system32\dllcache\ntkrnlpa.exe
2008-10-15 23:05 . 2008-08-14 14:19 2,026,496 --------- c:\windows\system32\dllcache\ntkrpamp.exe
2008-10-15 23:05 . 2008-09-15 16:24 1,846,528 --------- c:\windows\system32\dllcache\win32k.sys
2008-10-13 10:25 . 2008-10-13 10:25 117,248 --a------ c:\windows\system32\11.CPX
2008-10-10 08:15 . 2008-10-10 08:15 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Fighters
2008-10-09 11:33 . 2008-10-09 11:33 <DIR> d-------- c:\windows\system32\de
2008-10-09 11:33 . 2008-10-09 11:33 <DIR> d-------- c:\windows\system32\bits
2008-10-09 11:33 . 2008-10-09 11:33 <DIR> d-------- c:\windows\l2schemas
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-07 22:51 --------- d-----w c:\programme\Mozilla Firefox 3 Beta 5
2008-11-06 23:58 --------- d-----w c:\dokumente und einstellungen\Fritzeflink\Anwendungsdaten\Skype
2008-11-06 23:00 --------- d-----w c:\dokumente und einstellungen\Fritzeflink\Anwendungsdaten\skypePM
2008-11-06 22:30 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-10-29 14:34 --------- d-----w c:\programme\NOS
2008-10-29 14:34 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2008-10-27 13:02 --------- d-----w c:\dokumente und einstellungen\Fritzeflink\Anwendungsdaten\PC Suite
2008-10-03 16:58 6,066,176 ------w c:\windows\system32\dllcache\ieframe.dll
2008-10-02 17:50 --------- d-----w c:\programme\Microsoft ActiveSync
2008-10-02 17:49 --------- d-----w c:\programme\Windows Mobile-MDA Compact IV Handbuch
2008-10-02 17:07 0 ---ha-w c:\windows\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2008-10-02 17:07 0 ---ha-w c:\windows\system32\drivers\Msft_Kernel_ccdcmb_01005.Wdf
2008-10-02 16:54 --------- d-----w c:\dokumente und einstellungen\Fritzeflink\Anwendungsdaten\Nokia
2008-10-02 16:27 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations
2008-10-02 16:26 --------- d-----w c:\programme\Gemeinsame Dateien\PCSuite
2008-10-02 16:26 --------- d-----w c:\programme\Gemeinsame Dateien\Nokia
2008-10-02 16:25 --------- d-----w c:\programme\Nokia
2008-10-02 16:23 --------- d-----w c:\programme\PC Connectivity Solution
2008-09-23 22:01 --------- d-----w c:\programme\Gemeinsame Dateien\DVDVideoSoft
2008-09-23 22:01 --------- d-----w c:\programme\DVDVideoSoft
2008-09-17 08:27 --------- d-----w c:\programme\Winamp
2008-09-17 08:00 --------- d-----w c:\programme\CCleaner
2008-09-15 15:24 1,846,528 ----a-w c:\windows\system32\win32k.sys
2008-08-27 08:57 3,593,216 ----a-w c:\windows\system32\dllcache\mshtml.dll
2008-08-25 08:38 13,824 ------w c:\windows\system32\dllcache\ieudinit.exe
2008-08-25 08:37 70,656 ------w c:\windows\system32\dllcache\ie4uinit.exe
2008-08-23 05:56 635,848 ----a-w c:\windows\system32\dllcache\iexplore.exe
2008-08-23 05:54 161,792 ------w c:\windows\system32\dllcache\ieakui.dll
2008-08-14 13:19 2,191,488 ----a-w c:\windows\system32\ntoskrnl.exe
2008-08-14 13:19 2,068,352 ----a-w c:\windows\system32\ntkrnlpa.exe
2008-08-14 10:04 138,496 ------w c:\windows\system32\dllcache\afd.sys
2007-12-16 12:09 32 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsid.dat
2007-08-14 15:07 81,920 ----a-w c:\dokumente und einstellungen\Fritzeflink\Anwendungsdaten\ezpinst.exe
2007-08-14 15:07 47,360 ----a-w c:\dokumente und einstellungen\Fritzeflink\Anwendungsdaten\pcouffin.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-08-30 139264]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]
"Google Update"="c:\dokumente und einstellungen\Fritzeflink\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" [2008-09-07 133104]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-11 7630848]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-21 266497]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-08-11 86016]
"EPSON Stylus Photo RX420 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE" [2004-04-09 98304]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"snp2uvc"="c:\windows\vsnp2uvc.exe" [2007-06-22 569344]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-01-31 385024]
"nwiz"="nwiz.exe" [2006-08-11 c:\windows\system32\nwiz.exe]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 c:\windows\system32\Hdaudpropshortcut.exe]
"SoundMan"="SOUNDMAN.EXE" [2004-09-10 c:\windows\SOUNDMAN.EXE]
"AlcWzrd"="ALCWZRD.EXE" [2004-09-15 c:\windows\ALCWZRD.EXE]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\dokumente und einstellungen\Fritzeflink\Startmen\Programme\Autostart\
UltimateZip Quick Start.lnk - c:\programme\UltimateZip 2.7\uzqkst.exe [2002-03-17 266240]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]
Dienst-Manager.lnk - c:\programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe [2005-05-03 81920]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"=hex(2):76,69,73,74,61,75,69,2e,65,78,65,00
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"wave1"= c_855357.nls
"midi1"= c_855357.nls
"mixer1"= c_855357.nls
"aux1"= c_855357.nls
"wave2"= c_855357.nls
"mixer2"= c_855357.nls
"midi2"= c_855357.nls
"aux2"= c_855357.nls
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
--a----t- 2008-09-07 10:42 133104 c:\dokumente und einstellungen\Fritzeflink\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-02-19 13:10 267048 c:\programme\iTunes\iTunesHelper.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LClock]
--a------ 2004-09-20 00:27 65536 c:\programme\LClock\LClock.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 16:40 155648 c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-01-31 23:13 385024 c:\programme\QuickTime\QTTask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\javaw.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\xampp\\apache\\bin\\apache.exe"=
"c:\\xampp\\mysql\\bin\\mysqld.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\QuickTime\\QuickTimePlayer.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
R2 Apache2.2;Apache2.2;c:\xampp\apache\bin\apache.exe [2007-12-21 17920]
R2 MSSQL$AUTODESKVAULT;MSSQL$AUTODESKVAULT;c:\programme\Microsoft SQL Server\MSSQL$AUTODESKVAULT\Binn\sqlservr.exe [2005-05-04 9150464]
S3 NetFxUpdate_v1.1.4322;Microsoft .NET Framework v1.1.4322 Update;c:\windows\Microsoft.NET\Framework\v1.1.4322\netfxupdate.exe [2007-01-15 73728]
S3 SQLAgent$AUTODESKVAULT;SQLAgent$AUTODESKVAULT;c:\programme\Microsoft SQL Server\MSSQL$AUTODESKVAULT\Binn\sqlagent.EXE [2005-05-03 323584]
.
Inhalt des "geplante Tasks" Ordners
2008-11-07 c:\windows\Tasks\GoogleUpdateTaskUser.job
- c:\dokumente und einstellungen\Fritzeflink\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2008-09-07 10:42]
2006-08-30 c:\windows\Tasks\Registrierungserinnerung 2.job
- c:\windows\system32\OOBE\oobebaln.exe [2008-04-14 03:22]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
HKLM-Run-spywarefighterguard - c:\programme\Fighters\spywarefighter\SpywarefighterUser.exe
HKLM-Run-NWEReboot - (no file)
HKU-Default-Run-Nokia.PCSync - c:\programme\Nokia\Nokia PC Suite 6\PcSync2.exe
HKU-Default-Run-brastk - c:\windows\system32\brastk.exe
MSConfigStartUp-PCSuiteTrayApplication - c:\programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\Fritzeflink\Anwendungsdaten\Mozilla\Firefox\Profiles\e3uh7crv.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.de
FF -: plugin - c:\dokumente und einstellungen\Fritzeflink\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.131.25\npGoogleOneClick6.dll
FF -: plugin - c:\programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - c:\programme\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - c:\programme\Mozilla Firefox 3 Beta 5\plugins\npdivx32.dll
FF -: plugin - c:\programme\Mozilla Firefox 3 Beta 5\plugins\npnul32.dll
FF -: plugin - c:\programme\Mozilla Firefox 3 Beta 5\plugins\nppdf32.dll
FF -: plugin - c:\programme\Mozilla Firefox 3 Beta 5\plugins\npqtplugin.dll
FF -: plugin - c:\programme\Mozilla Firefox 3 Beta 5\plugins\npqtplugin2.dll
FF -: plugin - c:\programme\Mozilla Firefox 3 Beta 5\plugins\npqtplugin3.dll
FF -: plugin - c:\programme\Mozilla Firefox 3 Beta 5\plugins\npqtplugin4.dll
FF -: plugin - c:\programme\Mozilla Firefox 3 Beta 5\plugins\npqtplugin5.dll
FF -: plugin - c:\programme\Mozilla Firefox 3 Beta 5\plugins\npqtplugin6.dll
FF -: plugin - c:\programme\Mozilla Firefox 3 Beta 5\plugins\npqtplugin7.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-09 10:49:39
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
c:\windows\system32\c_855357.nls 176128 bytes executable
c:\windows\system32\c_855377.nls 422 bytes
c:\windows\system32\c_855407.nls 11590 bytes
Scan erfolgreich abgeschlossen
versteckte Dateien: 3
**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\AntiVir PersonalEdition Classic\sched.exe
c:\programme\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\rundll32.exe
c:\programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
c:\progra~1\MI3AA1~1\rapimgr.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-11-09 10:55:48 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-11-09 09:55:36
Vor Suchlauf: 21 Verzeichnis(se), 134,085,386,240 Bytes frei
Nach Suchlauf: 21 Verzeichnis(se), 133,970,620,416 Bytes frei
246 --- E O F --- 2008-11-09 09:26:33
Anmerkungen Hab anschließen das Defragmentiren ausprobiert und es geht auch wieder. Ich hoffe das jetzt wieder alles gut ist und poste gleich noch ein neues Hijack Hijack log: Code:
ATTFilter Logfile of Trend Micro Ph**p://HijackThis v2.0.2 Scan saved at 11:05:00, on 09.11.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\xampp\apache\bin\apache.exe C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Microsoft SQL Server\MSSQL$AUTODESKVAULT\Binn\sqlservr.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\ALCWZRD.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Microsoft ActiveSync\wcescomm.exe C:\Dokumente und Einstellungen\Fritzeflink\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\xampp\apache\bin\apache.exe C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe C:\Programme\UltimateZip 2.7\uzqkst.exe C:\PROGRA~1\MI3AA1~1\rapimgr.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\notepad.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\mmc.exe C:\WINDOWS\system32\DfrgNtfs.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [snp2uvc] C:\WINDOWS\vsnp2uvc.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe" O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\Fritzeflink\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: UltimateZip Quick Start.lnk = C:\Programme\UltimateZip 2.7\uzqkst.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apache2.2 - Apache Software Foundation - C:\xampp\apache\bin\apache.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - c:\xampp\FileZillaFTP\FileZillaServer.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O24 - Desktop Component 1: (no name) - h**p://www.google.de/ -- End of file - 7747 bytes -Weist du wie man evtl. unnötige Prozesse eindämmt die im Hintergrund laufen? -ich habe jetzt auch ein Viren-schutz-seminar in meiner Firma besucht. Werde jetzt bewusster surfen. Was ganz lustig zur Veranschaulichung war ist das Anti-Phishing Spiel. Bis jetzt schon mal großes DANKE. Informiere mich bitte über weitere Schritte mfg jpenze |
|
09.11.2008, 18:05
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™ |  AntiVir Warnung im Masterbootsektor Also ich hab da noch etliche verdächtige Dateien gesehen. Die mal bitte bei Virustotal.com auswerten lassen und sämtliche Ergebnisse posten. Zudem hat GMER (was in Combofix mit drin ist) da einige durch ein Rootkit versteckte Dateien enthüllt, von daher würde ich Dir eher raten das System neu aufzusetzen. Hier die Dateien zum Auswerten: Code:
ATTFilter c:\dokumente und einstellungen\Fritzeflink\Anwendungsdaten\jofulu.sys
c:\windows\tedodin.ban
c:\programme\Gemeinsame Dateien\yseri.reg
c:\programme\Gemeinsame Dateien\oraxivo.dat
c:\windows\lapywel.pif
c:\windows\gikix.dat
c:\windows\cuwumudi.sys
c:\windows\rydyxomy.inf
c:\windows\solatoj.db
c:\windows\etov._sy
c:\programme\Gemeinsame Dateien\kiru.dll
c:\windows\ogijyzohu.dl
c:\windows\system32\xepu.reg
c:\dokumente und einstellungen\All Users\Anwendungsdaten\figasocu.reg
c:\windows\eviwilax.inf
c:\windows\dumozefuvi.inf
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xuhy.sys
c:\programme\Gemeinsame Dateien\fyxokixoqi.sys
c:\programme\Gemeinsame Dateien\hucyhyg.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\yrenasyv.dat
c:\windows\system32\iwemoqux.bin
c:\windows\system32\xazudogaci.bat
c:\windows\system32\besuzery.pif
c:\windows\owyrahu.pif
Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop:
Code:
ATTFilter files to delete:
c:\dokumente und einstellungen\Fritzeflink\Anwendungsdaten\jofulu.sys
c:\windows\tedodin.ban
c:\programme\Gemeinsame Dateien\yseri.reg
c:\programme\Gemeinsame Dateien\oraxivo.dat
c:\windows\lapywel.pif
c:\windows\gikix.dat
c:\windows\cuwumudi.sys
c:\windows\rydyxomy.inf
c:\windows\solatoj.db
c:\windows\etov._sy
c:\programme\Gemeinsame Dateien\kiru.dll
c:\windows\ogijyzohu.dl
c:\windows\system32\xepu.reg
c:\dokumente und einstellungen\All Users\Anwendungsdaten\figasocu.reg
c:\windows\eviwilax.inf
c:\windows\dumozefuvi.inf
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xuhy.sys
c:\programme\Gemeinsame Dateien\fyxokixoqi.sys
c:\programme\Gemeinsame Dateien\hucyhyg.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\yrenasyv.dat
c:\windows\system32\iwemoqux.bin
c:\windows\system32\xazudogaci.bat
c:\windows\system32\besuzery.pif
c:\windows\owyrahu.pif
__________________ --> AntiVir Warnung im Masterbootsektor |
|
10.11.2008, 17:29
| #7 |
| | AntiVir Warnung im Masterbootsektor Hallo root24 Ich habe das befolgt wie du es geschrieben hast. Ist ein Neuaufsetzen des Computer nötig? Dafür werde ich mir Zeit nehmen, da ich merkte wie wichtig es ist einen sicheren PC zu haben. Das avenger log: Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
File "c:\dokumente und einstellungen\Fritzeflink\Anwendungsdaten\jofulu.sys" deleted successfully.
File "c:\windows\tedodin.ban" deleted successfully.
File "c:\programme\Gemeinsame Dateien\yseri.reg" deleted successfully.
File "c:\programme\Gemeinsame Dateien\oraxivo.dat" deleted successfully.
File "c:\windows\lapywel.pif" deleted successfully.
File "c:\windows\gikix.dat" deleted successfully.
File "c:\windows\cuwumudi.sys" deleted successfully.
File "c:\windows\rydyxomy.inf" deleted successfully.
File "c:\windows\solatoj.db" deleted successfully.
File "c:\windows\etov._sy" deleted successfully.
File "c:\programme\Gemeinsame Dateien\kiru.dll" deleted successfully.
File "c:\windows\ogijyzohu.dl" deleted successfully.
File "c:\windows\system32\xepu.reg" deleted successfully.
File "c:\dokumente und einstellungen\All Users\Anwendungsdaten\figasocu.reg" deleted successfully.
File "c:\windows\eviwilax.inf" deleted successfully.
File "c:\windows\dumozefuvi.inf" deleted successfully.
File "c:\dokumente und einstellungen\All Users\Anwendungsdaten\xuhy.sys" deleted successfully.
File "c:\programme\Gemeinsame Dateien\fyxokixoqi.sys" deleted successfully.
File "c:\programme\Gemeinsame Dateien\hucyhyg.dat" deleted successfully.
File "c:\dokumente und einstellungen\All Users\Anwendungsdaten\yrenasyv.dat" deleted successfully.
File "c:\windows\system32\iwemoqux.bin" deleted successfully.
File "c:\windows\system32\xazudogaci.bat" deleted successfully.
File "c:\windows\system32\besuzery.pif" deleted successfully.
File "c:\windows\owyrahu.pif" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
Code:
ATTFilter Logfile of Trend Micro h**p://HijackThis v2.0.2 Scan saved at 17:17:10, on 10.11.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\ALCWZRD.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\WINDOWS\vsnp2uvc.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Microsoft ActiveSync\wcescomm.exe C:\Dokumente und Einstellungen\Fritzeflink\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe C:\Programme\UltimateZip 2.7\uzqkst.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\xampp\apache\bin\apache.exe C:\PROGRA~1\MI3AA1~1\rapimgr.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Microsoft SQL Server\MSSQL$AUTODESKVAULT\Binn\sqlservr.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\xampp\apache\bin\apache.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Fritzeflink\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FBMU6BX8\qlketzd[1].com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [snp2uvc] C:\WINDOWS\vsnp2uvc.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe" O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\Fritzeflink\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: UltimateZip Quick Start.lnk = C:\Programme\UltimateZip 2.7\uzqkst.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apache2.2 - Apache Software Foundation - C:\xampp\apache\bin\apache.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - c:\xampp\FileZillaFTP\FileZillaServer.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O24 - Desktop Component 1: (no name) - h**p://www.google.de/ -- End of file - 7795 bytes zwar bei folgenden einträgen: Code:
ATTFilter -C:\WINDOWS\vsnp2uvc.exe
-C:\Dokumente und Einstellungen\Fritzeflink\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
-C:\Dokumente und Einstellungen\Fritzeflink\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FBMU6BX8\qlketzd[1].com
-O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\Fritzeflink\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
-O24 - Desktop Component 1: (no name) - http://www.google.de/
Danke mfg jpenze |
|
10.11.2008, 17:30
| #8 |
| | AntiVir Warnung im Masterbootsektor Hallo root24 Ich habe das befolgt wie du es geschrieben hast. Ist ein Neuaufsetzen des Computer nötig? Dafür werde ich mir Zeit nehmen, da ich merkte wie wichtig es ist einen sicheren PC zu haben. Das avenger log: Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
File "c:\dokumente und einstellungen\Fritzeflink\Anwendungsdaten\jofulu.sys" deleted successfully.
File "c:\windows\tedodin.ban" deleted successfully.
File "c:\programme\Gemeinsame Dateien\yseri.reg" deleted successfully.
File "c:\programme\Gemeinsame Dateien\oraxivo.dat" deleted successfully.
File "c:\windows\lapywel.pif" deleted successfully.
File "c:\windows\gikix.dat" deleted successfully.
File "c:\windows\cuwumudi.sys" deleted successfully.
File "c:\windows\rydyxomy.inf" deleted successfully.
File "c:\windows\solatoj.db" deleted successfully.
File "c:\windows\etov._sy" deleted successfully.
File "c:\programme\Gemeinsame Dateien\kiru.dll" deleted successfully.
File "c:\windows\ogijyzohu.dl" deleted successfully.
File "c:\windows\system32\xepu.reg" deleted successfully.
File "c:\dokumente und einstellungen\All Users\Anwendungsdaten\figasocu.reg" deleted successfully.
File "c:\windows\eviwilax.inf" deleted successfully.
File "c:\windows\dumozefuvi.inf" deleted successfully.
File "c:\dokumente und einstellungen\All Users\Anwendungsdaten\xuhy.sys" deleted successfully.
File "c:\programme\Gemeinsame Dateien\fyxokixoqi.sys" deleted successfully.
File "c:\programme\Gemeinsame Dateien\hucyhyg.dat" deleted successfully.
File "c:\dokumente und einstellungen\All Users\Anwendungsdaten\yrenasyv.dat" deleted successfully.
File "c:\windows\system32\iwemoqux.bin" deleted successfully.
File "c:\windows\system32\xazudogaci.bat" deleted successfully.
File "c:\windows\system32\besuzery.pif" deleted successfully.
File "c:\windows\owyrahu.pif" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
Code:
ATTFilter Logfile of Trend Micro h**p://HijackThis v2.0.2 Scan saved at 17:17:10, on 10.11.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\ALCWZRD.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\WINDOWS\vsnp2uvc.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Microsoft ActiveSync\wcescomm.exe C:\Dokumente und Einstellungen\Fritzeflink\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe C:\Programme\UltimateZip 2.7\uzqkst.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\xampp\apache\bin\apache.exe C:\PROGRA~1\MI3AA1~1\rapimgr.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Microsoft SQL Server\MSSQL$AUTODESKVAULT\Binn\sqlservr.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\xampp\apache\bin\apache.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Fritzeflink\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FBMU6BX8\qlketzd[1].com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [snp2uvc] C:\WINDOWS\vsnp2uvc.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe" O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\Fritzeflink\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: UltimateZip Quick Start.lnk = C:\Programme\UltimateZip 2.7\uzqkst.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apache2.2 - Apache Software Foundation - C:\xampp\apache\bin\apache.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - c:\xampp\FileZillaFTP\FileZillaServer.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O24 - Desktop Component 1: (no name) - h**p://www.google.de/ -- End of file - 7795 bytes zwar bei folgenden einträgen: Code:
ATTFilter -C:\WINDOWS\vsnp2uvc.exe
-C:\Dokumente und Einstellungen\Fritzeflink\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
-C:\Dokumente und Einstellungen\Fritzeflink\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FBMU6BX8\qlketzd[1].com
-O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\Fritzeflink\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
-O24 - Desktop Component 1: (no name) - h**p://www.google.de/
Danke mfg jpenze |
|
10.11.2008, 18:22
| #9 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | AntiVir Warnung im Masterbootsektor Hast Du die Dateien vorher nicht bei Virustotal.com auswerten lassen?  Wenn nicht, dann halt mal bitte Ausschau nach der Backup.zip vom Avenger, die sollte unter C:\Avenger zu finden sein. Mail mir die bitte an root240@arcor.de 
__________________ Logfiles bitte immer in CODE-Tags posten |
|
12.11.2008, 14:31
| #10 |
| | AntiVir Warnung im Masterbootsektor Hallo root24 ich danke dir für deine guten Tipps. Mein Computer ist wieder OK. Habe viel dazugelernt. Neuaufsetzen werde ich Ihn im Weihnachtsurlaub. Habe von einem Freund Mcafee bekommen und der Hat die restlichen rootkids mit runter. Mein AntiVir zeigt keine Meldungen mehr *puh* Also ganz grosses :aplaus: Bravo!! mfg jpenze |
|
| Themen zu AntiVir Warnung im Masterbootsektor |
| 0 bytes, add-on, antivir, avgnt.exe, avira, bho, bonjour, desktop, druck, entfernen, excel, fehler, festplatte, google, helper, hijack, hkus\s-1-5-18, iexplore.exe, maleware, masterbootsektor, mehrere, mssql, nicht sicher, nt.dll, object, problem, registry, scan, server, software, solution, suchlauf, toolbars, trojaner, trojaner eingefangen, verweise, virus, virus gefunden, window xp, windows, windows xp, windows xp sp3, wuauclt.exe, xp sp3 |
Linear-Darstellung
