|
Plagegeister aller Art und deren Bekämpfung: hijack ist an bei... kaspersky erkännt die viren nichtWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
22.04.2009, 07:20 | #1 |
| hijack ist an bei... kaspersky erkännt die viren nicht Running processes: C:\WINXP\System32\smss.exe C:\WINXP\system32\winlogon.exe C:\WINXP\system32\services.exe C:\WINXP\system32\lsass.exe C:\WINXP\system32\svchost.exe C:\WINXP\System32\svchost.exe C:\WINXP\system32\spoolsv.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe C:\WINXP\system32\nvsvc32.exe C:\WINXP\Explorer.EXE C:\WINXP\SOUNDMAN.EXE C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe C:\WINXP\system32\RUNDLL32.EXE C:\WINXP\system32\ctfmon.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UYX8MEYN\HiJackThis[1].exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005 O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{A013DC48-D54A-4443-982C-D63B796C6AC5}: NameServer = 85.255.112.216,85.255.112.135 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.216,85.255.112.135 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.216,85.255.112.135 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.216,85.255.112.135 O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe kaspersky lässt sich eider nicht mehr updaten... das hoch fahren von meinem PC dauert... zwischen durch kommt trotz popupblocker eine meldung von adserving. i-net ist leider auch sehr langsam trotz quadcor und 20000 leitung ic verstehe die welt nicht mehr.. |
22.04.2009, 12:34 | #2 |
| hijack ist an bei... kaspersky erkännt die viren nicht Hi,
__________________das ist ganz einfach.... Deine komplette Internetverbindung wird über die Ukraine geroutet... Daher absolut nichts mehr mit Passwörtern/eBanking/eBay etc. Von einem sauberen Rechner sofort alle Passwörter ändern bzw. Konten etc. sperren lassen. Ausserdem wäre es schön, wenn Du: - ein komplettes HJ-Log postest, - die Links wie angegebenen behandelts (http://www.trojaner-board.de/22771-a...tml#post171958) - und Du alles für einen Erstbeitrag lieferst (http://www.trojaner-board.de/69886-a...-beachten.html).. Also arbeite alles für den Erstbeitrag ab, plus: Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code:
ATTFilter O17 - HKLM\System\CCS\Services\Tcpip\..\{A013DC48-D54A-4443-982C-D63B796C6AC5}: NameServer = 85.255.112.216,85.255.112.135 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.216,85.255.112.135 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.216,85.255.112.135 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.216,85.255.112.135 Achtung: Solltest du Probleme mit deiner Internet Verbindung bekommen: Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste auf Default Connection (Normale Verindung), das ist normalerweise die örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) > wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder vorhanden) Combofix Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/comb...x-benutzt-wird Hinweis: unter : C:\WINDOWS\erdnt wird ein Backup angelegt. Alternative downloads: http://subs.geekstogo.com/ComboFix.exe
__________________ |
22.04.2009, 20:37 | #3 |
| hijack ist an bei... kaspersky erkännt die viren nicht Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3326.2976 [GMT 2:00]
__________________ausgeführt von:: c:\dokumente und einstellungen\Daniel\Desktop\ComboFix.exe AV: Kaspersky Anti-Virus *On-access scanning disabled* (Outdated) * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Autorun.inf c:\dokume~1\Daniel\LOKALE~1\Temp\tmp2.tmp c:\dokume~1\Daniel\LOKALE~1\Temp\tmp3.tmp c:\dokumente und einstellungen\Daniel\Lokale Einstellungen\Temp\tmp3.tmp c:\recycler\S-6-7-75-100010101-100006175-100032205-1416.com c:\winxp\system32\404Fix.exe c:\winxp\system32\Agent.OMZ.Fix.exe c:\winxp\system32\drivers\gxvxcserv.sys c:\winxp\system32\dumphive.exe c:\winxp\system32\IEDFix.C.exe c:\winxp\system32\IEDFix.exe c:\winxp\system32\o4Patch.exe c:\winxp\system32\Process.exe c:\winxp\system32\SrchSTS.exe c:\winxp\system32\tmp.reg c:\winxp\system32\VACFix.exe c:\winxp\system32\VCCLSID.exe c:\winxp\system32\WS2Fix.exe . ((((((((((((((((((((((( Dateien erstellt von 2009-03-22 bis 2009-04-22 )))))))))))))))))))))))))))))) . 2009-04-19 22:35 . 2009-04-19 22:35 -------- d-----r c:\dokumente und einstellungen\LocalService\Favoriten 2009-04-19 22:35 . 2009-04-19 22:35 24576 ----a-w c:\dokumente und einstellungen\Daniel\Lokale Einstellungen\Anwendungsdaten\cp_setup_assist.exe 2009-04-19 04:14 . 2008-10-16 12:06 268648 ----a-w c:\winxp\system32\mucltui.dll 2009-04-19 04:14 . 2008-10-16 12:06 208744 ----a-w c:\winxp\system32\muweb.dll 2009-04-19 04:14 . 2008-10-16 12:06 27496 ----a-w c:\winxp\system32\mucltui.dll.mui 2009-04-18 07:28 . 2009-04-18 07:28 -------- d-----w c:\dokumente und einstellungen\Daniel\Anwendungsdaten\Template 2009-04-18 07:28 . 2009-04-18 09:13 284 ----a-w c:\dokumente und einstellungen\Daniel\Anwendungsdaten\wklnhst.dat 2009-04-17 21:11 . 2009-04-17 21:16 -------- d-----w c:\dokumente und einstellungen\Daniel\Lokale Einstellungen\Anwendungsdaten\Rockstar Games 2009-04-17 21:07 . 2009-04-17 21:07 107888 ----a-w c:\winxp\system32\CmdLineExt.dll 2009-04-17 21:06 . 2009-04-17 21:06 -------- d-----w c:\winxp\system32\xlive 2009-04-17 20:50 . 2009-04-17 22:20 466848 ----a-w c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat 2009-04-17 20:48 . 2009-04-17 20:51 -------- d-----w c:\winxp\system32\XPSViewer 2009-04-17 20:47 . 2006-06-29 11:07 14048 ------w c:\winxp\system32\spmsg2.dll 2009-04-16 07:30 . 2009-02-09 11:14 2026496 -c----w c:\winxp\system32\dllcache\ntkrpamp.exe 2009-04-16 07:30 . 2009-02-09 11:14 2068480 -c----w c:\winxp\system32\dllcache\ntkrnlpa.exe 2009-04-16 07:30 . 2009-02-09 11:14 2147840 -c----w c:\winxp\system32\dllcache\ntkrnlmp.exe 2009-04-14 20:07 . 2009-04-14 20:07 -------- d--h--w c:\winxp\system32\GroupPolicy 2009-04-14 14:56 . 2009-04-14 14:56 -------- d-----w c:\winxp\system32\NtmsData 2009-04-14 14:24 . 2009-04-14 14:24 -------- d-----w c:\dokumente und einstellungen\Daniel\Anwendungsdaten\Ashampoo 2009-04-14 14:16 . 2009-04-14 14:16 -------- d-----w c:\dokumente und einstellungen\Daniel\Lokale Einstellungen\Anwendungsdaten\ashampoo 2009-04-14 14:16 . 2009-04-14 14:16 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ashampoo 2009-04-14 14:05 . 2009-04-14 14:05 -------- d-----w c:\dokumente und einstellungen\Daniel\Anwendungsdaten\vlc 2009-04-14 12:54 . 2009-04-14 18:54 44786 ----a-w c:\winxp\Logic 5.prf 2009-04-14 12:45 . 2009-04-14 12:46 471 ----a-w c:\winxp\system32\Datei4 2009-04-14 12:45 . 2009-04-14 12:46 471 ----a-w c:\winxp\system32\Datei2 2009-04-14 12:45 . 2009-04-14 12:46 470 ----a-w c:\winxp\system32\Datei3 2009-04-14 12:45 . 2009-04-14 12:46 470 ----a-w c:\winxp\system32\Datei1 2009-04-14 12:45 . 2009-04-14 12:46 469 ----a-w c:\winxp\system32\Datei7 2009-04-14 12:45 . 2009-04-14 12:46 469 ----a-w c:\winxp\system32\Datei5 2009-04-14 12:45 . 2009-04-14 12:46 468 ----a-w c:\winxp\system32\Datei0 2009-04-14 12:45 . 2009-04-14 12:46 467 ----a-w c:\winxp\system32\Datei9 2009-04-14 12:45 . 2009-04-14 12:46 467 ----a-w c:\winxp\system32\Datei8 2009-04-14 12:45 . 2009-04-14 12:46 467 ----a-w c:\winxp\system32\Datei10 2009-04-14 12:45 . 2009-04-14 12:46 465 ----a-w c:\winxp\system32\Datei6 2009-04-14 12:45 . 2009-04-19 22:37 -------- d-----w c:\dokumente und einstellungen\Daniel\Anwendungsdaten\Steinberg 2009-04-14 12:42 . 2005-05-09 15:38 33792 ----a-w c:\winxp\system32\drivers\cledx.sys 2009-04-14 12:40 . 1997-08-26 07:36 315904 ----a-w c:\winxp\IsUninst.exe 2009-04-14 12:40 . 2009-04-14 12:40 -------- d-----w c:\dokumente und einstellungen\Daniel\WINDOWS 2009-04-14 12:33 . 2005-11-03 07:47 16896 ----a-w c:\winxp\system32\drivers\synasUSB.sys 2009-04-14 10:02 . 2002-09-19 13:03 114688 ----a-w c:\winxp\system32\EASIMME.dll 2009-04-14 10:02 . 2002-08-13 07:04 53248 ----a-w c:\winxp\system32\VSM Manager.dll 2009-04-14 10:02 . 2002-08-13 07:04 36864 ----a-w c:\winxp\system32\Log_ds2.ax 2009-04-14 10:02 . 2002-08-13 07:04 258048 ----a-w c:\winxp\system32\REX Shared Library.dll 2009-04-14 10:02 . 2002-08-13 07:04 126976 ----a-w c:\winxp\system32\EASIDS.dll 2009-04-14 09:06 . 2009-04-20 06:31 -------- d-----w c:\dokumente und einstellungen\Daniel\Anwendungsdaten\uTorrent . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-04-22 19:33 . 2009-04-14 08:37 5528352 --sha-w c:\winxp\system32\drivers\fidbox.dat 2009-04-22 19:33 . 2009-04-14 08:37 297760 --sha-w c:\winxp\system32\drivers\fidbox2.dat 2009-04-22 19:31 . 2009-04-14 08:37 77108 --sha-w c:\winxp\system32\drivers\fidbox.idx 2009-04-22 19:31 . 2009-04-14 08:37 31004 --sha-w c:\winxp\system32\drivers\fidbox2.idx 2009-04-22 19:17 . 2009-04-14 08:37 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2009-04-22 04:30 . 2009-04-17 08:29 -------- d-----w c:\programme\Steam 2009-04-21 05:46 . 2009-04-21 05:44 3070 ----a-w C:\rapport.txt 2009-04-19 22:35 . 2009-04-19 22:35 -------- d-----w c:\programme\UNICCodec 2009-04-18 07:27 . 2009-04-18 07:26 -------- d-----w c:\programme\Microsoft Works 2009-04-17 21:14 . 2009-04-17 21:06 -------- d-----w c:\programme\Microsoft Games for Windows - LIVE 2009-04-17 20:52 . 2009-04-17 20:45 -------- d-----w c:\programme\Rockstar Games 2009-04-17 20:52 . 2009-04-14 08:30 -------- d--h--w c:\programme\InstallShield Installation Information 2009-04-17 20:50 . 2008-04-14 10:00 78558 ----a-w c:\winxp\system32\perfc007.dat 2009-04-17 20:50 . 2008-04-14 10:00 443100 ----a-w c:\winxp\system32\perfh007.dat 2009-04-17 20:50 . 2009-04-17 20:50 -------- d-----w c:\programme\MSBuild 2009-04-17 20:47 . 2009-04-17 20:47 -------- d-----w c:\programme\Reference Assemblies 2009-04-17 12:45 . 2009-04-17 12:45 -------- d-----w c:\programme\Elaborate Bytes 2009-04-14 18:48 . 2009-04-14 08:28 12112 ----a-w c:\dokumente und einstellungen\Daniel\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-04-14 15:02 . 2009-04-14 15:02 -------- d-----w c:\programme\PowerQuest 2009-04-14 15:01 . 2009-04-14 08:32 -------- d-----w c:\programme\Gemeinsame Dateien\InstallShield 2009-04-14 14:16 . 2009-04-14 14:16 -------- d-----w c:\programme\Ashampoo 2009-04-14 14:05 . 2009-04-14 14:05 -------- d-----w c:\programme\VideoLAN 2009-04-14 10:03 . 2009-04-14 08:23 86315 ----a-w c:\winxp\pchealth\helpctr\OfflineCache\index.dat 2009-04-14 09:45 . 2009-04-14 09:06 -------- d-----w c:\programme\uTorrent 2009-04-14 09:26 . 2009-04-14 09:25 -------- d-----w c:\programme\eMule 2009-04-14 08:49 . 2009-04-14 08:49 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\nView_Profiles 2009-04-14 08:42 . 2009-04-14 08:37 89601 ----a-w c:\winxp\system32\drivers\klick.dat 2009-04-14 08:42 . 2009-04-14 08:37 101287 ----a-w c:\winxp\system32\drivers\klin.dat 2009-04-14 08:37 . 2009-04-14 08:37 -------- d-----w c:\programme\Kaspersky Lab 2009-04-14 08:32 . 2009-04-14 08:30 -------- d-----w c:\programme\Realtek 2009-04-14 08:32 . 2009-04-14 08:32 315392 ----a-w c:\winxp\HideWin.exe 2009-04-14 08:30 . 2009-04-14 08:30 -------- d-----w c:\dokumente und einstellungen\Daniel\Anwendungsdaten\InstallShield 2009-04-14 08:30 . 2009-04-14 08:30 16608 ----a-w c:\winxp\gdrv.sys 2009-04-14 08:29 . 2009-04-14 08:20 -------- d-----w c:\programme\Windows Media Connect 2 2009-04-14 08:24 . 2009-04-14 08:24 -------- d-----w c:\programme\microsoft frontpage 2009-04-14 08:22 . 2009-04-14 08:22 -------- d-----w c:\programme\Online-Dienste 2009-04-14 08:22 . 2009-04-14 08:22 -------- d-----w c:\programme\Gemeinsame Dateien\Dienste 2009-04-14 08:20 . 2009-04-14 08:20 21740 ----a-w c:\winxp\system32\emptyregdb.dat 2009-03-12 15:30 . 2009-03-12 15:30 142504 ----a-w c:\winxp\system32\ElbyVCD.dll 2009-03-06 13:50 . 2008-04-14 10:00 286720 ----a-w c:\winxp\system32\pdh.dll 2009-03-03 00:03 . 2008-10-16 19:04 826368 ----a-w c:\winxp\system32\wininet.dll 2009-03-02 11:41 . 2009-03-02 11:41 29184 ----a-w c:\winxp\system32\drivers\VClone.sys 2009-02-20 16:49 . 2008-12-10 14:31 78336 ----a-w c:\winxp\system32\ieencode.dll 2009-02-17 13:33 . 2009-02-17 13:33 89256 ----a-w c:\winxp\system32\ElbyCDIO.dll 2009-02-10 17:24 . 2008-04-14 10:00 678400 ----a-w c:\winxp\system32\advapi32.dll 2009-02-09 13:57 . 2008-12-10 15:30 1847680 ----a-w c:\winxp\system32\win32k.sys 2009-02-09 11:14 . 2008-08-14 13:52 2026496 ----a-w c:\winxp\system32\ntkrnlpa.exe 2009-02-09 11:14 . 2008-12-10 15:31 2147840 ----a-w c:\winxp\system32\ntoskrnl.exe 2009-02-09 11:14 . 2008-04-14 10:00 111104 ----a-w c:\winxp\system32\services.exe 2009-02-09 10:54 . 2008-04-14 10:00 736768 ----a-w c:\winxp\system32\lsasrv.dll 2009-02-09 10:54 . 2008-04-14 10:00 401408 ----a-w c:\winxp\system32\rpcss.dll 2009-02-09 10:54 . 2008-04-14 10:00 740864 ----a-w c:\winxp\system32\ntdll.dll 2009-02-06 10:36 . 2008-04-14 10:00 35328 ----a-w c:\winxp\system32\sc.exe 2009-02-03 19:57 . 2008-04-14 10:00 56832 ----a-w c:\winxp\system32\secur32.dll . ------- Sigcheck ------- [-] 2008-12-10 14:31 1571840 451D0981F4CCA5697307AF90D799BDC3 c:\winxp\system32\sfcfiles.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\winxp\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\winxp\system32\NvCpl.dll" [2008-05-16 13529088] "NvMediaCenter"="c:\winxp\system32\NvMcTray.dll" [2008-05-16 86016] "SoundMan"="SOUNDMAN.EXE" - c:\winxp\SoundMan.exe [2008-06-18 77824] "AlcWzrd"="ALCWZRD.EXE" - c:\winxp\alcwzrd.exe [2008-06-19 2808832] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\winxp\system32\CTFMON.EXE" [2008-04-14 15360] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "_nltide_2"="shell32" [X] [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\uTorrent\\uTorrent.exe"= "c:\\Programme\\eMule\\emule.exe"= "c:\\Programme\\Steam\\steamapps\\ellypirelly1986\\counter-strike source\\hl2.exe"= "c:\\Programme\\Rockstar Games\\Rockstar Games Social Club\\RGSCLauncher.exe"= "c:\\Programme\\Rockstar Games\\Grand Theft Auto IV\\LaunchGTAIV.exe"= "c:\\Programme\\Rockstar Games\\Grand Theft Auto IV\\GTAIV.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings] "AllowInboundEchoRequest"= 1 (0x1) . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-04-22 21:33 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... c:\dokume~1\Daniel\LOKALE~1\Temp\RGI1.tmp 7114 bytes Scan erfolgreich abgeschlossen versteckte Dateien: 1 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(948) c:\winxp\system32\klogon.dll - - - - - - - > 'explorer.exe'(2624) c:\programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scrchpg.dll c:\winxp\system32\WPDShServiceObj.dll c:\winxp\system32\PortableDeviceTypes.dll c:\winxp\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe c:\winxp\system32\nvsvc32.exe c:\winxp\system32\rundll32.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-04-22 21:35 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-04-22 19:35 Vor Suchlauf: 8 Verzeichnis(se), 215.984.922.624 Bytes frei Nach Suchlauf: 7 Verzeichnis(se), 215.997.538.304 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINXP [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microsoft Windows XP Professional" /noexecute=optin /fastdetect 212 --- E O F --- 2009-04-19 10:24 |
22.04.2009, 21:22 | #4 |
| hijack ist an bei... kaspersky erkännt die viren nicht Äh, ja es stellt sich mir die Frage, hast Du alle Aktionen die bei dem Link für den ersten Beitrag durchgeführt? (CCleaner, MAM etc.)... Ich denke nicht, es sind noch temporäre Daten da, daher unbedingt nachholen wenn doch dann Log posten... Du hattest/hast einen Rootkit auf dem System: c:\winxp\system32\drivers\gxvxcserv.sys Normalweise zieht der eine Menge an Trojanern etc. nach sich, daher dürfte es das Beste sein, dass System Neuaufzusetzen... Gmer: http://www.trojaner-board.de/74908-a...t-scanner.html Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser beendet, wähle Copy und füge den Bericht ein. Hohle unbedingt die Scann mit MAM nach, vorher die Bereinigung mit CCleaner... ev. brauchen wir zum kompletten entfernen noch ein paar andere Tools, wobei der Rechner eigentlich nicht mehr sicher ist... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
Themen zu hijack ist an bei... kaspersky erkännt die viren nicht |
button, content.ie5, dll, einstellungen, hijack, hijackthis, hkus\s-1-5-18, ide, internet, internet explorer, kaspersky, langsam, messenger, microsoft, nicht mehr, nvidia, object, programme, rundll, sehr langsam, software, start, system, system32, update, viren, windows, winxp |