| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Pc schaltet nach ca 75% virenscannung aus.Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
24.05.2009, 17:40
| #46 |
 |  Pc schaltet nach ca 75% virenscannung aus. hey..sorry das ich mich so lange nicht gemeldet hab hoffe du hilfst mir trozdem weiter.. wäre super danke schön.. hoffe das ist der log: ComboFix 09-05-15.08 - qs 16.05.2009 19:39.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.319.112 [GMT 2:00] ausgeführt von:: i:\downloads\ComboFix.exe AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . d:\recycler\S-1-5-21-1229272821-839522115-1429171011-501\Dd1.lnk d:\recycler\S-1-5-21-1229272821-839522115-1429171011-501\INFO2 d:\windows\system32\muzapp.exe I:\Autorun.inf . ((((((((((((((((((((((( Dateien erstellt von 2009-04-16 bis 2009-05-16 )))))))))))))))))))))))))))))) . 2009-05-16 16:50 . 2009-05-16 16:51 -------- d-----w D:\rsit 2009-05-16 11:31 . 2009-05-16 11:31 -------- d-----w d:\dokumente und einstellungen\qs\Anwendungsdaten\Malwarebytes 2009-05-16 11:31 . 2009-04-06 13:32 15504 ----a-w d:\windows\system32\drivers\mbam.sys 2009-05-16 11:31 . 2009-04-06 13:32 38496 ----a-w d:\windows\system32\drivers\mbamswissarmy.sys 2009-05-16 11:31 . 2009-05-16 11:31 -------- d-----w d:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-05-16 09:39 . 2009-05-16 10:36 -------- d-----w d:\programme\Navilog1 2009-05-03 17:44 . 2009-05-03 17:45 -------- d-----w d:\dokumente und einstellungen\qs\Lokale Einstellungen\Anwendungsdaten\ZattooPlayer 2009-05-03 17:41 . 2009-05-10 13:09 -------- d-----w d:\dokumente und einstellungen\qs\Lokale Einstellungen\Anwendungsdaten\Zattoo 2009-04-18 18:29 . 2009-02-06 10:10 227840 -c----w d:\windows\system32\dllcache\wmiprvse.exe 2009-04-18 18:29 . 2009-03-06 14:19 286720 -c----w d:\windows\system32\dllcache\pdh.dll 2009-04-18 18:29 . 2009-02-09 11:21 111104 -c----w d:\windows\system32\dllcache\services.exe 2009-04-18 18:29 . 2009-02-09 10:51 401408 -c----w d:\windows\system32\dllcache\rpcss.dll 2009-04-18 18:29 . 2009-02-09 10:51 473600 -c----w d:\windows\system32\dllcache\fastprox.dll 2009-04-18 18:29 . 2009-02-09 10:51 678400 -c----w d:\windows\system32\dllcache\advapi32.dll 2009-04-18 18:29 . 2009-02-09 10:51 736768 -c----w d:\windows\system32\dllcache\lsasrv.dll 2009-04-18 18:29 . 2009-02-09 10:51 453120 -c----w d:\windows\system32\dllcache\wmiprvsd.dll 2009-04-18 18:29 . 2009-02-09 10:51 740352 -c----w d:\windows\system32\dllcache\ntdll.dll 2009-04-18 18:24 . 2008-04-21 21:13 217600 -c----w d:\windows\system32\dllcache\wordpad.exe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-05-16 14:49 . 2005-07-11 20:59 -------- d--h--w d:\programme\InstallShield Installation Information 2009-05-16 14:48 . 2008-03-31 17:44 -------- d-----w d:\programme\LaserSoft 2009-05-16 14:25 . 2007-01-01 15:52 -------- d-----w d:\programme\Google 2009-04-21 19:45 . 2005-07-11 19:07 28864 -c--a-w d:\dokumente und einstellungen\qs\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-04-19 09:17 . 2004-08-04 12:00 74996 ----a-w d:\windows\system32\perfc007.dat 2009-04-19 09:17 . 2004-08-04 12:00 415470 ----a-w d:\windows\system32\perfh007.dat 2009-04-04 17:22 . 2009-04-04 17:00 1 ----a-w d:\windows\system32\krx240.dat 2009-04-03 11:12 . 2008-05-08 11:05 -------- d-----w d:\programme\GIMP-2.0 2009-03-30 14:06 . 2005-07-11 19:41 -------- d-----w d:\programme\Gemeinsame Dateien\Adobe 2009-03-06 14:19 . 2004-08-04 12:00 286720 ----a-w d:\windows\system32\pdh.dll 2009-03-03 00:03 . 2004-08-04 12:00 826368 ----a-w d:\windows\system32\wininet.dll 2009-02-20 16:49 . 2004-08-04 12:00 78336 ----a-w d:\windows\system32\ieencode.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "swg"="d:\programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2007-03-11 171448] "SweetIM"="d:\programme\Macrogaming\SweetIM\SweetIM.exe" [2006-12-27 73840] "ctfmon.exe"="d:\windows\system32\ctfmon.exe" [2008-04-14 15360] "Steam"="i:\steam\Steam.exe" [2009-01-20 1410296] "Eraser"="i:\eraser\Eraser\eraser.exe" [2007-12-22 916240] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "QuickTime Task"="d:\programme\QuickTime\qttask.exe" [2007-06-29 286720] "AVMWlanClient"="d:\programme\avmwlanstick\wlangui.exe" [2007-12-19 1748992] "avgnt"="i:\avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "Adobe Reader Speed Launcher"="d:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-14 39792] "BluetoothAuthenticationAgent"="bthprops.cpl" - d:\windows\system32\bthprops.cpl [2008-04-14 110592] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="d:\windows\system32\CTFMON.EXE" [2008-04-14 15360] d:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Google Updater.lnk - d:\programme\Google\Google Updater\GoogleUpdater.exe [2007-3-11 124152] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32 "wave1"= serwvdrv.dll "wave3"= serwvdrv.dll [HKLM\~\startupfolder\D:^Dokumente und Einstellungen^Lina^Startmenü^Programme^Autostart^StarOffice 7.lnk] HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IncrediMail [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "i:\\Steam\\SteamApps\\common\\trackmania nations forever\\TmForever.exe"= "i:\\Steam\\SteamApps\\common\\trackmania nations forever\\TmForeverLauncher.exe"= "i:\\spiele\\Worms Armageddon\\WA.exe"= "i:\\Qip 2\\qip.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "d:\\Dokumente und Einstellungen\\qs\\Anwendungsdaten\\U3\\2444611DE8C27F86\\0DE4F643-C398-46ec-9339-2362F2311932\\Exec\\Skype.exe"= "d:\\Programme\\Mozilla Firefox\\firefox.exe"= "i:\\downloads\\cs2d_0113_win\\CounterStrike2D.exe"= "i:\\zattoo\\zattood.exe"= "i:\\zattoo\\Zattoo2.exe"= R3 FWLANUSB;AVM FRITZ!WLAN;d:\windows\system32\drivers\fwlanusb.sys [21.11.2008 17:15 265088] S3 avmeject;AVM Eject;d:\windows\system32\drivers\avmeject.sys [21.11.2008 17:15 4352] S3 AVMUNET;AVM FRITZ!Box;d:\windows\system32\drivers\avmunet.sys [27.01.2007 16:48 15104] S3 jbridgep;jbridgep;\??\d:\dokume~1\qs\LOKALE~1\Temp\jbridgep.sys --> d:\dokume~1\qs\LOKALE~1\Temp\jbridgep.sys [?] S3 PCD61X3;PCD61X3;\??\d:\dokume~1\qs\LOKALE~1\Temp\PCD61X3.sys --> d:\dokume~1\qs\LOKALE~1\Temp\PCD61X3.sys [?] S3 PCD61X4;PCD61X4;\??\d:\dokume~1\qs\LOKALE~1\Temp\PCD61X4.sys --> d:\dokume~1\qs\LOKALE~1\Temp\PCD61X4.sys [?] . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKLM-Run-SMSTray - F:\SMSTray.exe . ------- Zusätzlicher Suchlauf ------- . DPF: Microsoft XML Parser for Java - file://d:\windows\Java\classes\xmldso.cab FF - ProfilePath - d:\dokumente und einstellungen\qs\Anwendungsdaten\Mozilla\Firefox\Profiles\vm99j4jp.default\ FF - prefs.js: browser.startup.homepage - hxxp://search.orbitdownloader.com FF - plugin: d:\dokumente und einstellungen\qs\Anwendungsdaten\Mozilla\Firefox\Profiles\vm99j4jp.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071302000004.dll FF - plugin: d:\programme\Java\j2re1.4.2\bin\NPJava11.dll FF - plugin: d:\programme\Java\j2re1.4.2\bin\NPJava12.dll FF - plugin: d:\programme\Java\j2re1.4.2\bin\NPJava13.dll FF - plugin: d:\programme\Java\j2re1.4.2\bin\NPJava14.dll FF - plugin: d:\programme\Java\j2re1.4.2\bin\NPJava32.dll FF - plugin: d:\programme\Java\j2re1.4.2\bin\NPJPI142.dll FF - plugin: d:\programme\Java\j2re1.4.2\bin\NPOJI610.dll . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover Rootkit scan 2009-05-16 19:43 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\software\ATI Technologies Inc.\ATI-Treiber] @DACL=(02 0000) [HKEY_LOCAL_MACHINE\software\Microsoft\Advanced INF Setup\IE UserData NT\RegBackup] @DACL=(02 0000) [HKEY_LOCAL_MACHINE\software\Microsoft\Advanced INF Setup\IE.HKCUZoneInfo\RegBackup] @DACL=(02 0000) [HKEY_LOCAL_MACHINE\software\Microsoft\Advanced INF Setup\IE40.BrowseUI\RegBackup] @DACL=(02 0000) [HKEY_LOCAL_MACHINE\software\Microsoft\Advanced INF Setup\IE40.UserAgent\RegBackup] @DACL=(02 0000) [HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\UIPlugins\{292AE934-4F49-40bb-9E7E-6F6398ED9C31}] @DACL=(02 0000) "FriendlyName"="Nero Fast CD-Burning Plug-in" "Description"="Brennen Sie Ihre CD" "Capabilities"=dword:40000001 [HKEY_LOCAL_MACHINE\software\Microsoft\Windows Media Device Manager\Plugins\SP\NeroBurnPlugin] @DACL=(02 0000) "ProgID"="MDNeroBurnPlugin.MDNeroBurnPlugin" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(588) d:\windows\system32\Ati2evxx.dll . Zeit der Fertigstellung: 2009-05-16 19:47 ComboFix-quarantined-files.txt 2009-05-16 17:46 Vor Suchlauf: 5.527.953.408 Bytes frei Nach Suchlauf: 5.546.303.488 Bytes frei 153 --- E O F --- 2009-05-14 14:05 |
|
24.05.2009, 18:42
| #47 |
  | Pc schaltet nach ca 75% virenscannung aus. Scripten mit Combofix
__________________
Code:
ATTFilter KILLALL::
Driver::
jbridgep
PCD61X3
PCD61X4
RegLock::
[HKEY_LOCAL_MACHINE\software\ATI Technologies Inc.\ATI-Treiber]
[HKEY_LOCAL_MACHINE\software\Microsoft\Advanced INF Setup\IE UserData NT\RegBackup]
[HKEY_LOCAL_MACHINE\software\Microsoft\Advanced INF Setup\IE.HKCUZoneInfo\RegBackup]
[HKEY_LOCAL_MACHINE\software\Microsoft\Advanced INF Setup\IE40.BrowseUI\RegBackup]
[HKEY_LOCAL_MACHINE\software\Microsoft\Advanced INF Setup\IE40.UserAgent\RegBackup]
[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\ UIPlugins\{292AE934-4F49-40bb-9E7E-6F6398ED9C31}]
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows Media Device Manager\Plugins\SP\NeroBurnPlugin]
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"=-
"SweetIM"=-
"ctfmon.exe"=-
"Steam"=
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"=-
"Adobe Reader Speed Launcher"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=-
Folder::
D:\rsit
d:\programme\Navilog1
d:\programme\Google\GoogleToolbarNotifier
File::
d:\dokumente und einstellungen\qs\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
d:\windows\system32\perfc007.dat
d:\windows\system32\perfh007.dat
SysRst::
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. ciao, andreas
__________________ |
|
27.05.2009, 17:09
| #48 |
| | Pc schaltet nach ca 75% virenscannung aus. ok..hab ich erledigt..und jetzt?
__________________ComboFix 09-05-26.05 - qs 27.05.2009 17:39.2 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.319.130 [GMT 2:00] ausgeführt von:: d:\dokumente und einstellungen\qs\Desktop\ComboFix.exe Benutzte Befehlsschalter :: d:\dokumente und einstellungen\qs\Desktop\cfscript.txt AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} * Neuer Wiederherstellungspunkt wurde erstellt FILE :: "d:\dokumente und einstellungen\qs\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT" "d:\windows\system32\perfc007.dat" "d:\windows\system32\perfh007.dat" . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . d:\dokumente und einstellungen\qs\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT d:\programme\Google\GoogleToolbarNotifier d:\programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe d:\programme\Google\GoogleToolbarNotifier\1.2.1128.5462\Readme.txt d:\programme\Google\GoogleToolbarNotifier\1.2.1128.5462\res_de.dll d:\programme\Google\GoogleToolbarNotifier\1.2.1128.5462\swg.dll d:\programme\Navilog1 d:\programme\Navilog1\Backupnavi\omwyk.dat d:\programme\Navilog1\Backupnavi\OMWYK.EXE-045F25E2.pf d:\programme\Navilog1\Backupnavi\omwyk.exe d:\programme\Navilog1\Backupnavi\omwyk_nav.dat d:\programme\Navilog1\Backupnavi\omwyk_navps.dat d:\programme\Navilog1\catchme.exe d:\programme\Navilog1\Contents\Filess.bat d:\programme\Navilog1\Contents\Folders.bat d:\programme\Navilog1\Contents\Folderss.bat d:\programme\Navilog1\Contents\Gnc2.bat d:\programme\Navilog1\Contents\Gnc2su.bat d:\programme\Navilog1\Contents\Gncs.bat d:\programme\Navilog1\Contents\Gncssfil.bat d:\programme\Navilog1\Contents\Heurs.bat d:\programme\Navilog1\Contents\Heurss.bat d:\programme\Navilog1\Contents\Orphus.bat d:\programme\Navilog1\Contents\Wlist.bat d:\programme\Navilog1\GetPaths.exe d:\programme\Navilog1\gnc.exe d:\programme\Navilog1\navilog1.bat d:\programme\Navilog1\Navreb.bat d:\programme\Navilog1\oem2ansi.exe d:\programme\Navilog1\OsV.exe d:\programme\Navilog1\Process.exe d:\programme\Navilog1\reg.exe d:\programme\Navilog1\regnavi.reg d:\programme\Navilog1\Report\catchmeF.log d:\programme\Navilog1\Report\catchmeP.log d:\programme\Navilog1\Report\debug.txt d:\programme\Navilog1\Safebackup\backup_registry.dat d:\programme\Navilog1\Safebackup\HKCU_Run.reg d:\programme\Navilog1\Safebackup\HKCU_Soft.reg d:\programme\Navilog1\Safebackup\HKLM_Arpcache.reg d:\programme\Navilog1\Safebackup\HKLM_Run.reg d:\programme\Navilog1\Safebackup\HKLM_Soft.reg d:\programme\Navilog1\Safebackup\HKLM_Startupreg.reg d:\programme\Navilog1\Safebackup\HKLM_Uninstall.reg d:\programme\Navilog1\traite.bat d:\programme\Navilog1\traite2.bat d:\programme\Navilog1\traite3.bat d:\programme\Navilog1\unins000.dat d:\programme\Navilog1\unins000.exe D:\rsit d:\rsit\info.txt d:\rsit\log.txt d:\windows\system32\perfc007.dat d:\windows\system32\perfh007.dat . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_JBRIDGEP -------\Legacy_PCD61X3 -------\Legacy_PCD61X4 -------\Service_jbridgep -------\Service_PCD61X3 -------\Service_PCD61X4 ((((((((((((((((((((((( Dateien erstellt von 2009-04-27 bis 2009-05-27 )))))))))))))))))))))))))))))) . 2009-05-16 11:31 . 2009-05-16 11:31 -------- d-----w d:\dokumente und einstellungen\qs\Anwendungsdaten\Malwarebytes 2009-05-16 11:31 . 2009-04-06 13:32 15504 ----a-w d:\windows\system32\drivers\mbam.sys 2009-05-16 11:31 . 2009-04-06 13:32 38496 ----a-w d:\windows\system32\drivers\mbamswissarmy.sys 2009-05-16 11:31 . 2009-05-16 11:31 -------- d-----w d:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-05-03 17:44 . 2009-05-03 17:45 -------- d-----w d:\dokumente und einstellungen\qs\Lokale Einstellungen\Anwendungsdaten\ZattooPlayer 2009-05-03 17:41 . 2009-05-25 17:27 -------- d-----w d:\dokumente und einstellungen\qs\Lokale Einstellungen\Anwendungsdaten\Zattoo . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-05-27 15:40 . 2007-01-01 15:52 -------- d-----w d:\programme\Google 2009-05-27 14:39 . 2008-12-14 11:36 75096 ----a-w d:\windows\system32\drivers\avipbb.sys 2009-05-16 14:49 . 2005-07-11 20:59 -------- d--h--w d:\programme\InstallShield Installation Information 2009-05-16 14:48 . 2008-03-31 17:44 -------- d-----w d:\programme\LaserSoft 2009-05-11 19:06 . 2008-02-23 18:02 -------- d-----w d:\dokumente und einstellungen\qs\Anwendungsdaten\gtk-2.0 2009-04-30 20:12 . 2009-01-12 17:39 -------- d-----w d:\dokumente und einstellungen\qs\Anwendungsdaten\dvdcss 2009-04-04 17:22 . 2009-04-04 17:00 1 ----a-w d:\windows\system32\krx240.dat 2009-04-04 16:59 . 2009-04-04 16:59 -------- d-----w d:\dokumente und einstellungen\qs\Anwendungsdaten\Kristanix Software 2009-04-03 11:12 . 2008-05-08 11:05 -------- d-----w d:\programme\GIMP-2.0 2009-03-30 14:06 . 2005-07-11 19:41 -------- d-----w d:\programme\Gemeinsame Dateien\Adobe 2009-03-07 09:54 . 2008-02-18 17:06 1 ----a-w d:\dokumente und einstellungen\qs\Anwendungsdaten\OpenOffice.org2\user\uno_packages\cache\stamp.sys 2009-03-06 14:19 . 2004-08-04 12:00 286720 ----a-w d:\windows\system32\pdh.dll 2009-03-03 00:03 . 2004-08-04 12:00 826368 ----a-w d:\windows\system32\wininet.dll . ((((((((((((((((((((((((((((((((((((((( System Restore ))))))))))))))))))))))))))))))))))))))))))))))))))) . d:\32788r22fwjfw\pv.exe 02.03.2006 23:42 73728 \RP516\A0229950.exe d:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\01\Intel32\ctor.dll 16.07.2004 00:20 69715 \RP513\A0227540.dll d:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\01\Intel32\DotNetInstaller.exe 16.07.2004 00:18 5632 \RP513\A0227536.exe d:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\01\Intel32\iGdi.dll 10.09.2008 10:51 180356 \RP513\A0227538.dll d:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\01\Intel32\iKernel.dll 22.03.2005 17:50 733184 \RP513\A0227543.dll d:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\01\Intel32\iscript.dll 16.07.2004 00:19 266240 \RP513\A0227541.dll d:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\01\Intel32\iuser.dll 16.07.2004 00:18 172032 \RP513\A0227539.dll d:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\01\Intel32\setup.dll 10.09.2008 10:51 303236 \RP513\A0227542.dll d:\programme\Google\GoogleToolbar2.dll 11.03.2007 13:47 2427968 \RP512\A0227520.dll d:\programme\Google\googletoolbar2user.exe 11.03.2007 13:48 52272 \RP512\A0227521.exe d:\programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe 11.03.2007 13:48 171448 \RP517\A0230034.exe d:\programme\Google\GoogleToolbarNotifier\1.2.1128.5462\res_de.dll 11.03.2007 13:48 48128 \RP517\A0230035.dll d:\programme\Google\GoogleToolbarNotifier\1.2.1128.5462\swg.dll 11.03.2007 13:48 256440 \RP517\A0230036.dll d:\programme\InstallShield Installation Information\{2806ECD7-D23E-45D7-A918-D6E5EA1C4D8E}\_setup.dll 10.09.2008 10:51 159744 \RP513\A0227537.dll d:\programme\InstallShield Installation Information\{2806ECD7-D23E-45D7-A918-D6E5EA1C4D8E}\setup.exe 10.09.2008 10:51 119016 \RP513\A0227535.exe 28.04.2009 20:54 17400 d:\programme\Mozilla Firefox\AccessibleMarshal.dll 24.04.2009 16:39 17400 \RP503\A0221507.dll 28.04.2009 20:54 23032 d:\programme\Mozilla Firefox\components\browserdirprovider.dll 24.04.2009 16:39 23032 \RP503\A0221509.dll 28.04.2009 20:54 134648 d:\programme\Mozilla Firefox\components\brwsrcmp.dll 24.04.2009 16:39 134648 \RP503\A0221510.dll 28.04.2009 20:54 185848 d:\programme\Mozilla Firefox\crashreporter.exe 24.04.2009 16:39 185848 \RP503\A0221511.exe 28.04.2009 20:54 307704 d:\programme\Mozilla Firefox\firefox.exe 24.04.2009 16:39 307704 \RP503\A0221512.exe 28.04.2009 20:54 233472 d:\programme\Mozilla Firefox\freebl3.dll 24.04.2009 16:39 233472 \RP503\A0221513.dll 28.04.2009 20:54 697336 d:\programme\Mozilla Firefox\js3250.dll 24.04.2009 16:39 697848 \RP503\A0221514.dll 28.04.2009 20:54 710136 d:\programme\Mozilla Firefox\mozcrt19.dll 24.04.2009 16:39 710136 \RP503\A0221515.dll 28.04.2009 20:54 198136 d:\programme\Mozilla Firefox\nspr4.dll 24.04.2009 16:39 198136 \RP503\A0221516.dll 28.04.2009 20:54 718328 d:\programme\Mozilla Firefox\nss3.dll 24.04.2009 16:39 718328 \RP503\A0221517.dll 28.04.2009 20:54 292344 d:\programme\Mozilla Firefox\nssckbi.dll 24.04.2009 16:39 292344 \RP503\A0221518.dll 28.04.2009 20:54 103928 d:\programme\Mozilla Firefox\nssdbm3.dll 24.04.2009 16:39 103928 \RP503\A0221519.dll 28.04.2009 20:54 87544 d:\programme\Mozilla Firefox\nssutil3.dll 24.04.2009 16:39 87544 \RP503\A0221520.dll 28.04.2009 20:54 20472 d:\programme\Mozilla Firefox\plc4.dll 24.04.2009 16:39 20472 \RP503\A0221522.dll 28.04.2009 20:54 17400 d:\programme\Mozilla Firefox\plds4.dll 24.04.2009 16:39 17400 \RP503\A0221523.dll 28.04.2009 20:54 65528 d:\programme\Mozilla Firefox\plugins\npnul32.dll 24.04.2009 16:39 65528 \RP503\A0221524.dll 28.04.2009 20:54 103928 d:\programme\Mozilla Firefox\smime3.dll 24.04.2009 16:39 103928 \RP503\A0221525.dll 28.04.2009 20:54 151552 d:\programme\Mozilla Firefox\softokn3.dll 24.04.2009 16:39 151552 \RP503\A0221526.dll 28.04.2009 20:54 395768 d:\programme\Mozilla Firefox\sqlite3.dll 24.04.2009 16:39 395768 \RP503\A0221527.dll 28.04.2009 20:54 136696 d:\programme\Mozilla Firefox\ssl3.dll 24.04.2009 16:39 136696 \RP503\A0221528.dll 28.04.2009 20:54 510576 d:\programme\Mozilla Firefox\uninstall\helper.exe 24.04.2009 16:39 510568 \RP503\A0221529.exe 28.04.2009 20:54 242168 d:\programme\Mozilla Firefox\updater.exe 24.04.2009 16:39 242168 \RP503\A0221530.exe 28.04.2009 20:54 17912 d:\programme\Mozilla Firefox\xpcom.dll 24.04.2009 16:39 17912 \RP503\A0221531.dll 28.04.2009 20:54 9756664 d:\programme\Mozilla Firefox\xul.dll 24.04.2009 16:39 9758200 \RP503\A0221532.dll d:\programme\Navilog1\Backupnavi\omwyk.exe 15.05.2009 17:09 324608 \RP517\A0230037.exe d:\programme\Navilog1\catchme.exe 22.10.2008 20:54 145920 \RP517\A0230038.exe d:\programme\Navilog1\Contents\Filess.bat 05.11.2008 20:45 8446 \RP517\A0230039.bat d:\programme\Navilog1\Contents\Folders.bat 14.03.2009 18:26 1429 \RP517\A0230040.bat d:\programme\Navilog1\Contents\Folderss.bat 14.03.2009 18:28 7217 \RP517\A0230041.bat d:\programme\Navilog1\Contents\Gnc2.bat 08.12.2008 10:53 1615 \RP517\A0230042.bat d:\programme\Navilog1\Contents\Gnc2su.bat 08.12.2008 10:54 1575 \RP517\A0230043.bat d:\programme\Navilog1\Contents\Gncs.bat 10.12.2008 20:26 5147 \RP517\A0230044.bat d:\programme\Navilog1\Contents\Gncssfil.bat 29.09.2008 16:20 3936 \RP517\A0230045.bat d:\programme\Navilog1\Contents\Heurs.bat 07.02.2009 10:46 4654 \RP517\A0230046.bat d:\programme\Navilog1\Contents\Heurss.bat 16.02.2009 13:54 4780 \RP517\A0230047.bat d:\programme\Navilog1\Contents\Orphus.bat 13.11.2008 21:56 2662 \RP517\A0230048.bat d:\programme\Navilog1\Contents\Wlist.bat 03.11.2008 10:37 4885 \RP517\A0230049.bat d:\programme\Navilog1\GetPaths.exe 25.04.2008 21:48 98304 \RP517\A0230050.exe d:\programme\Navilog1\gnc.exe 05.06.2008 18:18 5737 \RP517\A0230051.exe d:\programme\Navilog1\navilog1.bat 12.05.2009 21:34 323612 \RP517\A0230052.bat d:\programme\Navilog1\Navreb.bat 12.05.2009 21:32 192717 \RP517\A0230053.bat d:\programme\Navilog1\oem2ansi.exe 25.08.2006 11:18 1536 \RP517\A0230054.exe d:\programme\Navilog1\OsV.exe 25.10.2008 00:33 24062 \RP517\A0230055.exe d:\programme\Navilog1\Process.exe 05.06.2003 21:13 53248 \RP517\A0230056.exe d:\programme\Navilog1\reg.exe 15.09.2007 01:24 17920 \RP517\A0230057.exe d:\programme\Navilog1\regnavi.reg 14.03.2009 18:24 67444 \RP517\A0230058.reg d:\programme\Navilog1\Safebackup\HKCU_Run.reg 16.05.2009 12:17 984 \RP517\A0230059.reg d:\programme\Navilog1\Safebackup\HKCU_Soft.reg 16.05.2009 12:19 15134972 \RP517\A0230060.reg d:\programme\Navilog1\Safebackup\HKLM_Arpcache.reg 16.05.2009 12:17 984018 \RP517\A0230061.reg d:\programme\Navilog1\Safebackup\HKLM_Run.reg 16.05.2009 12:17 1986 \RP517\A0230062.reg d:\programme\Navilog1\Safebackup\HKLM_Soft.reg 16.05.2009 12:18 27525714 \RP517\A0230063.reg d:\programme\Navilog1\Safebackup\HKLM_Startupreg.reg 16.05.2009 12:17 5682 \RP517\A0230064.reg d:\programme\Navilog1\Safebackup\HKLM_Uninstall.reg 16.05.2009 12:17 229744 \RP517\A0230065.reg d:\programme\Navilog1\traite.bat 01.11.2007 21:41 236 \RP517\A0230066.bat d:\programme\Navilog1\traite2.bat 29.11.2007 15:39 210 \RP517\A0230067.bat d:\programme\Navilog1\traite3.bat 29.03.2008 21:20 202 \RP517\A0230068.bat d:\programme\Navilog1\unins000.exe 16.05.2009 11:39 685849 \RP517\A0230069.exe 27.05.2009 16:39 75096 d:\windows\system32\drivers\avipbb.sys 30.10.2008 11:21 75072 \RP516\A0229884.sys . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Steam"="i:\steam\Steam.exe" [2009-05-19 1217784] "Eraser"="i:\eraser\Eraser\eraser.exe" [2007-12-22 916240] "ctfmon.exe"="d:\windows\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AVMWlanClient"="d:\programme\avmwlanstick\wlangui.exe" [2007-12-19 1748992] "avgnt"="i:\avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "BluetoothAuthenticationAgent"="bthprops.cpl" - d:\windows\system32\bthprops.cpl [2008-04-14 110592] d:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Google Updater.lnk - d:\programme\Google\Google Updater\GoogleUpdater.exe [2007-3-11 124152] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32 "wave1"= serwvdrv.dll "wave3"= serwvdrv.dll [HKLM\~\startupfolder\D:^Dokumente und Einstellungen^Lina^Startmenü^Programme^Autostart^StarOffice 7.lnk] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "i:\\Steam\\SteamApps\\common\\trackmania nations forever\\TmForever.exe"= "i:\\Steam\\SteamApps\\common\\trackmania nations forever\\TmForeverLauncher.exe"= "i:\\spiele\\Worms Armageddon\\WA.exe"= "i:\\Qip 2\\qip.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "d:\\Dokumente und Einstellungen\\qs\\Anwendungsdaten\\U3\\2444611DE8C27F86\\0DE4F643-C398-46ec-9339-2362F2311932\\Exec\\Skype.exe"= "d:\\Programme\\Mozilla Firefox\\firefox.exe"= "i:\\downloads\\cs2d_0113_win\\CounterStrike2D.exe"= "i:\\zattoo\\zattood.exe"= "i:\\zattoo\\Zattoo2.exe"= R3 FWLANUSB;AVM FRITZ!WLAN;d:\windows\system32\drivers\fwlanusb.sys [21.11.2008 17:15 265088] S3 avmeject;AVM Eject;d:\windows\system32\drivers\avmeject.sys [21.11.2008 17:15 4352] S3 AVMUNET;AVM FRITZ!Box;d:\windows\system32\drivers\avmunet.sys [27.01.2007 16:48 15104] --- Andere Dienste/Treiber im Speicher --- *Deregistered* - Netman *Deregistered* - Nla *Deregistered* - PolicyAgent *Deregistered* - ProtectedStorage *Deregistered* - RasMan *Deregistered* - RpcSs *Deregistered* - SamSs *Deregistered* - Schedule *Deregistered* - seclogon *Deregistered* - SENS *Deregistered* - SharedAccess *Deregistered* - ShellHWDetection *Deregistered* - Spooler *Deregistered* - srservice *Deregistered* - SSDPSRV *Deregistered* - stisvc *Deregistered* - TapiSrv *Deregistered* - TermService *Deregistered* - Themes *Deregistered* - TrkWks *Deregistered* - W32Time *Deregistered* - WebClient *Deregistered* - winmgmt *Deregistered* - wscsvc *Deregistered* - wuauserv . - - - - Entfernte verwaiste Registrierungseinträge - - - - SafeBoot-procexp90.Sys . ------- Zusätzlicher Suchlauf ------- . DPF: Microsoft XML Parser for Java - file://d:\windows\Java\classes\xmldso.cab FF - ProfilePath - d:\dokumente und einstellungen\qs\Anwendungsdaten\Mozilla\Firefox\Profiles\vm99j4jp.default\ FF - prefs.js: browser.startup.homepage - hxxp://search.orbitdownloader.com FF - plugin: d:\dokumente und einstellungen\qs\Anwendungsdaten\Mozilla\Firefox\Profiles\vm99j4jp.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071302000004.dll FF - plugin: d:\programme\Java\j2re1.4.2\bin\NPJava11.dll FF - plugin: d:\programme\Java\j2re1.4.2\bin\NPJava12.dll FF - plugin: d:\programme\Java\j2re1.4.2\bin\NPJava13.dll FF - plugin: d:\programme\Java\j2re1.4.2\bin\NPJava14.dll FF - plugin: d:\programme\Java\j2re1.4.2\bin\NPJava32.dll FF - plugin: d:\programme\Java\j2re1.4.2\bin\NPJPI142.dll FF - plugin: d:\programme\Java\j2re1.4.2\bin\NPOJI610.dll . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover Rootkit scan 2009-05-27 17:49 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\UIPlugins\{292AE934-4F49-40bb-9E7E-6F6398ED9C31}] @DACL=(02 0000) "FriendlyName"="Nero Fast CD-Burning Plug-in" "Description"="Brennen Sie Ihre CD" "Capabilities"=dword:40000001 . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(592) d:\windows\system32\Ati2evxx.dll - - - - - - - > 'explorer.exe'(1048) d:\windows\system32\msls31.dll d:\windows\system32\WPDShServiceObj.dll d:\windows\system32\PortableDeviceTypes.dll d:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . d:\windows\system32\ati2evxx.exe i:\avira\AntiVir PersonalEdition Classic\sched.exe i:\avira\AntiVir PersonalEdition Classic\avguard.exe d:\windows\system32\ati2evxx.exe d:\programme\avmwlanstick\WLanNetService.exe d:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe d:\windows\system32\rundll32.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-05-27 18:01 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-05-27 16:01 ComboFix2.txt 2009-05-16 17:47 Vor Suchlauf: 5.586.759.680 Bytes frei Nach Suchlauf: 5.474.521.088 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect multi(0)disk(0)rdisk(0)partition(1)\WINNT="Windows NT Workstation, Version 4.0" multi(0)disk(0)rdisk(0)partition(1)\WINNT="Windows NT Workstation, Version 4.0 [VGA-Modus]" /basevideo /sos 382 --- E O F --- 2009-05-14 14:05 |
|
27.05.2009, 17:26
| #49 |
| | Pc schaltet nach ca 75% virenscannung aus. 1.) Start => Ausführen => combofix /u => OK. 2.) http://www.trojaner-board.de/54192-a...tellungen.html, Log posten 3.) Neues HJT-Log posten. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer.  Anleitungen Virenscanner Kompromittierung unvermeidbar? |
|
27.05.2009, 17:31
| #50 |
| | Pc schaltet nach ca 75% virenscannung aus. wenn ich "combofix /u" in ausführen einfüge offnet sich combofix und sagt das ich avira schließen soll.. soll ich das machen? mfg baumliebe |
|
27.05.2009, 17:36
| #51 |
| | Pc schaltet nach ca 75% virenscannung aus. sorry..hätte es einfach machen sollen..habs jetzt combofix deinstaliert und mache mit punkt 2 weiter.. |
|
27.05.2009, 17:36
| #52 |
| | Pc schaltet nach ca 75% virenscannung aus. Ja. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
|
27.05.2009, 18:52
| #53 |
| | Pc schaltet nach ca 75% virenscannung aus. hallo.. ich hatte einige komplikationen mit der neuen avira version ich habe aber jetzt die einstellungen übernommen..aber wo inde ich jetzt den log dazu? oder meinst du ich soll eine systemprüfung mit diesen einstellungen machen und diesen log dann posten? Geändert von baumliebe (27.05.2009 um 19:10 Uhr) |
|
27.05.2009, 19:19
| #54 |
| | Pc schaltet nach ca 75% virenscannung aus. Das zweite. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
|
27.05.2009, 19:21
| #55 |
| | Pc schaltet nach ca 75% virenscannung aus. ok..habs gestartet=) sorry und danke |
|
| Themen zu Pc schaltet nach ca 75% virenscannung aus. |
| antivir, avira, avira antivir, löschen, nicht löschen, problem, programm, scan, scannung, schaltet, virenscan, virenscannung, windows, windows xp, worte |
Linear-Darstellung
