| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Generic 14.DNHWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
25.07.2009, 22:10
| #1 | |
| /// Helfer-Team    |  Generic 14.DNH hi 1. Lade dir HostsXpert auf dem Desktop speichern & und entpacken
2. versuche den Prozess im Taskmanager beenden: do_not_delete.exe (eventuell im abgesicherten Modus [F8] oder [F5] (drücke beim Hochfahren des rechners [F8] solange, bis du eine auswahlmöglichkeit hast) 3. auch weiter im abges. Modus: Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten): Zitat:
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen:: → Klicke unter Start auf Arbeitsplatz. → Klicke im Menü Extras auf Ordneroptionen. → Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen → Geschützte und Systemdateien ausblenden → Haken entfernen → Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen. → Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. 5. versuch doch mal Dir die filelist.zip runterzuladen: Für XP und Win2000 (ansonsten auslassen) → lade Dir das filelist.zip auf deinen Desktop herunter → entpacke die Zip-Datei auf deinen Desktop → starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen → kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread ** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen! Geändert von kira (25.07.2009 um 22:29 Uhr) |
|
26.07.2009, 18:18
| #2 |
 | Generic 14.DNH hi
__________________ich musste mein PC neu aufsetzen da meine Browser nicht mehr gingen weder Opera noch IE. Hab im mom AVIRA, Zone Alarm Pro, SPybot Search& Destroy(alte version),ThreatFire und PC Tools AntiVirus draufgemacht bevor ich ins Internet gegangen bin. Hab mir extra ne CD ausm Laden geholt damit es neue Software ist. So AVIRA hat schon mal wieder das Code:
ATTFilter [FUND] Enthält Erkennungsmuster der Anwendung APPL/HideWindows.31232
|
|
26.07.2009, 19:31
| #3 |
| /// Helfer-Team | Generic 14.DNH hi
__________________1. ja mit 4. und 5. weiter 2. ein neues HijackThis-Logfile auch 3. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool CCleaner herunter installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein 4. Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! 5. Lade und installiere das Tool RootRepeal herunter - setze einen Hacken bei: "Drivers", "Stealth Objects" und "Hidden Services" dann klick auf "OK" - nach der Scan, klick auf "Save Report" - speichere das Logfile als RootRepeal.txt auf dem Desktop und Kopiere den Inhalt hier in den Thread Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post: → vor dein log schreibst du:[code] hier kommt dein logfile rein → dahinter:[/code] |
|
26.07.2009, 20:17
| #4 |
| | Generic 14.DNHCode:
ATTFilter ----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 487B-E8A8
Verzeichnis von C:\
26.07.2009 21:10 43 filelist.txt
26.07.2009 20:54 2.145.386.496 pagefile.sys
25.07.2009 22:31 0 CONFIG.SYS
25.07.2009 22:31 0 IO.SYS
25.07.2009 22:31 0 MSDOS.SYS
25.07.2009 22:31 0 AUTOEXEC.BAT
25.07.2009 22:26 211 boot.ini
10 Datei(en) 2.145.690.450 Bytes
0 Verzeichnis(se), 17.599.131.648 Bytes frei
----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 487B-E8A8
Verzeichnis von C:\WINDOWS
26.07.2009 21:00 38.611 WindowsUpdate.log
26.07.2009 20:54 0 0.log
26.07.2009 20:54 2.048 bootstat.dat
26.07.2009 20:53 2.612 SchedLgU.Txt
26.07.2009 20:38 5.683 MedCtrOC.log
26.07.2009 20:38 4.927 ehOCGen.log
26.07.2009 20:38 114.716 iis6.log
26.07.2009 20:38 36.931 comsetup.log
26.07.2009 20:38 20.543 ntdtcsetup.log
26.07.2009 20:38 38.462 tsoc.log
26.07.2009 20:38 4.261 ocmsn.log
26.07.2009 20:38 4.362 tabletoc.log
26.07.2009 20:38 1.374 imsins.log
26.07.2009 20:38 1.459 spupdsvc.log
26.07.2009 20:38 43.633 ocgen.log
26.07.2009 20:38 13.307 netfxocm.log
26.07.2009 20:38 12.824 plusoc.log
26.07.2009 20:38 3.810 msgsocm.log
26.07.2009 20:38 73.397 FaxSetup.log
26.07.2009 20:38 29.414 msmqinst.log
26.07.2009 20:29 1.374 imsins.BAK
26.07.2009 19:59 3.148 wmsetup.log
26.07.2009 19:37 19.744 KB932823-v3.log
26.07.2009 19:37 455 updspapi.log
26.07.2009 19:35 29.816 ie8_main.log
26.07.2009 19:11 615.083 setupapi.log
26.07.2009 18:04 0 nsreg.dat
26.07.2009 17:43 537 DirectX.log
26.07.2009 17:38 7.818 KB893803v2.log
26.07.2009 17:25 4.454 KB888111.log
25.07.2009 23:26 50 wiaservc.log
25.07.2009 23:26 409 wiadebug.log
25.07.2009 23:26 0 Sti_Trace.log
25.07.2009 23:23 1.310 regopt.log
25.07.2009 23:23 231 system.ini
25.07.2009 22:58 400 ODBC.INI
25.07.2009 22:58 573 win.ini
25.07.2009 22:56 2.266 mozver.dat
25.07.2009 22:44 829 OEWABLog.txt
25.07.2009 22:43 7.992 KB867282.log
25.07.2009 22:42 629 KB867282-IE6SP1-20050127.163319.log
25.07.2009 22:42 682 KB867282-IE501SP4-20050107.164742.log
25.07.2009 22:42 7.760 KB885250.log
25.07.2009 22:42 7.759 KB834707.log
25.07.2009 22:42 939 vminst.log
25.07.2009 22:42 6.551 WGA.log
25.07.2009 22:41 14.166 wmp11.log
25.07.2009 22:41 18.749 WMFDist11.log
25.07.2009 22:41 7.101 Wudf01000Inst.log
25.07.2009 22:40 807.339 setuplog.txt
25.07.2009 22:40 52 oobeact.log
25.07.2009 22:39 8.192 REGLOCS.OLD
25.07.2009 22:38 201.189 setupact.log
25.07.2009 22:38 685 setuperr.log
25.07.2009 22:36 6.584 KB887742.log
25.07.2009 22:36 7.255 KB893086.log
25.07.2009 22:35 7.140 KB893066.log
25.07.2009 22:35 8.504 KB890923.log
25.07.2009 22:35 8.964 KB890859.log
25.07.2009 22:35 6.472 KB873339.log
25.07.2009 22:35 6.744 KB885523.log
25.07.2009 22:35 4.736 KB885626.log
25.07.2009 22:35 6.905 KB885835.log
25.07.2009 22:35 6.614 KB885836.log
25.07.2009 22:35 6.493 KB886185.log
25.07.2009 22:35 6.988 KB887797.log
25.07.2009 22:34 6.615 KB890175.log
25.07.2009 22:34 6.890 KB873333.log
25.07.2009 22:34 6.614 KB887472.log
25.07.2009 22:34 6.445 KB888113.log
25.07.2009 22:34 6.446 KB888302.log
25.07.2009 22:34 6.471 KB891781.log
25.07.2009 22:34 8.873 KB898461.log
25.07.2009 22:34 7.721 KB896358.log
25.07.2009 22:34 7.289 KB890046.log
25.07.2009 22:34 8.916 KB883939.log
25.07.2009 22:34 7.248 KB896422.log
25.07.2009 22:34 7.166 KB896428.log
25.07.2009 22:34 7.423 KB901214.log
25.07.2009 22:33 5.318 KB903235.log
25.07.2009 22:33 7.753 KB893756.log
25.07.2009 22:33 7.751 KB894391.log
25.07.2009 22:33 7.602 KB896423.log
25.07.2009 22:33 10.057 KB896688.log
25.07.2009 22:33 7.573 KB899587.log
25.07.2009 22:33 7.409 KB899589.log
25.07.2009 22:33 7.408 KB899591.log
25.07.2009 22:33 7.973 KB900725.log
25.07.2009 22:33 7.602 KB901017.log
25.07.2009 22:33 10.514 KB902400.log
25.07.2009 22:32 7.378 KB904706.log
25.07.2009 22:32 7.441 KB905414.log
25.07.2009 22:32 7.477 KB905749.log
25.07.2009 22:32 7.588 KB896424.log
25.07.2009 22:32 10.002 KB905915.log
25.07.2009 22:32 7.319 KB910437.log
25.07.2009 22:32 7.413 KB908519.log
25.07.2009 22:32 7.290 KB912919.log
25.07.2009 22:32 4.046 KB911565.log
25.07.2009 22:32 5.527 KB911927.log
25.07.2009 22:32 5.555 KB913446.log
25.07.2009 22:31 5.877 KB908531.log
25.07.2009 22:31 5.610 KB911562.log
25.07.2009 22:31 5.883 KB911567.log
25.07.2009 22:31 8.553 KB912812.log
25.07.2009 22:31 6.492 KB913580.log
25.07.2009 22:31 0 control.ini
25.07.2009 22:31 316.640 WMSysPr9.prx
25.07.2009 22:31 4.161 ODBCINST.INI
25.07.2009 22:30 749 WindowsShell.Manifest
25.07.2009 22:28 1.023 sessmgr.setup.log
25.07.2009 22:28 37 vbaddin.ini
25.07.2009 22:28 36 vb.ini
25.07.2009 22:28 133 DtcInstall.log
25.07.2009 22:26 200 cmsetacl.log
----- System 32 (Achtung: Zeitfenster beachten!) ---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 487B-E8A8
Verzeichnis von C:\WINDOWS\system32
26.07.2009 20:55 41.103 vsconfig.xml
26.07.2009 20:54 192.976 FNTCACHE.DAT
26.07.2009 20:51 4.212 zllictbl.dat
26.07.2009 20:35 432.356 perfh009.dat
26.07.2009 20:35 67.312 perfc009.dat
26.07.2009 20:35 448.470 perfh007.dat
26.07.2009 20:35 79.910 perfc007.dat
26.07.2009 20:35 1.036.518 PerfStringBackup.INI
26.07.2009 20:28 148.888 javaws.exe
26.07.2009 20:28 144.792 javaw.exe
26.07.2009 20:28 73.728 javacpl.cpl
26.07.2009 20:28 144.792 java.exe
26.07.2009 20:28 410.984 deploytk.dll
26.07.2009 19:25 2.206 wpa.dbl
26.07.2009 17:33 146.650 BuzzingBee.wav
26.07.2009 17:33 940.794 LoopyMusic.wav
25.07.2009 23:26 0 h323log.txt
25.07.2009 22:53 7.006 jupdate-1.5.0_06-b05.log
25.07.2009 22:41 16.832 amcompat.tlb
25.07.2009 22:41 23.392 nscompat.tlb
25.07.2009 22:38 3.292 $winnt$.inf
25.07.2009 22:31 2.951 CONFIG.NT
25.07.2009 22:30 488 logonui.exe.manifest
25.07.2009 22:30 488 WindowsLogon.manifest
25.07.2009 22:30 749 wuaucpl.cpl.manifest
25.07.2009 22:30 749 cdplayer.exe.manifest
25.07.2009 22:30 749 ncpa.cpl.manifest
25.07.2009 22:30 749 sapi.cpl.manifest
25.07.2009 22:30 749 nwc.cpl.manifest
25.07.2009 22:28 21.740 emptyregdb.dat
1999 Datei(en) 380.975.399 Bytes
0 Verzeichnis(se), 17.598.935.040 Bytes frei
----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 487B-E8A8
Verzeichnis von C:\WINDOWS\Prefetch
26.07.2009 21:10 16.124 CMD.EXE-087B4001.pf
26.07.2009 21:07 36.370 REGSVR32.EXE-25EEFE2F.pf
26.07.2009 21:03 18.140 VERCLSID.EXE-3667BD89.pf
26.07.2009 20:55 101.040 WUAUCLT.EXE-399A8E72.pf
26.07.2009 20:55 54.218 WMIPRVSE.EXE-28F301A9.pf
26.07.2009 20:55 1.511.220 NTOSBOOT-B00DFAAD.pf
26.07.2009 20:52 19.636 LOGONUI.EXE-0AF22957.pf
26.07.2009 20:47 84.840 MSCORSVW.EXE-1BF30400.pf
26.07.2009 20:45 17.232 NGEN.EXE-38021CCC.pf
26.07.2009 20:38 8.434 SPUPDSVC.EXE-21B36524.pf
26.07.2009 20:38 70.220 MSIEXEC.EXE-2F8A8CAE.pf
26.07.2009 20:38 27.150 MOFCOMP.EXE-01718E95.pf
26.07.2009 20:35 30.034 LODCTR.EXE-1009C3B4.pf
26.07.2009 20:35 15.976 REGEDIT.EXE-1B606482.pf
26.07.2009 20:33 59.032 WMIADAP.EXE-2DF425B2.pf
26.07.2009 20:32 49.840 REGSVCS.EXE-11A17120.pf
26.07.2009 20:32 39.162 ASPNET_REGIIS.EXE-009D6E80.pf
26.07.2009 20:31 12.192 REGTLIBV12.EXE-0E2FA54B.pf
26.07.2009 20:28 49.042 JAVAW.EXE-02BFF384.pf
26.07.2009 20:27 17.354 MSI13B.TMP-315C3119.pf
26.07.2009 19:55 76.978 REGISTRYCLEANER.EXE-2770D8C2.pf
26.07.2009 19:55 56.912 SYSTEMOPTIMIZER.EXE-1D77726A.pf
26.07.2009 19:55 41.162 ONECLICKMAINTENANCE.EXE-18290CFA.pf
26.07.2009 19:48 80.766 RUNDLL32.EXE-2576181F.pf
26.07.2009 17:38 56.504 IKERNEL.EXE-092EF074.pf
26.07.2009 17:27 27.108 EXPLORER.EXE-082F38A9.pf
25.07.2009 23:01 13.960 CTFMON.EXE-0E17969B.pf
25.07.2009 23:01 42.804 DISKCLEANER.EXE-13791B83.pf
25.07.2009 23:01 12.114 PAUSE.EXE-099392A4.pf
25.07.2009 22:59 5.462 KEYGEN.EXE-1D173932.pf
25.07.2009 22:59 40.436 IMAGEREADY.EXE-11BB23A9.pf
25.07.2009 22:59 12.018 CS2SIL.EXE-074A3413.pf
25.07.2009 22:58 12.968 SILIN.EXE-30ED024E.pf
25.07.2009 22:58 12.740 OSIL.EXE-12D955B9.pf
25.07.2009 22:58 4.844 OW32DEDE850.EXE-168A8554.pf
25.07.2009 22:58 29.514 GLB179.TMP-1976588E.pf
25.07.2009 22:58 8.508 MSOHTMED.EXE-14B8D6FE.pf
25.07.2009 22:56 12.984 SETUP.EXE-136C358B.pf
25.07.2009 22:56 11.730 FF1502.EXE-014EE817.pf
25.07.2009 22:56 30.972 SETUP.EXE-01E0B53A.pf
25.07.2009 22:55 17.596 INSTALL.EXE-27906FC6.pf
25.07.2009 22:53 12.884 NET2.EXE-11266468.pf
25.07.2009 22:53 12.908 NET.EXE-21BFDE2F.pf
25.07.2009 22:53 17.350 INSTALL.EXE-23626161.pf
25.07.2009 22:53 76.062 JAVAW.EXE-1DA9F6E6.pf
25.07.2009 22:53 26.462 PATCHJRE.EXE-056822F8.pf
25.07.2009 22:53 6.650 JAVA.EXE-1586CEFA.pf
25.07.2009 22:53 9.252 UNPACK200.EXE-2FB4EB88.pf
25.07.2009 22:53 6.088 LAUNCHER.EXE-0CBCE3F2.pf
25.07.2009 22:52 32.908 ZIPPER.EXE-2CD7645A.pf
25.07.2009 22:52 4.918 OSE.EXE-313A091F.pf
25.07.2009 22:50 13.068 SETUP.EXE-038F7AFF.pf
25.07.2009 22:49 39.248 MACROMEDIA LICENSING.EXE-296F55D3.pf
25.07.2009 22:49 8.166 ~E5D141.TMP-1F07BD46.pf
25.07.2009 22:49 21.380 FLASH.EXE-063A163E.pf
25.07.2009 22:49 16.896 SILENT INSTALL FLASH PLAYER 7-13676A69.pf
25.07.2009 22:49 18.496 SETUP.EXE-2120F086.pf
25.07.2009 22:49 21.780 RUNDLL32.EXE-16BE9899.pf
25.07.2009 22:49 11.506 SILENTMX.EXE-35F8DD21.pf
25.07.2009 22:49 20.200 DIVXCOMPONENTINSTALLER.EXE-11AF024B.pf
25.07.2009 22:49 35.780 DIVX PLAYER.EXE-0459E47A.pf
25.07.2009 22:49 5.396 PXHPINST.EXE-19CAC65A.pf
25.07.2009 22:49 12.676 PXSETUP.EXE-03436B95.pf
25.07.2009 22:45 10.240 REG.EXE-0D2A95F7.pf
25.07.2009 22:44 8.346 CMDOW.EXE-2F3FAF9A.pf
25.07.2009 22:44 12.382 RUNDLL32.EXE-49F747DB.pf
25.07.2009 22:44 9.124 HIDE.EXE-115DB087.pf
25.07.2009 22:44 14.116 DELAY.EXE-3B32AF7E.pf
25.07.2009 22:44 19.656 SHMGRATE.EXE-1BA69E68.pf
25.07.2009 22:44 24.472 RUNDLL32.EXE-286A7F8C.pf
25.07.2009 22:44 44.672 SETUP50.EXE-0CDEF78F.pf
25.07.2009 22:44 16.510 RUNDLL32.EXE-2F291A27.pf
25.07.2009 22:44 34.304 IE4UINIT.EXE-169A5A39.pf
25.07.2009 22:44 14.338 RUNDLL32.EXE-169CA248.pf
25.07.2009 22:44 10.686 D1.EXE-27D5A0FD.pf
25.07.2009 22:43 18.084 XP-ANTISPY.EXE-0E86DA55.pf
25.07.2009 22:43 12.776 SIL-ANTISPY.EXE-1DC89BED.pf
25.07.2009 22:43 12.366 PREREG2.EXE-334A6D0E.pf
25.07.2009 22:43 14.508 RUNDLL32.EXE-407DF0A8.pf
25.07.2009 22:43 12.800 PREREG1.EXE-1BB470A4.pf
25.07.2009 22:43 8.750 CMDOW.EXE-2B1503A3.pf
25.07.2009 22:43 30.284 ACCESS.EXE-1847E9E0.pf
25.07.2009 22:43 15.872 MSI129.TMP-04DA38E4.pf
25.07.2009 22:43 10.174 WINDOWS-KB913433-X86-DEU.EXE-1E2B15B3.pf
25.07.2009 22:43 8.114 GENINST.EXE-33D952F4.pf
25.07.2009 22:43 18.830 INSTALL_FP6_WU.EXE-08337DE0.pf
25.07.2009 22:43 11.932 MRTSTUB.EXE-16226E88.pf
25.07.2009 22:43 25.864 6WINDOWS-KB890830-V1.4-DEU.EX-25718538.pf
25.07.2009 22:43 58.390 MRT.EXE-1B4A8D49.pf
25.07.2009 22:42 75.314 UPDATE.EXE-3A5F4773.pf
25.07.2009 22:42 35.478 WINDOWSXP-KB867282-X86-DEU.EX-03E168B4.pf
25.07.2009 22:42 15.852 UPDATE.EXE-00943BEE.pf
25.07.2009 22:42 44.762 IE6.0SP1-KB867282-WINDOWS-200-2018B983.pf
25.07.2009 22:42 49.136 IE5.01SP4-KB867282-WINDOWS200-003B4CBF.pf
25.07.2009 22:42 15.154 UPDATE.EXE-19A55C78.pf
25.07.2009 22:42 4.268 IE6.0SP1-KB823353-X86-DEU.EXE-2B603167.pf
25.07.2009 22:42 4.366 IE5.5SP2-KB823353-X86-DEU.EXE-1B464FCD.pf
25.07.2009 22:42 4.880 IE6.0SP1-KB833989-X86-DEU.EXE-24A2B93F.pf
25.07.2009 22:42 73.082 UPDATE.EXE-38EC4138.pf
25.07.2009 22:42 38.600 WINDOWSXP-KB885250-X86-DEU.EX-32698122.pf
25.07.2009 22:42 66.424 UPDATE.EXE-0BAA44F1.pf
25.07.2009 22:42 38.476 WINDOWSXP-KB834707-X86-DEU.EX-0269C959.pf
25.07.2009 22:42 5.460 MSJAVWU.EXE-282973BD.pf
25.07.2009 22:42 8.202 JAVATRIG.EXE-36B0A866.pf
25.07.2009 22:42 8.562 HMTCDWIZARD_DEU.EXE-086DC32A.pf
25.07.2009 22:42 5.100 MODE.COM-31685BAE.pf
25.07.2009 22:41 42.508 UPDATE.EXE-0CE53A2E.pf
25.07.2009 22:41 14.846 WMPNETWK.EXE-1EDAFEC2.pf
25.07.2009 22:41 32.936 UNREGMP2.EXE-07CACB61.pf
25.07.2009 22:41 6.230 WMPENC.EXE-18EEC116.pf
25.07.2009 22:41 14.726 UNREGMP2.EXE-028C24AE.pf
25.07.2009 22:41 43.102 UPDATE.EXE-18FBFCC7.pf
25.07.2009 22:41 44.008 WMP11.EXE-23B563F8.pf
25.07.2009 22:41 12.488 LOGAGENT.EXE-027AF92B.pf
25.07.2009 22:41 43.476 UPDATE.EXE-1B78E6D2.pf
25.07.2009 22:41 51.632 WMFDIST11.EXE-0A11BFCF.pf
25.07.2009 22:40 21.064 UPDATE.EXE-057E9411.pf
25.07.2009 22:40 13.792 UMDF.EXE-153C2DDE.pf
25.07.2009 22:40 12.114 PREINS.EXE-1A7D3D99.pf
25.07.2009 22:40 17.620 RUNDLL32.EXE-3C808998.pf
25.07.2009 22:40 13.098 USERINIT.EXE-30B18140.pf
25.07.2009 22:40 19.524 WINLOGON.EXE-32C57D49.pf
25.07.2009 22:40 810 SERVICES.EXE-2F433351.pf
25.07.2009 22:40 5.578 LSASS.EXE-20DB6D1B.pf
25.07.2009 22:40 48.370 SVCHOST.EXE-3530F672.pf
25.07.2009 22:40 10.830 SPOOLSV.EXE-282F76A7.pf
25.07.2009 22:40 13.994 OOBEBALN.EXE-1BF3CBB1.pf
129 Datei(en) 4.760.432 Bytes
0 Verzeichnis(se), 17.599.000.576 Bytes frei
----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 487B-E8A8
Verzeichnis von C:\WINDOWS\tasks
26.07.2009 20:54 6 SA.DAT
25.07.2009 22:43 408 1-Klick-Wartung.job
01.06.2006 21:06 65 desktop.ini
3 Datei(en) 479 Bytes
0 Verzeichnis(se), 17.599.008.768 Bytes frei
----- Windows/Temp -----------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 487B-E8A8
Verzeichnis von C:\WINDOWS\Temp
26.07.2009 20:54 256 ZLT07069.TMP
26.07.2009 20:54 16.384 Perflib_Perfdata_73c.dat
26.07.2009 19:22 28.644 Cab4.tmp
3 Datei(en) 45.284 Bytes
0 Verzeichnis(se), 17.599.008.768 Bytes frei
----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 487B-E8A8
Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp
26.07.2009 21:08 0 JET9626.tmp
26.07.2009 20:59 3.112 java_install_reg.log
26.07.2009 20:59 3.160 jusched.log
26.07.2009 20:54 16.384 ~DF7062.tmp
26.07.2009 20:45 424.440 dd_dotnetfx35install.txt
26.07.2009 20:45 20.056 uxeventlog.txt
26.07.2009 20:38 264.841 dd_depcheck_NETFX_EXP_35.txt
26.07.2009 20:38 126.594 dd_dotnetfx35install_lp.txt
26.07.2009 20:38 6.358 dd_XPS_LP.txt
26.07.2009 20:38 471.222 dd_NET_Framework35_LangPack_MSI63B1.txt
26.07.2009 20:38 951.350 dd_NET_Framework_30LP_Agile_Setup6380.txt
26.07.2009 20:37 2.078.188 dd_NET_Framework_20LP_Agile_Setup62C3.txt
26.07.2009 20:36 2 dd_dotnetfx35error_lp.txt
26.07.2009 20:36 1.445.216 dd_NET_Framework35_MSI61D8.txt
26.07.2009 20:35 3.219.762 dd_NET_Framework30_Setup608B.txt
26.07.2009 20:34 4.509 dd_wcf_retCA7DE6.txt
26.07.2009 20:33 10.087 dd_XPS.txt
26.07.2009 20:33 10.598.570 dd_NET_Framework20_Setup5D5A.txt
26.07.2009 20:32 5.158 ASPNETSetup_00000.log
26.07.2009 20:29 6.137 dd_WIC.txt
26.07.2009 20:29 374.598 dd_MSXML6_MSI5CC1.txt
26.07.2009 20:28 136.168 dd_RGB9RAST_x86.msi5C83.txt
26.07.2009 20:28 7.944 dd_clwireg.txt
26.07.2009 20:28 28.953 java_install.log
26.07.2009 20:17 71.680 GLBED.tmp
26.07.2009 20:16 0 bchEB.tmp
26.07.2009 20:06 2 dd_dotnetfx35error.txt
26.07.2009 19:39 22.246 Turkish.bin
26.07.2009 19:39 21.958 Norwegian.bin
26.07.2009 19:39 26.076 Hungarian.bin
26.07.2009 19:39 19.553 Hebrew.bin
26.07.2009 19:39 22.853 Finnish.bin
26.07.2009 19:39 24.310 Czech.bin
26.07.2009 19:39 25.067 Portuguese(Brazil).bin
26.07.2009 19:39 24.219 Polish.bin
26.07.2009 19:39 25.080 Greek.bin
26.07.2009 19:39 21.977 Thai.bin
26.07.2009 19:39 20.974 Arabic.bin
26.07.2009 19:39 16.404 SimChin.bin
26.07.2009 19:39 21.911 English.bin
26.07.2009 19:39 26.256 Portuguese.bin
26.07.2009 19:39 24.088 SWEDISH.bin
26.07.2009 19:39 27.754 Spanish.bin
26.07.2009 19:39 26.125 Russian.bin
26.07.2009 19:39 27.409 Italian.bin
26.07.2009 19:39 25.746 German.bin
26.07.2009 19:39 27.237 French.bin
26.07.2009 19:39 16.949 TradChin.bin
26.07.2009 19:39 25.741 Dutch.bin
26.07.2009 19:39 22.769 Danish.bin
26.07.2009 19:39 20.135 Korean.bin
26.07.2009 19:39 24.297 Japanese.bin
26.07.2009 19:26 0 bh_html.htm
26.07.2009 19:19 16.384 ~DFF21A.tmp
54 Datei(en) 20.878.009 Bytes
0 Verzeichnis(se), 17.599.004.672 Bytes frei
|
|
26.07.2009, 20:20
| #5 |
| | Generic 14.DNH Hijackthis Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:17:23, on 26.07.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\PC Tools AntiVirus\PCTAV.exe C:\Programme\ThreatFire\TFTray.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\PC Tools AntiVirus\PCTAVSvc.exe C:\Programme\ThreatFire\TFService.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Opera\opera.exe C:\PROGRA~1\ICQ6.5\ICQ.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [PCTAVApp] "C:\Programme\PC Tools AntiVirus\PCTAV.exe" /MONITORSCAN O4 - HKLM\..\Run: [ThreatFire] C:\Programme\ThreatFire\TFTray.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: PC Tools AntiVirus Engine (PCTAVSvc) - PC Tools Research Pty Ltd - C:\Programme\PC Tools AntiVirus\PCTAVSvc.exe O23 - Service: ThreatFire - PC Tools - C:\Programme\ThreatFire\TFService.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 5559 bytes |
|
26.07.2009, 20:25
| #6 |
| | Generic 14.DNHCode:
ATTFilter Adobe Photoshop CS2
Adobe Reader 9.1 - Deutsch
ATI - Dienstprogramm zur Deinstallation der Software
ATI Catalyst Control Center
ATI Display Driver
ATI HYDRAVISION
ATI Problem Report Wizard
AusLogics BoostSpeed
Avira AntiVir Personal - Free Antivirus
AVIVO Codecs
CCleaner (remove only)
DivX
DivX Converter
DivX Player
DivX Web Player
High Definition Audio Driver Package - KB888111
HighMAT-Erweiterung für den Microsoft Windows XP-Assistenten zum Schreiben von CDs
HijackThis 2.0.2
ICQ6.5
J2SE Runtime Environment 5.0 Update 6
Java(TM) 6 Update 14
Macromedia Flash MX 2004
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 SP1
Microsoft Baseline Security Analyzer 1.2.1
Microsoft Office FrontPage 2003
Microsoft Office Professional Edition 2003
Microsoft User-Mode Driver Framework Feature Pack 1.0.0 (Pre-Release 5348)
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Mozilla Firefox (3.5.1)
MSXML 6.0 Parser (KB933579)
Opera 9.64
PC Tools AntiVirus 6.0
Realtek High Definition Audio Driver
Spybot - Search & Destroy
Spybot - Search & Destroy 1.4
TeamViewer 4
ThreatFire
TuneUp Utilities 2006
VLC media player 0.9.9
WinRAR
ZoneAlarm Pro
|
|
26.07.2009, 20:30
| #7 | |
| /// Helfer-Team | Generic 14.DNH Hi, solange Du deine Kiste damit neu aufsetzt Zitat:
Karl |
|
26.07.2009, 21:28
| #8 |
| | Generic 14.DNHCode:
ATTFilter GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-07-26 22:14:53
Windows 5.1.2600 Service Pack 2
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateFile [0xA7B65B70]
SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwCreateKey [0xBA6CE514]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateProcess [0xA7B7D760]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateProcessEx [0xA7B7D980]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateSection [0xA7B80610]
SSDT BAFF4444 ZwCreateThread
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteFile [0xA7B66180]
SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwDeleteKey [0xBA6CED00]
SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwDeleteValueKey [0xBA6CEFB8]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDuplicateObject [0xA7B7D080]
SSDT BAFF4462 ZwLoadKey
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwOpenFile [0xA7B65FD0]
SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwOpenKey [0xBA6CD3FA]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwOpenProcess [0xA7B7CE80]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwOpenThread [0xA7B7CC40]
SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwRenameKey [0xBA6CF422]
SSDT BAFF446C ZwReplaceKey
SSDT BAFF4467 ZwRestoreKey
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSecureConnectPort [0xA7B68E40]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSetInformationFile [0xA7B662F0]
SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwSetValueKey [0xBA6CE7D8]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwTerminateProcess [0xA7B7DBB0]
---- Kernel code sections - GMER 1.0.15 ----
? C:\WINDOWS\system32\Drivers\mchInjDrv.sys
|
|
| Themen zu Generic 14.DNH |
| angemeldet, anti-malware, combofix, dateien, desktop, erstellt, explorer, generic, icons, internet, internet explorer, log, malwarebytes, neu, neu aufgesetzt, programme, protection system, rechner, registrierungsschlüssel, rogue.protectionsystem, security, service, software, stopzilla, system, taskmanager, version, virus |
Hybrid-Darstellung
