| |
| |||||||
Log-Analyse und Auswertung: Bitte hijackthis log anguckenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
08.10.2009, 22:56
| #1 |
| |  Bitte hijackthis log angucken Hallo, ich habe von Antivirus schon Virenmeldungen bekommen und möchte mir als Anfänger hier im Forum Hilfe von Experten holen, da ich bis jetzt noch keine Erfahrung mit HijackThis gemacht habe. Bitte um Auswertung meiner logfile. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:33:59, on 08.10.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\S24EvMon.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZCfgSvc.exe C:\WINDOWS\system32\1XConfig.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\system32\svchost.exe C:\Programme\a-squared Free\a2service.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\RALINK\Common\RalinkRegistryWriter.exe C:\WINDOWS\system32\RegSrvc.exe C:\Programme\Spyware Doctor\pctsAuxs.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe C:\Programme\Spyware Doctor\pctsSvc.exe C:\Programme\Softwin\BitDefender10\bdmcon.exe C:\Programme\Softwin\BitDefender10\bdagent.exe C:\Programme\Spyware Doctor\pctsTray.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Windows Live\Messenger\msnmsgr.exe C:\WINDOWS\system32\slserv.exe C:\Programme\Trend Micro\Internet Security\Tmntsrv.exe C:\Programme\Trend Micro\Internet Security\tmproxy.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe C:\Programme\Trend Micro\Internet Security\PccPfw.exe C:\Programme\Softwin\BitDefender10\vsserv.exe C:\WINDOWS\System32\alg.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender10\bdmcon.exe" /reg O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe" O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/de/scan8/oscan8.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095784490062 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe O23 - Service: Trend Micro Personal Firewall (PccPfw) - Trend Micro Incorporated. - C:\Programme\Trend Micro\Internet Security\PccPfw.exe O23 - Service: Ralink Registry Writer (RalinkRegistryWriter) - Ralink Technology, Corp. - C:\Programme\RALINK\Common\RalinkRegistryWriter.exe O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Incorporated. - C:\Programme\Trend Micro\Internet Security\Tmntsrv.exe O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Incorporated. - C:\Programme\Trend Micro\Internet Security\tmproxy.exe O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender10\vsserv.exe O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe -- End of file - 8207 bytes Vielen Dank im Vorraus! |
|
09.10.2009, 08:15
| #2 | |
| /// Helfer-Team    |  Bitte hijackthis log angucken Hallo und Herzlich Willkommen!
__________________ - Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe: 1. Wundert mich, dass dein Rechner noch läuft! - Mehrere gleichzeitig installierte und aktivierte Antivirenprogramme  Code:
ATTFilter Avira\AntiVir
Trend Micro\Internet Security
BitDefender
a-squared Free <-- kannst belassen, aber auch nicht nötig!
Spyware Doctor <-- wenn nicht Kaufversion, deinstalliere auch!
Wahle Dir eins aus und andere Antiviren- oder/und Firewallsoftware deinstallieren! Wichtig: Nur eine Firewall sowie ein Antiviren Programm verwenden, welche sich immer auf dem aktuellsten Stand befinden sollten! 2. - lade dir das Tool CCleaner herunter installieren ("Füge xxxx.. Toolbar hinzu" abwählen)→ starten→ unter Options settings→ "german" einstellen 1.starte→ klicke auf "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner" 2. dann "Registry"→ "Fehler suchen"→ "Fehler beheben"→"Alle beheben" 3. Starte dein System neu auf 2. poste erneut: Trend Micro HijackThis-Logfile - Keine offenen Fenster, solang bis HijackThis läuft!! 3. ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen:: → Klicke unter Start auf Arbeitsplatz. → Klicke im Menü Extras auf Ordneroptionen. → Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen → Geschützte und Systemdateien ausblenden → Haken entfernen → Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen. → Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. 4. Für XP und Win2000 (ansonsten auslassen) → lade Dir das filelist.zip auf deinen Desktop herunter → entpacke die Zip-Datei auf deinen Desktop → starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen → kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread ** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen! 5. Ich würde gerne noch all deine installierten Programme sehen: Ccleaner starten→ dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein Zitat:
Coverflow |
|
09.10.2009, 11:00
| #3 |
| | Bitte hijackthis log angucken 1. habe jetzt nur noch avira auf mein rechner.
__________________2. bei der Fehlerbehebung tritt ein Problem auf, und zwar tritt die folgende Datei bei jeder Suche wieder auf, obwohl ich sie gelöscht habe: DateiEndung: Ungenutzte Datei-Endungen Daten: {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} RegistrySchlüssel: HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} Log file: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:43:44, on 09.10.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\S24EvMon.exe C:\WINDOWS\system32\ZCfgSvc.exe C:\WINDOWS\system32\1XConfig.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\RALINK\Common\RalinkRegistryWriter.exe C:\WINDOWS\system32\RegSrvc.exe C:\WINDOWS\system32\slserv.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\temp1.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/de/scan8/oscan8.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095784490062 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Ralink Registry Writer (RalinkRegistryWriter) - Ralink Technology, Corp. - C:\Programme\RALINK\Common\RalinkRegistryWriter.exe O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe End of file - 5500 bytes 4. Ich weiß jetzt nicht so genau, ob ich das richtig gemacht habe, habe die Einträge die älter als 6 Monate sind gelöscht. ----- Root ----------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 3A62-16F5 Verzeichnis von C:\ 09.10.2009 11:48 43 filelist.txt 09.10.2009 11:31 536.268.800 hiberfil.sys 09.10.2009 11:31 805.306.368 pagefile.sys 09.10.2009 11:02 70.207 host.exe 05.10.2009 18:25 211 boot.ini 13 Datei(en) 1.341.950.063 Bytes 0 Verzeichnis(se), 19.601.997.824 Bytes frei ----- Windows -------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 3A62-16F5 Verzeichnis von C:\WINDOWS 09.10.2009 11:32 0 0.log 09.10.2009 11:31 2.048 bootstat.dat 09.10.2009 11:31 1.440.995 WindowsUpdate.log 09.10.2009 11:31 7.368 SchedLgU.Txt 09.10.2009 11:02 1.211 xcopy.exe 09.10.2009 11:02 70.207 svchost.exe 05.10.2009 20:26 316.640 WMSysPr9.prx 05.10.2009 20:04 0 nsreg.dat 05.10.2009 19:25 552 win.ini 05.10.2009 18:38 754 WORDPAD.INI 63 Datei(en) 11.182.078 Bytes 0 Verzeichnis(se), 19.601.997.824 Bytes frei ----- System --- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 3A62-16F5 Verzeichnis von C:\WINDOWS\system 25 Datei(en) 929.787 Bytes 0 Verzeichnis(se), 19.601.997.824 Bytes frei ----- System 32 (Achtung: Zeitfenster beachten!) --- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 3A62-16F5 Verzeichnis von C:\WINDOWS\system32 09.10.2009 11:31 2.085 temp2.exe 09.10.2009 11:31 35.346 temp1.exe 09.10.2009 10:56 81.984 bdod.bin 09.10.2009 10:44 0 bdss.log 06.10.2009 16:45 317.168 perfh007.dat 06.10.2009 16:45 48.552 perfc007.dat 06.10.2009 16:45 311.938 perfh009.dat 06.10.2009 16:45 40.326 perfc009.dat 06.10.2009 16:44 723.568 PerfStringBackup.INI 06.10.2009 16:39 263.024 FNTCACHE.DAT 06.10.2009 14:33 1.214 TZLog.log 05.10.2009 18:26 1.158 wpa.dbl 05.10.2009 18:26 261 $winnt$.inf 05.08.2009 11:05 206.336 mswebdvd.dll 29.07.2009 06:48 119.808 t2embed.dll 29.07.2009 06:48 82.432 fontsub.dll 26.07.2009 16:44 48.448 sirenacm.dll 18.07.2009 18:18 1.506.304 shdocvw.dll 17.07.2009 20:56 58.880 atl.dll 14.07.2009 13:03 46.080 tzchange.exe 13.07.2009 02:18 233.472 wmpdxm.dll 13.07.2009 02:18 4.960.256 wmp.dll 26.06.2009 18:17 474.624 shlwapi.dll 26.06.2009 18:16 1.056.256 danim.dll 26.06.2009 18:16 55.808 extmgr.dll 26.06.2009 18:16 1.023.488 browseui.dll 26.06.2009 18:16 152.064 cdfview.dll 23.06.2009 02:23 375.808 xpsp3res.dll 15.06.2009 13:32 78.848 telnet.exe 10.06.2009 16:22 85.504 avifil32.dll 10.06.2009 08:30 132.096 wkssvc.dll 05.06.2009 09:42 655.872 mstscax.dll 03.06.2009 21:26 1.296.384 quartz.dll 26.05.2009 16:51 2.174.976 WMVCore.dll 07.05.2009 17:42 346.624 localspl.dll 01.05.2009 23:03 120.056 pxcpyi64.exe 01.05.2009 23:03 118.520 pxinsi64.exe 01.05.2009 23:03 64.760 pxinsa64.exe 01.05.2009 23:03 72.440 pxhpinst.exe 01.05.2009 23:03 518.904 pxdrv.dll 01.05.2009 23:03 129.784 pxafs.dll 01.05.2009 23:03 551.672 px.dll 01.05.2009 23:03 1.628.920 pxsfs.dll 01.05.2009 23:03 66.296 pxcpya64.exe 01.05.2009 23:03 187.128 pxmas.dll 01.05.2009 23:03 379.640 pxwave.dll 01.05.2009 23:03 88.824 vxblock.dll 01.05.2009 23:02 90.112 dpl100.dll 01.05.2009 23:02 815.104 divx_xx0a.dll 01.05.2009 23:02 802.816 divx_xx11.dll 01.05.2009 23:02 823.296 divx_xx07.dll 01.05.2009 23:02 823.296 divx_xx0c.dll 01.05.2009 23:02 685.056 DivX.dll 01.05.2009 23:02 811.008 divx_xx16.dll 19.04.2009 22:06 1.846.784 win32k.sys 15.04.2009 17:11 584.192 rpcrt4.dll 1880 Datei(en) 361.589.221 Bytes 0 Verzeichnis(se), 19.601.473.536 Bytes frei ----- Prefetch ------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 3A62-16F5 Verzeichnis von C:\WINDOWS\Prefetch 09.10.2009 11:46 125.972 FIREFOX.EXE-1D57670A.pf 09.10.2009 11:43 10.628 WSCNTFY.EXE-1B24F5EB.pf 09.10.2009 11:43 45.978 TASKMGR.EXE-20256C55.pf 09.10.2009 11:42 41.968 WMIPRVSE.EXE-28F301A9.pf 09.10.2009 11:39 37.124 WORDPAD.EXE-1EFCC5C1.pf 09.10.2009 11:38 37.970 CCLEANER.EXE-065E2F3F.pf 09.10.2009 11:35 17.210 CMD.EXE-087B4001.pf 09.10.2009 11:33 1.162.768 NTOSBOOT-B00DFAAD.pf 09.10.2009 11:33 73.882 WUAUCLT.EXE-399A8E72.pf 09.10.2009 11:30 34.324 SVCHOST.EXE-16C7D411.pf 09.10.2009 11:30 47.120 RUNDLL32.EXE-3BD00ECC.pf 09.10.2009 11:23 28.490 DRWTSN32.EXE-2B4B52AC.pf 09.10.2009 11:13 19.728 LOGONUI.EXE-0AF22957.pf 09.10.2009 10:59 110.002 MSIEXEC.EXE-2F8A8CAE.pf 09.10.2009 10:58 28.316 REGSVR32.EXE-25EEFE2F.pf 09.10.2009 10:57 100.658 IEXPLORE.EXE-2CA9778D.pf 09.10.2009 10:56 9.996 XCOMMSVR.EXE-30670485.pf 09.10.2009 10:56 17.214 BDSS.EXE-11B98B2C.pf 09.10.2009 10:50 47.344 ALG.EXE-0F138680.pf 09.10.2009 10:49 57.116 IMAPI.EXE-0BF740A4.pf 09.10.2009 10:45 105.970 PCCPFW.EXE-35C56880.pf 08.10.2009 23:26 48.926 DWWIN.EXE-30875ADC.pf 08.10.2009 23:00 8.924 NEROCHECK.EXE-092C6DFA.pf 08.10.2009 14:16 40.224 RUNDLL32.EXE-451FC2C0.pf 07.10.2009 22:05 126.124 ICQ.EXE-15A4C655.pf 07.10.2009 14:12 16.258 GRPCONV.EXE-111CD845.pf 07.10.2009 14:12 33.490 RUNONCE.EXE-2803F297.pf 06.10.2009 22:07 11.202 LOGON.SCR-151EFAEA.pf 06.10.2009 19:37 49.308 SDASETUP.EXE-26675A05.pf 06.10.2009 16:47 33.844 SVCHOST.EXE-3530F672.pf 06.10.2009 16:47 24.290 MSPAINT.EXE-11CBB631.pf 06.10.2009 13:09 60.418 UPDATE.EXE-293234C5.pf 06.10.2009 13:09 61.580 UPDATE.EXE-30AD5E62.pf 06.10.2009 13:06 69.312 UPDATE.EXE-1A0D20F6.pf 06.10.2009 13:04 60.060 UPDATE.EXE-39A4DAB8.pf 06.10.2009 13:04 79.726 UPDATE.EXE-2FFF68C4.pf 06.10.2009 13:02 70.682 UPDATE.EXE-2304D0D5.pf 06.10.2009 13:02 68.352 UPDATE.EXE-2E7C3CF5.pf 06.10.2009 13:02 68.720 UPDATE.EXE-24CD1528.pf 06.10.2009 13:02 79.456 UPDATE.EXE-0D18163F.pf 06.10.2009 13:01 56.176 UPDATE.EXE-1793D33B.pf 06.10.2009 12:48 77.846 UPDATE.EXE-087332BF.pf 06.10.2009 12:48 80.744 UPDATE.EXE-232F8E7A.pf 06.10.2009 12:47 81.176 UPDATE.EXE-00AA9691.pf 06.10.2009 12:34 63.626 UPDATE.EXE-06686935.pf 06.10.2009 12:22 49.976 SETUP.EXE-011874AA.pf 06.10.2009 12:22 53.106 BITDEFENDER_FREE_V10.EXE-0065634E.pf 06.10.2009 12:07 73.362 UPDATE.EXE-04E83CA5.pf 06.10.2009 11:44 48.786 SDASETUP.TMP-1FBFA019.pf 06.10.2009 11:19 18.716 RUNDLL32.EXE-29A2BA7C.pf 06.10.2009 11:19 46.194 RUNDLL32.EXE-2905E326.pf 06.10.2009 11:18 37.234 RUNDLL32.EXE-21A56772.pf 06.10.2009 11:17 45.072 UPDATE.EXE-1B9AA4D5.pf 06.10.2009 11:17 69.696 UPDATE.EXE-2D2F348B.pf 06.10.2009 11:16 17.974 DLLHOST.EXE-4874124B.pf 06.10.2009 11:16 16.458 GETPLUSPLUS_ADOBE.EXE-20139700.pf 06.10.2009 11:16 39.170 GETPLUSPLUS_ADOBE_REG_BOOTSTR-156E6A4E.pf 06.10.2009 11:16 26.556 GETPLUSPLUS_ADOBE_REG.EXE-0FB19958.pf 05.10.2009 23:56 89.498 WINWORD.EXE-0B995611.pf 05.10.2009 23:55 26.914 RUNDLL32.EXE-314915B0.pf 05.10.2009 23:49 28.080 RUNDLL32.EXE-18C9AEA0.pf 05.10.2009 23:38 34.140 DIVX PLAYER.EXE-0459E47A.pf 05.10.2009 23:37 5.546 PXHPINST.EXE-19CAC65A.pf 05.10.2009 23:37 31.244 PXSETUP.EXE-1C199762.pf 05.10.2009 23:36 18.160 DIVXCOMPONENT.EXE-29686867.pf 05.10.2009 23:36 15.170 DIVXCONNECTIONTESTER.EXE-30010E9C.pf 05.10.2009 23:36 53.324 DIVXINSTALLER72.EXE-06BB1205.pf 05.10.2009 21:45 20.306 ICQUPDATER.EXE-35972857.pf 05.10.2009 21:11 49.530 ADOBE_UPDATER.EXE-059F58EC.pf 05.10.2009 21:10 8.738 EULA.EXE-07D0DF40.pf 05.10.2009 21:00 24.968 RAUI.EXE-257AD180.pf 05.10.2009 21:00 6.548 RALINKREGISTRYWRITER.EXE-1F980626.pf 05.10.2009 20:59 9.840 AEGISI5.EXE-04B73582.pf 05.10.2009 20:59 54.714 AEGISI5INSTALLER.EXE-1DB7D51A.pf 05.10.2009 20:59 43.806 RAINST.EXE-37E3CFDF.pf 05.10.2009 20:59 55.432 IS_AP_STA_2500_D-3.2.0.10_VA--3A31F56C.pf 05.10.2009 20:58 14.218 TEMP2.EXE-2D8C2A7C.pf 05.10.2009 20:58 7.686 TEMP1.EXE-2172B336.pf 05.10.2009 20:58 27.174 RUNDLL32.EXE-3039A37A.pf 05.10.2009 20:58 26.006 COPY.EXE-0F024483.pf 05.10.2009 20:57 17.596 SETUP.EXE-393E66AE.pf 05.10.2009 20:57 15.318 RUNDLL32.EXE-16A858ED.pf 05.10.2009 20:52 43.032 INSTALL_FLASH_PLAYER_ACTIVE_X-31CAA64A.pf 05.10.2009 20:52 4.346 NS2D6.TMP-3B2A8137.pf 05.10.2009 20:51 52.398 INSTALL_ICQ65.EXE-37007CCA.pf 05.10.2009 20:51 21.190 MINDMA~1.EXE-3208FEC8.pf 05.10.2009 20:51 12.850 MMSM21-G-3.EXE-1D1F802D.pf 05.10.2009 20:46 22.260 SETUP.EXE-3ACDB95C.pf 05.10.2009 20:45 56.870 ADBERDR910_DE_DE.EXE-34D3A657.pf 05.10.2009 20:30 16.534 SETUP.EXE-04B20647.pf 05.10.2009 20:30 24.190 NEROSTARTSMART.EXE-280EC446.pf 05.10.2009 20:27 17.160 SETUP.EXE-08A20CFB.pf 05.10.2009 20:26 27.698 NEROVISION.EXE-2F9F3508.pf 05.10.2009 20:26 13.516 LOGAGENT.EXE-027AF92B.pf 05.10.2009 20:26 27.062 SETUP_WM.EXE-27C661AD.pf 05.10.2009 20:26 25.582 WMFDIST.EXE-075D7516.pf 05.10.2009 20:24 17.158 SETUP.EXE-12425E03.pf 05.10.2009 20:08 66.172 EXPLORER.EXE-082F38A9.pf 05.10.2009 20:07 37.820 WINDOWSINSTALLER-KB893803-V2--0CF39225.pf 05.10.2009 20:06 42.586 INSTALL_FLASH_PLAYER[1].EXE-162F76B6.pf 05.10.2009 20:05 27.018 RUNDLL32.EXE-18A0EB42.pf 05.10.2009 20:03 9.966 SETUP.EXE-32165D42.pf 05.10.2009 20:03 63.030 FIREFOX%20SETUP%203.5.3[2].EX-1187F78B.pf 05.10.2009 20:02 25.260 CCSETUP224_SLIM[1].EXE-00475DF5.pf 05.10.2009 20:01 27.018 RUNDLL32.EXE-15A70C75.pf 05.10.2009 19:31 41.238 MSI17B.TMP-2667790A.pf 05.10.2009 19:31 12.486 MSOHTMED.EXE-37A06F08.pf 05.10.2009 19:24 52.524 OSE00000.EXE-2C62C80E.pf 05.10.2009 19:24 9.992 OSE.EXE-3B154EAF.pf 05.10.2009 19:01 15.942 DEFRAG.EXE-273F131E.pf 05.10.2009 19:01 231.230 Layout.ini 05.10.2009 18:40 33.586 MMC.EXE-39071BCC.pf 05.10.2009 18:40 39.954 RUNDLL32.EXE-147710F4.pf 05.10.2009 18:25 9.130 CDM.EXE-060D885C.pf 05.10.2009 18:25 12.570 RUNDLL32.EXE-4B478882.pf 05.10.2009 18:23 16.416 REGSRVC.EXE-099DE898.pf 05.10.2009 18:23 49.776 SLSERV.EXE-1E8DF9A3.pf 05.10.2009 18:23 6.332 S24EVMON.EXE-15F84983.pf 05.10.2009 18:23 44.928 TMNTSRV.EXE-102BA44B.pf 05.10.2009 18:23 43.582 ATI2EVXX.EXE-19D16EB9.pf 05.10.2009 18:23 49.910 RUNDLL32.EXE-421850AA.pf 05.10.2009 18:23 27.270 AGENTSVR.EXE-002E45AB.pf 05.10.2009 18:23 11.566 SPOOLSV.EXE-282F76A7.pf 05.10.2009 18:23 28.494 SESSMGR.EXE-25E7D5E1.pf 130 Datei(en) 6.326.272 Bytes 0 Verzeichnis(se), 19.601.391.616 Bytes frei ----- Tasks ---------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 3A62-16F5 Verzeichnis von C:\WINDOWS\tasks 09.10.2009 11:31 6 SA.DAT 2 Datei(en) 71 Bytes 0 Verzeichnis(se), 19.601.899.520 Bytes frei ----- Windows/Temp ----------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 3A62-16F5 Verzeichnis von C:\WINDOWS\Temp 09.10.2009 10:59 19.719 tpm2300.log 09.10.2009 10:41 173 kds.xml 2 Datei(en) 19.892 Bytes 0 Verzeichnis(se), 19.601.899.520 Bytes frei ----- Temp ----------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 3A62-16F5 Verzeichnis von C:\DOKUME~1\Alvin\LOKALE~1\Temp 09.10.2009 10:58 60.503 Uninstall Log 2009-10-09 #001.txt 09.10.2009 10:58 6.655 Uninstall Log 2009-10-09 #003.txt 09.10.2009 10:58 3.943 Uninstall Log 2009-10-09 #002.txt 3 Datei(en) 71.101 Bytes 0 Verzeichnis(se), 19.601.899.520 Bytes frei 5. Meine installierten Programme: Adobe Flash Player 10 ActiveX Adobe Flash Player 10 Plugin Adobe Reader 9.1 - Deutsch ATI - Dienstprogramm zur Deinstallation der Software ATI Control Panel ATI Display Driver Avira AntiVir Personal - Free Antivirus CCleaner (remove only) DivX Codec DivX Converter DivX Player DivX Plus DirectShow Filters DivX Web Player HijackThis 2.0.2 ICQ6.5 Intel(R) PRO Network Adapters and Drivers Intel(R) PROSet for Wireless Microsoft Office Enterprise 2007 Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 MindManager Smart Mozilla Firefox (3.5.3) Nero Suite Ralink Wireless LAN Smart Link 56K Modem Synaptics Pointing Device Driver Windows Internet Explorer 8 Windows Live Essentials Windows Live-Uploadtool WinRAR Zattoo 3.3.4 Beta Vielen Dank... |
|
09.10.2009, 13:59
| #4 | |||
| /// Helfer-Team | Bitte hijackthis log anguckenZitat:
Was nun ein gröberes Problem ist, dass Du auf deinem Rechner einen Backdoor hast  Zitat:
1. Lade das SDFix von AndyManchesta eine der folgenden Links herunter: bleepingcomputer.com andymanchesta.com
2. Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org
3. poste erneut: Trend Micro HijackThis-Logfile - Keine offenen Fenster, solang bis HijackThis läuft!! filelist.bat - den letzten sechs Monaten! Zitat:
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw |
|
09.10.2009, 18:10
| #5 |
| | Bitte hijackthis log angucken 1. Habe mich für die Systemreinigung entschieden: Hier ist der report: Code:
ATTFilter
SDFix: Version 1.240
Run by Alvin on 09.10.2009 at 15:36
Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix
Checking Services :
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
Checking Files :
Trojan Files Found:
C:\WINDOWS\autorun.inf - Deleted
C:\WINDOWS\svchost.exe - Deleted
Removing Temp Files
ADS Check :
Final Check :
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-09 15:39:25
Windows 5.1.2600 Service Pack 2 FAT NTAPI
scanning hidden processes ...
scanning hidden services ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
Remaining Services :
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\\Programme\\Microsoft Office\\Office12\\groove.exe"="C:\\Programme\\Microsoft Office\\Office12\\groove.exe:*:Enabled:Microsoft Office Groove"
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"="C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"
"C:\\Programme\\ICQ6.5\\ICQ.exe"="C:\\Programme\\ICQ6.5\\ICQ.exe:*:Enabled:ICQ6"
"C:\\Programme\\Zattoo\\zattood.exe"="C:\\Programme\\Zattoo\\zattood.exe:*:Enabled:zattood"
"C:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
Remaining Files :
File Backups: - C:\SDFix\backups\backups.zip
Files with Hidden Attributes :
Finished!
Code:
ATTFilter Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2775
Windows 5.1.2600 Service Pack 2
09.10.2009 18:59:25
mbam-log-2009-10-09 (18-59-25).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 127103
Laufzeit: 14 minute(s), 28 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 45
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\WINDOWS\xcopy.exe (Worm.Perlovga) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\temp1.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\temp2.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{49F9E12D-9EE5-4BBD-8FD9-36FE0DEE4C54}\RP6\A0000105.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{49F9E12D-9EE5-4BBD-8FD9-36FE0DEE4C54}\RP6\A0000106.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{49F9E12D-9EE5-4BBD-8FD9-36FE0DEE4C54}\RP7\A0000148.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{49F9E12D-9EE5-4BBD-8FD9-36FE0DEE4C54}\RP7\A0000149.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{49F9E12D-9EE5-4BBD-8FD9-36FE0DEE4C54}\RP8\A0000182.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{49F9E12D-9EE5-4BBD-8FD9-36FE0DEE4C54}\RP8\A0000183.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{49F9E12D-9EE5-4BBD-8FD9-36FE0DEE4C54}\RP10\A0000541.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{49F9E12D-9EE5-4BBD-8FD9-36FE0DEE4C54}\RP10\A0000542.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{49F9E12D-9EE5-4BBD-8FD9-36FE0DEE4C54}\RP11\A0000688.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{49F9E12D-9EE5-4BBD-8FD9-36FE0DEE4C54}\RP11\A0000689.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{49F9E12D-9EE5-4BBD-8FD9-36FE0DEE4C54}\RP11\A0000701.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{49F9E12D-9EE5-4BBD-8FD9-36FE0DEE4C54}\RP11\A0000702.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{49F9E12D-9EE5-4BBD-8FD9-36FE0DEE4C54}\RP12\A0000843.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{49F9E12D-9EE5-4BBD-8FD9-36FE0DEE4C54}\RP12\A0000978.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{49F9E12D-9EE5-4BBD-8FD9-36FE0DEE4C54}\RP12\A0000986.exe (Worm.Perlovga) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{49F9E12D-9EE5-4BBD-8FD9-36FE0DEE4C54}\RP12\A0000987.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{49F9E12D-9EE5-4BBD-8FD9-36FE0DEE4C54}\RP13\A0001221.exe (Worm.Perlovga) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{49F9E12D-9EE5-4BBD-8FD9-36FE0DEE4C54}\RP13\A0001226.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{49F9E12D-9EE5-4BBD-8FD9-36FE0DEE4C54}\RP13\A0001227.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{49F9E12D-9EE5-4BBD-8FD9-36FE0DEE4C54}\RP13\A0001235.exe (Worm.Perlovga) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{49F9E12D-9EE5-4BBD-8FD9-36FE0DEE4C54}\RP13\A0001237.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{49F9E12D-9EE5-4BBD-8FD9-36FE0DEE4C54}\RP13\A0001238.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{49F9E12D-9EE5-4BBD-8FD9-36FE0DEE4C54}\RP17\A0001875.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{49F9E12D-9EE5-4BBD-8FD9-36FE0DEE4C54}\RP17\A0001876.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{49F9E12D-9EE5-4BBD-8FD9-36FE0DEE4C54}\RP17\A0002198.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{49F9E12D-9EE5-4BBD-8FD9-36FE0DEE4C54}\RP17\A0002199.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{49F9E12D-9EE5-4BBD-8FD9-36FE0DEE4C54}\RP17\A0002204.exe (Worm.Perlovga) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{49F9E12D-9EE5-4BBD-8FD9-36FE0DEE4C54}\RP17\A0002205.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{49F9E12D-9EE5-4BBD-8FD9-36FE0DEE4C54}\RP17\A0002210.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{49F9E12D-9EE5-4BBD-8FD9-36FE0DEE4C54}\RP17\A0002211.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{49F9E12D-9EE5-4BBD-8FD9-36FE0DEE4C54}\RP17\A0002320.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{49F9E12D-9EE5-4BBD-8FD9-36FE0DEE4C54}\RP17\A0002324.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
D:\copy.exe (Worm.Perlovga) -> Quarantined and deleted successfully.
D:\host.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{49F9E12D-9EE5-4BBD-8FD9-36FE0DEE4C54}\RP12\A0001023.exe (Worm.Perlovga) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{49F9E12D-9EE5-4BBD-8FD9-36FE0DEE4C54}\RP13\A0001234.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{49F9E12D-9EE5-4BBD-8FD9-36FE0DEE4C54}\RP17\A0001878.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{49F9E12D-9EE5-4BBD-8FD9-36FE0DEE4C54}\RP17\A0001932.exe (Worm.Perlovga) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{49F9E12D-9EE5-4BBD-8FD9-36FE0DEE4C54}\RP17\A0002200.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{49F9E12D-9EE5-4BBD-8FD9-36FE0DEE4C54}\RP17\A0002213.exe (Worm.Perlovga) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{49F9E12D-9EE5-4BBD-8FD9-36FE0DEE4C54}\RP17\A0002214.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\host.exe (Trojan.Agent) -> Quarantined and deleted successfully.
Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:08:28, on 09.10.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\S24EvMon.exe C:\WINDOWS\system32\ZCfgSvc.exe C:\WINDOWS\system32\1XConfig.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\RALINK\Common\RalinkRegistryWriter.exe C:\WINDOWS\system32\RegSrvc.exe C:\WINDOWS\system32\slserv.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/de/scan8/oscan8.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095784490062 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Ralink Registry Writer (RalinkRegistryWriter) - Ralink Technology, Corp. - C:\Programme\RALINK\Common\RalinkRegistryWriter.exe O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe -- End of file - 5514 bytes Code:
ATTFilter ----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3A62-16F5
Verzeichnis von C:\
09.10.2009 19:11 43 filelist.txt
09.10.2009 19:01 805.306.368 pagefile.sys
09.10.2009 19:01 536.268.800 hiberfil.sys
05.10.2009 18:25 211 boot.ini
12 Datei(en) 1.341.879.856 Bytes
0 Verzeichnis(se), 19.412.877.312 Bytes frei
----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3A62-16F5
Verzeichnis von C:\WINDOWS
09.10.2009 19:02 1.728.449 WindowsUpdate.log
09.10.2009 19:01 0 0.log
09.10.2009 19:01 2.048 bootstat.dat
09.10.2009 19:00 7.800 SchedLgU.Txt
09.10.2009 15:39 240.306 ntbtlog.txt
09.10.2009 12:07 3.716 KB961503.log
09.10.2009 12:07 18.409 svcpack.log
09.10.2009 12:05 11.033 setupapi.log
09.10.2009 12:05 0 setupact.log
09.10.2009 12:05 0 setuperr.log
05.10.2009 20:26 316.640 WMSysPr9.prx
05.10.2009 20:04 0 nsreg.dat
05.10.2009 19:25 552 win.ini
05.10.2009 18:38 754 WORDPAD.INI
66 Datei(en) 11.671.976 Bytes
0 Verzeichnis(se), 19.412.877.312 Bytes frei
----- System ---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3A62-16F5
Verzeichnis von C:\WINDOWS\system
25 Datei(en) 929.787 Bytes
0 Verzeichnis(se), 19.412.877.312 Bytes frei
----- System 32 (Achtung: Zeitfenster beachten!) ---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3A62-16F5
Verzeichnis von C:\WINDOWS\system32
09.10.2009 10:56 81.984 bdod.bin
09.10.2009 10:44 0 bdss.log
06.10.2009 16:45 48.552 perfc007.dat
06.10.2009 16:45 317.168 perfh007.dat
06.10.2009 16:45 40.326 perfc009.dat
06.10.2009 16:45 311.938 perfh009.dat
06.10.2009 16:44 723.568 PerfStringBackup.INI
06.10.2009 16:39 263.024 FNTCACHE.DAT
06.10.2009 14:33 1.214 TZLog.log
05.10.2009 18:26 1.158 wpa.dbl
05.10.2009 18:26 261 $winnt$.inf
05.08.2009 11:05 206.336 mswebdvd.dll
29.07.2009 06:48 119.808 t2embed.dll
29.07.2009 06:48 82.432 fontsub.dll
26.07.2009 16:44 48.448 sirenacm.dll
18.07.2009 18:18 1.506.304 shdocvw.dll
17.07.2009 20:56 58.880 atl.dll
14.07.2009 13:03 46.080 tzchange.exe
13.07.2009 02:18 233.472 wmpdxm.dll
13.07.2009 02:18 4.960.256 wmp.dll
26.06.2009 18:17 474.624 shlwapi.dll
26.06.2009 18:16 1.056.256 danim.dll
26.06.2009 18:16 55.808 extmgr.dll
26.06.2009 18:16 152.064 cdfview.dll
26.06.2009 18:16 1.023.488 browseui.dll
23.06.2009 02:23 375.808 xpsp3res.dll
15.06.2009 13:32 78.848 telnet.exe
10.06.2009 16:22 85.504 avifil32.dll
10.06.2009 08:30 132.096 wkssvc.dll
05.06.2009 09:42 655.872 mstscax.dll
03.06.2009 21:26 1.296.384 quartz.dll
26.05.2009 16:51 2.174.976 WMVCore.dll
07.05.2009 17:42 346.624 localspl.dll
01.05.2009 23:03 120.056 pxcpyi64.exe
01.05.2009 23:03 66.296 pxcpya64.exe
01.05.2009 23:03 118.520 pxinsi64.exe
01.05.2009 23:03 64.760 pxinsa64.exe
01.05.2009 23:03 72.440 pxhpinst.exe
01.05.2009 23:03 551.672 px.dll
01.05.2009 23:03 187.128 pxmas.dll
01.05.2009 23:03 379.640 pxwave.dll
01.05.2009 23:03 88.824 vxblock.dll
01.05.2009 23:03 518.904 pxdrv.dll
01.05.2009 23:03 1.628.920 pxsfs.dll
01.05.2009 23:03 129.784 pxafs.dll
01.05.2009 23:02 90.112 dpl100.dll
01.05.2009 23:02 823.296 divx_xx07.dll
01.05.2009 23:02 811.008 divx_xx16.dll
01.05.2009 23:02 802.816 divx_xx11.dll
01.05.2009 23:02 823.296 divx_xx0c.dll
01.05.2009 23:02 685.056 DivX.dll
01.05.2009 23:02 815.104 divx_xx0a.dll
19.04.2009 22:06 1.846.784 win32k.sys
15.04.2009 17:11 584.192 rpcrt4.dll
1881 Datei(en) 362.056.678 Bytes
0 Verzeichnis(se), 19.412.353.024 Bytes frei
----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3A62-16F5
Verzeichnis von C:\WINDOWS\Prefetch
09.10.2009 19:11 11.602 FIND.EXE-0EC32F1E.pf
09.10.2009 19:11 17.206 CMD.EXE-087B4001.pf
09.10.2009 19:09 71.092 FIREFOX.EXE-1D57670A.pf
09.10.2009 19:09 18.734 NOTEPAD.EXE-336351A9.pf
09.10.2009 19:08 29.196 WMIPRVSE.EXE-28F301A9.pf
09.10.2009 19:08 56.992 HIJACKTHIS.EXE-39024128.pf
09.10.2009 19:03 65.476 WINWORD.EXE-0B995611.pf
09.10.2009 19:02 71.232 WUAUCLT.EXE-399A8E72.pf
09.10.2009 19:02 34.336 AVWSC.EXE-24612965.pf
09.10.2009 19:02 1.263.432 NTOSBOOT-B00DFAAD.pf
09.10.2009 19:02 34.356 RUNDLL32.EXE-4C436E30.pf
09.10.2009 19:00 22.438 LOGONUI.EXE-0AF22957.pf
09.10.2009 19:00 10.640 WSCNTFY.EXE-1B24F5EB.pf
09.10.2009 16:19 17.754 DEFRAG.EXE-273F131E.pf
09.10.2009 16:18 507.018 Layout.ini
09.10.2009 15:50 29.358 REGSVR32.EXE-25EEFE2F.pf
09.10.2009 12:55 42.256 CCLEANER.EXE-065E2F3F.pf
09.10.2009 11:43 45.978 TASKMGR.EXE-20256C55.pf
09.10.2009 11:39 37.124 WORDPAD.EXE-1EFCC5C1.pf
09.10.2009 11:30 47.120 RUNDLL32.EXE-3BD00ECC.pf
09.10.2009 11:30 34.324 SVCHOST.EXE-16C7D411.pf
09.10.2009 11:23 28.490 DRWTSN32.EXE-2B4B52AC.pf
09.10.2009 10:59 110.002 MSIEXEC.EXE-2F8A8CAE.pf
09.10.2009 10:57 100.658 IEXPLORE.EXE-2CA9778D.pf
09.10.2009 10:56 9.996 XCOMMSVR.EXE-30670485.pf
09.10.2009 10:56 17.214 BDSS.EXE-11B98B2C.pf
09.10.2009 10:50 47.344 ALG.EXE-0F138680.pf
09.10.2009 10:49 57.116 IMAPI.EXE-0BF740A4.pf
09.10.2009 10:45 105.970 PCCPFW.EXE-35C56880.pf
08.10.2009 23:26 48.926 DWWIN.EXE-30875ADC.pf
08.10.2009 23:00 8.924 NEROCHECK.EXE-092C6DFA.pf
08.10.2009 14:16 40.224 RUNDLL32.EXE-451FC2C0.pf
07.10.2009 22:05 126.124 ICQ.EXE-15A4C655.pf
07.10.2009 14:12 16.258 GRPCONV.EXE-111CD845.pf
07.10.2009 14:12 33.490 RUNONCE.EXE-2803F297.pf
06.10.2009 22:07 11.202 LOGON.SCR-151EFAEA.pf
06.10.2009 16:47 33.844 SVCHOST.EXE-3530F672.pf
05.10.2009 18:40 33.586 MMC.EXE-39071BCC.pf
05.10.2009 18:23 16.416 REGSRVC.EXE-099DE898.pf
05.10.2009 18:23 28.494 SESSMGR.EXE-25E7D5E1.pf
40 Datei(en) 3.341.942 Bytes
0 Verzeichnis(se), 19.412.271.104 Bytes frei
----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3A62-16F5
Verzeichnis von C:\WINDOWS\tasks
09.10.2009 19:01 6 SA.DAT
04.08.2004 14:00 65 desktop.ini
2 Datei(en) 71 Bytes
0 Verzeichnis(se), 19.412.779.008 Bytes frei
----- Windows/Temp -----------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3A62-16F5
Verzeichnis von C:\WINDOWS\Temp
----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3A62-16F5
Verzeichnis von C:\DOKUME~1\Alvin\LOKALE~1\Temp
|
|
09.10.2009, 18:17
| #6 |
| | Bitte hijackthis log angucken die FIlelist: Code:
ATTFilter ----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3A62-16F5
Verzeichnis von C:\
09.10.2009 19:11 43 filelist.txt
09.10.2009 19:01 805.306.368 pagefile.sys
09.10.2009 19:01 536.268.800 hiberfil.sys
05.10.2009 18:25 211 boot.ini
12 Datei(en) 1.341.879.856 Bytes
0 Verzeichnis(se), 19.412.877.312 Bytes frei
----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3A62-16F5
Verzeichnis von C:\WINDOWS
09.10.2009 19:02 1.728.449 WindowsUpdate.log
09.10.2009 19:01 0 0.log
09.10.2009 19:01 2.048 bootstat.dat
09.10.2009 19:00 7.800 SchedLgU.Txt
09.10.2009 15:39 240.306 ntbtlog.txt
09.10.2009 12:07 3.716 KB961503.log
09.10.2009 12:07 18.409 svcpack.log
09.10.2009 12:05 11.033 setupapi.log
09.10.2009 12:05 0 setupact.log
09.10.2009 12:05 0 setuperr.log
05.10.2009 20:26 316.640 WMSysPr9.prx
05.10.2009 20:04 0 nsreg.dat
05.10.2009 19:25 552 win.ini
05.10.2009 18:38 754 WORDPAD.INI
66 Datei(en) 11.671.976 Bytes
0 Verzeichnis(se), 19.412.877.312 Bytes frei
----- System ---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3A62-16F5
Verzeichnis von C:\WINDOWS\system
25 Datei(en) 929.787 Bytes
0 Verzeichnis(se), 19.412.877.312 Bytes frei
----- System 32 (Achtung: Zeitfenster beachten!) ---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3A62-16F5
Verzeichnis von C:\WINDOWS\system32
09.10.2009 10:56 81.984 bdod.bin
09.10.2009 10:44 0 bdss.log
06.10.2009 16:45 48.552 perfc007.dat
06.10.2009 16:45 317.168 perfh007.dat
06.10.2009 16:45 40.326 perfc009.dat
06.10.2009 16:45 311.938 perfh009.dat
06.10.2009 16:44 723.568 PerfStringBackup.INI
06.10.2009 16:39 263.024 FNTCACHE.DAT
06.10.2009 14:33 1.214 TZLog.log
05.10.2009 18:26 1.158 wpa.dbl
05.10.2009 18:26 261 $winnt$.inf
05.08.2009 11:05 206.336 mswebdvd.dll
29.07.2009 06:48 119.808 t2embed.dll
29.07.2009 06:48 82.432 fontsub.dll
26.07.2009 16:44 48.448 sirenacm.dll
18.07.2009 18:18 1.506.304 shdocvw.dll
17.07.2009 20:56 58.880 atl.dll
14.07.2009 13:03 46.080 tzchange.exe
13.07.2009 02:18 233.472 wmpdxm.dll
13.07.2009 02:18 4.960.256 wmp.dll
26.06.2009 18:17 474.624 shlwapi.dll
26.06.2009 18:16 1.056.256 danim.dll
26.06.2009 18:16 55.808 extmgr.dll
26.06.2009 18:16 152.064 cdfview.dll
26.06.2009 18:16 1.023.488 browseui.dll
23.06.2009 02:23 375.808 xpsp3res.dll
15.06.2009 13:32 78.848 telnet.exe
10.06.2009 16:22 85.504 avifil32.dll
10.06.2009 08:30 132.096 wkssvc.dll
05.06.2009 09:42 655.872 mstscax.dll
03.06.2009 21:26 1.296.384 quartz.dll
26.05.2009 16:51 2.174.976 WMVCore.dll
07.05.2009 17:42 346.624 localspl.dll
01.05.2009 23:03 120.056 pxcpyi64.exe
01.05.2009 23:03 66.296 pxcpya64.exe
01.05.2009 23:03 118.520 pxinsi64.exe
01.05.2009 23:03 64.760 pxinsa64.exe
01.05.2009 23:03 72.440 pxhpinst.exe
01.05.2009 23:03 551.672 px.dll
01.05.2009 23:03 187.128 pxmas.dll
01.05.2009 23:03 379.640 pxwave.dll
01.05.2009 23:03 88.824 vxblock.dll
01.05.2009 23:03 518.904 pxdrv.dll
01.05.2009 23:03 1.628.920 pxsfs.dll
01.05.2009 23:03 129.784 pxafs.dll
01.05.2009 23:02 90.112 dpl100.dll
01.05.2009 23:02 823.296 divx_xx07.dll
01.05.2009 23:02 811.008 divx_xx16.dll
01.05.2009 23:02 802.816 divx_xx11.dll
01.05.2009 23:02 823.296 divx_xx0c.dll
01.05.2009 23:02 685.056 DivX.dll
01.05.2009 23:02 815.104 divx_xx0a.dll
19.04.2009 22:06 1.846.784 win32k.sys
15.04.2009 17:11 584.192 rpcrt4.dll
1881 Datei(en) 362.056.678 Bytes
0 Verzeichnis(se), 19.412.353.024 Bytes frei
----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3A62-16F5
Verzeichnis von C:\WINDOWS\Prefetch
09.10.2009 19:11 11.602 FIND.EXE-0EC32F1E.pf
09.10.2009 19:11 17.206 CMD.EXE-087B4001.pf
09.10.2009 19:09 71.092 FIREFOX.EXE-1D57670A.pf
09.10.2009 19:09 18.734 NOTEPAD.EXE-336351A9.pf
09.10.2009 19:08 29.196 WMIPRVSE.EXE-28F301A9.pf
09.10.2009 19:08 56.992 HIJACKTHIS.EXE-39024128.pf
09.10.2009 19:03 65.476 WINWORD.EXE-0B995611.pf
09.10.2009 19:02 71.232 WUAUCLT.EXE-399A8E72.pf
09.10.2009 19:02 34.336 AVWSC.EXE-24612965.pf
09.10.2009 19:02 1.263.432 NTOSBOOT-B00DFAAD.pf
09.10.2009 19:02 34.356 RUNDLL32.EXE-4C436E30.pf
09.10.2009 19:00 22.438 LOGONUI.EXE-0AF22957.pf
09.10.2009 19:00 10.640 WSCNTFY.EXE-1B24F5EB.pf
09.10.2009 16:19 17.754 DEFRAG.EXE-273F131E.pf
09.10.2009 16:18 507.018 Layout.ini
09.10.2009 15:50 29.358 REGSVR32.EXE-25EEFE2F.pf
09.10.2009 12:55 42.256 CCLEANER.EXE-065E2F3F.pf
09.10.2009 11:43 45.978 TASKMGR.EXE-20256C55.pf
09.10.2009 11:39 37.124 WORDPAD.EXE-1EFCC5C1.pf
09.10.2009 11:30 47.120 RUNDLL32.EXE-3BD00ECC.pf
09.10.2009 11:30 34.324 SVCHOST.EXE-16C7D411.pf
09.10.2009 11:23 28.490 DRWTSN32.EXE-2B4B52AC.pf
09.10.2009 10:59 110.002 MSIEXEC.EXE-2F8A8CAE.pf
09.10.2009 10:57 100.658 IEXPLORE.EXE-2CA9778D.pf
09.10.2009 10:56 9.996 XCOMMSVR.EXE-30670485.pf
09.10.2009 10:56 17.214 BDSS.EXE-11B98B2C.pf
09.10.2009 10:50 47.344 ALG.EXE-0F138680.pf
09.10.2009 10:49 57.116 IMAPI.EXE-0BF740A4.pf
09.10.2009 10:45 105.970 PCCPFW.EXE-35C56880.pf
08.10.2009 23:26 48.926 DWWIN.EXE-30875ADC.pf
08.10.2009 23:00 8.924 NEROCHECK.EXE-092C6DFA.pf
08.10.2009 14:16 40.224 RUNDLL32.EXE-451FC2C0.pf
07.10.2009 22:05 126.124 ICQ.EXE-15A4C655.pf
07.10.2009 14:12 16.258 GRPCONV.EXE-111CD845.pf
07.10.2009 14:12 33.490 RUNONCE.EXE-2803F297.pf
06.10.2009 22:07 11.202 LOGON.SCR-151EFAEA.pf
06.10.2009 16:47 33.844 SVCHOST.EXE-3530F672.pf
05.10.2009 18:40 33.586 MMC.EXE-39071BCC.pf
05.10.2009 18:23 16.416 REGSRVC.EXE-099DE898.pf
05.10.2009 18:23 28.494 SESSMGR.EXE-25E7D5E1.pf
40 Datei(en) 3.341.942 Bytes
0 Verzeichnis(se), 19.412.271.104 Bytes frei
----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3A62-16F5
Verzeichnis von C:\WINDOWS\tasks
09.10.2009 19:01 6 SA.DAT
04.08.2004 14:00 65 desktop.ini
2 Datei(en) 71 Bytes
0 Verzeichnis(se), 19.412.779.008 Bytes frei
----- Windows/Temp -----------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3A62-16F5
Verzeichnis von C:\WINDOWS\Temp
----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3A62-16F5
Verzeichnis von C:\DOKUME~1\Alvin\LOKALE~1\Temp
|
|
10.10.2009, 00:09
| #7 |
| /// Helfer-Team | Bitte hijackthis log angucken hi Dein Log sieht besser aus, doch einige weitere Schritte noch nötig sind, bis man sagen kann, so dass dein System, "Nach dem bisherigen Kenntnisstand " sauber ist: ** Ab jetzt sofort gilt, bis zum Ende der Reinigung>: Bitte unbedingt alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. 1. - den Quarantäne Ordner überall leeren (Funde löschen) - Antivirus bzw Anti-Spy-Programm usw - das Malwarebytes deinstallieren - C:\SDFix\backups + backups.zip - löschen 2. alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren **Lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar.
3. reinige dein System mit Ccleaner:
4.
5. Den kompletten Rechner zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online - Scanner - wähle "My Computer" aus: im Internet Explorer: - "Extras→ Internetoptionen→ Sicherheit": - alles auf Standardstufe stellen - Active X erlauben - speichere die Ergebnis als *.txt Datei und poste das Logfile des Scans |
|
| Themen zu Bitte hijackthis log angucken |
| adobe, antivir guard, antivirus, avira, bho, browser, defender, desktop, explorer, firefox, hijack, hijackthis, hijackthis log, hkus\s-1-5-18, internet, internet explorer, internet security, monitor, mozilla, security, senden, server, software, spyware, system, windows, windows xp |
Linear-Darstellung
