|
TR/Vundo.Gen nicht löschbar So, hier nun der Antivir report AntiVir PersonalEdition Classic Erstellungsdatum der Reportdatei: Donnerstag, 27. Dezember 2007 16:40 Es wird nach 993748 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Benutzername: F**** Computername: F****-OEGG4E9 Versionsinformationen: BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00 AVSCAN.EXE : 7.0.6.1 290856 Bytes 23.08.2007 13:16:24 AVSCAN.DLL : 7.0.6.0 57384 Bytes 14.08.2007 15:48:28 LUKE.DLL : 7.0.5.3 147496 Bytes 14.08.2007 15:32:43 LUKERES.DLL : 7.0.6.0 10792 Bytes 14.08.2007 15:49:04 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 14:27:15 ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14.12.2007 15:28:48 ANTIVIR2.VDF : 7.0.1.157 286720 Bytes 26.12.2007 15:28:48 ANTIVIR3.VDF : 7.0.1.163 17920 Bytes 27.12.2007 15:28:48 AVEWIN32.DLL : 7.6.0.46 3084800 Bytes 27.12.2007 15:28:48 AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 10:36:23 AVPREF.DLL : 7.0.2.2 25640 Bytes 18.07.2007 07:16:50 AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:16:24 AVPACK32.DLL : 7.6.0.2 360488 Bytes 27.12.2007 15:28:48 AVREG.DLL : 7.0.1.6 30760 Bytes 18.07.2007 07:17:02 AVARKT.DLL : 1.0.0.20 278568 Bytes 28.08.2007 12:26:28 AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18.07.2007 07:10:14 NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 11:09:03 RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07.08.2007 12:37:51 RCTEXT.DLL : 7.0.62.0 90152 Bytes 21.08.2007 12:50:28 SQLITE3.DLL : 3.3.17.1 339968 Bytes 23.07.2007 09:37:21 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Lokale Laufwerke Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\alldrives.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: aus Durchsuche Bootsektoren..........: ein Bootsektoren.....................: E:, Durchsuche Speicher..............: ein Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Donnerstag, 27. Dezember 2007 16:40 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WinRAR.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nTuneService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '27' Prozesse mit '27' Modulen durchsucht Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. C:\WINDOWS\system32\awtsrsq.dll [FUND] Ist das Trojanische Pferd TR/Vundo.Gen [WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16003 [WARNUNG] Die Datei konnte nicht gelöscht werden! C:\WINDOWS\system32\awtsrsq.dll [FUND] Ist das Trojanische Pferd TR/Vundo.Gen Die Registry wurde durchsucht ( '33' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\F***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\bx93sjgx.default\Cache\3397BD01d01 [FUND] Ist das Trojanische Pferd TR/Drop.Agent.cro [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47accb44.qua' verschoben! C:\Dokumente und Einstellungen\F***\Lokale Einstellungen\Temp\gos10A.tmp [FUND] Ist das Trojanische Pferd TR/Crypt.PEC2X.Gen [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47e6cb8b.qua' verschoben! C:\Dokumente und Einstellungen\F***\Lokale Einstellungen\Temp\gosF8.tmp [FUND] Ist das Trojanische Pferd TR/Crypt.PEC2X.Gen [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47e6cb8d.qua' verschoben! C:\Dokumente und Einstellungen\F***\Lokale Einstellungen\Temp\win10E.exe [FUND] Ist das Trojanische Pferd TR/Zlob.CA.78 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47e1cb8c.qua' verschoben! C:\Dokumente und Einstellungen\F***\Lokale Einstellungen\Temp\winFE.exe [FUND] Ist das Trojanische Pferd TR/Crypt.XDR.Gen [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47e1cb93.qua' verschoben! C:\WINDOWS\system32\awtsrsq.dll [FUND] Ist das Trojanische Pferd TR/Vundo.Gen [WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16003 [WARNUNG] Die Datei konnte nicht gelöscht werden! C:\WINDOWS\system32\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'D:\' Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden! Das Gerät ist nicht bereit. Beginne mit der Suche in 'E:\' Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden! Das Gerät ist nicht bereit. Ende des Suchlaufs: Donnerstag, 27. Dezember 2007 17:30 Benötigte Zeit: 50:21 min Der Suchlauf wurde vollständig durchgeführt. 7275 Verzeichnisse wurden überprüft 407396 Dateien wurden geprüft 7 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 5 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 407389 Dateien ohne Befall 3445 Archive wurden durchsucht 4 Warnungen 51 Hinweise |
Hallo, habe mir wie so viele diesen tollen Trojaner eingefangen, welchen ich auch mit Vundofix nicht wegbekomme. Sowohl abgesicherten Modus als auch ohne. Erst hat er zwei Dateien gefunden, welche ich daraufhin gelöscht habe. Nun ist Vundo aber immernoch auf dem Rechner und Vundofix findet nix mehr. Habe hier mal ein Hijackthis logfile erstellt: Logfile of HijackThis v1.99.1 Scan saved at 17:16:41, on 27.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe c:\programme\avira\antivir personaledition classic\avscan.exe C:\Programme\Mozilla Firefox\firefox.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p:// Google R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll R3 - URLSearchHook: SrchHook Class - {F4F10C1D-87C7-404A-B4B3-000000000000} - C:\PROGRA~1\DAP\SBSearch.dll (file missing) O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {76F262CF-0308-0FB4-F7A3-043266F3A47C} - C:\Programme\Kbenhqmw\ljjkjrol.dll (file missing) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (no name) - {DB0B918E-A0A8-482B-8D75-A682816B0C7B} - C:\WINDOWS\system32\awtsrsq.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [RivaTuner] "C:\Programme\RivaTuner v2.06\RivaTuner.exe" /T O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programme\RivaTuner v2.06\RivaTuner.exe" /S O4 - HKLM\..\Run: [qlipudif] rundll32.exe "C:\Programme\qlipudif\iruhqrqd.dll",Init O4 - HKLM\..\Run: [mrepmbon] regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mrepmbon.dll" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: awtsrsq - C:\WINDOWS\SYSTEM32\awtsrsq.dll O20 - Winlogon Notify: winowl32 - C:\WINDOWS\ O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe So, hoffe das das so jetzt inordnung ist. Ein Antivir Logfile folgt auf dem Fuße |
Hallo, also lade das mal bei Visutotal.com hoch und Poste das Ergebniss. Und zwar forgendes: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mrepmbon.dll C:\WINDOWS\system32\awtsrsq.dll Fixe das hier im Abgesicherten Modus: Code: O4 - HKLM\..\Run: [mrepmbon] regsvr32 /u "C:\Dokumente und Einstellungen\All Anleitung&Download MFG Seitsef |
Sorry, hab keine Ahnung von der ganzen Sache. Also wenn ich den Dateipfad da angebe und auf senden gehe, komm bloß "0 bytes size received / Se ha recibido un archivo vacio" Wie soll das funktionieren? Und wie soll ich die Zeilen denn fixen? Also hab das nochmal per email probiert, weil die Systeme wohl ausgelastet sind und man gerade keinen check machen kann. Dummerweise lässt sich die eine Datei nicht anhängen und die andere gibt es scheinbar garnicht mehr: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mrepmbon.dll |
Hallo PalimPalim. Uodate deinen i_Net Explorer bitte auf die aktuelle 7ner Version. Auch wenn du ihn nicht nutzt ;) Danach führ mal bitte folgende Tools bzw. Anleitungen aus und poste die Logfiles: * Blacklight* eScan halte bitte die Reihenfolge ein und starte den Rechner nach dem eScan NICHT neu! Poste das log und warte ab bis ich dir zurückgeschrieben habe! Deinen Rechner stört es übrigens nicht wenn er mal eine Nacht durchläuft.. ;) |
Ok, also hier schonmal die ersten 3. Escan folgt wohl erst morgenfrüh, werde den Rechner rnicht ausschalten bis dahin. Blacklight 12/27/07 23:41:18 [Info]: BlackLight Engine 1.0.67 initialized 12/27/07 23:41:18 [Info]: OS: 5.1 build 2600 (Service Pack 2) 12/27/07 23:41:18 [Note]: 7019 4 12/27/07 23:41:18 [Note]: 7005 0 12/27/07 23:41:22 [Note]: 7006 0 12/27/07 23:41:22 [Note]: 7011 1840 12/27/07 23:41:22 [Note]: 7026 0 12/27/07 23:41:23 [Note]: 7026 0 12/27/07 23:41:23 [Note]: FSRAW library version 1.7.1024 12/27/07 23:44:49 [Note]: 2000 1012 12/27/07 23:45:45 [Note]: 7007 0 Habe ich jetzt kein anderes logfile zu gefunden.. Silent Runners: "Silent Runners.vbs", revision 55, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "NVIDIA nTune" = ""C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear" ["NVIDIA"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++} "0IP5J3bsBJ" = "rundll32.exe "C:\WINDOWS\system32\ndaTqsVqrX.dll",DllCleanServer" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "RTHDCPL" = "RTHDCPL.EXE" ["Realtek Semiconductor Corp."] "SkyTel" = "SkyTel.EXE" ["Realtek Semiconductor Corp."] "RivaTuner" = ""C:\Programme\RivaTuner v2.06\RivaTuner.exe" /T" [empty string] "NvCplDaemon" = ""RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS] "nwiz" = ""nwiz.exe" /install" ["NVIDIA Corporation"] "NvMediaCenter" = ""RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS] "RivaTunerStartupDaemon" = ""C:\Programme\RivaTuner v2.06\RivaTuner.exe" /S" [empty string] "avgnt" = ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++} "NoIE4StubProcessing" = "C:\WINDOWS\system32\reg.exe DELETE "HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components" /v "NoIE4StubProcessing" /f" [MS] HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\ <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988}\(Default) = "IE7 Uninstall Stub" \StubPath = "C:\WINDOWS\system32\ieudinit.exe" [MS] >{26923b43-4d38-484f-9b9e-de460746276c}\(Default) = "Internet Explorer" \StubPath = "C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig" [MS] >{60B49E34-C7CC-11D0-8953-00A0C90347FF}\(Default) = "Browser Customizations" \StubPath = "RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP" [MS] {89820200-ECBD-11cf-8B85-00AA005B4383}\(Default) = "Internet Explorer" \StubPath = "C:\WINDOWS\system32\ie4uinit.exe -BaseSettings" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {055FD26D-3A88-4e15-963D-DC8493744B1D}\(Default) = "XTTBPos00" -> {HKLM...CLSID} = "XTTBPos00 Class" \InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"] {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "Adobe PDF Reader" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."] {76F262CF-0308-0FB4-F7A3-043266F3A47C}\(Default) = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Kbenhqmw\ljjkjrol.dll" [file not found] {DB0B918E-A0A8-482B-8D75-A682816B0C7B}\(Default) = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\awtsrsq.dll" [file not found] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders" -> {HKLM...CLSID} = "Meine freigegebenen Ordner" \InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS] "{967B2D40-8B7D-4127-9049-61EA0C2C6DCE}" = "PowerISO" -> {HKLM...CLSID} = "PowerISO" \InProcServer32\(Default) = "C:\Programme\PowerISO\PWRISOSH.DLL" ["PowerISO Computing, Inc."] "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player" -> {HKLM...CLSID} = "RealOne Player Context Menu Class" \InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."] "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] "{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes" -> {HKLM...CLSID} = "iTunes" \InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."] "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class" -> {HKLM...CLSID} = "DesktopContext Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper" -> {HKLM...CLSID} = "NVIDIA CPL Extension" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {HKLM...CLSID} = "Desktop Explorer" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {HKLM...CLSID} = "nView Desktop Context Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ <<!>> "{DB0B918E-A0A8-482B-8D75-A682816B0C7B}" = "*b" (unwritable string) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\awtsrsq.dll" [file not found] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ <<!>> awtsrsq\DLLName = "awtsrsq.dll" [file not found] HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\ 7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\7-Zip\7-zipn.dll" ["Igor Pavlov"] PowerISO\(Default) = "{967B2D40-8B7D-4127-9049-61EA0C2C6DCE}" -> {HKLM...CLSID} = "PowerISO" \InProcServer32\(Default) = "C:\Programme\PowerISO\PWRISOSH.DLL" ["PowerISO Computing, Inc."] Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ 7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\7-Zip\7-zipn.dll" ["Igor Pavlov"] PowerISO\(Default) = "{967B2D40-8B7D-4127-9049-61EA0C2C6DCE}" -> {HKLM...CLSID} = "PowerISO" \InProcServer32\(Default) = "C:\Programme\PowerISO\PWRISOSH.DLL" ["PowerISO Computing, Inc."] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\ 7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\7-Zip\7-zipn.dll" ["Igor Pavlov"] PowerISO\(Default) = "{967B2D40-8B7D-4127-9049-61EA0C2C6DCE}" -> {HKLM...CLSID} = "PowerISO" \InProcServer32\(Default) = "C:\Programme\PowerISO\PWRISOSH.DLL" ["PowerISO Computing, Inc."] Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ "ClassicShell" = (REG_DWORD) dword:0x00000000 {User Configuration|Administrative Templates|Windows Components|Windows Explorer| Enable Classic Shell / Turn on Classic Shell} HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) dword:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\Mozilla\Firefox\Desktop Hintergrund.bmp" Enabled Scheduled Tasks: ------------------------ "AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -task" ["Apple Inc."] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 14 %SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{855F3B16-6D32-4FE6-8A56-BBB695989046}" -> {HKLM...CLSID} = "ICQ Toolbar" \InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"] HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\ "{855F3B16-6D32-4FE6-8A56-BBB695989046}" = (no title provided) -> {HKLM...CLSID} = "ICQ Toolbar" \InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"] Extensions (Tools menu items, main toolbar menu buttons) HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}" -> {HKCU...CLSID} = "Java Plug-in 1.6.0_03" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."] -> {HKLM...CLSID} = "Java Plug-in 1.6.0_03" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll" ["Sun Microsystems, Inc."] {E59EB121-F339-4851-A3BA-FE49C35617C2}\ "ButtonText" = "ICQ6" "MenuText" = "ICQ6" "Exec" = "C:\Programme\ICQ6\ICQ.exe" ["ICQ, Inc."] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] Miscellaneous IE Hijack Points ------------------------------ HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\ <<H>> "{855F3B16-6D32-4fe6-8A56-BBB695989046}" = (no title provided) -> {HKLM...CLSID} = "ICQ Toolbar" \InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"] <<H>> "{F4F10C1D-87C7-404A-B4B3-000000000000}" = (no title provided) -> {HKLM...CLSID} = "SrchHook Class" \InProcServer32\(Default) = "C:\PROGRA~1\DAP\SBSearch.dll" [file not found] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"] AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"] nTune Service, nTuneService, "C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe /StartService" ["NVIDIA"] NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"] PnkBstrA, PnkBstrA, "C:\WINDOWS\system32\PnkBstrA.exe" [null data] ---------- (launch time: 2007-12-27 23:50:44) <<!>>: Suspicious data at a malware launch point. <<H>>: Suspicious data at a browser hijack point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer "No" at the first message box and "Yes" at the second message box. ---------- (total run time: 30 seconds, including 18 seconds for message boxes) |
Combo Fix: ComboFix 07-12-21.4 - Florian 2007-12-27 23:52:05.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2836 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\Florian\Desktop\ComboFix.exe . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\PerfInfo C:\WINDOWS\PerfInfo\0IP5J3bsBJuc.exe C:\WINDOWS\PerfInfo\0IP5J3bsBJud.exe . ((((((((((((((((((((((( Dateien erstellt von 2007-11-27 bis 2007-12-27 )))))))))))))))))))))))))))))) . 2007-12-27 23:41 . 2007-12-27 23:41 <DIR> d-------- C:\WINDOWS\system32\de-de 2007-12-27 23:41 . 2007-12-27 23:41 751 --a------ C:\WINDOWS\system32\spupdsvc.inf 2007-12-27 23:40 . 2007-12-27 23:40 <DIR> d-------- C:\WINDOWS\LastGood 2007-12-27 20:33 . 2007-12-27 20:33 <DIR> d---s---- C:\Dokumente und Einstellungen\Florian\UserData 2007-12-27 19:16 . 2007-12-27 19:16 <DIR> d-------- C:\Programme\Webroot 2007-12-27 19:09 . 2007-12-27 19:09 164 --a------ C:\install.dat 2007-12-27 18:21 . 2007-12-27 18:21 <DIR> d-------- C:\Programme\VirusTotalUploader 2007-12-27 16:27 . 2007-12-27 16:27 <DIR> d-------- C:\Programme\Avira 2007-12-27 15:17 . 2007-12-27 15:35 <DIR> d-------- C:\VundoFix Backups 2007-12-27 14:51 . 2007-12-27 14:51 <DIR> d-------- C:\Programme\Lavasoft 2007-12-27 14:38 . 2007-12-27 14:38 <DIR> d-------- C:\WINDOWS\ppqvmpqr 2007-12-27 14:38 . 2007-12-27 14:45 <DIR> d-------- C:\Programme\Kbenhqmw 2007-12-27 14:38 . 2007-12-27 14:38 <DIR> d-------- C:\Program Files 2007-12-27 14:38 . 2007-12-27 14:38 1,283,174 --a------ C:\Install 2007-12-27 14:38 . 2007-12-27 14:38 208,896 --a------ C:\WINDOWS\system32\ndaTqsVqrX.dll 2007-12-27 14:37 . 2007-12-27 14:54 <DIR> d-------- C:\Programme\qlipudif 2007-12-27 14:26 . 2007-12-27 23:02 <DIR> d-------- C:\Programme\Steam 2007-12-22 17:33 . 2007-04-22 16:48 <DIR> d-------- C:\Programme\The Witcher 2007-12-22 15:47 . 2007-12-22 15:47 <DIR> d-------- C:\Programme\id Software 2007-12-22 10:10 . 2007-12-22 10:11 <DIR> d-------- C:\Cryptload 2007-12-22 08:44 . 2007-12-22 08:44 <DIR> d-------- C:\Programme\Paragon Software 2007-12-22 08:44 . 2006-10-02 10:51 4,239,360 --a------ C:\WINDOWS\system32\qtp-mt334.dll 2007-12-22 08:44 . 2006-10-02 10:51 30,808 --a------ C:\WINDOWS\system32\drivers\hotcore2.sys 2007-12-22 08:44 . 2006-10-02 10:51 8,192 --a------ C:\WINDOWS\system32\wnaspi32.dll 2007-12-21 11:34 . 2007-12-21 11:45 <DIR> d-------- C:\Programme\THQ 2007-12-20 21:38 . 2007-12-20 21:38 <DIR> d-------- C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\Bioshock 2007-12-20 11:54 . 2007-12-22 08:50 <DIR> d-------- C:\Programme\The Witcher Demo 2007-12-19 11:31 . 2007-12-19 11:31 <DIR> d-------- C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\Uniblue 2007-12-18 16:43 . 2007-12-18 16:43 <DIR> d-------- C:\WINDOWS\ShellNew 2007-12-18 16:43 . 2007-12-18 16:43 403 --a------ C:\WINDOWS\ODBC.INI 2007-12-17 17:26 . 2007-12-17 17:26 <DIR> d-------- C:\Programme\PC Inspector File Recovery 2007-12-17 17:26 . 2002-02-18 18:40 6,200 --a------ C:\WINDOWS\system32\INT13EXT.VXD 2007-12-16 22:46 . 2007-12-16 22:46 <DIR> d-------- C:\Programme\Stardock 2007-12-16 22:46 . 2007-12-16 22:46 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Stardock 2007-12-15 12:29 . 2007-12-15 12:29 <DIR> d-------- C:\Programme\QuickTime 2007-12-15 12:29 . 2007-12-15 12:30 <DIR> d-------- C:\Programme\iTunes 2007-12-15 12:29 . 2007-12-15 12:29 <DIR> d-------- C:\Programme\iPod 2007-12-13 20:22 . 2007-12-13 20:22 <DIR> d-------- C:\Programme\Ubi Soft 2007-12-13 20:10 . 2007-12-13 20:10 <DIR> d-------- C:\Programme\Red Storm Entertainment 2007-12-13 20:08 . 2007-12-13 20:08 <DIR> d-------- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Xfire 2007-12-13 11:46 . 2007-12-22 15:35 <DIR> d-------- C:\Programme\Wolfenstein - Enemy Territory 2007-12-11 10:57 . 2007-12-11 10:57 65,536 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx 2007-12-11 10:57 . 2007-12-11 10:57 49,152 --a------ C:\WINDOWS\system32\QuickTime.qts 2007-12-07 17:41 . 2002-11-28 10:22 140,488 --a------ C:\WINDOWS\system32\comdlg32.ocx 2007-12-07 17:41 . 2002-11-28 10:22 115,016 --a------ C:\WINDOWS\system32\MSINET.OCX 2007-12-07 17:41 . 2002-11-28 10:22 89,360 --a------ C:\WINDOWS\system32\VB5DB.DLL 2007-12-07 17:41 . 2002-11-28 10:22 69,632 --a------ C:\WINDOWS\system32\xmltok.dll 2007-12-07 17:41 . 2002-11-28 10:22 36,864 --a------ C:\WINDOWS\system32\xmlparse.dll 2007-12-07 17:41 . 2002-11-28 10:22 35,840 --a------ C:\WINDOWS\system32\comdlg32.oca 2007-12-07 17:41 . 2002-11-28 10:22 29,184 --a------ C:\WINDOWS\system32\MSINET.oca 2007-12-07 17:41 . 2002-11-28 10:22 26,064 --a------ C:\WINDOWS\system32\xmlinst.exe 2007-12-07 17:41 . 2002-11-28 10:22 24,576 --a------ C:\WINDOWS\system32\msxml3a.dll 2007-12-07 17:27 . 2007-12-27 00:44 <DIR> d-------- C:\Spiele 2007-12-06 18:57 . 2007-12-19 16:27 <DIR> d-------- C:\Programme\EA GAMES 2007-12-03 20:11 . 2007-12-03 20:14 754 --a------ C:\WINDOWS\WORDPAD.INI 2007-12-01 22:53 . 2007-12-22 10:12 <DIR> d-------- C:\Programs 2007-12-01 22:50 . 2007-12-01 22:50 <DIR> d-------- C:\Programme\Bethesda Softworks 2007-12-01 20:00 . 2007-12-14 08:55 <DIR> d-------- C:\Programme\Xfire 2007-12-01 20:00 . 2007-12-14 09:59 <DIR> d-------- C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\Xfire 2007-12-01 19:51 . 2007-12-01 19:51 <DIR> d--hs---- C:\WINDOWS\ftpcache 2007-12-01 12:26 . 2007-12-01 12:27 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe 2007-11-30 21:29 . 2007-11-30 21:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NVIDIA 2007-11-30 21:29 . 2007-11-30 21:56 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nHancer 2007-11-28 20:31 . 2007-11-28 23:42 <DIR> d-------- C:\Programme\7-Zip 2007-11-28 11:16 . 2007-11-28 11:16 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Talkback 2007-11-28 11:12 . 2007-11-28 11:13 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien 2007-11-28 11:11 . 2007-11-11 21:03 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2007-11-28 11:11 . 2007-11-11 21:00 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü 2007-11-28 11:11 . 2007-11-11 21:00 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2007-11-28 11:11 . 2007-12-27 19:55 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2007-11-28 11:11 . 2007-11-28 11:13 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten 2007-11-28 11:11 . 2007-11-11 21:00 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung 2007-11-28 11:11 . 2007-11-28 11:16 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2007-11-27 20:18 . 2007-12-26 14:40 22,328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys 2007-11-27 20:17 . 2007-12-26 14:40 107,832 --a------ C:\WINDOWS\system32\PnkBstrB.exe 2007-11-27 20:17 . 2007-04-22 22:16 66,872 --a------ C:\WINDOWS\system32\PnkBstrA.exe 2007-11-27 11:30 . 2007-11-27 11:30 <DIR> d-------- C:\Programme\RivaTuner v2.06 2007-11-27 11:14 . 2006-03-23 19:53 442,368 --a------ C:\WINDOWS\system32\CapabilityTable.exe 2007-11-27 11:14 . 2007-11-12 08:03 356,352 --a------ C:\WINDOWS\system32\NVUNINST.EXE 2007-11-27 11:14 . 2006-03-23 20:51 208,896 --a------ C:\WINDOWS\system32\nvusmb.exe 2007-11-27 11:14 . 2006-03-23 19:51 208,896 --a------ C:\WINDOWS\system32\nvunrm.exe 2007-11-27 11:14 . 2006-04-14 14:00 208,896 --------- C:\WINDOWS\system32\nvuide.exe 2007-11-27 11:14 . 2006-03-22 14:23 109,568 --a------ C:\WINDOWS\system32\drivers\nvtcp.sys 2007-11-27 11:14 . 2006-02-20 13:00 3,903 --a------ C:\WINDOWS\system32\nvnrm.nvu 2007-11-27 11:14 . 2006-02-20 13:00 1,864 --a------ C:\WINDOWS\system32\nvsmb.nvu 2007-11-27 11:14 . 2006-02-20 13:00 1,570 --------- C:\WINDOWS\system32\nvide.nvu 2007-11-27 11:13 . 2007-11-27 11:16 <DIR> d-------- C:\NVIDIA 2007-11-27 09:43 . 2007-11-27 09:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira |
Zweiter Teil: . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-27 19:05 --------- d-----w C:\Programme\ICQToolbar 2007-12-27 18:33 --------- d-----w C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\uTorrent 2007-12-22 14:56 22,328 ----a-w C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\PnkBstrK.sys 2007-12-22 14:33 --------- d-----w C:\Programme\Ubisoft 2007-12-21 09:19 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2007-12-20 17:06 --------- d-----w C:\Programme\Electronic Arts 2007-12-18 15:42 --------- d-----w C:\Programme\microsoft frontpage 2007-12-14 09:02 --------- d-----w C:\Programme\Activision 2007-12-04 23:41 81,920 ----a-w C:\WINDOWS\system32\nvwddi.dll 2007-12-04 23:41 81,920 ----a-w C:\WINDOWS\system32\nvmctray.dll 2007-12-04 23:41 8,523,776 ----a-w C:\WINDOWS\system32\nvcpl.dll 2007-12-04 23:41 753,664 ----a-w C:\WINDOWS\system32\nvcplui.exe 2007-12-04 23:41 7,435,392 ----a-w C:\WINDOWS\system32\drivers\nv4_mini.sys 2007-12-04 23:41 6,901,760 ----a-w C:\WINDOWS\system32\nvoglnt.dll 2007-12-04 23:41 6,549,504 ----a-w C:\WINDOWS\system32\nvdisps.dll 2007-12-04 23:41 5,773,568 ----a-w C:\WINDOWS\system32\nv4_disp.dll 2007-12-04 23:41 5,611,520 ----a-w C:\WINDOWS\system32\nvdispsr.dll 2007-12-04 23:41 466,944 ----a-w C:\WINDOWS\system32\nvshell.dll 2007-12-04 23:41 458,752 ----a-w C:\WINDOWS\system32\nvmccssr.dll 2007-12-04 23:41 45,056 ----a-w C:\WINDOWS\system32\nvmccsrs.dll 2007-12-04 23:41 442,368 ----a-w C:\WINDOWS\system32\nvappbar.exe 2007-12-04 23:41 425,984 ----a-w C:\WINDOWS\system32\keystone.exe 2007-12-04 23:41 385,024 ----a-w C:\WINDOWS\system32\nvapi.dll 2007-12-04 23:41 356,352 ----a-w C:\WINDOWS\system32\nvudisp.exe 2007-12-04 23:41 35,328 ----a-w C:\WINDOWS\system32\nvcodins.dll 2007-12-04 23:41 35,328 ----a-w C:\WINDOWS\system32\nvcod.dll 2007-12-04 23:41 335,872 ----a-w C:\WINDOWS\system32\nvwrses.dll 2007-12-04 23:41 335,872 ----a-w C:\WINDOWS\system32\nvwrsel.dll 2007-12-04 23:41 327,680 ----a-w C:\WINDOWS\system32\nvwrsfr.dll 2007-12-04 23:41 327,680 ----a-w C:\WINDOWS\system32\nvwrsesm.dll 2007-12-04 23:41 327,680 ----a-w C:\WINDOWS\system32\nvrshe.dll 2007-12-04 23:41 327,680 ----a-w C:\WINDOWS\system32\nvrsar.dll 2007-12-04 23:41 323,584 ----a-w C:\WINDOWS\system32\nvwrspt.dll 2007-12-04 23:41 323,584 ----a-w C:\WINDOWS\system32\nvwrsit.dll 2007-12-04 23:41 319,488 ----a-w C:\WINDOWS\system32\nvwrsptb.dll 2007-12-04 23:41 319,488 ----a-w C:\WINDOWS\system32\nvwrsnl.dll 2007-12-04 23:41 315,392 ----a-w C:\WINDOWS\system32\nvwrsru.dll 2007-12-04 23:41 315,392 ----a-w C:\WINDOWS\system32\nvwrshu.dll 2007-12-04 23:41 311,296 ----a-w C:\WINDOWS\system32\nvwrsde.dll 2007-12-04 23:41 307,200 ----a-w C:\WINDOWS\system32\nvexpbar.dll 2007-12-04 23:41 303,104 ----a-w C:\WINDOWS\system32\nvwrstr.dll 2007-12-04 23:41 303,104 ----a-w C:\WINDOWS\system32\nvwrssl.dll 2007-12-04 23:41 303,104 ----a-w C:\WINDOWS\system32\nvwrsfi.dll 2007-12-04 23:41 3,715,072 ----a-w C:\WINDOWS\system32\nvvitvsr.dll 2007-12-04 23:41 3,710,976 ----a-w C:\WINDOWS\system32\nvvitvs.dll 2007-12-04 23:41 3,420,160 ----a-w C:\WINDOWS\system32\nvgames.dll 2007-12-04 23:41 3,334,144 ----a-w C:\WINDOWS\system32\nvgamesr.dll 2007-12-04 23:41 299,008 ----a-w C:\WINDOWS\system32\nvwrssk.dll 2007-12-04 23:41 299,008 ----a-w C:\WINDOWS\system32\nvwrsno.dll 2007-12-04 23:41 294,912 ----a-w C:\WINDOWS\system32\nvwrssv.dll 2007-12-04 23:41 294,912 ----a-w C:\WINDOWS\system32\nvwrspl.dll 2007-12-04 23:41 294,912 ----a-w C:\WINDOWS\system32\nvwrsda.dll 2007-12-04 23:41 290,816 ----a-w C:\WINDOWS\system32\nvwrsth.dll 2007-12-04 23:41 286,720 ----a-w C:\WINDOWS\system32\nvwrseng.dll 2007-12-04 23:41 286,720 ----a-w C:\WINDOWS\system32\nvwrscs.dll 2007-12-04 23:41 286,720 ----a-w C:\WINDOWS\system32\nvnt4cpl.dll 2007-12-04 23:41 282,624 ----a-w C:\WINDOWS\system32\nvwrsar.dll 2007-12-04 23:41 282,624 ----a-w C:\WINDOWS\system32\nvrsfr.dll 2007-12-04 23:41 282,624 ----a-w C:\WINDOWS\system32\nvrses.dll 2007-12-04 23:41 282,624 ----a-w C:\WINDOWS\system32\nvrsel.dll 2007-12-04 23:41 278,528 ----a-w C:\WINDOWS\system32\nvwrshe.dll 2007-12-04 23:41 278,528 ----a-w C:\WINDOWS\system32\nvrsit.dll 2007-12-04 23:41 278,528 ----a-w C:\WINDOWS\system32\nvrsde.dll 2007-12-04 23:41 274,432 ----a-w C:\WINDOWS\system32\nvrspt.dll 2007-12-04 23:41 274,432 ----a-w C:\WINDOWS\system32\nvrsnl.dll 2007-12-04 23:41 274,432 ----a-w C:\WINDOWS\system32\nvrsesm.dll 2007-12-04 23:41 270,336 ----a-w C:\WINDOWS\system32\nvrsru.dll 2007-12-04 23:41 266,240 ----a-w C:\WINDOWS\system32\nvrsptb.dll 2007-12-04 23:41 266,240 ----a-w C:\WINDOWS\system32\nvrsja.dll 2007-12-04 23:41 258,048 ----a-w C:\WINDOWS\system32\nvrstr.dll 2007-12-04 23:41 258,048 ----a-w C:\WINDOWS\system32\nvrssl.dll 2007-12-04 23:41 258,048 ----a-w C:\WINDOWS\system32\nvrssk.dll 2007-12-04 23:41 258,048 ----a-w C:\WINDOWS\system32\nvrsko.dll 2007-12-04 23:41 258,048 ----a-w C:\WINDOWS\system32\nvrshu.dll 2007-12-04 23:41 253,952 ----a-w C:\WINDOWS\system32\nvrsth.dll 2007-12-04 23:41 253,952 ----a-w C:\WINDOWS\system32\nvrssv.dll 2007-12-04 23:41 253,952 ----a-w C:\WINDOWS\system32\nvrspl.dll 2007-12-04 23:41 253,952 ----a-w C:\WINDOWS\system32\nvrsno.dll 2007-12-04 23:41 253,952 ----a-w C:\WINDOWS\system32\nvrsda.dll 2007-12-04 23:41 249,856 ----a-w C:\WINDOWS\system32\nvrsfi.dll 2007-12-04 23:41 249,856 ----a-w C:\WINDOWS\system32\nvrscs.dll 2007-12-04 23:41 245,760 ----a-w C:\WINDOWS\system32\nvrseng.dll 2007-12-04 23:41 229,376 ----a-w C:\WINDOWS\system32\nvmccs.dll 2007-12-04 23:41 225,280 ----a-w C:\WINDOWS\system32\nvrszhc.dll 2007-12-04 23:41 212,992 ----a-w C:\WINDOWS\system32\nvwrsja.dll 2007-12-04 23:41 2,854,912 ----a-w C:\WINDOWS\system32\nvmoblsr.dll 2007-12-04 23:41 2,519,040 ----a-w C:\WINDOWS\system32\nvwssr.dll 2007-12-04 23:41 2,498,560 ----a-w C:\WINDOWS\system32\nvwss.dll 2007-12-04 23:41 196,608 ----a-w C:\WINDOWS\system32\nvwrsko.dll 2007-12-04 23:41 188,416 ----a-w C:\WINDOWS\system32\nvmccss.dll 2007-12-04 23:41 167,936 ----a-w C:\WINDOWS\system32\nvwrszht.dll 2007-12-04 23:41 163,840 ----a-w C:\WINDOWS\system32\nvwrszhc.dll 2007-12-04 23:41 155,716 ----a-w C:\WINDOWS\system32\nvsvc32.exe 2007-12-04 23:41 147,456 ----a-w C:\WINDOWS\system32\nvcolor.exe 2007-12-04 23:41 126,976 ----a-w C:\WINDOWS\system32\nvrszht.dll 2007-12-04 23:41 1,703,936 ----a-w C:\WINDOWS\system32\nvwdmcpl.dll 2007-12-04 23:41 1,626,112 ----a-w C:\WINDOWS\system32\nwiz.exe 2007-12-04 23:41 1,474,560 ----a-w C:\WINDOWS\system32\nview.dll 2007-12-04 23:41 1,339,392 ----a-w C:\WINDOWS\system32\nvdspsch.exe 2007-12-04 23:41 1,228,800 ----a-w C:\WINDOWS\system32\nvmobls.dll . ((((((((((((((((((((((((((((( snapshot@2007-12-27_19.55.18,71 ))))))))))))))))))))))))))))))))))))))))) . + 2004-08-03 23:57:16 61,440 -c----w C:\WINDOWS\ie7\admparse.dll + 2004-08-03 23:57:16 102,400 -c----w C:\WINDOWS\ie7\advpack.dll + 2004-08-03 23:57:18 35,328 -c----w C:\WINDOWS\ie7\corpol.dll + 2007-08-22 13:13:00 357,888 -c----w C:\WINDOWS\ie7\dxtmsft.dll + 2007-08-22 13:13:01 205,312 -c----w C:\WINDOWS\ie7\dxtrans.dll + 2007-08-22 13:13:01 55,808 -c----w C:\WINDOWS\ie7\extmgr.dll + 2004-08-03 23:57:22 38,912 -c----w C:\WINDOWS\ie7\hmmapi.dll + 2004-08-03 23:57:58 34,304 -c----w C:\WINDOWS\ie7\ie4uinit.exe + 2004-08-03 23:57:22 139,264 -c----w C:\WINDOWS\ie7\ieakeng.dll + 2004-08-03 23:57:22 220,672 -c----w C:\WINDOWS\ie7\ieaksie.dll + 2001-08-18 12:00:00 237,568 -c----w C:\WINDOWS\ie7\ieakui.dll + 2004-08-03 23:57:22 323,584 -c----w C:\WINDOWS\ie7\iedkcs32.dll + 2007-08-21 10:30:45 18,432 -c----w C:\WINDOWS\ie7\iedw.exe + 2004-08-03 23:57:22 81,920 -c----w C:\WINDOWS\ie7\ieencode.dll + 2007-08-22 13:13:01 251,392 -c----w C:\WINDOWS\ie7\iepeers.dll + 2004-08-03 23:57:22 49,152 -c----w C:\WINDOWS\ie7\iernonce.dll + 2004-08-03 23:57:22 64,000 -c----w C:\WINDOWS\ie7\iesetup.dll + 2004-08-03 23:57:58 93,184 -c----w C:\WINDOWS\ie7\iexplore.exe + 2004-08-03 23:57:22 35,840 -c----w C:\WINDOWS\ie7\imgutil.dll + 2007-08-22 13:13:01 96,768 -c----w C:\WINDOWS\ie7\inseng.dll + 2006-05-18 05:36:05 450,560 -c----w C:\WINDOWS\ie7\jscript.dll + 2007-08-22 13:13:01 16,384 -c----w C:\WINDOWS\ie7\jsproxy.dll + 2004-08-03 23:57:24 22,016 -c----w C:\WINDOWS\ie7\licmgr10.dll + 2004-08-03 23:58:06 29,184 -c----w C:\WINDOWS\ie7\mshta.exe + 2007-08-22 13:13:02 3,079,168 -c----w C:\WINDOWS\ie7\mshtml.dll + 2007-08-22 13:13:02 449,024 -c----w C:\WINDOWS\ie7\mshtmled.dll + 2004-08-03 23:55:32 57,344 -c----w C:\WINDOWS\ie7\mshtmler.dll + 2001-08-18 12:00:00 146,432 -c----w C:\WINDOWS\ie7\msls31.dll + 2007-08-22 13:13:02 146,432 -c----w C:\WINDOWS\ie7\msrating.dll + 2007-08-22 13:13:02 532,480 -c----w C:\WINDOWS\ie7\mstime.dll + 2004-08-03 23:57:32 97,792 -c----w C:\WINDOWS\ie7\occache.dll + 2007-08-22 13:13:02 39,424 -c----w C:\WINDOWS\ie7\pngfilt.dll + 2007-09-26 17:08:50 33,472 -c----w C:\WINDOWS\ie7\spuninst\iecustom.dll + 2007-09-26 17:06:42 66,048 -c--a-w C:\WINDOWS\ie7\spuninst\ieResetIcons.exe + 2006-09-06 16:42:32 217,312 -c----w C:\WINDOWS\ie7\spuninst\spuninst.exe + 2006-09-06 16:42:34 377,568 -c----w C:\WINDOWS\ie7\spuninst\updspapi.dll + 2004-08-03 23:57:38 37,888 -c----w C:\WINDOWS\ie7\url.dll + 2007-08-22 13:13:03 617,472 -c----w C:\WINDOWS\ie7\urlmon.dll + 2004-08-03 23:57:38 417,792 -c----w C:\WINDOWS\ie7\vbscript.dll + 2007-06-26 13:55:41 851,968 -c----w C:\WINDOWS\ie7\vgx.dll + 2004-08-03 23:57:38 281,088 -c----w C:\WINDOWS\ie7\webcheck.dll + 2007-08-22 13:13:04 664,576 -c----w C:\WINDOWS\ie7\wininet.dll + 2007-08-13 17:39:20 71,680 -c----w C:\WINDOWS\system32\dllcache\admparse.dll + 2007-08-13 17:39:00 123,904 -c----w C:\WINDOWS\system32\dllcache\advpack.dll + 2007-08-13 17:42:54 17,408 -c----w C:\WINDOWS\system32\dllcache\corpol.dll + 2007-08-13 17:54:10 33,792 -c----w C:\WINDOWS\system32\dllcache\custsat.dll + 2007-08-13 17:18:02 60,416 -c----w C:\WINDOWS\system32\dllcache\hmmapi.dll + 2007-08-13 17:39:06 54,784 -c----w C:\WINDOWS\system32\dllcache\ie4uinit.exe + 2007-08-13 17:39:26 152,064 -c----w C:\WINDOWS\system32\dllcache\ieakeng.dll + 2007-08-13 17:39:54 229,376 -c----w C:\WINDOWS\system32\dllcache\ieaksie.dll + 2007-08-13 17:39:50 382,976 -c----w C:\WINDOWS\system32\dllcache\iedkcs32.dll + 2007-08-13 17:45:18 78,336 -c----w C:\WINDOWS\system32\dllcache\ieencode.dll + 2007-08-13 17:39:10 43,008 -c----w C:\WINDOWS\system32\dllcache\iernonce.dll + 2007-08-13 17:39:12 55,296 -c----w C:\WINDOWS\system32\dllcache\iesetup.dll + 2007-08-13 17:43:56 622,080 -c----w C:\WINDOWS\system32\dllcache\iexplore.exe + 2007-08-13 17:36:06 36,352 -c----w C:\WINDOWS\system32\dllcache\imgutil.dll + 2007-08-13 17:44:18 40,960 -c----w C:\WINDOWS\system32\dllcache\licmgr10.dll + 2007-08-13 17:32:30 45,568 -c----w C:\WINDOWS\system32\dllcache\mshta.exe + 2007-08-13 17:01:12 48,128 -c----w C:\WINDOWS\system32\dllcache\mshtmler.dll + 2007-08-13 17:44:06 101,376 -c----w C:\WINDOWS\system32\dllcache\occache.dll + 2007-08-13 17:44:30 105,984 -c----w C:\WINDOWS\system32\dllcache\url.dll + 2007-08-13 17:54:10 413,696 -c----w C:\WINDOWS\system32\dllcache\vbscript.dll + 2007-08-13 17:54:10 231,424 -c----w C:\WINDOWS\system32\dllcache\webcheck.dll + 2007-08-13 17:36:26 61,952 ------w C:\WINDOWS\system32\icardie.dll + 2006-06-29 07:05:44 26,112 ------w C:\WINDOWS\system32\idndl.dll + 2007-02-12 15:10:12 2,451,312 ------w C:\WINDOWS\system32\ieapfltr.dat + 2007-07-11 11:27:48 383,488 ------w C:\WINDOWS\system32\ieapfltr.dll + 2007-08-13 17:54:10 6,049,280 ------w C:\WINDOWS\system32\ieframe.dll + 2007-08-13 17:34:04 266,752 ------w C:\WINDOWS\system32\iertutil.dll + 2007-08-13 17:39:10 13,312 ----a-w C:\WINDOWS\system32\ieudinit.exe + 2007-08-13 17:54:10 180,736 ------w C:\WINDOWS\system32\ieui.dll + 2007-08-13 17:54:10 458,752 ------w C:\WINDOWS\system32\msfeeds.dll + 2007-08-13 17:54:10 50,688 ------w C:\WINDOWS\system32\msfeedsbs.dll + 2007-08-13 17:36:40 12,288 ------w C:\WINDOWS\system32\msfeedssync.exe + 2006-06-28 16:59:26 24,576 ------w C:\WINDOWS\system32\nlsdl.dll + 2006-06-29 07:05:44 23,552 ------w C:\WINDOWS\system32\normaliz.dll - 2007-03-06 01:14:08 15,584 ------w C:\WINDOWS\system32\spmsg.dll + 2006-09-06 16:42:32 15,584 ------w C:\WINDOWS\system32\spmsg.dll - 2005-06-28 09:21:34 22,752 ----a-w C:\WINDOWS\system32\spupdsvc.exe + 2006-09-06 16:42:32 22,752 ----a-w C:\WINDOWS\system32\spupdsvc.exe + 2007-08-13 17:45:16 206,336 ------w C:\WINDOWS\system32\WinFXDocObj.exe + 2006-07-14 15:51:51 121,856 ------w C:\WINDOWS\system32\xmllite.dll + 2007-12-27 22:01:35 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_22c.dat . -- Snapshot reset to current date -- . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{76F262CF-0308-0FB4-F7A3-043266F3A47C}] C:\Programme\Kbenhqmw\ljjkjrol.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57] "NVIDIA nTune"="C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" [2007-07-03 12:32] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RTHDCPL"="RTHDCPL.EXE" [2006-05-18 07:27 C:\WINDOWS\RTHDCPL.exe] "SkyTel"="SkyTel.EXE" [2006-05-16 11:04 C:\WINDOWS\SkyTel.exe] "RivaTuner"="C:\Programme\RivaTuner v2.06\RivaTuner.exe" [2007-10-30 19:05] "NvCplDaemon"="RUNDLL32.exe" [2004-08-04 00:58 C:\WINDOWS\system32\rundll32.exe] "nwiz"="nwiz.exe" [2007-12-05 00:41 C:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="RUNDLL32.exe" [2004-08-04 00:58 C:\WINDOWS\system32\rundll32.exe] "RivaTunerStartupDaemon"="C:\Programme\RivaTuner v2.06\RivaTuner.exe" [2007-10-30 19:05] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-12-27 16:28] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] "NoIE4StubProcessing"="C:\WINDOWS\system32\reg.exe" [2004-08-04 00:58] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtsrsq] awtsrsq.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winowl32] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Sinus 154 stick WLAN Manager.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Sinus 154 stick WLAN Manager.lnk backup=C:\WINDOWS\pss\Sinus 154 stick WLAN Manager.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] 2007-05-11 03:06 40048 --a------ C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DownloadAccelerator] C:\Programme\DAP\DAP.EXE /STARTUP [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] 2007-12-11 12:10 267048 --a------ C:\Programme\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nHancer] C:\Programme\nHancer\nHancer.exe /tray [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam] C:\Programme\Steam\Steam.exe -silent [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 2007-09-25 01:11 132496 --a------ C:\Programme\Java\jre1.6.0_03\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Uniblue RegistryBooster 2] C:\Programme\Uniblue\RegistryBooster 2\RegistryBooster.exe /S [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "wuauserv"=2 (0x2) "SharedAccess"=2 (0x2) "Apple Mobile Device"=2 (0x2) "wscsvc"=2 (0x2) R0 hotcore2;hotcore2;C:\WINDOWS\system32\drivers\hotcore2.sys [2006-10-02 10:51] R3 RivaTuner32;RivaTuner32;C:\Programme\RivaTuner v2.06\RivaTuner32.sys [2007-10-30 19:05] . Inhalt des "geplante Tasks" Ordners "2007-12-24 14:06:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Programme\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-27 23:54:02 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2007-12-27 23:54:21 C:\ComboFix2.txt ... 2007-12-27 19:55 . 2007-11-13 21:10:22 --- E O F --- |
Also hier nun das Escan log. Hoffe ich habe das richtig gemacht. Ist komprimiert: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NORMAL eScan Version: 9.6.4 Sprache: German Virus-Datenbank Datum: 12/27/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen. System found infected with zlob Trojan-Downloader (install.dat)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen. System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_current_user\software\microsoft\windows\currentversion\policies\explorer/classicshell)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\System Volume Information\_restore{3D21FF8E-7222-490A-9F1D-525E700D61B3}\RP106\A0103374.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{3D21FF8E-7222-490A-9F1D-525E700D61B3}\RP116\A0107164.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{3D21FF8E-7222-490A-9F1D-525E700D61B3}\RP118\A0107412.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{3D21FF8E-7222-490A-9F1D-525E700D61B3}\RP133\A0111973.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{3D21FF8E-7222-490A-9F1D-525E700D61B3}\RP139\A0124450.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{3D21FF8E-7222-490A-9F1D-525E700D61B3}\RP140\A0124639.dll infiziert von "Trojan.Win32.Obfuscated.lf" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\VundoFix Backups\vtuvwxv.dll.bad infiziert von "Trojan.Win32.Obfuscated.lf" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ Datei C:\Dokumente und Einstellungen\Florian\Desktop\Zwischenablage\CryptLoad_1.0.4.rar/CryptLoad_1.0.4\router\FRITZ!Box\nc.exe markiert als not-a-virus:RemoteAdmin.Win32.NetCat. Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\Florian\Desktop\Zwischenablage\Microsoft_Windows_XP_Service_Pack_2.zip/keyfinder.exe/officekey.exe markiert als not-a-virus:PSWTool.Win32.RAS.a. Keine Aktion vorgenommen. Datei C:\Cryptload\router\FRITZ!Box\nc.exe markiert als not-a-virus:RemoteAdmin.Win32.NetCat. Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\Florian\Desktop\Zwischenablage\CryptLoad_1.0.4.rar/CryptLoad_1.0.4\router\FRITZ!Box\nc.exe markiert als not-a-virus:RemoteAdmin.Win32.NetCat. Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\Florian\Desktop\Zwischenablage\Microsoft_Windows_XP_Service_Pack_2.zip/keyfinder.exe/officekey.exe markiert als not-a-virus:PSWTool.Win32.RAS.a. Keine Aktion vorgenommen. File C:\System Volume Information\_restore{3D21FF8E-7222-490A-9F1D-525E700D61B3}\RP127\A0107845.exe//WiseSFXDropper//WISE0010.BIN markiert als "not-a-virus:AdTool.Win32.MyWebSearch.bk". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{3D21FF8E-7222-490A-9F1D-525E700D61B3}\RP139\A0124470.exe markiert als "not-a-virus:FraudTool.Win32.DrAntispy.ag". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{3D21FF8E-7222-490A-9F1D-525E700D61B3}\RP139\A0124471.dll markiert als "not-a-virus:FraudTool.Win32.BraveSentry.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{3D21FF8E-7222-490A-9F1D-525E700D61B3}\RP139\A0124473.dll markiert als "not-a-virus:FraudTool.Win32.BraveSentry.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\install.dat Offending file found: C:\WINDOWS\system32\swreg.exe Offending file found: C:\WINDOWS\system32\swsc.exe ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ Offending Folder found: C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\icq\bart\1024 ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ Invalid Entry DllName = awtsrsq.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\awtsrsq). Deleting Registry Key awtsrsq... ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\System Volume Information\_restore{3D21FF8E-7222-490A-9F1D-525E700D61B3}\RP111\A0103654.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 124105 Gefundene Viren: 22 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 182 Dauer des Scans bisher: 01:32:33 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 1:41:50,59 Batchende: 1:41:53,20 Mich wundert es ja gerade zu. Mein geliebter Vundo scheint nicht darunter zu sein. Und auch der drop.agent. cro ist nicht mehr da. Hatte die irgendwie umbenannt, da wegen den Teilen ständig Meldungen im Antivir aufpoppten. Vielleicht hängt es damit zusammen aber wiegesagt, besonders viel weiss ich von dem ganzen auch nicht. Beim scan hatte er am Ende 26 Viren angezeigt, wovon viele wohl allerdings fake oder ein Irrtum waren |
Soweit ich das beurteilen kann, habe ich mir ein einen backdoor eingefangen. Wäre echt dankbar für Hilfe :( |
Also. Das ist so einiges nicht in Ordnung. Durch Vundo steigt momentan niemand so richtig durch; jedenfalls expandiert der wie nichts gutes.. :schmoll: Wir müssen jetzt ein paar Dinge erledigen. Lies dir bitte die folgenden Punkte gut durch und lade dir alle erforderlichen Programme in einen Ordner (nicht auf den Desktop!) herunter. Drucke dir diesen Thread am besten aus oder speichere ihn ebenfalls in diesem Ordner. Trenne deinen Rechner physikalisch vom Netz. Stecker ziehen! Deinstalliere Java über die Sytemsteuerung->Software. Schädlinge im Ordner der Systemwiederherstellung: * Deaktiviere die Systemwiederherstellung -> So wird es gemacht. * Danach das System neu starten. Starte den Rechner zwischen den folgenden Punkten NICHT neu. Auch wenn danach gefragt wird. Starte den Rechner im abgesicherten Modus. So geht's -> TU Berlin - Virus-Info - Extra-Blatt: Abgesicherter Modus 1.) Lade dir das Tool Avenger, speichere es auf dem Desktop und starte es. 2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein: Code: Files to delete: 4.) Danach das System unverzüglich neu starten lassen 5.) Poste den Inhalt der C:\avenger.txt Datei. Dann lassen wir nur zur Sicherheit nochmal Smidtfraudfix und vundofix laufen. Anleitung SmitfraudFix: Lade dir dieses Tool -> SmitfraudFix -Starte es dann und lass das System bereinigen. (Option 2) http://www.castlecops.com/zx/sjpritch25/Fix01b.jpg -Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans. Vundofix * Lade dir vundofix.exe * Doppelklick VundoFix.exe * Klicke "Scan" --> Vundo button. * Nach dem Scannen, klicke den "Remove" Vundo button. * Man wird nun gefragt, ob man "remove" will --> klicke YES * Danach werden alle Desktop-Symbole verschwinden * Dann wird man gefragt, ob der PC neustarten soll --> klicke OK. Nach dem ganze Bereinigungen lässt du cCleaner laufen. (Installation OHNE die Toolbar!) Hinweis: Die Registry (findest du links unter Probleme/Issues) musst du mehrmals durchsuchen und bereinigen lassen. So, das sollte es dann hoffentlich gewesen sein. Melde dich danach mit frischem HJT log und einer Beschreibung wie es deinem Rechner geht.. ^^ |
Also es gibt folgendes zusagen: Habe alle Schritte durchgeführt. Avenger erstellte auch ein Logfile nur sagte er, dass dies erneut erstellt werden müsse, weil er es nicht mehr finde. Logfile ist vorhanden, jedoch leer. Er hat die Dateien auch gefunden und gelöscht plus neustart, mit Ausnahme von ein oder zwei, welche wohl nicht mehr vorhanden waren. Lasse gerade noch Vundofix und anschließend ccleaner durchlaufen usw, um dir dann das Hijacklog zu schicken. Ergebnis von Smitfraufix ist hier: SmitFraudFix v2.274 Scan done at 14:53:06,78, 28.12.2007 Run from C:\Notstand\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in normal mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix S!Ri's WS2Fix: LSP not Found. »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files »»»»»»»»»»»»»»»»»»»»»»»» IEDFix IEDFix.exe by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» DNS Description: NVIDIA nForce Networking Controller #2 - Paketplaner-Miniport DNS Server Search Order: 192.168.2.1 HKLM\SYSTEM\CCS\Services\Tcpip\..\{04CA7C1C-D5AC-4722-A289-FFA2F194D363}: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{04CA7C1C-D5AC-4722-A289-FFA2F194D363}: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS3\Services\Tcpip\..\{04CA7C1C-D5AC-4722-A289-FFA2F194D363}: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1 »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Reboot C:\WINDOWS\system32\systems.txt Please, Reboot and Run SmitfraudFix option 2 once again. »»»»»»»»»»»»»»»»»»»»»»»» End |
So, hier das BRANDNEUE Hijackthis Logfile: MSIE: Internet Explorer v7.00 (7.00.5730.0013) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe C:\Programme\RivaTuner v2.06\RivaTuner.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Florian\Desktop\HiJackThis202.exe R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll R3 - URLSearchHook: (no name) - {F4F10C1D-87C7-404A-B4B3-000000000000} - (no file) O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {76F262CF-0308-0FB4-F7A3-043266F3A47C} - (no file) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [RivaTuner] "C:\Programme\RivaTuner v2.06\RivaTuner.exe" /T O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programme\RivaTuner v2.06\RivaTuner.exe" /S O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear O4 - HKLM\..\Policies\Explorer\Run: [0IP5J3bsBJ] rundll32.exe "C:\WINDOWS\system32\ndaTqsVqrX.dll",DllCleanServer O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O20 - Winlogon Notify: winowl32 - C:\WINDOWS\ O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe -- End of file - 4529 bytes Schon jetzt erstmal tausend Dank! Keine Ahnung, ob jetzt alles inordnung ist, bisher ist nichts auffälliges passiert. Kann man die Systemwiederherstellung jetzt wieder aktivieren, wenn das Logfile soweit okay ist? P.s die Frage mag jetzt vielleicht für Verwirrung stiften aber weshalb steht bei mir der Thread auf dem Kopf? :) ernsthaft, der letzte Beitrag steht hier auf Seite 1 ganz oben. So, ICQ toolbar hab ich im nachhinein komplett runtergeschmissen. |
also mittlerweile hat sich die Begeisterung wieder gelegt :( Denn gerade poppte wieder das hier auf: http://img145.imageshack.us/img145/6...anntkd7.th.jpg hatte gerade noch eine Datei mit dem namen "23990098.$$$" gefunden, welche nun allerdings sicherheitshalber gelöscht ist. Ok, hab noch nen Ordner "Malware Alarm" ins Jenseits geschickt. Vielleicht waren das ja die Reste. Hoffe nur das wenn dies so ist, dort nicht noch irgendwo eine kontrolldatei schlummert |
So, habe es nochmal von vorne gemacht: Hier nun das Avenger log: Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\p^vtbodg ******************* Script file located at: \??\C:\WINDOWS\system32\hqchntlq.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\ndaTqsVqrX.dll deleted successfully. File C:\WINDOWS\system32\reg.exe deleted successfully. File C:\WINDOWS\system32\ieudinit.exe deleted successfully. File C:\WINDOWS\system32\ie4uinit.exe deleted successfully. Could not open file C:\PROGRA~1\ICQTOO~1\toolbaru.dll for deletion Deletion of file C:\PROGRA~1\ICQTOO~1\toolbaru.dll failed! Could not process line: C:\PROGRA~1\ICQTOO~1\toolbaru.dll Status: 0xc000003a File C:\WINDOWS\system32\awtsrsq.dll not found! Deletion of file C:\WINDOWS\system32\awtsrsq.dll failed! Could not process line: C:\WINDOWS\system32\awtsrsq.dll Status: 0xc0000034 File C:\WINDOWS\system32\awtsrsq.dll not found! Deletion of file C:\WINDOWS\system32\awtsrsq.dll failed! Could not process line: C:\WINDOWS\system32\awtsrsq.dll Status: 0xc0000034 File C:\WINDOWS\system32\qtp-mt334.dll deleted successfully. File C:\WINDOWS\system32\nvcolor.exe deleted successfully. File C:\WINDOWS\system32\nvdspsch.exe deleted successfully. File C:\install.dat deleted successfully. File C:\WINDOWS\system32\swreg.exe deleted successfully. File C:\WINDOWS\system32\swsc.exe deleted successfully. File C:\Dokumente und Einstellungen\Florian\Desktop\Zwischenablage\Micro soft_Windows_XP_Service_Pack_2.zip not found! Deletion of file C:\Dokumente und Einstellungen\Florian\Desktop\Zwischenablage\Micro soft_Windows_XP_Service_Pack_2.zip failed! Could not process line: C:\Dokumente und Einstellungen\Florian\Desktop\Zwischenablage\Micro soft_Windows_XP_Service_Pack_2.zip Status: 0xc0000034 Folder C:\Programme\Kbenhqmw not found! Deletion of folder C:\Programme\Kbenhqmw failed! Could not process line: C:\Programme\Kbenhqmw Status: 0xc0000034 Folder C:\Programme\qlipudif not found! Deletion of folder C:\Programme\qlipudif failed! Could not process line: C:\Programme\qlipudif Status: 0xc0000034 Completed script processing. ******************* Finished! Terminate. und hier hijackthis Scan saved at 16:09:13, on 28.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0013) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\System32\svchost.exe C:\Programme\RivaTuner v2.06\RivaTuner.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\notepad.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programs\HiJackThis202.exe R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) R3 - URLSearchHook: (no name) - {F4F10C1D-87C7-404A-B4B3-000000000000} - (no file) O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {76F262CF-0308-0FB4-F7A3-043266F3A47C} - (no file) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [RivaTuner] "C:\Programme\RivaTuner v2.06\RivaTuner.exe" /T O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programme\RivaTuner v2.06\RivaTuner.exe" /S O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear O4 - HKLM\..\Policies\Explorer\Run: [0IP5J3bsBJ] rundll32.exe "C:\WINDOWS\system32\ndaTqsVqrX.dll",DllCleanServer O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O20 - Winlogon Notify: winowl32 - C:\WINDOWS\ O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe -- End of file - 4451 bytes Beim jetzigen start kam wieder irgendwas von dll rundl vermisst. Hab dann wieder mit ccleaner aufgeräumt und bis jetzt ist nichts passiert. So wie es aussieht konnte er einige nicht öffnen, löschen. Vielleicht weil es eben schon geschehen ist. |
Die eine .dll verarscht uns. Lad dir bitte Killbox und wechsel in den abgesicherten Modus. Dort fixe als erstes folgende Einträge mit HJT: * R3 - URLSearchHook: (no name) - {F4F10C1D-87C7-404A-B4B3-000000000000} - (no file) * * O2 - BHO: (no name) - {76F262CF-0308-0FB4-F7A3-043266F3A47C} - (no file) * * O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) * * O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll * * O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll * * O4 - HKLM\..\Policies\Explorer\Run: [0IP5J3bsBJ] rundll32.exe "C:\WINDOWS\system32\ndaTqsVqrX.dll",DllCleanServe r * * O20 - Winlogon Notify: winowl32 - C:\WINDOWS\ * Anleitung Killbox: Lade dir folgendes Tool herunter -> KILLBOX -Starte dann das Programm -klick auf die Option -> "delete on reboot" -kopiere diesen Text unter -> "Full Path of File to delete" Zitat:
http://scr.softonic.com/s2/46000/46370/0_killbox.gif Dann lässt du SmitfraudFix nochmals laufen. Alles im abgesicherten! Danach mal wieder cCleaner laufen lassen und gucken was passiert. Spybot und AdAware ebenfalls. Erst danach startest du den Rechner neu und machst ein frisches HJT log sowie einen eScan. |
Hijackthis habe ich probiert und die einträge gefixt Killbox war mir schon bekannt. habe DC:\WINDOWS\system32\ndaTqsVqrX.dll und C:\WINDOWS\system32\ndaTqsVqrX.dll probiert, jedoch kam kurz vor dem Neustart ein Fehler. Keine der beiden Varianten konnte er löschen oder finden und auch im System32 folder habe ich die nicht entdeckt. |
Ups. DC: war natürlich mein Fehler! Aber mit " C:\WINDOWS\system32\ndaTqsVqrX.dll " hast du es auch probiert? Dann versuche es mal bitte zusätzlich mit dem Haken gesetzt bei " End Explorer Shell .. " Wenn du den Link in meiner Signatur zum suchen und finden von Dateien beachtest findest du die Datei dann? PS: Poste bitte noch ein neues HJT log. |
Habe alles genauso befolgt aber wieder Erfolglos. Naja, vielleicht nicht ganz, habe unsere Datei gefunden. Allerdings im Avenger Ordner unter Backups. War da im Stapelverzeichnis. Habe die kurzerhand auch mal eliminiert und daraufhin die Datei über die von dir beschriebene custom Suche dann auch nicht mehr gefunden. Auch nach Einstellung, wie es in deinem Linkbeschrieben ist, konnte ich die Datei jedoch nicht im system32 Ordner finden und das Programm auch nicht, trotz aktiviertem shell. Wieder Fehler 1 Sekunde vor Neustart. "PendingFileRenameOperationsRegistry Data has been removed by External process" steht dann da immer hier mein neues Hijkt log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:00:57, on 28.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0013) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\RivaTuner v2.06\RivaTuner.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\wscntfy.exe C:\Programs\HiJackThis202.exe O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [RivaTuner] "C:\Programme\RivaTuner v2.06\RivaTuner.exe" /T O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programme\RivaTuner v2.06\RivaTuner.exe" /S O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe -- End of file - 3755 bytes |
Also dein Hijack ist sauber. Beobachte dein System und berichte was sich so tut.. |
Alslo irgendwie findet Escan immernoch Trojan-downloader.bat.ftp und smitfraud.browser.hijacker Vielleicht nur ein fehlalarm von Escan? hier mein aktuelles hijk log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:07:02, on 28.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0013) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\RivaTuner v2.06\RivaTuner.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\System32\svchost.exe C:\Antispyware\HiJackThis202.exe O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [RivaTuner] "C:\Programme\RivaTuner v2.06\RivaTuner.exe" /T O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programme\RivaTuner v2.06\RivaTuner.exe" /S O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe -- End of file - 3167 bytes |
Hallo. Ich hoffe ich störe hier nicht eine Diskussion aber mein Problem schlägt genau in die gleiche Bresche. Ich habe den Vundo-Trojaner bzw. einen TR/Drop.Agent.dgo.8 (oder andere Nummer). Meine Problemdatei ist laut vundovix.exe folgende: C:\Windows\System32\ssqrq.dll Zwischenzeitlich hatte ich noch im gleichen Ordner die iifddbx.dll oder qrqss.ini oder qrqss.ini2 oder mljdg.dll Mit den AntiVirus-Programmen hab ich den Vundo erst gar nicht entdeckt (habe den "Jotti-Malware"Scan gemacht. Der erkannte die mljdg.dll als Vundo infiziert - AntiVir, Avast, Bitdefender etc. finden hingegen nichts. Auch Adware 2007 und Spybot nicht. ) Das Problem ist, dass ich die Datei ssqrq.dll weder mit Killbox noch mit dem Vundofix (auch nicht wenn Systemwiederherstellung deaktiviert ist) wegbekomme. Einmal hab ich sogar gesehen, wie sie sich selbst wieder "erschuf". Auch im abgesicherten Modus komme ich nicht weiter. Und dieser Trojaner zerstört auch noch meine ZoneLabs Firewall und Antivir etc. Komme hier echt nicht mehr weiter. Ach und Antivir findet im ssqrq.dll nichts aber manchmal in den Temp dateien folgenden Trojaner: TR/Drop.Agent.dgo.8 (wie schon oben gesagt) Hier mein HJT File Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:14:12, on 28.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\spoolsv.exe C:\Anwendungen\Lavasoft\Ad-aware 2007\aawservice.exe C:\Anwendungen\AntiVir PersonalEdition Classic\sched.exe C:\Anwendungen\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\cisvc.exe C:\Anwedungen\ProcessGuard\dcsuserprot.exe C:\Programme\FolderSize\FolderSizeSvc.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\svchost.exe C:\ANWEND~1\TRISNA~1\SSI\SYSENF~1.EXE C:\WINDOWS\system32\UAService7.exe C:\WINDOWS\system32\SearchIndexer.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\WINDOWS\system32\taskmgr.exe C:\Anwendungen\Zone Labs\ZoneAlarm\zlclient.exe C:\Anwendungen\Zone Labs\ZoneAlarm\zlclient .exe C:\WINDOWS\system32\SearchProtocolHost.exe C:\Anwendungen\T-Com\OnlineControl\ocontrol.exe C:\Anwendungen\ATITool\ATITool.exe C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe C:\WINDOWS\system32\rundll32.exe D:\Eigene Dateien\DOWNLOADS\KillBox.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\ctfmon.exe C:\Anwendungen\Mozilla Firefox\firefox.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Anwendungen\Bitdefender\vsserv.exe C:\WINDOWS\system32\cidaemon.exe C:\Anwendungen\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.1und1.de/Herzlich_Willkommen/b1/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Programme\Mplayer\Assets\Blank.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 80.130.10.167:2 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Anwendungen\ICQToolbar\toolbaru.dll F3 - REG:win.ini: load=C:\WINDOWS\system32\ssqrq.exe O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Anwendungen\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [BDMCon] "C:\Anwendungen\Bitdefender\bdmcon.exe" /reg O4 - HKLM\..\Run: [BDAgent] "C:\Anwendungen\Bitdefender\bdagent.exe" O4 - HKLM\..\Run: [avgnt] "C:\Anwendungen\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Anwendungen\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - S-1-5-18 Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'SYSTEM') O4 - S-1-5-18 Startup: T-Online DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\TODslMgr.exe (User 'SYSTEM') O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'Default user') O4 - .DEFAULT Startup: T-Online DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\TODslMgr.exe (User 'Default user') O4 - Startup: ATITool.lnk = C:\Anwendungen\ATITool\ATITool.exe O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe O4 - Global Startup: OnlineControl.lnk = C:\Anwendungen\T-Com\OnlineControl\ocontrol.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Anwendungen\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Download with GetRight - C:\Anwendungen\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Anwendungen\GetRight\GRbrowse.htm O9 - Extra button: (no name) - c95fe080-8f5d-112d-a20b-00aa003c157a - (no file) O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Anwendungen\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Anwendungen\ICQLite\ICQLite.exe O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/ O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} - O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093022517812 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1175024247125 O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} - http://install.cokemusic.de/client/pc/MY-PLAYLIST-WEBINSTALLER_loader.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{24D8F93F-2CDE-4107-BDF0-A49EAB65F44E}: NameServer = 85.255.115.116,85.255.112.169 O17 - HKLM\System\CCS\Services\Tcpip\..\{89CE64EC-0F2C-4FDB-B122-94C1672DF215}: NameServer = 85.255.115.116,85.255.112.169 O17 - HKLM\System\CCS\Services\Tcpip\..\{BED2C924-4804-4E0E-86D8-1F7A350295D6}: NameServer = 85.255.115.116,85.255.112.169 O17 - HKLM\System\CCS\Services\Tcpip\..\{D2C97039-7BB7-44B9-B437-7EAE4D5C9793}: NameServer = 85.255.115.116,85.255.112.169 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.116 85.255.112.169 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.116 85.255.112.169 O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Anwendungen\Lavasoft\Ad-aware 2007\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Anwendungen\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Anwendungen\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe O23 - Service: DiamondCS Process Guard Service v3.000 (DCSPGSRV) - DiamondCS - C:\Anwedungen\ProcessGuard\dcsuserprot.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - DiamondCS - (no file) O23 - Service: Folder Size (FolderSize) - Brio - C:\Programme\FolderSize\FolderSizeSvc.exe O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktopManager.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe O23 - Service: SysEnforce - Unknown owner - C:\ANWEND~1\TRISNA~1\SSI\SYSENF~1.EXE O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Anwendungen\Bitdefender\vsserv.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe -- End of file - 9884 bytes |
Sei da aufjednefall vorsichtig. Ich hatte das Gefühl, dass er sich meines Antivirs bemächtigt hat. Daraufhin hab ich es einfach deaktiviert. Nutze Escan, wie ich das momentan mache und lies dir den thread schonmal durch, könnt ne lange session werden, auch für dich. Vundo oder Zlob machen sowieso was sie wollen, da hilft nur Pistole auf die Brust. |
Na dann danke schon mal für die schnelle Antwort. :) Der eScan wirft ja unglaublich viel aus! (Dass ich mal Kazaa aufm PC hatte, wusste ich gar nicht mehr...) Hier eine Übersicht (das Protokoll ist ca 950.000 Zeichen lang...) Fri Dec 28 21:39:58 2007 => Gescannte Dateien: 44135 Fri Dec 28 21:39:58 2007 => Gefundene Viren: 57 Fri Dec 28 21:39:58 2007 => Anzahl der desinfizierten Dateien: 0 Fri Dec 28 21:39:58 2007 => Umbenannte Dateien: 0 Fri Dec 28 21:39:58 2007 => Anzahl der gelöschten Dateien: 0 Fri Dec 28 21:39:58 2007 => Anzahl Fehler: 267 Fri Dec 28 21:39:58 2007 => Dauer des Scans bisher: 00:09:30 Fri Dec 28 21:39:58 2007 => Virus-Datenbank Datum: 12/27/2007 Fri Dec 28 21:39:58 2007 => Virus-Datenbank Zähler: 495625 Fri Dec 28 21:39:58 2007 => Scan vollständig. Lohnt es sich den eScan zu kaufen, denn die Freeware Version ändert ja nichts an den Problemen, sondern erkennt sie nur? |
Schau dir mal die Escan Anleitung hier aus dem Forum an. Da kannst du eine Datei runterladen, die das riesige log übersichtlich zusammenfasst, völlig automatisch. Einfach doppelklick drauf und dann postest du das hier im Thread. Weil mit dem bischen kann man denke ich nicht soviel anfangen. Selbst wenn du die Vollversion von Escan hättest, denke ich nicht, dass es Vundo entfernen kann. Nicht mal mit killbox geht das. Da muss man schon echt härtere Geschütze fahren, da die betreffende Datei abgeriegelt wie Fort Knox ist. Ich kanns halt auch nicht besser beschreiben aber bald dürfte Hilfe eintreffen :) Also gehen wir mal davon aus, dass du 40 potentielle Viren hast, ist das schon enorm. Der Rest ist halt falscher Alarm. Aber sieht ganz so aus als hättest du dir ein dickes Virenpaket eingefangen mit trojan downloader, wohlmöglich zlob. Das beste ist, wenn du die Verbindung erstmal trennst und von Zeit zu zeit reinschaust und dann einfach nur den Anweisungen folgen. Jenachdem wie lange das schon so läuft könnnen sich backdoortrojaner eingeschlichen haben, die mit deinem PC unfug treiben. Lass Antivir soweit erstmal durchlaufen und entferne das gröbste und trenne die Internetverbindung, damit nichts weiter aus dem Netz geladen werden kann. |
Zitat:
wir sind erst am Anfang.. Zitat:
Wir müssen dein System auf Dateien und Prozesse scannen, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en): alle anderen Scanner gegen Viren, Spyware, usw deaktiviert sein keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen) nichts am Rechner getan werden Lade dir das Programm GMER (http://www.gmer.net/gmer.zip) von www.gmer.net runter. -Entpacke es wenn du kein Zip-Programm hast, kannst du dir eine Testversion kostenlos runterladen: Winzip (WinZip® - The Zip File Utility for Windows - Zip/Unzip, Encrypt/Decrypt) -Starte es mit einem doppelklick auf die gmer.exe -Sollte eine Fehlermeldung auftauchen einfach nein, oder no wählen. -Wähle jetzt den Reiter Rootkit aus. http://image.hijackthis.eu/gmer/reiter5ji.png -1.Klicke nun rechts unten auf Scann -2.Nach dem scann klicke rechts unten auf Copy http://image.hijackthis.eu/gmer/scann5ft.png Vor dem nächsten Schritt bitte die Vierenscanner wieder aktivieren! -Öffne nun deinen Thread im HijackThis-Forum -Klicke mit rechts in die Textbox und wähle Einfügen. Nun ist das Ergebnis von Gmer in deinen Thread eingefügt. |
Werde ich tun. Aber kann das Escan log gerade nicht komprimieren, weil er irgendein Sprachproblem hat, bei dem Versuch die bat zutzen. Bekomme das jetzt auch nicht gefixt. Muss ich die große hochladen. |
So habs jetzt mal hochgeladen. Hoffe damit lässt sich was Anfangen. Wie gesagt, kann es grad nicht komprimieren, tut mich leid. RapidShare Webhosting + Webspace |
Führe den eScan bitte nocheinmal durch und wähle Deutsch als Sprache. Dann sollte es klappen. Und führe bitte den gmer scan durch! |
Also nachdem bei mir vor ca. 1 Woche gar nichts mehr (z.B. Windows nur noch im abgesicherten Modus...) klappte, musste ich formatieren. Nun klappts natürlich wieder. Trotzdem vielen Dank für Eure Hilfe!!! Tolles Forum hier!!! :) |
Huhu Sprewell. Formatieren ist immer die beste Variante. :daumenhoc Es hat dir übrigens nur niemand geantwortet weil du keinen eigenen Thread erstellt hast. Das wahrt die Übersicht .. ;) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:00 Uhr. |
Copyright ©2000-2025, Trojaner-Board