Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bitte um Check meiner Log (https://www.trojaner-board.de/47975-bitte-um-check-meiner-log.html)

aFarmer 09.01.2008 18:02
Bitte um Check meiner Log
 
Benötige Hilfe, wäre nett wenn das mal jmd durchsucht... seit dem ich eine datei auf meinem rechner hatte ".exe" sprignt mein AVGuard nicht mehr an bzw nur wenn ich messenger.exe beende... habs ausprobiert da ich die datei nicht im autostart hatte, wenn ich sie aus dem Autostart wegnehme ist sie beim nächsten Boot wieder da... komisch

Logfile of HijackThis v1.99.1
Scan saved at 18:02:42, on 09.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\PeerGuardian2\pg2.exe
C:\WINDOWS\system32\messenger.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.qip.ru
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [PeerGuardian] D:\PeerGuardian2\pg2.exe
O4 - HKCU\..\Run: [Windows Update] C:\WINDOWS\system32\messenger.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Sunny 09.01.2008 18:07
Hallo und Willkommen!

Arbeite zunächst diese Punkte ab, damit wir einen besseren Überblick und mehr Informationen zu deinem System bekommen:



Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)
Zitat:
C:\WINDOWS\system32\messenger.exe
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)


ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

aFarmer 09.01.2008 18:15
Also die Log sagt mir nich wirklich was... sehe wohl nur das er 2 datein gelöscht hat...

ne weitere frage, sind meine gespeichtern PWs nun noch sicher und kann ich Online-banking wieder machen? danke ;)

ComboFix 08-01-09.2 - Farmer 2008-01-09 18:13:37.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.60 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Farmer\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\server.exe
C:\WINDOWS\system32\messenger.exe

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-09 bis 2008-01-09 ))))))))))))))))))))))))))))))
.

2008-01-09 18:12 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-09 17:55 . 2005-02-16 11:06 218,112 --a------ C:\Programme\HijackThis.exe
2008-01-08 17:46 . 2008-01-08 17:46 <DIR> d-------- C:\Programme\Avira
2008-01-08 15:55 . 2008-01-08 15:55 43,520 --a------ C:\WINDOWS\system32\pstorage.shark
2008-01-07 19:46 . 2008-01-07 19:46 20,152 --a------ C:\WINDOWS\system32\preview_243_1.shark
2008-01-07 19:46 . 2008-01-07 19:46 19,510 --a------ C:\WINDOWS\system32\preview_7919_1.shark
2008-01-07 19:45 . 2008-01-07 19:45 53,760 --a------ C:\WINDOWS\system32\zlib.dll
2008-01-07 19:45 . 2008-01-07 19:45 52,224 --a------ C:\WINDOWS\system32\jpg.dll
2008-01-07 19:44 . 2008-01-07 19:44 57,344 --a------ C:\WINDOWS\system32\firefox.shark
2008-01-06 17:20 . 2005-09-23 08:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2008-01-06 17:11 . 2007-12-10 18:35 4,429,700 --a------ C:\WINDOWS\Timbaland - Apologize.mp3
2008-01-06 17:11 . 2008-01-09 18:01 108,336 --a------ C:\WINDOWS\system32\mswinsck.ocx

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-09 17:02 2,760 ----a-w C:\Programme\hijackthis.log
2008-01-08 16:46 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2007-12-27 22:04 --------- d-----w C:\Dokumente und Einstellungen\Farmer\Anwendungsdaten\BitTorrent
2007-11-30 20:51 --------- d-----w C:\Dokumente und Einstellungen\Farmer\Anwendungsdaten\ICQ
2007-11-22 16:08 21,128 ----a-w C:\Dokumente und Einstellungen\Farmer\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-11-21 15:33 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-11-21 15:27 --------- d-----w C:\Dokumente und Einstellungen\Farmer\Anwendungsdaten\InstallShield
2007-11-15 20:08 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2007-11-11 14:26 --------- d-----w C:\Dokumente und Einstellungen\Farmer\Anwendungsdaten\Atari
2007-11-11 13:00 --------- d-----w C:\Programme\Gemeinsame Dateien\PocketSoft
2007-11-09 10:22 --------- d-----w C:\Dokumente und Einstellungen\Farmer\Anwendungsdaten\LimeWire
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PeerGuardian"="D:\PeerGuardian2\pg2.exe" [2005-09-18 17:40 1421824]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-09-17 00:07 8491008]
"nwiz"="nwiz.exe" [2007-09-17 00:07 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-09-17 00:07 81920]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-09 17:50 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-03 23:57 15360]


*Newly Created Service* - PROCEXP90

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{EE00690D-EF8D-E30D-F0CC-C5E4CB50B897}]
C:\WINDOWS\system32\messenger.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-09 18:16:06
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-09 18:17:00
ComboFix-quarantined-files.txt 2008-01-09 17:16:25

Sunny 09.01.2008 18:25
Lass nun Antivir noch mal dein gesamtes System durchsuchen, und schreibe mir nach dem Scan ob noch was gefunden wurde. ;)


Desweiteren kannst du danach diesen Ordner löschen -> C:\quoobox

aFarmer 09.01.2008 20:42
AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Mittwoch, 9. Januar 2008 18:30

Es wird nach 1021584 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: SYSTEM
Computername: FARMERPC

Versionsinformationen:
BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23.08.2007 13:16:24
AVSCAN.DLL : 7.0.6.0 57384 Bytes 14.08.2007 15:48:28
LUKE.DLL : 7.0.5.3 147496 Bytes 14.08.2007 15:32:43
LUKERES.DLL : 7.0.6.0 10792 Bytes 14.08.2007 15:49:04
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 14:27:15
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14.12.2007 16:50:33
ANTIVIR2.VDF : 7.0.1.205 620544 Bytes 08.01.2008 16:50:33
ANTIVIR3.VDF : 7.0.1.213 71168 Bytes 09.01.2008 16:50:33
AVEWIN32.DLL : 7.6.0.46 3084800 Bytes 09.01.2008 16:50:37
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 10:36:23
AVPREF.DLL : 7.0.2.2 25640 Bytes 18.07.2007 07:16:50
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:16:24
AVPACK32.DLL : 7.6.0.2 360488 Bytes 09.01.2008 16:50:37
AVREG.DLL : 7.0.1.6 30760 Bytes 18.07.2007 07:17:02
AVARKT.DLL : 1.0.0.20 278568 Bytes 28.08.2007 12:26:28
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18.07.2007 07:10:14
NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 11:09:03
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07.08.2007 12:37:51
RCTEXT.DLL : 7.0.62.0 90152 Bytes 21.08.2007 12:50:28
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23.07.2007 09:37:21

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: F:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Mittwoch, 9. Januar 2008 18:30

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qip.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pg2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '27' Prozesse mit '27' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '17' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Windows>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <Programme>
Beginne mit der Suche in 'E:\' <Spiele>
Beginne mit der Suche in 'F:\' <Musik>


Ende des Suchlaufs: Mittwoch, 9. Januar 2008 19:22
Benötigte Zeit: 52:21 min

Der Suchlauf wurde vollständig durchgeführt.

4713 Verzeichnisse wurden überprüft
267989 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
267989 Dateien ohne Befall
1348 Archive wurden durchsucht
1 Warnungen
1 Hinweise

so das war der AntiVir durchlauf... ich hoffe es is alles wieder ok und ich kann beruhigt meine PWs so lassen und Online Banking machen...? :)

Sunny 09.01.2008 20:46
Zitat:
Zitat von aFarmer (Beitrag 314991)
so das war der AntiVir durchlauf... ich hoffe es is alles wieder ok und ich kann beruhigt meine PWs so lassen und Online Banking machen...? :)
Ich würde dir zu Sicherheit doch empfehlen das du alle Passwörter änderst. Und zwar jedes, angefangen von eBay, Online-Banking, PayPal etc.

Ansonsten würde ich dein System als geheilt entlassen. :daumenhoc

aFarmer 09.01.2008 20:51
alles klar vielen Danke für die nette Hilfe :)

Sunny 09.01.2008 20:52
Zitat:
Zitat von aFarmer (Beitrag 314994)
alles klar vielen Danke für die nette Hilfe :)
Bitteschön ... und schön aufpassen demnächst im Netz. :daumenhoc

aFarmer 16.01.2008 21:42
Logfile of HijackThis v1.99.1
Scan saved at 21:31:11, on 16.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\PeerGuardian2\pg2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
D:\Mozilla Firefox\firefox.exe
D:\WinRAR\WinRAR.exe
D:\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [PeerGuardian] D:\PeerGuardian2\pg2.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C21B19C-D8B3-4F4C-916D-7985829699BE}: NameServer = 217.237.149.142 217.237.150.205
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

COMBOFIX:

ComboFix 08-01-09.2 - Farmer 2008-01-16 21:33:20.2 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Farmer\Desktop\ComboFix.exe
.

((((((((((((((((((((((( Dateien erstellt von 2007-12-16 bis 2008-01-16 ))))))))))))))))))))))))))))))
.

2008-01-09 18:12 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-09 17:55 . 2005-02-16 11:06 218,112 --a------ C:\Programme\HijackThis.exe
2008-01-08 17:46 . 2008-01-08 17:46 <DIR> d-------- C:\Programme\Avira
2008-01-08 15:55 . 2008-01-08 15:55 43,520 --a------ C:\WINDOWS\system32\pstorage.shark
2008-01-07 19:46 . 2008-01-07 19:46 20,152 --a------ C:\WINDOWS\system32\preview_243_1.shark
2008-01-07 19:46 . 2008-01-07 19:46 19,510 --a------ C:\WINDOWS\system32\preview_7919_1.shark
2008-01-07 19:45 . 2008-01-07 19:45 53,760 --a------ C:\WINDOWS\system32\zlib.dll
2008-01-07 19:45 . 2008-01-07 19:45 52,224 --a------ C:\WINDOWS\system32\jpg.dll
2008-01-07 19:44 . 2008-01-07 19:44 57,344 --a------ C:\WINDOWS\system32\firefox.shark
2008-01-06 17:20 . 2005-09-23 08:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2008-01-06 17:11 . 2007-12-10 18:35 4,429,700 --a------ C:\WINDOWS\Timbaland - Apologize.mp3
2008-01-06 17:11 . 2008-01-09 18:01 108,336 --a------ C:\WINDOWS\system32\mswinsck.ocx

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-09 17:02 2,760 ----a-w C:\Programme\hijackthis.log
2008-01-08 16:46 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2007-12-27 22:04 --------- d-----w C:\Dokumente und Einstellungen\Farmer\Anwendungsdaten\BitTorrent
2007-11-30 20:51 --------- d-----w C:\Dokumente und Einstellungen\Farmer\Anwendungsdaten\ICQ
2007-11-22 16:08 21,128 ----a-w C:\Dokumente und Einstellungen\Farmer\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-11-21 15:33 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-11-21 15:27 --------- d-----w C:\Dokumente und Einstellungen\Farmer\Anwendungsdaten\InstallShield
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PeerGuardian"="D:\PeerGuardian2\pg2.exe" [2005-09-18 17:40 1421824]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-09-17 00:07 8491008]
"nwiz"="nwiz.exe" [2007-09-17 00:07 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-09-17 00:07 81920]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-09 17:50 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-03 23:57 15360]



[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{EE00690D-EF8D-E30D-F0CC-C5E4CB50B897}]
C:\WINDOWS\system32\messenger.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-16 21:35:22
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-16 21:36:45
ComboFix-quarantined-files.txt 2008-01-16 20:36:15
ComboFix2.txt 2008-01-09 17:17:01


hab ein neues Problem irgendwie... 1. meine Inet Leitung stürtz nach einer Zeit ab 2. ich kann dann nich das status fenster öffnen 3.hab viel zu oft svchost.exe in meinen Prozessen, ka woran das liegt


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:10 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131