|
Hallo. :) Fixen/Löschen mit Hijackthis Hijackthis starten -> Do a system scan only -> einen Haken setzen in folgende weiße Kästchen: Zitat:
Der Rechner startet nun neu... Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://swandog46.geekstogo.com/res/images/avenger.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Zitat:
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet. 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. |
huhu, hiermit schick ich die logdatei, hoffe irgendwann wird mein pc sauber. Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: file "C:\WINDOWS\system32\vdbhdlwb.dll" not found! Deletion of file "C:\WINDOWS\system32\vdbhdlwb.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\system32\oniftqmr.dll" not found! Deletion of file "C:\WINDOWS\system32\oniftqmr.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: could not open file "C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\Microsoft\ Windows\rfqncthv.exe" Deletion of file "C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\Microsoft\ Windows\rfqncthv.exe" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Completed script processing. ******************* Finished! Terminate. |
Hallo Zitat:
Code: Files to delete: |
Zitat:
was soll ich mit welchem programm versuchen. netterweise genauer beschreiben danke |
Zitat:
Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://swandog46.geekstogo.com/res/images/avenger.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Zitat:
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet. 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. |
Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: file "C:\WINDOWS\system32\vdbhdlwb.dll" not found! Deletion of file "C:\WINDOWS\system32\vdbhdlwb.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\system32\oniftqmr.dll" not found! Deletion of file "C:\WINDOWS\system32\oniftqmr.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: could not open file "C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\Microsoft\ Windows\rfqncthv.exe" Deletion of file "C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\Microsoft\ Windows\rfqncthv.exe" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Completed script processing. ******************* Finished! Terminate. ////////////////////////////////////////// Avenger Pre-Processor log ////////////////////////////////////////// Platform: Windows XP (build 2600, Service Pack 2) Sat Mar 29 16:11:57 2008 16:11:57: Error: Invalid script. A valid script must begin with a command directive. Aborting execution! ////////////////////////////////////////// ////////////////////////////////////////// Avenger Pre-Processor log ////////////////////////////////////////// Platform: Windows XP (build 2600, Service Pack 2) Sat Mar 29 16:12:06 2008 16:12:06: Error: Invalid script. A valid script must begin with a command directive. Aborting execution! ////////////////////////////////////////// Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: file "C:\WINDOWS\system32\vdbhdlwb.dll" not found! Replacement with dummy of file "C:\WINDOWS\system32\vdbhdlwb.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\system32\oniftqmr.dll" not found! Replacement with dummy of file "C:\WINDOWS\system32\oniftqmr.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: could not open file "C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\Microsoft\ windows\rfqncthv.exe" Replacement with dummy of file "C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\Microsoft\ windows\rfqncthv.exe" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Completed script processing. ******************* Finished! Terminate. |
Ok, zwei von beiden Dateien scheinen nicht mehr zu existieren, die andere jedoch schon. Versuch bitte nochmal sie zu löschen: kopiere diesen Text in den Avenger, so wie ebend auch schon: Code: |
Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: file "C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\Microsoft\windows\rfqncthv.exe" not found! Replacement with dummy of file "C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\Microsoft\windows\rfqncthv.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. |
huhu zwischendurch noch mal eben schnell logfile vom hijacker Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:29:54, on 29.03.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16608) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\nvraidservice.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\ICQ6\ICQ.exe C:\Programme\ATI Technologies\ATI.ACE\CLI.exe C:\Programme\TVG\DasTelefonbuch Deutschland\http_tfd.exe C:\Programme\FRITZ!\FriFon32.exe C:\Programme\Google\Google Updater\GoogleUpdater.exe C:\Programme\FRITZ!\IWatch.exe C:\Programme\TVG\DasTelefonbuch Deutschland\win32\officemanager\OMAlarm.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\CyberLink\Shared files\RichVideo.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wbem\unsecapp.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [f8ffb474] rundll32.exe "C:\WINDOWS\system32\vdbhdlwb.dll",b O4 - HKLM\..\Run: [BMfbcc87e8] Rundll32.exe "C:\WINDOWS\system32\oniftqmr.dll",s O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKCU\..\Run: [ReJf5vH] C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\Microsoft\Windows\rfqncthv.exe O4 - HKCU\..\Run: [Performance Center] C:\Programme\Ascentive\Performance Center\APCMain.exe -m O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe O4 - Global Startup: DasTelefonbuch Browserlösung.lnk = C:\Programme\TVG\DasTelefonbuch Deutschland\http_tfd.exe O4 - Global Startup: FRITZ!fon.lnk = C:\Programme\FRITZ!\FriFon32.exe O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: OfficeManager Terminerinnerung.lnk = C:\Programme\TVG\DasTelefonbuch Deutschland\win32\officemanager\OMAlarm.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1202565131583 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1202565263136 O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe -- End of file - 7021 bytes |
@britta.. Achte bitte darauf wenn du den Text kopiert hast in den Avenger, das es hier... Zitat:
das was rot ist, kein Leerzeichen gibt, es muss so aussehen: Zitat:
Versuche es bitte nochmal mit dem Text aus meinem vorletzten Beitrag! |
Zitat:
http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: file "C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\Microsoft\windows\rfqncthv.exe" not found! Replacement with dummy of file "C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\Microsoft\windows\rfqncthv.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. |
Error: file "C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\Microsoft\windows\rfqncthv.exe" not found! Replacement with dummy of file "C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\Microsoft\windows\rfqncthv.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist huhu in der originalen logdatei ist dort kein leerzeichen!!!!! wenn ich die log poste ja sonst nicht |
Das habe ich mir schon gedacht dieses Leerzeichen automatisch erstellt wurde. Irgendwie müssen wir diese Dateien löschen da sie schädlich sind: Anleitung Killbox:
Zitat:
http://scr.softonic.com/s2/46000/46370/0_killbox.gif --------------------------------- ComboFix
|
ComboFix 08-03-27.5 - PETRA3000 2008-03-29 17:11:22.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.626 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\PETRA3000\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\_000003_.tmp.dll C:\WINDOWS\system32\_000005_.tmp.dll C:\WINDOWS\system32\_000006_.tmp.dll C:\WINDOWS\system32\_000007_.tmp.dll C:\WINDOWS\system32\_000008_.tmp.dll C:\WINDOWS\system32\_000009_.tmp.dll C:\WINDOWS\system32\_000010_.tmp.dll C:\WINDOWS\system32\_000011_.tmp.dll C:\WINDOWS\system32\_000012_.tmp.dll . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_npf ((((((((((((((((((((((( Dateien erstellt von 2008-02-28 bis 2008-03-29 )))))))))))))))))))))))))))))) . 2008-03-27 19:18 . 2008-03-27 19:18 <DIR> d-------- C:\Dokumente und Einstellungen\PETRA3000\DoctorWeb 2008-03-27 18:48 . 2008-03-27 18:48 <DIR> d-------- C:\Dokumente und Einstellungen\PETRA3000\Eigene Dateien drw 2008-03-27 18:45 . 2008-03-27 18:45 <DIR> d-------- C:\Dokumente und Einstellungen\PETRA3000\Desktop otwobel 2008-03-27 18:05 . 2008-03-27 18:05 <DIR> d-------- C:\_OTMoveIt 2008-03-27 17:42 . 2008-03-27 17:42 <DIR> d-------- C:\Programme\Trend Micro 2008-03-27 17:05 . 2008-03-27 17:05 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien 2008-03-27 16:33 . 2008-03-27 16:33 <DIR> d-------- C:\Programme\MSXML 6.0 2008-03-27 14:55 . 2008-03-27 14:55 2,550 --a------ C:\WINDOWS\system32\Uninstall.ico 2008-03-27 14:55 . 2008-03-27 14:55 1,406 --a------ C:\WINDOWS\system32\Help.ico 2008-03-26 23:21 . 2008-03-27 15:52 1,479,572 ---hs---- C:\WINDOWS\system32\bwldhbdv.ini 2008-03-25 22:28 . 2008-03-27 19:05 81,984 --a------ C:\WINDOWS\system32\bdod.bin 2008-03-25 22:23 . 2008-03-27 19:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BitDefender 2008-03-25 22:22 . 2008-03-27 19:05 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Softwin 2008-03-25 22:08 . 2008-03-25 22:08 <DIR> d-------- C:\Program Files 2008-03-24 23:19 . 2008-03-25 23:09 1,578,389 ---hs---- C:\WINDOWS\system32\mpmgidhj.ini 2008-03-24 22:02 . 2008-03-24 23:15 <DIR> d-------- C:\Programme\SPYWAREfighter 2008-03-24 21:03 . 2008-03-24 21:03 <DIR> d-------- C:\Programme\Enigma Software Group 2008-03-23 21:51 . 2008-03-27 18:10 <DIR> d-------- C:\Programme\CCleaner 2008-03-23 21:06 . 2008-03-24 23:14 <DIR> d-------- C:\Programme\DFš-Optimierer 2008-03-23 21:06 . 2008-03-23 21:06 1,128 -r------- C:\WINDOWS\DFš-Optimierer_Uninstall.in 2008-03-23 21:04 . 2008-03-24 23:14 <DIR> d-------- C:\Dokumente und Einstellungen\PETRA3000\Eigene Dateien internet 2008-03-23 00:44 . 2008-03-23 02:30 <DIR> d-------- C:\Programme\Zylom Games 2008-03-23 00:44 . 2008-03-23 01:28 <DIR> d-------- C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\Zylom 2008-03-23 00:44 . 2008-03-23 00:44 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom 2008-03-22 22:44 . 2008-03-24 23:17 1,577,845 ---hs---- C:\WINDOWS\system32\ebynbbyj.ini 2008-03-21 22:43 . 2008-03-21 22:45 1,543,529 ---hs---- C:\WINDOWS\system32\eryhekox.ini 2008-03-20 22:42 . 2008-03-21 22:43 1,543,451 ---hs---- C:\WINDOWS\system32\ondppofd.ini 2008-03-20 05:51 . 2008-03-27 17:07 <DIR> d-------- C:\VundoFix Backups 2008-03-19 22:25 . 2008-03-12 14:13 208,896 --a------ C:\WINDOWS\system32\ConTest.dll 2008-03-19 22:25 . 2007-10-17 10:19 20,480 --a------ C:\WINDOWS\system32\SysRestore.dll 2008-03-18 22:40 . 2008-03-19 16:51 1,526,045 ---hs---- C:\WINDOWS\system32\mgaagbmk.ini 2008-03-18 10:34 . 2008-03-18 10:34 <DIR> d-------- C:\Programme\LimeWire Turbo Accelerator 2008-03-06 23:45 . 2008-03-06 23:45 <DIR> d-------- C:\Programme\Teamspeak2_RC2 2008-03-06 23:45 . 2008-03-06 23:45 <DIR> d-------- C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\teamspeak2 2008-03-06 23:45 . 2008-03-06 23:45 34,064 --a------ C:\WINDOWS\system32\lhacm.acm . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-03-29 02:25 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater 2008-03-24 22:14 --------- d-----w C:\Programme\DFÜ-Optimierer 2008-03-21 20:40 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-03-21 19:01 --------- d-----w C:\Programme\ICQToolbar 2008-03-20 05:00 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-03-19 21:25 --------- d-----w C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\ICQ Toolbar 2008-03-19 19:39 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-03-17 22:26 --------- d-----w C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\ICQ 2008-02-17 17:47 --------- d-----w C:\Programme\Gemeinsame Dateien\TVG 2008-02-17 17:47 --------- d-----w C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\TVG 2008-02-17 17:44 --------- d-----w C:\Programme\TVG 2008-02-11 21:07 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe 2008-02-11 21:00 --------- d-----w C:\Programme\Google 2008-02-11 14:22 --------- d-----w C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\FRITZ! 2008-02-10 11:05 --------- d-----w C:\Programme\Gemeinsame Dateien\PocketSoft 2008-02-10 10:53 97,792 ----a-w C:\WINDOWS\system32\drivers\ACEDRV05.sys 2008-02-10 10:28 78,848 ----a-w C:\WINDOWS\system32\drivers\SSHDRV85.sys 2008-02-10 00:04 --------- d-----w C:\Programme\Ascaron Entertainment 2008-02-09 23:03 --------- d-----w C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\ATI 2008-02-09 23:01 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield 2008-02-09 23:01 --------- d-----w C:\Programme\ATI Technologies 2008-02-09 17:21 --------- d-----w C:\Programme\ICQ6 2008-02-09 17:16 --------- d-----w C:\Programme\Microsoft Works 2008-02-09 17:12 --------- d-----w C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\InstallShield 2008-02-09 17:11 --------- d-----w C:\Programme\MSBuild 2008-02-09 17:07 --------- d-----w C:\Programme\Reference Assemblies 2008-02-09 17:06 --------- d-----w C:\Programme\Windows Media Connect 2 2008-02-09 15:46 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead 2008-02-09 15:46 --------- d-----w C:\Programme\Ahead 2008-02-09 15:26 --------- d-----w C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\U3 2008-02-09 15:20 --------- d-----w C:\Programme\EPSON 2008-02-09 14:56 --------- d-----w C:\Programme\FRITZ! 2008-02-09 14:55 --------- d-----w C:\Programme\Gemeinsame Dateien\AVM 2008-02-09 14:55 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ISDNWatch 2008-02-09 14:47 --------- d-----w C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\vlc 2008-02-09 14:45 --------- d-----w C:\Programme\Realtek Sound Manager 2008-02-09 14:45 --------- d-----w C:\Programme\Realtek AC97 2008-02-09 14:45 --------- d-----w C:\Programme\AvRack 2008-02-09 14:32 --------- d-----w C:\Programme\AVM_update 2008-02-09 12:31 --------- d-----w C:\Programme\Sygate 2008-02-09 12:29 --------- d-----w C:\Programme\XviD 2008-02-09 12:29 --------- d-----w C:\Programme\VideoLAN 2008-02-09 12:29 --------- d-----w C:\Programme\Spybot - Search & Destroy 2008-02-09 12:29 --------- d-----w C:\Programme\AC3Filter 2008-02-09 12:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CyberLink 2008-02-09 12:26 --------- d-----w C:\Programme\CyberLink 2008-02-09 12:24 --------- d-----w C:\Programme\Avira 2008-02-09 12:24 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-02-09 12:05 --------- d-----w C:\Programme\microsoft frontpage 2008-02-09 12:03 --------- d-----w C:\Programme\Online-Dienste 2008-02-09 12:03 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{86227D9C-0EFE-4F8A-AA55-30386A3F5686}"= C:\Programme\YourSiteBar\ysb.dll [ ] [HKEY_CLASSES_ROOT\clsid\{86227d9c-0efe-4f8a-aa55-30386a3f5686}] [HKEY_CLASSES_ROOT\Ysb.YsbObj.1] [HKEY_CLASSES_ROOT\TypeLib\{86227D9C-0EFE-4f8a-AA55-30386A3F5686}] [HKEY_CLASSES_ROOT\Ysb.YsbObj] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2003-04-14 20:05 1498032] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360] "ICQ"="C:\Programme\ICQ6\ICQ.exe" [2007-12-19 15:48 172280] "ReJf5vH"="C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\Microsoft\Windows\rfqncthv.exe" [ ] "Performance Center"="C:\Programme\Ascentive\Performance Center\APCMain.exe" [ ] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-09 13:56 249896] "RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2007-03-14 21:01 71216] "LanguageShortcut"="C:\Programme\CyberLink\PowerDVD\Language\Language.exe" [2007-03-14 21:01 54832] "SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-02-19 12:34 2372760] "SoundMan"="SOUNDMAN.EXE" [2006-08-03 05:12 577536 C:\WINDOWS\soundman.exe] "NVRaidService"="C:\WINDOWS\system32\nvraidservice.exe" [2004-06-11 04:15 83968] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2006-01-12 15:40 155648] "ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-11-24 21:10 344064] "ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2004-11-25 00:27 32768] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06 40048] "f8ffb474"="C:\WINDOWS\system32\vdbhdlwb.dll" [ ] "BMfbcc87e8"="C:\WINDOWS\system32\oniftqmr.dll" [ ] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360] "ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2004-11-25 00:27 32768] [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\CyberLink\\PowerDVD\\PowerDVD.exe"= "C:\\Programme\\ICQ6\\ICQ.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\Messenger\\msmsgs.exe"= "C:\\Programme\\Ascaron Entertainment\\Sacred Underworld\\sacred.exe"= "C:\\DAten Februar 2008\\Sacred neu\\Sacred\\Sacred.exe"= "C:\\DAten Februar 2008\\Sacred neu\\Sacred\\GameServer.exe"= "C:\\Programme\\Ascaron Entertainment\\Sacred\\Sacred.exe"= "C:\\Programme\\Ascaron Entertainment\\Sacred Underworld\\gameserver.exe"= "D:\\Shareaza\\Shareaza.exe"= "C:\\WINDOWS\\system32\\dpvsetup.exe"= "C:\\WINDOWS\\system32\\rundll32.exe"= R1 SSHDRV85;SSHDRV85;C:\WINDOWS\system32\drivers\SSHDRV85.sys [2008-02-10 11:28] R2 {95808DC4-FA4A-4C74-92FE-5B863F82066B};{95808DC4-FA4A-4C74-92FE-5B863F82066B};C:\Programme\CyberLink\PowerDVD\000.fcl [2007-09-19 21:37] R3 AVMCOWAN;AVM ISDN CoNDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmcowan.sys [2005-06-08 02:00] R3 AVMDSLPPPOE;AVM DSL PPPoE CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmdsloe.sys [2005-06-08 02:00] R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmndsl.sys [2005-06-08 02:00] R3 FDSLBASE;AVM FRITZ!Card DSL (WinXP/2000);C:\WINDOWS\system32\DRIVERS\fdslbase.sys [2005-06-08 02:00] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G] \Shell\AutoRun\command - G:\LaunchU3.exe -a . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-29 17:14:54 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{95808DC4-FA4A-4C74-92FE-5B863F82066B}] "ImagePath"="\??\C:\Programme\CyberLink\PowerDVD\000.fcl" . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\Sygate\SPF\smc.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\CyberLink\Shared files\RichVideo.exe C:\WINDOWS\system32\wbem\unsecapp.exe C:\Programme\TVG\DasTelefonbuch Deutschland\http_tfd.exe C:\Programme\Google\Google Updater\GoogleUpdater.exe C:\Programme\FRITZ!\IWatch.exe C:\Programme\TVG\DasTelefonbuch Deutschland\win32\officemanager\OMAlarm.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-03-29 17:17:31 - machine was rebooted ComboFix-quarantined-files.txt 2008-03-29 16:17:28 ComboFix2.txt 2008-03-27 17:22:12 14 Verzeichnis(se), 264,357,216,256 Bytes frei 17 Verzeichnis(se), 264,341,594,112 Bytes frei |
ACHTE WIEDER AUF DAS LEERZEICHEN! Code: KILLALL::
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:05 Uhr. |
Copyright ©2000-2025, Trojaner-Board