|
TR/CryptXpack.gen und Kollegen...... Hallo, vor einiger Zeit muss ich mir wohl einen Trojaner oder Virus eingefangen haben, der mal so meinem gesamten pc lahmgelegt hat. Daraufhin hab ich vielste verschiedene Antiviren und Antitrojanerprogramme laufen lassen, was nicht gerade einfach war, da mein pc auf einmal anfing, sich nach wenigen sekunden betrieb einfach auszuschalten. Dieses Problem hab ich inzwischen (wie auch immer, ich glaub durch entfernen bestimmter Viren!?!?) losbekommen. Mein PC funktioniert jetzt zwar wieder teilweise, doch kämpf ich noch immer mit mehreren Trojanern, die ich nicht mehr wegbekomme. Auch mein verzweifelter Versuch die Festplatte zu formatieren ist fehl geschlagen, da mir die Windows Installations Cd beim Starten sagt, dass ich keine funktionierende oder angeschlossene Festplatte habe!?!? Auch andere programme wie linux oder was auch immer, die ich über die cd starte, sagen mir ich hätte keine festplatte. Jedoch kann ich im windows ganz normal auf meine festplatte zugreifen und beispiel flime normal abspielen. Ich hab momentan wirklich keine Ahnung was ich noch machen sollte, will meinen pc aber nicht in reparatur bringen, weil er ja eigentlich funktioniert und ich glaube, dass doch "nur" trojaner oder was auch immer daran schuld sind, da AntiVir immer wieder die selben Verdächtigen findet, diese aber immer wiederkommen. Ich hoffe ihr könnt mir helfen: AntiVir findet immer wieder: unter C:\Windows\system32\fccaXoNE.dll --- Trojan horse TR/Crypt.XPACK.Gen Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:06:07, on 16.06.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\sm56hlpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\CyberLink\Shared files\RichVideo.exe C:\WINDOWS\system32\svchost.exe C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe C:\Programme\TechSmith\SnagIt 8\SnagIt32.exe C:\Programme\TechSmith\SnagIt 8\TSCHelp.exe C:\Programme\TechSmith\SnagIt 8\SnagPriv.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://orf.at/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.salzburg-online.at:80 O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [LSA Shellu] C:\Dokumente und Einstellungen\FSC\lsass.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [f06330f9] rundll32.exe "C:\WINDOWS\system32\tkabjidr.dll",b O4 - HKLM\..\Run: [BMf3500365] Rundll32.exe "C:\WINDOWS\system32\lohtpkyk.dll",s O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] C:\Programme\Uniblue\RegistryBooster 2\RegistryBooster.exe /S O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: DW_Start.lnk = C:\WINDOWS\system32\jlwnw64l.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe -- End of file - 6750 bytes glg Phil |
Hallo und :hallo: Oh ja, da ist noch etwas drin. Versteckte Dateien und Ordner sichtbar machen: -Gehe in einen Beliebigen Ordner -Gehe da oben auf ´Extras´, dann ´Ordneroptionen´ -Gehe oben auf den Reiter ´Ansicht´ -Nimm den Haken bei ´Geschützte Systemdateien ausblenden´ raus -setze den Punkt bei ´Alle Dateien und Ordner anzeigen´ Virustotal: -Suche Virustotal auf -Lasse folgende Dateien online auswerten Code: C:\WINDOWS\system32\tkabjidr.dllMalwarebytes Anti-Malware -Lade dir Malwarebytes -Lasse es dein System komplett scannen -Gehe nach der Anleitung vor -Lasse das gefundene löschen -Poste nachher den Report |
hey, danke erstmal für die antwort!!! also ich hab nach diesen 3 dateien gesucht, aber die werden mir nirgends im ordner system32 angezeigt, hab natürlich die ansichtseinstellungen vorher geändert. jetzt mal zum logfile: Malwarebytes' Anti-Malware 1.17 Datenbank Version: 863 13:36:46 17.06.2008 mbam-log-6-17-2008 (13-36-46).txt Scan Art: Komplett Scan (C:\|) Objekte gescannt: 98152 Scan Dauer: 27 minute(s), 2 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 4 Infizierte Registrierungswerte: 1 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 3 Infizierte Dateien: 7 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BMf3500365 (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: C:\WINDOWS\system32\dFrnx05 (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\netrax05 (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\netrax18 (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Dateien: C:\System Volume Information\_restore{FEFAA482-9124-4DEB-977A-18C491E305EC}\RP132\A0074532.exe (Adware.Insider) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{FEFAA482-9124-4DEB-977A-18C491E305EC}\RP135\A0075810.exe (Adware.Agent) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{FEFAA482-9124-4DEB-977A-18C491E305EC}\RP135\A0075811.exe (Adware.Agent) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{FEFAA482-9124-4DEB-977A-18C491E305EC}\RP155\A0076166.dll (Adware.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\iifcDSif.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\FSC\services.exe (Trojan.Agent) -> Quarantined and deleted successfully. hoffe ihr könnt mir weiterhelfen, glg Phil |
ComboFix
Wichtige Hinweise:
Ergänzend lies Dir diese Anleitung durch, drucke sie ggf. aus. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
hey, okay mal das combofix logfile: ComboFix 08-06-16.2 - FSC 2008-06-17 13:45:18.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.662 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\max mustermann\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Temp\1cb C:\Temp\1cb\syscheck.log C:\Temp\tmpvc14 C:\Temp\tmpvc14\dllvc.log C:\WINDOWS\BMf3500365.xml C:\WINDOWS\pskt.ini C:\WINDOWS\system32\bblnglnd.dll C:\WINDOWS\system32\cmsbytdx.dll C:\WINDOWS\system32\ENoXaccf.ini C:\WINDOWS\system32\ENoXaccf.ini2 C:\WINDOWS\system32\grdbcpbi.dll C:\WINDOWS\system32\ismjoege.ini C:\WINDOWS\system32\iwybpltj.dll C:\WINDOWS\system32\ixpjdaya.ini C:\WINDOWS\system32\kwgcglpq.dll C:\WINDOWS\system32\llduurqu.ini C:\WINDOWS\system32\mcrh.tmp C:\WINDOWS\system32\migurwgn.ini C:\WINDOWS\system32\MSINET.oca C:\WINDOWS\system32\niobibis.dll C:\WINDOWS\system32\qcntmkdm.exe C:\WINDOWS\system32\rdijbakt.ini . ((((((((((((((((((((((( Dateien erstellt von 2008-05-17 bis 2008-06-17 )))))))))))))))))))))))))))))) . 2008-06-17 13:08 . 2008-06-17 13:08 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-06-17 13:08 . 2008-06-17 13:08 <DIR> d-------- C:\Dokumente und Einstellungen\max mustermann\Anwendungsdaten\Malwarebytes 2008-06-17 13:08 . 2008-06-17 13:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-06-17 13:08 . 2008-06-10 19:02 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys 2008-06-17 13:08 . 2008-06-10 19:02 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-06-16 13:02 . 2008-06-16 13:02 <DIR> d-------- C:\Programme\CCleaner 2008-06-16 12:16 . 2008-06-16 12:16 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Startmen 2008-06-16 12:16 . 2008-06-16 12:16 <DIR> d--h----- C:\Dokumente und Einstellungen\LocalService\Netzwerkumgebung 2008-06-16 12:16 . 2008-06-16 12:17 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Favoriten 2008-06-16 12:16 . 2008-06-16 12:17 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien 2008-06-16 00:05 . 2008-06-16 00:05 <DIR> d-------- C:\Programme\Trend Micro 2008-06-13 15:06 . 2008-06-13 15:06 <DIR> d-------- C:\Programme\Avira 2008-06-12 15:00 . 2007-12-10 13:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys 2008-06-12 15:00 . 2007-12-10 13:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys 2008-06-12 15:00 . 2008-02-01 11:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys 2008-06-12 15:00 . 2007-12-10 13:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys 2008-06-12 14:59 . 2008-06-12 15:13 <DIR> d-------- C:\Programme\Spyware Doctor 2008-06-12 14:59 . 2008-06-12 14:59 <DIR> d-------- C:\Dokumente und Einstellungen\FSC\Anwendungsdaten\PC Tools 2008-06-12 13:50 . 2008-06-12 13:52 <DIR> d-------- C:\Programme\Unlocker 2008-06-12 12:53 . 2008-06-12 12:53 <DIR> d-------- C:\TEMP\itmp4 . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-06-16 14:07 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-06-16 11:49 --------- d-----w C:\Programme\DivX 2008-06-16 11:45 --------- d-----w C:\Programme\HP 2008-06-13 13:06 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-06-12 11:13 --------- d-----w C:\Dokumente und Einstellungen\max mustermann\Anwendungsdaten\LimeWire 2008-06-12 11:03 --------- d-----w C:\Programme\Weather Pulse 2008-06-12 11:03 --------- d-----w C:\Dokumente und Einstellungen\max mustermann\Anwendungsdaten\Weather Pulse 2008-05-12 19:17 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys 2008-05-06 07:27 --------- d-----w C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Xfire 2008-05-05 11:06 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-05-05 10:43 22,328 ----a-w C:\Dokumente und Einstellungen\max mustermann\Anwendungsdaten\PnkBstrK.sys 2008-05-05 10:30 --------- d-----w C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Xfire 2008-04-25 16:44 --------- d-----w C:\Programme\Java 2008-04-25 16:43 --------- d-----w C:\Programme\Gemeinsame Dateien\Java 2008-04-25 12:22 --------- d-----w C:\Programme\Activision 2008-04-25 12:18 --------- d-----w C:\Programme\Miles Sound Tools 2008-04-25 12:11 --------- d-----w C:\Programme\Wise Registry Cleaner 3 2008-04-25 12:02 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-04-25 12:01 --------- d-----w C:\Programme\Lavasoft 2008-04-25 12:01 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-04-25 11:58 --------- d-----w C:\Programme\Eusing Free Registry Cleaner 2008-04-25 11:51 --------- d-----w C:\Programme\RegCleaner 2008-04-25 11:40 --------- d-----w C:\Dokumente und Einstellungen\max mustermann\Anwendungsdaten\Uniblue 2008-04-24 22:43 73,216 ----a-w C:\WINDOWS\cadkasdeinst01.exe 2008-04-24 22:08 --------- d-----w C:\Dokumente und Einstellungen\max mustermann\Anwendungsdaten\Ubisoft 2008-04-24 22:08 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ubisoft 2008-04-22 14:21 --------- d-----w C:\Dokumente und Einstellungen\max mustermann\Anwendungsdaten\Azureus . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{b6472e7d-fbc9-fb5f-8e8a-6f45cff82555}] C:\WINDOWS\system32\{322f5a3b-84e1-1cd1-bc37-3de586ac7aa0}.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "PMCRemote"="" [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2005-01-07 18:07 61952 C:\WINDOWS\system32\HdAShCut.exe] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-05-03 20:21 7405568] "nwiz"="nwiz.exe" [2006-05-03 20:21 1519616 C:\WINDOWS\system32\nwiz.exe] "HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe" [2005-03-08 06:42 176128] "RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2007-03-14 22:01 71216] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\opnmNdBt] opnmNdBt.dll [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\KONAMI\\Pro Evolution Soccer 2008\\PES2008.exe"= "C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"= "C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"= "C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"= "C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"= "C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"= "C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"= "C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"= "C:\\Programme\\CyberLink\\PowerDVD\\PowerDVD.exe"= "C:\\Program Files\\Real\\RealPlayer\\realplay.exe"= "C:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"= "C:\\WINDOWS\\system32\\PnkBstrA.exe"= "C:\\WINDOWS\\system32\\PnkBstrB.exe"= "C:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"= R1 SSHDRV56;SSHDRV56;C:\WINDOWS\system32\drivers\SSHDRV56.sys [2008-01-31 18:34] R3 Ltn_stk7070P;PCTV based TV tuner device;C:\WINDOWS\system32\DRIVERS\Ltn_stk7070P.sys [2007-06-14 15:41] R3 Ltn_stkrc;PCTV Infrared Receiver;C:\WINDOWS\system32\DRIVERS\Ltn_stkrc.sys [2007-06-13 20:30] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E] \Shell\Auto\command - E:\Start.exe \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f6fbda69-e16e-11dc-a2d6-00030d5051a6}] \Shell\Auto\command - E:\Start.exe \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-06-17 13:48:46 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\CyberLink\Shared files\RichVideo.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\wbem\unsecapp.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-06-17 13:51:57 - machine was rebooted ComboFix-quarantined-files.txt 2008-06-17 11:51:38 11 Verzeichnis(se), 59,224,416,256 Bytes frei 15 Verzeichnis(se), 63,663,038,464 Bytes frei 162 --- E O F --- 2008-05-13 22:00:55 und die HJT Logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:54:49, on 17.06.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\CyberLink\Shared files\RichVideo.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\explorer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = news.ORF.at R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.salzburg-online.at:80 O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: gooochi browser optimizer - {b6472e7d-fbc9-fb5f-8e8a-6f45cff82555} - C:\WINDOWS\system32\{322f5a3b-84e1-1cd1-bc37-3de586ac7aa0}.dll (file missing) O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll O20 - Winlogon Notify: opnmNdBt - opnmNdBt.dll (file missing) O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Programme\Windows Live\installer\WLSetupSvc.exe (file missing) -- End of file - 5677 bytes hoffe es hat was gebracht!? glg Phil |
Ja, es hat viel gebracht. Um Combofix zu loeschen(den qoobox ordner) gebe unter Start /Ausführen "combofix /u" ein. Ohne die " natürlich. http://img247.imageshack.us/img247/7...ombofixvs6.jpg Gehe wiefolgt vor Bitte öffne Deine HiJackThis nochmal und scanne. Check die klickboxen neben den Einträgen die untenstehend gelistet sind. O2 - BHO: gooochi browser optimizer - {b6472e7d-fbc9-fb5f-8e8a-6f45cff82555} - C:\WINDOWS\system32\{322f5a3b-84e1-1cd1-bc37-3de586ac7aa0}.dll (file missing) O20 - Winlogon Notify: opnmNdBt - opnmNdBt.dll (file missing) (file missing)dann Klicke Fix Checked. Schließe HiJackThis. Führe ein Java Update durch! Deinstalliere vorher alle alten Java Versionen (Systemsteuerung / Software). Durch alte Java Versionen können Schädlinge auf Dein System gelangen. Dies gilt für jegliche Software! |
hallo, also ich hab das genau den schritten nach gemacht, hier noch mal eine HJT Logfile: Logfile of Trend Micro HijackThis v2.0.2 [edit] Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 Danke. :) Sunny [/edit] okay........ und jetzt? ....... oder wars das schon? bzw was war eigentlich los mit meinem pc? vielen vielen dank mal bis jetzt, glg Phil |
Du hattest eine Vundo / Zlob Infektion. Das sollte es für Dich an dieser Stelle gewesen sein. :) |
wow, hätte mir nicht gedacht, dass das so schnell gehen könnte. Wirklich sensationell, danke an alle die mir geholfen haben, wirklich erste klasse :) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 11:35 Uhr. |
Copyright ©2000-2025, Trojaner-Board