|
Schaffe es nicht Vundo.Gen zu entfernen - Was ist Check_LSA7.txt? Ich habe mir heute anscheinend den Vundo Trojaner gefangen. hier mein HTJ Log Logfile of HijackThis v1.99.1 Scan saved at 15:09:19, on 12.09.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Common Framework\FrameworkService.exe C:\Program Files\VirusScan\Mcshield.exe C:\Program Files\VirusScan\VsTskMgr.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\sstray.exe C:\Program Files\VirusScan\SHSTAT.EXE C:\Program Files\Common Framework\UpdaterUI.exe C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe C:\Program Files\DAEMON Tools\daemon.exe C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe C:\Program Files\Creative\Shared Files\CamTray.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\QIP\qip.exe C:\Program Files\Azureus\Azureus.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Documents and Settings\Administrator\Desktop\htj\spyware.exe O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {401077D2-060C-4276-B654-F4DD8D9AC51A} - C:\WINDOWS\system32\vtstq.dll O2 - BHO: (no name) - {733E9132-53CA-4C97-9AC9-145C4502FA20} - C:\WINDOWS\system32\nnnnopq.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Common Framework\UpdaterUI.exe" /StartedFromRunKey O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe O4 - HKCU\..\Run: [Creative WebCam Tray] "C:\Program Files\Creative\Shared Files\CamTray.exe" O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1159449293546 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: nnnnopq - C:\WINDOWS\SYSTEM32\nnnnopq.dll O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Common Framework\FrameworkService.exe O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\VirusScan\Mcshield.exe O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\VirusScan\VsTskMgr.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe Fettgedrucktes habe ich schon oft versucht zu entfernen. Kein Erfolg. Auch McAfee Enterprise, AntiVir oder SP Search&Destroy haben kein Erfolg. VundoFix hat 3 dlls gefunden und diese gelöscht, findet jetzt aber bei erneutem Suchlauf keine Vundo Files mehr. AntiVir erkennt z.B. aber die dll´s (nnnnopq.dll vtstq.dll )sofort als Vundo.Gen Zudem popt Werbung für WinAntiVirus auf und DiscCleaner. Die datei CHeck_LSA7.txt kann ich nicht entfernen oder öffnen oder editieren, ich denke mal, dass sie m it dem Vundo Trojaner zu tun hat. Ich habe auch schon in anderen FOren nachgelesen, jedoch hat bisher keinder der Lösungswege funktioniert. |
http://www.world-of-smilies.com/smil...18_x_b_f_b.gif Als erstes brauchen wir mehr Informationen zu deinem System, arbeite dazu folgende Anleitungen ab: Dateien Online überprüfen lassen: * Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien: (lass auch die versteckten Dateien anzeigen!) Zitat:
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!) MWAV (eScan) - Free Antivirus -Lies dir folgende Anleitung genau durch und arbeite sie ab -> Anleitung eScan Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'. (rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop) Gruß Sunny |
eScan ist schon seit 2,5 h am scannen und ich glaube er braucht noch etwas. PLatte ist halt ziemlich voll ;) Den Bericht reiche ich dann später am Abend nach. Zu den beiden dll Dateien hier die VirusTotal Scans: C:\WINDOWS\system32\vtstq.dll Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.9.11.1 2007.09.12 - AntiVir 7.6.0.5 2007.09.12 - Authentium 4.93.8 2007.09.12 - Avast 4.7.1043.0 2007.09.11 - AVG 7.5.0.485 2007.09.12 Generic7.KCP BitDefender 7.2 2007.09.12 DeepScan:Generic.Virtumonde.1.E9EB2928 CAT-QuickHeal 9.00 2007.09.11 - ClamAV 0.91.2 2007.09.12 - DrWeb 4.33 2007.09.12 - eSafe 7.0.15.0 2007.09.12 Suspicious Trojan/Worm eTrust-Vet 31.1.5128 2007.09.12 Win32/Vundo!generic Ewido 4.0 2007.09.12 - FileAdvisor 1 2007.09.12 - Fortinet 3.11.0.0 2007.09.12 - F-Prot 4.3.2.48 2007.09.12 - F-Secure 6.70.13030.0 2007.09.12 W32/Vundo.dam Ikarus T3.1.1.12 2007.09.12 Win32.Rigel.6468 Kaspersky 4.0.2.24 2007.09.12 - McAfee 5117 2007.09.11 - Microsoft 1.2803 2007.09.12 - NOD32v2 2524 2007.09.12 - Norman 5.80.02 2007.09.12 W32/Vundo.dam Panda 9.0.0.4 2007.09.12 Suspicious file Prevx1 V2 2007.09.12 Heuristic: Suspicious Self Modifying EXE Rising 19.40.22.00 2007.09.12 - Sophos 4.21.0 2007.09.12 Virtumundo Sunbelt 2.2.907.0 2007.09.12 VIPRE.Suspicious Symantec 10 2007.09.12 - TheHacker 6.1.10.184 2007.09.11 - VBA32 3.12.2.4 2007.09.12 - VirusBuster 4.3.26:9 2007.09.12 Adware.Vundo.P.Gen Webwasher-Gateway 6.0.1 2007.09.12 Virus.Win32.FileInfector.gen (suspicious) weitere Informationen File size: 244832 bytes MD5: e87539112c221cb4fa474b0ec9931719 SHA1: a410f6d74500225102c326b4a431b849aa22144d packers: PecBundle, PECompact Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=0A76C8D360EFF6B6BC9103BAC82460009645D368 Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics. C:\WINDOWS\system32\nnnnopq.dll Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.9.11.1 2007.09.12 - AntiVir 7.6.0.5 2007.09.12 TR/Vundo.Gen Authentium 4.93.8 2007.09.12 - Avast 4.7.1043.0 2007.09.11 - AVG 7.5.0.485 2007.09.12 Adware Generic2.PGC BitDefender 7.2 2007.09.12 Trojan.Vundo.DNC CAT-QuickHeal 9.00 2007.09.11 AdWare.Virtumonde.jp (Not a Virus) ClamAV 0.91.2 2007.09.12 - DrWeb 4.33 2007.09.12 Trojan.Virtumod.211 eSafe 7.0.15.0 2007.09.12 Suspicious Trojan/Worm eTrust-Vet 31.1.5128 2007.09.12 - Ewido 4.0 2007.09.12 - FileAdvisor 1 2007.09.12 - Fortinet 3.11.0.0 2007.09.12 Adware/VirtuMonde F-Prot 4.3.2.48 2007.09.12 - F-Secure 6.70.13030.0 2007.09.12 - Ikarus T3.1.1.12 2007.09.12 not-a-virus:AdWare.Win32.Virtumonde.jp Kaspersky 4.0.2.24 2007.09.12 not-a-virus:AdWare.Win32.Virtumonde.jp McAfee 5117 2007.09.11 - Microsoft 1.2803 2007.09.12 - NOD32v2 2524 2007.09.12 - Norman 5.80.02 2007.09.12 W32/Virtumonde.dam Panda 9.0.0.4 2007.09.12 Suspicious file Prevx1 V2 2007.09.12 Malware.Gen Rising 19.40.22.00 2007.09.12 - Sophos 4.21.0 2007.09.12 Virtumundo Sunbelt 2.2.907.0 2007.09.12 VIPRE.Suspicious Symantec 10 2007.09.12 - TheHacker 6.1.10.184 2007.09.11 Adware/Virtumonde.jp VBA32 3.12.2.4 2007.09.12 - VirusBuster 4.3.26:9 2007.09.12 Adware.Vundo.P.Gen Webwasher-Gateway 6.0.1 2007.09.12 Trojan.Vundo.Gen weitere Informationen File size: 44054 bytes MD5: 5d1c4cd869f72e389dbae0eb4b973241 SHA1: ca3cd72b4c2e9339ce8e429d79633765fe7338af packers: PecBundle, PECompact Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=79A365171678D123AC4500821C23EE00055ED99F Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics. |
Hier die Ergebnisse von eScan! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NETWORK eScan Version: 9.2.6 Sprache: German Virus-Datenbank Datum: 9/12/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with zipitpro Spyware/Adware (irsetup.exe)! Action taken: Keine Aktion vorgenommen. System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nxoltmqo.exe infiziert von "Trojan-Downloader.Win32.Tiny.id" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMPOR~1\Content.IE5\QHAR8JWZ\valera[1] infiziert von "Trojan.Win32.Agent.bck" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMPOR~1\Content.IE5\QHAR8JWZ\WinAntiVirusPro2007FreeInstall_de[1].exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Documents and Settings\Administrator\Local Settings\Temp\nxoltmqo.exe infiziert von "Trojan-Downloader.Win32.Tiny.id" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\QHAR8JWZ\valera[1] infiziert von "Trojan.Win32.Agent.bck" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\QHAR8JWZ\WinAntiVirusPro2007FreeInstall_de[1].exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{F0B48951-17C1-4090-97E3-AF34FB3718F4}\RP355\A0044520.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{F0B48951-17C1-4090-97E3-AF34FB3718F4}\RP355\A0044523.exe infiziert von "Trojan.Win32.Dialer.uu" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{F0B48951-17C1-4090-97E3-AF34FB3718F4}\RP355\A0044524.exe//data.rar/keygen.exe//PE_Patch.UPX//UPX infiziert von "Trojan.Win32.Dialer.uu" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{F0B48951-17C1-4090-97E3-AF34FB3718F4}\RP357\A0044586.exe infiziert von "Trojan.Win32.Agent.bck" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei D:\Downloads\antivir_workstation_win7u_de_h.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei D:\System Volume Information\_restore{2FE9DC23-69E7-4DF7-9E5A-F50FA70C6663}\RP100\A0020797.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei D:\System Volume Information\_restore{F0B48951-17C1-4090-97E3-AF34FB3718F4}\RP283\A0036023.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei D:\System Volume Information\_restore{F0B48951-17C1-4090-97E3-AF34FB3718F4}\RP286\A0036187.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ File C:\WINDOWS\system32\nnnnopq.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\system32\nnnnopq.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\system32\nnnnopq.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\system32\nnnnopq.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\system32\nnnnopq.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\Documents and Settings\Administrator\Local Settings\temp\_ir_sf7_temp_0\irsetup.exe Offending file found: C:\WINDOWS\system32\unrar.dll ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKCU\\magnet !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\NER1A9.tmp\Cab\E2B8B375.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\SIntf16.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Documents and Settings\Administrator\Local Settings\Temp\NER1A9.tmp\Cab\E2B8B375.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Documents and Settings\Administrator\Local Settings\Temp\SIntf16.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Program Files\QIP\Users\97355332\RcvdFiles\98577403_Marci\MCore.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 149901 Gefundene Viren: 30 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 94 Dauer des Scans bisher: 03:00:58 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 20:19:26,70 Batchende: 20:19:31,03 |
Schädlinge im Ordner der Systemwiederherstellung: * Deaktiviere die Systemwiederherstellung -> So wird es gemacht. * Danach das System neu starten, und mit deinem AV-Scanner nach dem Neustart alles überprüfen. (Systemwiederherstellung kann nun wieder aktiviert werden.) Vundofix * Lade dir vundofix.exe * Doppelklick VundoFix.exe * Klicke "Scan" --> Vundo button. * Nach dem Scannen, klicke den "Remove" Vundo button. * Man wird nun gefragt, ob man "remove" will --> klicke YES * Danach werden alle Desktop-Symbole verschwinden * Dann wird man gefragt, ob der PC neustarten soll --> klicke OK. ComboFix -Lade dir das Tool hier herunter -> KLICK -Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein! Sunny |
Ich glaube ComboFix hat mein Problem gelöst!!! :crazy: ComboFix 07-09-10.6 - "Administrator" 2007-09-12 23:08:18.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.623 [GMT 2:00] * Created a new restore point . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\cookies.ini C:\WINDOWS\regedit.com C:\WINDOWS\system32\nnnnopq.dll C:\WINDOWS\system32\qtstv.bak1 C:\WINDOWS\system32\qtstv.bak2 C:\WINDOWS\system32\qtstv.ini C:\WINDOWS\system32\taskmgr.com C:\WINDOWS\system32\vtstq.dll ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) -------\LEGACY_DOMAINSERVICE -------\DomainService ((((((((((((((((((((((((( Files Created from 2007-08-12 to 2007-09-12 ))))))))))))))))))))))))))))))) . 2007-09-12 23:06 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-09-12 20:19 <DIR> d-------- C:\bases_x 2007-09-12 16:33 <DIR> d-a------ C:\WINDOWS\zts2.exe 2007-09-12 16:33 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll 2007-09-12 16:33 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll 2007-09-12 16:33 <DIR> d-a------ C:\WINDOWS\rundll16.exe 2007-09-12 16:33 <DIR> d-a------ C:\WINDOWS\rundl132.dll 2007-09-12 16:33 <DIR> d-a------ C:\WINDOWS\logo1_.exe 2007-09-12 16:28 423,424 --a------ C:\WINDOWS\R.COM 2007-09-12 16:28 177,664 --a------ C:\WINDOWS\system32\T.COM 2007-09-12 13:38 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Avira 2007-09-12 13:11 <DIR> d-------- C:\VundoFix Backups 2007-09-11 22:32 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Zylom 2007-09-11 22:32 <DIR> d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Zylom 2007-09-05 20:39 <DIR> d-------- C:\Program Files\Telekom 2007-09-04 17:59 <DIR> d-------- C:\DOCUME~1\ADMINI~1\dwhelper 2007-09-03 19:42 <DIR> d-------- C:\WINDOWS\system32\quicktime 2007-09-03 19:42 <DIR> d-------- C:\Program Files\NimoCodec Pack 2007-09-03 19:42 <DIR> d-------- C:\Program Files\DivX 2007-08-31 13:56 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\PlayFirst 2007-08-31 13:56 <DIR> d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\PlayFirst 2007-08-31 13:55 <DIR> d-------- C:\Program Files\Sat1 Spiele 2007-08-30 20:01 442,368 -ra------ C:\WINDOWS\system32\vp6vfw.dll 2007-08-30 12:32 <DIR> d-------- C:\Program Files\MSI 2007-08-30 11:29 <DIR> d-------- C:\Program Files\IsoBuster 2007-08-27 19:17 <DIR> d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Skype 2007-08-27 19:16 <DIR> d-------- C:\Program Files\Skype 2007-08-27 19:16 <DIR> d-------- C:\Program Files\Common Files\Skype 2007-08-27 19:16 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Skype 2007-08-27 18:54 <DIR> d-------- C:\WINDOWS\Speech 2007-08-27 18:01 <DIR> d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Creative 2007-08-27 17:57 <DIR> d-------- C:\Program Files\Creative 2007-08-26 12:50 <DIR> d-------- C:\WINDOWS\pss 2007-08-21 14:38 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE 2007-08-20 12:30 552 --a------ C:\WINDOWS\system32\d3d8caps.dat 2007-08-17 16:23 323,584 --a------ C:\WINDOWS\system32\nvwrsit.dll 2007-08-17 16:23 315,392 --a------ C:\WINDOWS\system32\nvwrshu.dll 2007-08-17 16:23 278,528 --a------ C:\WINDOWS\system32\nvrsit.dll 2007-08-17 16:23 266,240 --a------ C:\WINDOWS\system32\nvrsja.dll 2007-08-17 16:23 262,144 --a------ C:\WINDOWS\system32\nvrsko.dll 2007-08-17 16:23 258,048 --a------ C:\WINDOWS\system32\nvrshu.dll 2007-08-17 16:23 212,992 --a------ C:\WINDOWS\system32\nvwrsja.dll 2007-08-17 16:23 196,608 --a------ C:\WINDOWS\system32\nvwrsko.dll . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-09-12 15:22 --------- d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Azureus 2007-09-12 14:28 --------- d-------- C:\Program Files\Azureus 2007-09-12 14:09 --------- d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Lavasoft 2007-09-11 07:50 --------- d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Vso 2007-09-04 16:27 --------- d-------- C:\Program Files\ICQ 2007-09-02 10:41 --------- d--h----- C:\Program Files\InstallShield Installation Information 2007-08-30 20:19 --------- d-------- C:\Program Files\FlashFXP 2007-08-24 22:13 --------- d-------- C:\Program Files\Winamp 2007-08-24 21:51 --------- d-------- C:\Program Files\eMule 2007-07-26 12:49 223128 --a------ C:\WINDOWS\system32\drivers\dtscsi.sys 2007-07-26 12:49 --------- d-------- C:\Program Files\DAEMON Tools 2007-07-25 16:00 --------- d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Leadertech 2007-07-25 15:55 --------- d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Atari 2007-07-24 12:16 --------- d-------- C:\Program Files\Common Files\InstallShield 2007-07-23 16:26 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\BVRP Software 2007-07-23 13:36 --------- d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\dvdcss 2007-07-12 14:08 --------- d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Weaverslave 2007-07-01 10:46 24192 --a------ C:\DOCUME~1\ADMINI~1\usbsermptxp.sys 2007-07-01 10:46 22768 --a------ C:\DOCUME~1\ADMINI~1\usbsermpt.sys 2007-06-20 20:46 87608 --a------ C:\DOCUME~1\ADMINI~1\APPLIC~1\ezpinst.exe 2007-06-20 20:46 47360 --a------ C:\DOCUME~1\ADMINI~1\APPLIC~1\pcouffin.sys 2007-06-13 12:23 1033216 --a------ C:\WINDOWS\explorer.exe 2006-09-26 20:42 457 --a------ C:\Program Files\INSTALL.LOG . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "nForce Tray Options"="sstray.exe" [2003-08-13 06:25 C:\WINDOWS\system32\sstray.exe] "ShStatEXE"="C:\Program Files\VirusScan\SHSTAT.exe" [2004-09-22 20:00] "McAfeeUpdaterUI"="C:\Program Files\Common Framework\UpdaterUI.exe" [2004-08-06 03:50] "Network Associates Error Reporting Service"="C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe" [2003-10-07 09:48] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-06-29 00:43] "nwiz"="nwiz.exe" [2007-06-29 00:43 C:\WINDOWS\system32\nwiz.exe] "HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe" [2004-12-14 18:06] "DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2005-12-10 16:57] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-06-29 00:43] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TaskSwitchXP"="C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe" [2006-08-05 00:29] "Creative WebCam Tray"="C:\Program Files\Creative\Shared Files\CamTray.exe" [2005-10-27 12:00] C:\DOCUME~1\ALLUSE~1\STARTM~1\Programs\Startup\ Adobe Gamma Loader.lnk - C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2006-11-28 16:42:01] Adobe Reader - Schnellstart.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 23:05:26] HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2004-11-04 20:28:24] Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "DisableStatusMessages"=0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"=1 (0x1) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoSMHelp"=1 (0x1) "NoRecentDocsMenu"=1 (0x1) "NoRecentDocsHistory"=1 (0x1) "NoSMMyPictures"=1 (0x1) "NoSMMyDocs"=1 (0x1) [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoSMHelp"=1 (0x1) "NoRecentDocsMenu"=1 (0x1) "NoRecentDocsHistory"=1 (0x1) "NoSMMyPictures"=1 (0x1) "NoSMMyDocs"=1 (0x1) [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] "Authentication Packages"= msv1_0 C:\\WINDOWS\\system32\\vtstq [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe R0 si3112r;Silicon Image SiI 3112 SATARaid Controller;C:\WINDOWS\system32\drivers\si3112r.sys R0 SiWinAcc;SiWinAcc;C:\WINDOWS\system32\drivers\SiWinAcc.sys R1 NaiAvTdi1;NaiAvTdi1;C:\WINDOWS\system32\drivers\mvstdi5x.sys R3 V0330VID;WebCam Vista;C:\WINDOWS\system32\DRIVERS\V0330Vid.sys S3 EntDrv51;EntDrv51;\??\C:\WINDOWS\system32\drivers\EntDrv51.sys S3 Fadpu16E;Fadpu16E;\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Fadpu16E.sys S3 ulisa;Telekom ISDN-Adapter (USB);C:\WINDOWS\system32\Drivers\ulisa.sys [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] LocalService WebClient LmHosts upnphost SSDPSRV . Contents of the 'Scheduled Tasks' folder "2007-09-12 14:00:00 C:\WINDOWS\Tasks\HPpromotions journeysoftware.job" - C:\Program Files\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe . ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-09-12 23:11:43 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... C:\WINDOWS\WindowsShell.Manifest C:\WINDOWS\WindowsUpdate.log C:\WINDOWS\winhelp.exe C:\WINDOWS\winhlp32.exe C:\WINDOWS\wininit.ini C:\WINDOWS\winnt.bmp C:\WINDOWS\winnt256.bmp C:\WINDOWS\WINPHONE.INI C:\WINDOWS\WinSxS C:\WINDOWS\WMFDist11.log C:\WINDOWS\wmp11.log C:\WINDOWS\wmp11Uninst.log C:\WINDOWS\wmsetup.log C:\WINDOWS\wmsetup10.log C:\WINDOWS\WMSysPr9.prx C:\WINDOWS\Wudf01000Inst.log C:\WINDOWS\XPize C:\WINDOWS\Zapotec.bmp C:\WINDOWS\zts2.exe C:\WINDOWS\_default.pif scan completed successfully hidden files: 20 ************************************************************************** . Completion time: 2007-09-12 23:13:10 - machine was rebooted C:\ComboFix-quarantined-files.txt ... 2007-09-12 23:13 . --- E O F --- Was sollte ich noch tun um auf Nummer sicher zu gehen??? Ach und übrigens vielen Dank für die schnelle und wirklich idiotensichere Hilfe :) |
Zitat:
Mach mal noch folgendes: F-Secure Blacklight – Rootkitscanner: * Scanne dein System mit F-Secure Blacklight * Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.) Sunny |
Also so ein Report kam nicht aber er hat gemeldet keine versteckten Gegenstände gefunden zu haben oder Dateien. Scheint also demnach alles i.O. zu sien :) Wenn ich noch etwas tun soll sag bescheid, ansonsten vielen Dank für die Hilfe!!!!!! :aplaus::aplaus::aplaus::aplaus::aplaus: |
Zitat:
Ein gewisses Restrisiko bleibt trotzdem immer bestehen! Dann noch viel Spass im Netz ... :teufel3: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:58 Uhr. |
Copyright ©2000-2025, Trojaner-Board