|
Erfolglose Trojanasuche trotz Kapersky? Hallo Forumgemeinde, ich hab momentan mit ein neuen Übel zu kämpfen, was sich in öffnen neuer Fenster mit Werbung zeigt. Mein Kapersky verhindert es meistens mit dieser Meldung: C:\WINDOWS\Explorer.EXE Der Prozess C:\WINDOWS\Explorer.EXE (PID: 1632) versucht, mit Hilfe einer vertrauenswürdigen Anwendung Daten zu senden. Zieladresse: http://83.149.115.142/index.php Daten: i Verschlüsselte Daten: cmp=ghrnc&uid=3A46F072FD1311DC9A04152050CFFFFF&guid=505DAF97C06D469F82D42A478BA7437A&affid=152050&lid=http und ab und zu: Intrusion.Win.MSSQL.worm.Helkern 221.204.249.187 UDP 1434 Intrusion.Win.MSSQL.worm.Helkern 121.14.104.165 UDP 1434 Öfters öffnet sich auch diese Fenster: http://www.bilder-hochladen.net/files/thumbs/5cpe-h.jpg http://www.bilder-hochladen.net/files/thumbs/5cpe-i.jpg Hab den Kapersky schon mehrmals mein PC durchsuchen lassen. Auch eine Systembereinigung hat nichts gebracht. Hofe ihr könnt mich als Laie bei meinem Problem helfen. :( Gruß, Max |
ach... vergessen: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:44:59, on 03.04.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16608) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\system32\spoolsv.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ylghqrch\gbihupoj.exe C:\Programme\TOSHIBA\Power Management\CePMTray.exe C:\PROGRA~1\EzButton\CPLBTS88.EXE C:\Programme\TOSHIBA\E-KEY\CeEKey.exe C:\Programme\Apoint2K\Apoint.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\WINDOWS\system32\wvqpqziv.exe D:\Programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\ISW\netcol.dsl\signup\Tray.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\Programme\ScreenshotCaptor\ScreenshotCaptor.exe C:\Dokumente und Einstellungen\Jacko\Lokale Einstellungen\Temporary Internet Files\Content.IE5\VX8D9FI2\HiJackThis[1].exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.gmx.net/home R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.gmx.net/home R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {5695F900-BFBB-476E-BD8D-53CBEE67B267} - C:\WINDOWS\system32\ljJYQGaB.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: (no name) - {94BC3D1D-22E9-4744-8ED1-3E08A3B74078} - C:\WINDOWS\system32\hgGvtUMe.dll (file missing) O2 - BHO: {756c5fa7-040d-9a48-6994-1bcc36a23dca} - {acd32a63-ccb1-4996-84a9-d0407af5c657} - C:\WINDOWS\system32\dtgdwxfq.dll O2 - BHO: GNX Bingo - {B7EA0C59-1858-423F-B900-EE21B86042A6} - C:\WINDOWS\svpekgonpla.dll (file missing) O3 - Toolbar: stfngdvw - {76C0CCAD-BC10-4E84-B15C-BE1E12C6C6E0} - C:\WINDOWS\stfngdvw.dll (file missing) O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe O4 - HKLM\..\Run: [CPLBTS88] C:\PROGRA~1\EzButton\CPLBTS88.EXE O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe O4 - HKLM\..\Run: [NapsterShell] C:\Programme\Napster\napster.exe /systray O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [2b52154c] rundll32.exe "C:\WINDOWS\system32\kvkkpyiw.dll",b O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [mrgdvnxd] C:\WINDOWS\system32\wvqpqziv.exe O4 - HKLM\..\Policies\Explorer\Run: [nGBC2I7gOf] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ylghqrch\gbihupoj.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} (HidInputMonitorX Control) - file:///F:/components/hidinputmonitorx.ocx O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file:///F:/components/A9.ocx O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader4.cab?nocache=1204064003 O16 - DPF: {7030CC6C-1A88-4591-BB5A-651B9F7F0C30} (WMVHDRatingCtrl Class) - file:///F:/components/wmvhdrating.ocx O16 - DPF: {87BE3784-6977-4E84-AA08-55A96B9CEAC5} (Bl_camera Control) - http://cengiz.viewnetcam.com/bl_camera.cab O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1205268779 O17 - HKLM\System\CCS\Services\Tcpip\..\{45A5A0B6-5593-4E4E-B2BB-2AF1FC693A6E}: NameServer = 81.173.194.68 194.8.194.60 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll O20 - Winlogon Notify: hgGvtUMe - hgGvtUMe.dll (file missing) O21 - SSODL: fkdnrwsv - {9E491F2B-4C2F-4394-A02A-626B704711C6} - C:\WINDOWS\fkdnrwsv.dll (file missing) O21 - SSODL: sxfnewqb - {FE6DB19F-B647-4CE5-9995-FEC4B07A47EE} - C:\WINDOWS\sxfnewqb.dll (file missing) O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing) O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - D:\Programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LiveUpdate - Unknown owner - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE (file missing) O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/Jacko/LOKALE~1/Temp/msohtml1/03/clip_image002.jpg -- End of file - 9110 bytes |
Hi Mahoney Bitte scanne folgende datein hier oder hier online und poste die Ergebnisse: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ylghqrch\gbihupoj.exe C:\WINDOWS\system32\wvqpqziv.exe C:\WINDOWS\system32\ljJYQGaB.dll C:\WINDOWS\system32\dtgdwxfq.dll C:\WINDOWS\stfngdvw.dll C:\WINDOWS\system32\kvkkpyiw.dll",b C:\WINDOWS\system32\hgGvtUMe.dll F:/components/hidinputmonitorx.ocx F:/components/A9.ocx C:\WINDOWS\svpekgonpla.dll C:\WINDOWS\fkdnrwsv.dll C:\WINDOWS\sxfnewqb.dll lass bitte Malwarebytes laufen (link in meiner Signatur) und poste den Report:daumenhoc Bitte fixe mit HIjackthis folgende Einträge: O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - h**p://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBIniti alSetup1.0.0.15.cab O16 - DPF: {87BE3784-6977-4E84-AA08-55A96B9CEAC5} (Bl_camera Control) - h**p://cengiz.viewnetcam.com/bl_camera.cab O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - h**p://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1205268779 O20 - Winlogon Notify: hgGvtUMe - hgGvtUMe.dll (file missing) Bitte auch einmal CCleaner anwenden auch registry reparieren;) Das dein Kaspersky nix gefunden hat verwundert mich schon etwas:confused: |
JUHUUU ENDLICH HILFE! uff! Hier die Ergebnisse: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ylghqrch\gbihupoj.exe AntiVir TR/Crypt.XPACK.Gen gefunden Kaspersky Anti-Virus Keine Viren gefunden Panda Antivirus Trj/Agent.IMA gefunden C:\WINDOWS\system32\wvqpqziv.exe AntiVir TR/Crypt.XPACK.Gen gefunden AVG Antivirus Downloader.Obfuskated gefunden CPsecure Troj.Proxy.W32.Agent.qq gefunden C:\WINDOWS\system32\ljJYQGaB.dll AntiVir TR/Vundo.Gen gefunden Avast Win32:TratBHO gefunden BitDefender Trojan.Vundo.EFN gefunden ClamAV Trojan.Vundo-2063 gefunden CPsecure AdWare.W32.Virtumonde.gen gefunden Norman Virus Control W32/Vundo.gen142 gefunden Sophos Antivirus Troj/Virtum-Gen gefunden C:\WINDOWS\system32\dtgdwxfq.dll AntiVir TR/Vundo.Gen gefunden Avast Win32:TratBHO gefunden AVG Antivirus Lop gefunden Norman Virus Control W32/Vundo.gen142 gefunden Sophos Antivirus Troj/Virtum-Gen gefunden VirusBuster Adware.Vundo.Gen!Pac.18 gefunden C:\WINDOWS\stfngdvw.dll C:\WINDOWS\system32\kvkkpyiw.dll",b C:\WINDOWS\system32\hgGvtUMe.dll F:/components/hidinputmonitorx.ocx F:/components/A9.ocx C:\WINDOWS\svpekgonpla.dll C:\WINDOWS\fkdnrwsv.dll C:\WINDOWS\sxfnewqb.dll Deinahme ungültig Zitat:
Zum CCleare. Hab da schon das Programm Sweepi auseführt. Gruß, Max |
Wir können den Vorgang vielleicht ankürzen. Combofix - Download ComboFix von hier oder hier auf Deinen Desktop. - Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen!) - Mache einen Doppelklick auf combofix.exe - Wenn combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht. |
hey, noch mehr hilfe^^ Hab das Programm mal ausgeführt. Ergebnis: ComboFix 08-04-03.5 - Jacko 2008-04-05 1:51:49.1 - FAT32x86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.236 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Jacko\Lokale Einstellungen\Temporary Internet Files\Content.IE5\VX8D9FI2\ComboFix[1].exe * Neuer Wiederherstellungspunkt wurde erstellt WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\Jacko\Desktopblackbird.jpg C:\Dokumente und Einstellungen\Jacko\DesktopEditorFKWP1.5.exe C:\Dokumente und Einstellungen\Jacko\DesktopEditorFKWP2.0.exe C:\Dokumente und Einstellungen\Jacko\Desktopfilemanagerclient.exe C:\Dokumente und Einstellungen\Jacko\Desktopfkwp1.5.exe C:\Dokumente und Einstellungen\Jacko\Desktopfkwp2.0.exe C:\Dokumente und Einstellungen\Jacko\Desktopfwebd.exe C:\Dokumente und Einstellungen\Jacko\DesktopFWebdEditor.exe C:\Dokumente und Einstellungen\Jacko\DesktopTrojan.Win32.BlackBird.exe C:\Dokumente und Einstellungen\Jacko\Desktopvirii C:\Programme\akl C:\Programme\akl\akl.dll C:\Programme\akl\akl.exe C:\Programme\akl\uninstall.exe C:\Programme\akl\unsetup.exe C:\Programme\Hotbar C:\Programme\media-codec C:\WINDOWS\a.bat C:\WINDOWS\bdn.com C:\WINDOWS\cookies.ini C:\WINDOWS\FVProtect.exe C:\WINDOWS\iTunesMusic.exe C:\WINDOWS\mslagent C:\WINDOWS\mslagent\2_mslagent.dll C:\WINDOWS\mslagent\mslagent.exe C:\WINDOWS\mslagent\uninstall.exe C:\WINDOWS\mssecu.exe C:\WINDOWS\pack.epk C:\WINDOWS\system32\ajjyjxna.dll C:\WINDOWS\system32\BaGQYJjl.ini C:\WINDOWS\system32\BaGQYJjl.ini2 C:\WINDOWS\system32\dtgdwxfq.dll C:\WINDOWS\system32\hliltyji.ini C:\WINDOWS\system32\jnvniewk.ini C:\WINDOWS\system32\kvkkpyiw.dll C:\WINDOWS\system32\kweinvnj.dll C:\WINDOWS\system32\ljJYQGaB.dll C:\WINDOWS\system32\nvs2.inf C:\WINDOWS\system32\quximpbfis.dat C:\WINDOWS\system32\quximpbfis_nav.dat C:\WINDOWS\system32\quximpbfis_navps.dat C:\WINDOWS\system32\wdtvocmt.dll C:\WINDOWS\system32\wiypkkvk.ini C:\WINDOWS\system32akttzn.exe C:\WINDOWS\system32anticipator.dll C:\WINDOWS\system32awtoolb.dll C:\WINDOWS\system32bdn.com C:\WINDOWS\system32bsva-egihsg52.exe C:\WINDOWS\system32dpcproxy.exe C:\WINDOWS\system32emesx.dll C:\WINDOWS\system32h@tkeysh@@k.dll C:\WINDOWS\system32hoproxy.dll C:\WINDOWS\system32hxiwlgpm.dat C:\WINDOWS\system32hxiwlgpm.exe C:\WINDOWS\system32medup012.dll C:\WINDOWS\system32medup020.dll C:\WINDOWS\system32msgp.exe C:\WINDOWS\system32msnbho.dll C:\WINDOWS\system32mssecu.exe C:\WINDOWS\system32msvchost.exe C:\WINDOWS\system32mtr2.exe C:\WINDOWS\system32mwin32.exe C:\WINDOWS\system32netode.exe C:\WINDOWS\system32newsd32.exe C:\WINDOWS\system32ps1.exe C:\WINDOWS\system32psof1.exe C:\WINDOWS\system32psoft1.exe C:\WINDOWS\system32regc64.dll C:\WINDOWS\system32regm64.dll C:\WINDOWS\system32Rundl1.exe C:\WINDOWS\system32smp C:\WINDOWS\system32smp\msrc.exe C:\WINDOWS\system32sncntr.exe C:\WINDOWS\system32ssurf022.dll C:\WINDOWS\system32ssvchost.com C:\WINDOWS\system32ssvchost.exe C:\WINDOWS\system32sysreq.exe C:\WINDOWS\system32taack.dat C:\WINDOWS\system32taack.exe C:\WINDOWS\system32temp#01.exe C:\WINDOWS\system32thun.dll C:\WINDOWS\system32thun32.dll C:\WINDOWS\system32VBIEWER.OCX C:\WINDOWS\system32vbsys2.dll C:\WINDOWS\system32vcatchpi.dll C:\WINDOWS\system32winlogonpc.exe C:\WINDOWS\system32winsystem.exe C:\WINDOWS\system32WINWGPX.EXE C:\WINDOWS\userconfig9x.dll C:\WINDOWS\Web\def.htm C:\WINDOWS\winsystem.exe . ((((((((((((((((((((((( Dateien erstellt von 2008-03-05 bis 2008-04-05 )))))))))))))))))))))))))))))) . 2008-04-03 19:24 . 2008-04-03 19:24 <DIR> d-------- C:\Programme\YooApplications 2008-04-03 19:24 . 2003-12-26 01:13 212,992 --a------ C:\WINDOWS\system32\YExBar.ocx 2008-04-03 19:24 . 1998-06-24 11:55 164,144 --a------ C:\WINDOWS\system32\COMCT232.OCX 2008-04-03 19:24 . 1998-05-05 17:35 112,640 --a------ C:\WINDOWS\system32\CMCTLde.DLL 2008-04-03 19:24 . 1998-07-06 18:55 33,792 --a------ C:\WINDOWS\system32\CMDLGDE.DLL 2008-04-03 19:24 . 1998-05-05 17:35 24,576 --a------ C:\WINDOWS\system32\CMCT2DE.dll 2008-04-03 19:18 . 2008-04-03 19:18 <DIR> d--hs---- C:\FOUND.009 2008-04-01 18:27 . 2008-04-01 20:04 415 ---hs---- C:\WINDOWS\system32\rxmtxkab.ini 2008-03-30 18:41 . 2008-03-30 18:41 91,700 --a------ C:\WINDOWS\system32\drivers\klin.dat 2008-03-30 18:41 . 2008-03-30 18:41 85,860 --a------ C:\WINDOWS\system32\drivers\klick.dat 2008-03-30 18:37 . 2008-03-30 18:37 <DIR> d-------- C:\Programme\Kaspersky Lab 2008-03-30 18:37 . 2008-03-30 18:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2008-03-30 18:31 . 2008-03-30 18:31 <DIR> d-------- C:\kav 2008-03-29 10:36 . 2008-03-29 10:36 <DIR> d-------- C:\Programme\PC-Cleaner 2008-03-28 22:32 . 2008-03-28 22:32 <DIR> dr-h----- C:\$VAULT$.AVG 2008-03-28 22:29 . 2008-03-28 22:29 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AVG7 2008-03-28 22:29 . 2008-03-28 22:29 <DIR> d-------- C:\Dokumente und Einstellungen\Jacko\Anwendungsdaten\AVG7 2008-03-28 22:28 . 2008-03-28 22:28 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft 2008-03-28 21:56 . 2008-03-28 21:56 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ylghqrch 2008-03-28 21:56 . 2008-03-28 21:56 106,496 --a------ C:\WINDOWS\system32\wvqpqziv.exe 2008-03-26 20:08 . 2008-03-26 20:08 <DIR> d--hs---- C:\FOUND.008 2008-03-22 16:55 . 2008-03-22 16:55 <DIR> d--hs---- C:\FOUND.007 2008-03-19 17:28 . 2008-03-19 17:28 <DIR> d--hs---- C:\FOUND.006 2008-03-07 10:16 . 2008-03-07 10:16 <DIR> d--hs---- C:\FOUND.005 2008-03-06 11:53 . 2008-03-06 11:53 48 ---hs---- C:\WINDOWS\SA1A34E25.tmp . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-04-05 00:02 32 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx 2008-04-05 00:02 32 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat 2008-04-05 00:02 32 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2008-04-05 00:02 32 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat 2008-02-24 15:15 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat 2008-02-24 15:15 --------- d-----w C:\Dokumente und Einstellungen\Jacko\Anwendungsdaten\skypePM 2008-02-24 15:05 --------- d-----w C:\Programme\Skype 2008-02-24 15:05 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype 2008-02-24 15:05 --------- d-----w C:\Dokumente und Einstellungen\Jacko\Anwendungsdaten\Skype 2008-02-24 15:05 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype 2008-02-08 16:37 219,664 ----a-w C:\WINDOWS\system32\klogon.dll 2008-02-08 16:35 23,604 ----a-w C:\WINDOWS\system32\drivers\klopp.dat 2008-01-11 04:33 44,544 ----a-w C:\WINDOWS\system32\dllcache\pngfilt.dll 2007-07-14 20:34 58,056 ----a-w C:\Dokumente und Einstellungen\Jacko\Anwendungsdaten\GDIPFONTCACHEV1.DAT . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360] "MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352] "mrgdvnxd"="C:\WINDOWS\system32\wvqpqziv.exe" [2008-03-28 21:56 106496] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="NvQTwk" [] "nwiz"="nwiz.exe" [2002-11-12 19:53 372736 C:\WINDOWS\system32\nwiz.exe] "CeEPOWER"="C:\Programme\TOSHIBA\Power Management\CePMTray.exe" [2002-12-30 17:34 90112] "CPLBTS88"="C:\PROGRA~1\EzButton\CPLBTS88.EXE" [2002-11-29 15:42 188416] "CeEKEY"="C:\Programme\TOSHIBA\E-KEY\CeEKey.exe" [2002-11-08 13:32 434176] "Apoint"="C:\Programme\Apoint2K\Apoint.exe" [2002-03-29 14:40 122880] "TPNF"="C:\Programme\TOSHIBA\TouchPad\TPTray.exe" [2002-12-10 16:58 45056] "Microsoft Works Update Detection"="C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2002-07-24 18:43 28672] "WinDSL MTU-Adjust"="WinDSL_MTU.exe" [2001-02-15 01:38 65536 C:\WINDOWS\system32\WinDSL_MTU.exe] "NapsterShell"="C:\Programme\Napster\napster.exe" [ ] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-06-29 06:24 286720] "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-09-07 16:55 267064] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run] "nGBC2I7gOf"= C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ylghqrch\gbihupoj.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Drag'n Drop CD] C:\Programme\Drag'n Drop CD\BinFiles\DragDrop.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "AntiVirusOverride"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "C:\\Programme\\MSN Messenger\\MSNMSGR.EXE"= R1 LUMDriver;LUMDriver;C:\WINDOWS\system32\drivers\LUMDriver.sys [2006-10-14 00:14] R2 BBDemon;Backbone Service;"D:\Programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe" -service [] R2 DPortIO;Dritek Port I/O Driver;C:\WINDOWS\system32\Drivers\DPortIO.sys [2001-04-12 16:04] R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 13:28] R3 TOSHIBASoftModem;TOSHIBA Software Modem;C:\WINDOWS\system32\DRIVERS\LTSM.sys [2002-09-17 15:12] R3 WBSD;Winbond Secure Digital Storage Device Driver;C:\WINDOWS\system32\Drivers\WBSD.SYS [2002-11-08 12:28] R3 WinDSLa;WinDSL-Adapter (PPP-over-Ethernet);C:\WINDOWS\system32\DRIVERS\WinDSL.sys [2002-02-08 04:50] S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" [] S3 BrScnUsb;Brother USB Still Image driver;C:\WINDOWS\system32\Drivers\BrScnUsb.sys [2004-10-15 12:50] S3 WinDSLp;%WinDSLp_Desc%;C:\WINDOWS\system32\DRIVERS\WinDSL.sys [2002-02-08 04:50] . Inhalt des "geplante Tasks" Ordners "2008-03-29 11:17:26 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Programme\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-04-05 02:03:36 Windows 5.1.2600 Service Pack 2 FAT NTAPI Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Programme\iPod\bin\iPodService.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-04-05 2:05:46 - machine was rebooted ComboFix-quarantined-files.txt 2008-04-05 00:05:42 14 Verzeichnis(se), 1,136,181,248 Bytes frei 83 Verzeichnis(se), 1,172,652,032 Bytes frei . 2008-04-01 01:02:24 --- E O F --- |
Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code: File::4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer!) 5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. http://users.pandora.be/bluepatchy/m...s/CFScript.gif 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann |
Moment... was meinst du damit? Welches Notpad? wie starte ich das Notepad? |
Z.B. über Start / Ausführen / Notepad eintippen und [Enter] |
ok. hoffe ich hab es richtig gemacht: ComboFix 08-04-04.1 - Jacko 2008-04-05 21:55:38.2 - FAT32x86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.290 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Jacko\Desktop\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\Jacko\Desktop\CFScript.txt * Neuer Wiederherstellungspunkt wurde erstellt WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! FILE :: C:\WINDOWS\SA1A34E25.tmp C:\WINDOWS\system32\rxmtxkab.ini C:\WINDOWS\system32\wvqpqziv.exe . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ylghqrch C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ylghqrch\gbihupoj.exe C:\WINDOWS\system32\rxmtxkab.ini C:\WINDOWS\system32\wvqpqziv.exe C:\WINDOWS\SA1A34E25.tmp . . . . Nicht in der Lage zu löschen . ((((((((((((((((((((((( Dateien erstellt von 2008-03-05 bis 2008-04-05 )))))))))))))))))))))))))))))) . 2008-04-03 19:24 . 2008-04-03 19:24 <DIR> d-------- C:\Programme\YooApplications 2008-04-03 19:24 . 2003-12-26 01:13 212,992 --a------ C:\WINDOWS\system32\YExBar.ocx 2008-04-03 19:24 . 1998-06-24 11:55 164,144 --a------ C:\WINDOWS\system32\COMCT232.OCX 2008-04-03 19:24 . 1998-05-05 17:35 112,640 --a------ C:\WINDOWS\system32\CMCTLde.DLL 2008-04-03 19:24 . 1998-07-06 18:55 33,792 --a------ C:\WINDOWS\system32\CMDLGDE.DLL 2008-04-03 19:24 . 1998-05-05 17:35 24,576 --a------ C:\WINDOWS\system32\CMCT2DE.dll 2008-04-03 19:18 . 2008-04-03 19:18 <DIR> d--hs---- C:\FOUND.009 2008-03-30 18:41 . 2008-03-30 18:41 91,700 --a------ C:\WINDOWS\system32\drivers\klin.dat 2008-03-30 18:41 . 2008-03-30 18:41 85,860 --a------ C:\WINDOWS\system32\drivers\klick.dat 2008-03-30 18:37 . 2008-03-30 18:37 <DIR> d-------- C:\Programme\Kaspersky Lab 2008-03-30 18:37 . 2008-03-30 18:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2008-03-30 18:31 . 2008-03-30 18:31 <DIR> d-------- C:\kav 2008-03-29 10:36 . 2008-03-29 10:36 <DIR> d-------- C:\Programme\PC-Cleaner 2008-03-28 22:32 . 2008-03-28 22:32 <DIR> dr-h----- C:\$VAULT$.AVG 2008-03-28 22:29 . 2008-03-28 22:29 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AVG7 2008-03-28 22:29 . 2008-03-28 22:29 <DIR> d-------- C:\Dokumente und Einstellungen\Jacko\Anwendungsdaten\AVG7 2008-03-28 22:28 . 2008-03-28 22:28 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft 2008-03-26 20:08 . 2008-03-26 20:08 <DIR> d--hs---- C:\FOUND.008 2008-03-22 16:55 . 2008-03-22 16:55 <DIR> d--hs---- C:\FOUND.007 2008-03-19 17:28 . 2008-03-19 17:28 <DIR> d--hs---- C:\FOUND.006 2008-03-07 10:16 . 2008-03-07 10:16 <DIR> d--hs---- C:\FOUND.005 2008-03-06 11:53 . 2008-04-05 22:01 0 --------- C:\WINDOWS\SA1A34E25.tmp . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-04-05 20:00 32 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx 2008-04-05 20:00 32 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat 2008-04-05 20:00 32 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2008-04-05 20:00 32 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat 2008-02-24 15:15 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat 2008-02-24 15:15 --------- d-----w C:\Dokumente und Einstellungen\Jacko\Anwendungsdaten\skypePM 2008-02-24 15:05 --------- d-----w C:\Programme\Skype 2008-02-24 15:05 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype 2008-02-24 15:05 --------- d-----w C:\Dokumente und Einstellungen\Jacko\Anwendungsdaten\Skype 2008-02-24 15:05 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype 2008-02-08 16:37 219,664 ----a-w C:\WINDOWS\system32\klogon.dll 2008-02-08 16:35 23,604 ----a-w C:\WINDOWS\system32\drivers\klopp.dat 2008-01-11 04:33 44,544 ----a-w C:\WINDOWS\system32\dllcache\pngfilt.dll 2007-07-14 20:34 58,056 ----a-w C:\Dokumente und Einstellungen\Jacko\Anwendungsdaten\GDIPFONTCACHEV1.DAT . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360] "MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="NvQTwk" [] "nwiz"="nwiz.exe" [2002-11-12 19:53 372736 C:\WINDOWS\system32\nwiz.exe] "CeEPOWER"="C:\Programme\TOSHIBA\Power Management\CePMTray.exe" [2002-12-30 17:34 90112] "CPLBTS88"="C:\PROGRA~1\EzButton\CPLBTS88.EXE" [2002-11-29 15:42 188416] "CeEKEY"="C:\Programme\TOSHIBA\E-KEY\CeEKey.exe" [2002-11-08 13:32 434176] "Apoint"="C:\Programme\Apoint2K\Apoint.exe" [2002-03-29 14:40 122880] "TPNF"="C:\Programme\TOSHIBA\TouchPad\TPTray.exe" [2002-12-10 16:58 45056] "Microsoft Works Update Detection"="C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2002-07-24 18:43 28672] "WinDSL MTU-Adjust"="WinDSL_MTU.exe" [2001-02-15 01:38 65536 C:\WINDOWS\system32\WinDSL_MTU.exe] "NapsterShell"="C:\Programme\Napster\napster.exe" [ ] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-06-29 06:24 286720] "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-09-07 16:55 267064] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Drag'n Drop CD] C:\Programme\Drag'n Drop CD\BinFiles\DragDrop.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "AntiVirusOverride"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "C:\\Programme\\MSN Messenger\\MSNMSGR.EXE"= R1 LUMDriver;LUMDriver;C:\WINDOWS\system32\drivers\LUMDriver.sys [2006-10-14 00:14] R2 BBDemon;Backbone Service;"D:\Programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe" -service [] R2 DPortIO;Dritek Port I/O Driver;C:\WINDOWS\system32\Drivers\DPortIO.sys [2001-04-12 16:04] R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 13:28] R3 TOSHIBASoftModem;TOSHIBA Software Modem;C:\WINDOWS\system32\DRIVERS\LTSM.sys [2002-09-17 15:12] R3 WBSD;Winbond Secure Digital Storage Device Driver;C:\WINDOWS\system32\Drivers\WBSD.SYS [2002-11-08 12:28] R3 WinDSLa;WinDSL-Adapter (PPP-over-Ethernet);C:\WINDOWS\system32\DRIVERS\WinDSL.sys [2002-02-08 04:50] S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" [] S3 BrScnUsb;Brother USB Still Image driver;C:\WINDOWS\system32\Drivers\BrScnUsb.sys [2004-10-15 12:50] S3 WinDSLp;%WinDSLp_Desc%;C:\WINDOWS\system32\DRIVERS\WinDSL.sys [2002-02-08 04:50] . Inhalt des "geplante Tasks" Ordners "2008-03-29 11:17:26 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Programme\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-04-05 22:01:43 Windows 5.1.2600 Service Pack 2 FAT NTAPI Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Programme\iPod\bin\iPodService.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-04-05 22:05:15 - machine was rebooted ComboFix-quarantined-files.txt 2008-04-05 20:05:10 ComboFix2.txt 2008-04-05 00:05:52 15 Verzeichnis(se), 2,314,420,224 Bytes frei 84 Verzeichnis(se), 2,322,907,136 Bytes frei . 2008-04-01 01:02:24 --- E O F --- |
Hast alles richtig gemacht. :) Die Datei C:\WINDOWS\SA1A34E25.tmp bitte bei VirusTotal - Free Online Virus and Malware Scan hochladen und das Ergebnis hier posten. Kopiere der Einfachheit halber den Pfad von hier ab. |
0 bytes size received / Se ha recibido un archivo vacio :blabla: |
Ich geh im Moment davon aus, das es sich hier um eine gernerische Datei Deines Virenprogrammes handelt. Trotzdem: Dateien verschieben mit OTMoveIt - Lade OTMoveIt von OldTimer. - Speichere es auf dem Desktop. - Doppelklicke OTMoveIt.exe um das Programm zu starten. - Kopiere die untenstehenden Dateien mittels markieren STRG+C oder nach dem markieren, rechtsklick und kopieren wählen. Code: C:\WINDOWS\SA1A34E25.tmp- Klick den roten Moveit! button. - Klick "Exit" um OTMoveIt zu schließen. - Wenn Du soweit bist, poste den Inhalt des Logs im Forum. Das Logfile liegt im Windows Stammverzeichnis (meist C:\) Bsp.: C:\_OTMoveIt\MovedFiles\********_******.log (wobei "********_******" das "Datum_Zeit" ist) - Wenn eine Datei oder ein Ordner nicht direkt verschoben werden kann, wirst Du gefragt ob Du Neustarten willst um den Vorgang abzuschließen. Falls diese Frage auftaucht, den Rechner neu starten. - Dann bitte das Log posten. |
File move failed. C:\WINDOWS\SA1A34E25.tmp scheduled to be moved on reboot. OTMoveIt2 by OldTimer - Version 1.0.4.0 log created on 04052008_232609 Files moved on Reboot... File move failed. C:\WINDOWS\SA1A34E25.tmp scheduled to be moved on reboot. |
Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code: Collect:: 4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer!) 5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. http://users.pandora.be/bluepatchy/m...s/CFScript.gif 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt 7. Nachdem das Log im Notepad aufgegangen ist, wird ein Fenster aufpoppen (Submit files for further analysis), dieses Fenster mit OK wegklicken, die Webseite dann aber schließen, das Formular nicht ausfüllen. Auf Deinem Desktop ist eine neue .Zip Datei vorhanden ([4]-Submit_Jahr-Monat-Tag_Uhrzeit.71.zip). Diese Datei auf dem Desktop an http://img222.imageshack.us/img222/199/emaillb0.th.jpg mailen. Dann das Archiv und die CF-Submit.htm löschen und den Papierkorb leeren. Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann |
Ich hab nur die Möglchkeit auf OK, Abbrechen oder auf Durchsuchen zu drücken. Die Datei C:\WINDOWS\SA1A34E25.tmp ist nicht mehr vorhanden. Deshalb komme ich nicht weiter. Weis jetzt nicht wie ich das Notepad Fenster sonst noch auf bekomme um die Datei einzufügen. :( P.s.: was machen wir eigentlich die ganze zeit? :balla: :D |
Zitat:
Besonders, wenn Du sagt, die Datei ist nicht mehr vorhanden glaub ich das. Lass uns mal damit weitermachen, ansonsten sieht das System ja ganz schon gut aus. hier weiter |
mom habs jetzt... |
hab deinen vorletzten Phost nochmal ausgeführt: ComboFix 08-04-04.1 - Jacko 2008-04-06 0:24:33.3 - FAT32x86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.287 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Jacko\Desktop\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\Jacko\Desktop\CFScript.txt * Neuer Wiederherstellungspunkt wurde erstellt WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\SA1A34E25.tmp . . . . Nicht in der Lage zu löschen . ((((((((((((((((((((((( Dateien erstellt von 2008-03-05 bis 2008-04-05 )))))))))))))))))))))))))))))) . 2008-04-05 23:26 . 2008-04-05 23:26 <DIR> d-------- C:\_OTMoveIt 2008-04-03 19:24 . 2008-04-03 19:24 <DIR> d-------- C:\Programme\YooApplications 2008-04-03 19:24 . 2003-12-26 01:13 212,992 --a------ C:\WINDOWS\system32\YExBar.ocx 2008-04-03 19:24 . 1998-06-24 11:55 164,144 --a------ C:\WINDOWS\system32\COMCT232.OCX 2008-04-03 19:24 . 1998-05-05 17:35 112,640 --a------ C:\WINDOWS\system32\CMCTLde.DLL 2008-04-03 19:24 . 1998-07-06 18:55 33,792 --a------ C:\WINDOWS\system32\CMDLGDE.DLL 2008-04-03 19:24 . 1998-05-05 17:35 24,576 --a------ C:\WINDOWS\system32\CMCT2DE.dll 2008-04-03 19:18 . 2008-04-03 19:18 <DIR> d--hs---- C:\FOUND.009 2008-03-30 18:41 . 2008-03-30 18:41 91,700 --a------ C:\WINDOWS\system32\drivers\klin.dat 2008-03-30 18:41 . 2008-03-30 18:41 85,860 --a------ C:\WINDOWS\system32\drivers\klick.dat 2008-03-30 18:37 . 2008-03-30 18:37 <DIR> d-------- C:\Programme\Kaspersky Lab 2008-03-30 18:37 . 2008-03-30 18:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2008-03-30 18:31 . 2008-03-30 18:31 <DIR> d-------- C:\kav 2008-03-29 10:36 . 2008-03-29 10:36 <DIR> d-------- C:\Programme\PC-Cleaner 2008-03-28 22:32 . 2008-03-28 22:32 <DIR> dr-h----- C:\$VAULT$.AVG 2008-03-28 22:29 . 2008-03-28 22:29 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AVG7 2008-03-28 22:29 . 2008-03-28 22:29 <DIR> d-------- C:\Dokumente und Einstellungen\Jacko\Anwendungsdaten\AVG7 2008-03-28 22:28 . 2008-03-28 22:28 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft 2008-03-26 20:08 . 2008-03-26 20:08 <DIR> d--hs---- C:\FOUND.008 2008-03-22 16:55 . 2008-03-22 16:55 <DIR> d--hs---- C:\FOUND.007 2008-03-19 17:28 . 2008-03-19 17:28 <DIR> d--hs---- C:\FOUND.006 2008-03-07 10:16 . 2008-03-07 10:16 <DIR> d--hs---- C:\FOUND.005 2008-03-06 11:53 . 2008-04-06 00:29 0 --------- C:\WINDOWS\SA1A34E25.tmp . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-04-05 22:29 32 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx 2008-04-05 22:29 32 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat 2008-04-05 22:29 32 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2008-04-05 22:29 32 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat 2008-02-24 15:15 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat 2008-02-24 15:15 --------- d-----w C:\Dokumente und Einstellungen\Jacko\Anwendungsdaten\skypePM 2008-02-24 15:05 --------- d-----w C:\Programme\Skype 2008-02-24 15:05 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype 2008-02-24 15:05 --------- d-----w C:\Dokumente und Einstellungen\Jacko\Anwendungsdaten\Skype 2008-02-24 15:05 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype 2008-02-08 16:37 219,664 ----a-w C:\WINDOWS\system32\klogon.dll 2008-02-08 16:35 23,604 ----a-w C:\WINDOWS\system32\drivers\klopp.dat 2008-01-11 04:33 44,544 ----a-w C:\WINDOWS\system32\dllcache\pngfilt.dll 2007-07-14 20:34 58,056 ----a-w C:\Dokumente und Einstellungen\Jacko\Anwendungsdaten\GDIPFONTCACHEV1.DAT . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360] "MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="NvQTwk" [] "nwiz"="nwiz.exe" [2002-11-12 19:53 372736 C:\WINDOWS\system32\nwiz.exe] "CeEPOWER"="C:\Programme\TOSHIBA\Power Management\CePMTray.exe" [2002-12-30 17:34 90112] "CPLBTS88"="C:\PROGRA~1\EzButton\CPLBTS88.EXE" [2002-11-29 15:42 188416] "CeEKEY"="C:\Programme\TOSHIBA\E-KEY\CeEKey.exe" [2002-11-08 13:32 434176] "Apoint"="C:\Programme\Apoint2K\Apoint.exe" [2002-03-29 14:40 122880] "TPNF"="C:\Programme\TOSHIBA\TouchPad\TPTray.exe" [2002-12-10 16:58 45056] "Microsoft Works Update Detection"="C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2002-07-24 18:43 28672] "WinDSL MTU-Adjust"="WinDSL_MTU.exe" [2001-02-15 01:38 65536 C:\WINDOWS\system32\WinDSL_MTU.exe] "NapsterShell"="C:\Programme\Napster\napster.exe" [ ] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-06-29 06:24 286720] "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-09-07 16:55 267064] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Drag'n Drop CD] C:\Programme\Drag'n Drop CD\BinFiles\DragDrop.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "AntiVirusOverride"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "C:\\Programme\\MSN Messenger\\MSNMSGR.EXE"= R1 LUMDriver;LUMDriver;C:\WINDOWS\system32\drivers\LUMDriver.sys [2006-10-14 00:14] R2 BBDemon;Backbone Service;"D:\Programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe" -service [] R2 DPortIO;Dritek Port I/O Driver;C:\WINDOWS\system32\Drivers\DPortIO.sys [2001-04-12 16:04] R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 13:28] R3 TOSHIBASoftModem;TOSHIBA Software Modem;C:\WINDOWS\system32\DRIVERS\LTSM.sys [2002-09-17 15:12] R3 WBSD;Winbond Secure Digital Storage Device Driver;C:\WINDOWS\system32\Drivers\WBSD.SYS [2002-11-08 12:28] R3 WinDSLa;WinDSL-Adapter (PPP-over-Ethernet);C:\WINDOWS\system32\DRIVERS\WinDSL.sys [2002-02-08 04:50] S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" [] S3 BrScnUsb;Brother USB Still Image driver;C:\WINDOWS\system32\Drivers\BrScnUsb.sys [2004-10-15 12:50] S3 WinDSLp;%WinDSLp_Desc%;C:\WINDOWS\system32\DRIVERS\WinDSL.sys [2002-02-08 04:50] . Inhalt des "geplante Tasks" Ordners "2008-03-29 11:17:26 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Programme\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-04-06 00:30:26 Windows 5.1.2600 Service Pack 2 FAT NTAPI Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Programme\iPod\bin\iPodService.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-04-06 0:34:10 - machine was rebooted ComboFix-quarantined-files.txt 2008-04-05 22:34:04 ComboFix3.txt 2008-04-05 00:05:52 ComboFix2.txt 2008-04-05 20:05:18 16 Verzeichnis(se), 2,190,327,808 Bytes frei 85 Verzeichnis(se), 2,283,929,600 Bytes frei . 2008-04-01 01:02:24 --- E O F --- |
Führe gerade deinen nächsten Schritt aus...:snyper: |
Ok, Zur Datei, die noch da ist. Die gehört zu Deinem Kaspersky. Sie wird auch aktuell mit 0 byte benutzt. Soweit alles gut, meine Panikmache, wollte mir nur sicher sein. Also machem wir mit Malewarebytes weiter. |
dauert noch ein wenig... :teufel3: was/wie hab ich mir da eingefangen? was ist eigentlich bis jetzt passiert? |
Bisher haben wir Zlobs /Downloader gelöscht, die wohl von einem Codec den Du runtergladen hast, gekommen sind. Die sind imho wieder runter, wobei wir gleich nach Maleware Bytes noch ein HJT Log abwarten, da gibts bestimmt noch Kosmetik zu machen. :) |
aha.... wie kommt es das ein so hoch gelobtes Virusprogramm wie Kapersky die Zlobs nicht finden konnte? Sind die so neu? machst du das hier eigentlich auch beruflich? :kloppen: :) P.s.: 22 Obiekte gefunden. Sucht noch weiter... |
Zitat:
Oft kommt sowas Huckepack mit, wie im Falle des Codes wahrscheinlich. Daher kann Kaspersky da erst mal nichts machen. Das liegt auch nicht an Kaspersky, das ist mehr den Design Schwäche. Software soll Software schützen, die auf dem gleichen System liegt. Zitat:
|
SO!! Malwarebytes' Anti-Malware 1.10 Datenbank Version: 594 Scan Art: Komplett Scan (C:\|D:\|E:\|) Objekte gescannt: 178051 Scan Dauer: 43 minute(s), 3 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 18 Infizierte Registrierungswerte: 0 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 1 Infizierte Dateien: 13 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\Interface\{9ac68859-dcf4-4ab4-b939-3b632da69b3c} (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9dd4258a-7138-49c4-8d34-587879a5c7a4} (Fake.Dropped.Malware) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c3bcc488-1ae7-11d4-ab82-0010a4ec2338} (Fake.Dropped.Malware) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\mywebsearch.pseudotransparentplugin (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\mywebsearch.pseudotransparentplugin.1 (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{2e9937fc-cf2f-4f56-af54-5a6a3dd375cc} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{741de825-a6f0-4497-9aa6-8023cf9b0fff} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256a51-b582-467e-b8d4-7786eda79ae0} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{56256a51-b582-467e-b8d4-7786eda79ae0} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\mslagent (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\Microsoft\Internet Explorertoolbar (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Classes\stfngdvw.blgs (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Classes\stfngdvw.ToolBar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine Malware Objekte gefunden) Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: C:\Programme\PC-Cleaner (Rogue.PC-Cleaner) -> Quarantined and deleted successfully. Infizierte Dateien: C:\System Volume Information\_restore{177E5EE0-72CC-4551-B828-9033C46938C6}\RP360\A0543981.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{177E5EE0-72CC-4551-B828-9033C46938C6}\RP360\A0546022.DLL (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{177E5EE0-72CC-4551-B828-9033C46938C6}\RP361\A0546119.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{177E5EE0-72CC-4551-B828-9033C46938C6}\RP361\A0546120.DLL (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{177E5EE0-72CC-4551-B828-9033C46938C6}\RP361\A0546162.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{177E5EE0-72CC-4551-B828-9033C46938C6}\RP361\A0546163.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{177E5EE0-72CC-4551-B828-9033C46938C6}\RP362\A0546246.EXE (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{177E5EE0-72CC-4551-B828-9033C46938C6}\RP362\A0546248.EXE (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\WINDOWS\system32\ajjyjxna.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\WINDOWS\system32\dtgdwxfq.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\WINDOWS\system32\wvqpqziv.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\WINDOWS\Web\def.htm.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\Dokumente und Einstellungen\All Users\Anwendungsdaten\ylghqrch\gbihupoj.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully. |
So, um Combofix zu loeschen(den qoobox ordner) gebe unter Start /Ausführen "combofix /u" ein. Ohne die " natürlich. Dann noch ein neues HiJackThis Logfile. |
So? Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:50:17, on 06.04.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16608) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\Explorer.EXE D:\Programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe C:\Programme\TOSHIBA\Power Management\CePMTray.exe C:\PROGRA~1\EzButton\CPLBTS88.EXE C:\Programme\TOSHIBA\E-KEY\CeEKey.exe C:\Programme\Apoint2K\Apoint.exe C:\Programme\TOSHIBA\TouchPad\TPTray.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\WINDOWS\ISW\netcol.dsl\signup\Tray.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\Jacko\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OMU8LMRQ\HiJackThis[1].exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.gmx.net/home R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe O4 - HKLM\..\Run: [CPLBTS88] C:\PROGRA~1\EzButton\CPLBTS88.EXE O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe O4 - HKLM\..\Run: [NapsterShell] C:\Programme\Napster\napster.exe /systray O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} (HidInputMonitorX Control) - file:///F:/components/hidinputmonitorx.ocx O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file:///F:/components/A9.ocx O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader4.cab?nocache=1204064003 O16 - DPF: {7030CC6C-1A88-4591-BB5A-651B9F7F0C30} (WMVHDRatingCtrl Class) - file:///F:/components/wmvhdrating.ocx O17 - HKLM\System\CCS\Services\Tcpip\..\{45A5A0B6-5593-4E4E-B2BB-2AF1FC693A6E}: NameServer = 81.173.194.68 194.8.194.60 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing) O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - D:\Programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LiveUpdate - Unknown owner - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE (file missing) O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/Jacko/LOKALE~1/Temp/msohtml1/03/clip_image002.jpg -- End of file - 7017 bytes |
Sieht für mich sauber aus. :) Noch Probleme, Funde mit dem Rechner? |
Weis zwar nicht was wir da gemacht haben, scheint aber alles bestens zu sein!! :aplaus: Keine Fehlermeldungen mehr!! Vielen vielen Dank!! :party: :daumenhoc Wie kann man sowas demnächst verhindern? |
Um Dein System vor zukünfigen Infektionen zu schützen, lies bitte das folgende aufmerksam. Das folgende ist eine Sammlung von Tools und Hilfsmitteln. Diese helfen Dir zu verstehen, wie Du infiziert wurdest und wie Du Dich in Zunkunft davor schützen kannst. Spybot Search & Destroy - Ein gutes Tool , welches bösartige Software sucht und unschädlich macht. Bei der Installation darauf achten den Tea Timer & SD Helper nicht zu aktivieren! Nutze standardmäßig einen alternativen Browser, wie zb Firefox oder Opera Der Internet Explorer sollte nur für das Windows- Officeupdate benutzt werden. Eine Alternative zu Outlook ist zb Thunderbird, Eudora Plugins für Mozilla härten diesen zudem noch. - NoScript Plugin, welches das ausführen von Scripten blockiert. - Flashblock Plugin, welches das Laden von Flash Filmen verhindert (auch ideal zum surfen via Schmalband geeignet) Miranda-IM - Die ist ein Malware freier, Open Source Instant Messenger welcher mit den Protokollen von AOL, Yahoo, ICQ, IRC, MSN zusammenarbeitet. Ein weiterer ist PidGin CCleaner Download - ist eine Freeware-Software zur Optimierung und zum Aufräumen von Windows. Hier findest Du eine Sammlung(Englisch) von falschen Antivirenprogrammen. Diese Liste ist nicht immer upToDate. Bei Unklarheiten im Forum vor einer Installation nachfragen. Vorsichtig bleiben. Lade keine Software von dir komplett unbekannten Seiten (zb goldencodecs.com, morefreesoftware.com etc namen ausgedacht, kein zusammenhang mit evtl real existierenden Seiten) und benutze kein p2p um an Software (oder sonst was) zu kommen. Bist du unsicher, ob das geladene Programm sauber ist, dann lade den Installer zb bei virustotal hoch und lass ihn dort überprüfen. Die meisten Crack/Keylogger/Entsprechende Seiten nehmen im Hintergrund Änderungen am System vor, beinflussen es, oder Installieren Schadsoftware Keine unbekannten Dateien annehmen und öffnen, weder per Mail noch per MSN/ICQ/Instant Messenger. Auch von Freunden unverlangt erhaltene Dateien immer kritisch nachragen. Wenn eine Seite dubios aussieht und versucht Dateien auf deinem Rechner zu installieren (sei es zum Video abspielen oder sonstwas), dann vertrau deinem Gefühl und verschwinde. Überprüfe dein System bei Bedarf mit einem On-Demandscanner um eventuelle Befälle aufzuspüren. Windows Update - Es ist sehr wichtig sicher zu sein das Internet Explorer und Windows mit allen aktuellen Patches von Microsoft versorgt sind. Um dies zu prüfen öffne den Internet Explorer, wähle Extras und dort Windows Update, und folge den Anweisungen. Generell gilt: Halte immer alle Anwendung auf einem akutellem Stand! |
Super! Vielen Dank nochmal für deine Hilfe! Du :heilig: :daumenhoc Gruß, Max |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:51 Uhr. |
Copyright ©2000-2025, Trojaner-Board