|
Benötige bitte Hilfe beim kompletten Entfernen von worm.win32.netbooster Liebes Team, habe mir leider den worm.win32.netbooster eingefangen (Symptome analog zu "Spyware, fieser Virus-Windows Security Alert" von B33N_1991). Habe das neueste Windows-Tool zum entfernen schädlicher Software von MS laufen lassen. Es fand zwei Einträge und hat diese gefixt. Seit dem poppen keine Fenster mehr auf, die Verknüpfungen auf dem Desktop bleiben weg und meine Explorer.exe verhält sich wieder ruhig. Allerdings ist mein Windows-Taskmanager immer noch geblockt (benutze momentan ProcessExplorer). Hier mein Hijacklog: Logfile of HijackThis v1.99.1 Scan saved at 21:33:45, on 28.04.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe c:\Programme\LRZ VPN Client\cvpnd.exe C:\WINDOWS\system32\DVDRAMSV.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\Maxtor\Sync\SyncServices.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\svchost.exe C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Apoint2K\Apoint.exe C:\Programme\TOSHIBA\PadTouch\PadExe.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\TOSHIBA\Power Management\CePMTray.exe C:\Programme\TOSHIBA\E-KEY\CeEKey.exe C:\Programme\EzButton\EzButton.EXE C:\Programme\TOSHIBA\TouchPad\TPTray.exe C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe C:\WINDOWS\System32\ZoomingHook.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe C:\WINDOWS\FixCamera.exe C:\WINDOWS\vsnpstd3.exe C:\Programme\Maxtor\OneTouch Status\maxmenumgr.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Apoint2K\Apntex.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Programme\Google\Google Updater\GoogleUpdater.exe C:\WINDOWS\system32\RAMASST.exe C:\Programme\RMClock\RMClock.exe C:\Programme\RMClock\RMClockHLT.exe C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\WINDOWS\System32\svchost.exe C:\Dokumente und Einstellungen\Dorian\Desktop\Hijack\This.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\pchealth\helpctr\System_OEM\blank.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\pchealth\helpctr\System_OEM\blank.htm O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: DVA Gate - {7A6FD945-14B0-41F8-84FB-74DEF17528BB} - C:\WINDOWS\qnmargolxgn.dll O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: dpevflbg - {B21EAD36-EC0C-4B82-B102-1AB20B481977} - C:\WINDOWS\dpevflbg.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [PadTouch] "C:\Programme\TOSHIBA\PadTouch\PadExe.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe O4 - HKLM\..\Run: [EzButton] C:\Programme\EzButton\EzButton.EXE O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe O4 - HKLM\..\Run: [ZoomingHook] c:\WINDOWS\System32\ZoomingHook.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe O4 - HKLM\..\Run: [mxomssmenu] "C:\Programme\Maxtor\OneTouch Status\maxmenumgr.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1 O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe O4 - Global Startup: LRZ VPN Client.lnk = C:\Programme\LRZ VPN Client\vpngui.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe O4 - Global Startup: RMClock.lnk = C:\Programme\RMClock\RMClock.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: eBay - {C61A2E0E-6D7E-4555-ACA0-50DB2CD83D4B} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = esrf.fr O17 - HKLM\Software\..\Telephony: DomainName = esrf.fr O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = esrf.fr O18 - Protocol: ncbi8 - {2B576DD3-0B3E-4718-BCBF-B15E4FB8009D} - C:\Programme\Vector_NTI\Ncbi.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - c:\Programme\LRZ VPN Client\cvpnd.exe O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Maxtor Service (Maxtor Sync Service) - Seagate Technology LLC - C:\Programme\Maxtor\Sync\SyncServices.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe Bin leider kein Experte, ein Analysetool für die Hijack-logfiles sagt aber, dass die bösen dll´s noch da sind. Sagt mir bitte wie ich vorgehen soll. Noch eine Frage: Was macht die Malware eigentlich genau? Ist es momentan gefährlich mit dem Rechner Daten zu versenden? (Ich denke schon). Dazu ist leider wenig Info zu kriegen. Besten Dank! Dorian |
Infektionen sind immer gefährlich! Anleitung SmitfraudFix: Lade dir dieses Tool -> SmitfraudFix - Boote im abgesicherten Modus - Starte es dann und lass das System Reinigen. (Option 2) - es fragt Dich nach kurzer Zeit "Do you want to clean the registry?", dies mit "y" bejahen - nach dem erfolgreichen Durchlauf öffnet es ein Notepad Fenster mit der rapport.txt - Im Hintergrund muss smitfraudfix.exe noch mit "Q" beendet werden - Nach diesem Durchlauf wird ggf. Dein Hintergrundbild verschwunden sein. http://saved.im/mja3mthiyxvt_vs/smf.jpg -Poste danach den Inhalt der Datei C:\rapport.txt - Wenn auf dem Rechner XP Antispy mit den Standard Einstellungen benutzt wurde, läuft Smitfraudfix ggf. nicht richtig. - Dein Desktophintergrund ist nach dem Vorgang eventuell gelöscht. |
Danke für die schnelle Antwort! Bevor ich mit SmitFraudFix anfange noch eine Frage: Auf deren Webseite taucht der worm.win32.netbooster gar nicht auf? Befindet sich auf meinem Rechner etwa noch etwas von dem anderen Kram? Gruss Dorian |
Ich will das andere ausschließen, da diese Infektionen oft noch andere Sachen nachladen. Zudem pürft SMF einige wichtige Einstellungen. Sicherlich werden wir aber noch andere Programme nutzen müssen. |
Ist erledigt... Rapport.txt: SmitFraudFix v2.319 Scan done at 22:32:45,78, 28.04.2008 Run from C:\Dokumente und Einstellungen\Dorian\Desktop\SmitfrautFix\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost 127.0.0.1 localhost 127.0.0.1 localhost »»»»»»»»»»»»»»»»»»»»»»»» VACFix »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix S!Ri's WS2Fix: LSP not Found. »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files C:\WINDOWS\olgdqarf.exe Deleted C:\WINDOWS\wxvgsdbq.exe Deleted C:\DOKUME~1\Dorian\FAVORI~1\Error Cleaner.url Deleted C:\DOKUME~1\Dorian\FAVORI~1\Privacy Protector.url Deleted C:\DOKUME~1\Dorian\FAVORI~1\Spyware?Malware Protection.url Deleted »»»»»»»»»»»»»»»»»»»»»»»» IEDFix IEDFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» 404Fix 404Fix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» DNS »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End |
Ok, jetzt Combofix - Download ComboFix von hier oder hier auf Deinen Desktop. - Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen!) - Mache einen Doppelklick auf combofix.exe - Wenn combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht. |
Hey, schon mal vielen Dank für Deine schnellen Antworten! Der Taskmanager geht wieder... :) ComboFix: ComboFix 08-04-27.3 - Dorian 2008-04-28 22:57:49.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.565 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\Dorian\Desktop\ComboFix\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . ((((((((((((((((((((((( Dateien erstellt von 2008-03-28 bis 2008-04-28 )))))))))))))))))))))))))))))) . 2008-04-28 22:32 . 2008-04-28 22:32 4,362 --a------ C:\WINDOWS\system32\tmp.reg 2008-04-24 22:52 . 2008-04-24 22:52 <DIR> d-------- C:\Dokumente und Einstellungen\Dorian\Anwendungsdaten\TmpRecentIcons 2008-04-24 21:46 . 2008-04-24 10:29 200,704 --a------ C:\WINDOWS\dpevflbg.dll 2008-04-22 17:58 . 2008-04-28 20:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater 2008-04-13 22:34 . 2008-04-13 22:34 <DIR> d-------- C:\Dokumente und Einstellungen\Dorian\Anwendungsdaten\PlayFirst 2008-04-13 22:32 . 2008-04-13 22:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlayFirst 2008-04-12 19:19 . 2008-04-12 19:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\55-5r-80-24-73-1s 2008-04-12 19:16 . 2008-04-12 19:16 <DIR> d-------- C:\Programme\GameHouse 2008-04-11 23:46 . 2008-04-22 18:36 <DIR> d-------- C:\Programme\Zylom Games 2008-04-11 23:46 . 2008-04-22 18:37 <DIR> d-------- C:\Dokumente und Einstellungen\Dorian\Anwendungsdaten\Zylom 2008-04-11 23:46 . 2008-04-11 23:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom 2008-04-06 20:16 . 2008-04-06 20:16 <DIR> d-------- C:\Programme\ReflexiveArcade 2008-04-06 14:35 . 2008-04-06 14:35 <DIR> d-------- C:\Programme\Maxtor 2008-04-06 13:52 . 2008-04-06 13:53 <DIR> d-------- C:\Programme\Unlocker 2008-04-06 00:34 . 2008-04-06 00:34 <DIR> d--h----- C:\WINDOWS\PIF 2008-04-01 22:52 . 2008-04-07 22:10 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-04-01 22:52 . 2008-04-01 22:52 1,409 --a------ C:\WINDOWS\QTFont.for 2008-04-01 22:00 . 2008-04-01 22:00 <DIR> d-------- C:\WINDOWS\wt 2008-04-01 22:00 . 2008-04-01 22:00 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-04-28 22:08 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared 2008-04-28 22:08 --------- d-----w C:\Dokumente und Einstellungen\Dorian\Anwendungsdaten\Skype 2008-04-28 21:39 --------- d-----w C:\Programme\RMClock 2008-04-28 21:09 --------- d-----w C:\Dokumente und Einstellungen\Dorian\Anwendungsdaten\EndNote 2008-04-27 11:29 --------- d-----w C:\Dokumente und Einstellungen\Dorian\Anwendungsdaten\skypePM 2008-04-22 16:58 --------- d-----w C:\Programme\Google 2008-04-21 17:14 --------- d-----w C:\Programme\Mozilla Thunderbird 2008-04-06 13:12 --------- d-----w C:\Programme\Tcl 2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys 2008-03-16 23:13 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-03-12 23:47 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Maxtor 2008-03-09 19:28 --------- d-----w C:\Dokumente und Einstellungen\Dorian\Anwendungsdaten\gtk-2.0 2008-02-28 21:14 --------- d-----w C:\Programme\WinCoot 2008-02-28 21:04 --------- d-----w C:\Programme\CCP4-packages 2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll 2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll 2008-02-17 23:42 290,816 ------w C:\WINDOWS\Setup1.exe 2008-02-16 08:59 665,088 ----a-w C:\WINDOWS\system32\wininet.dll 2008-01-28 23:11 21,361 ----a-w C:\WINDOWS\AegisP.sys 2008-01-25 22:51 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat 2007-06-24 11:52 30,056 ----a-w C:\Dokumente und Einstellungen\Dorian\Anwendungsdaten\GDIPFONTCACHEV1.DAT . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{B21EAD36-EC0C-4B82-B102-1AB20B481977}"= "C:\WINDOWS\dpevflbg.dll" [2008-04-24 10:29 200704] [HKEY_CLASSES_ROOT\clsid\{b21ead36-ec0c-4b82-b102-1ab20b481977}] [HKEY_CLASSES_ROOT\dpevflbg.1] [HKEY_CLASSES_ROOT\TypeLib\{DC33216E-1322-437E-9D55-2DD312F190C2}] [HKEY_CLASSES_ROOT\dpevflbg] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360] "TOSCDSPD"="C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2003-09-15 15:04 65536] "updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472] "Skype"="C:\Programme\Skype\Phone\Skype.exe" [2008-02-01 18:22 21898024] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-06-10 20:10 339968] "Apoint"="C:\Programme\Apoint2K\Apoint.exe" [2003-10-30 15:46 192512] "PadTouch"="C:\Programme\TOSHIBA\PadTouch\PadExe.exe" [2004-02-12 10:44 1019904] "AGRSMMSG"="AGRSMMSG.exe" [2004-02-21 05:00 88363 C:\WINDOWS\agrsmmsg.exe] "CeEPOWER"="C:\Programme\TOSHIBA\Power Management\CePMTray.exe" [2004-08-18 09:21 135168] "CeEKEY"="C:\Programme\TOSHIBA\E-KEY\CeEKey.exe" [2004-08-06 14:14 643072] "EzButton"="C:\Programme\EzButton\EzButton.EXE" [2004-07-07 15:25 712704] "TPNF"="C:\Programme\TOSHIBA\TouchPad\TPTray.exe" [2004-07-28 15:23 53248] "SmoothView"="C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe" [2004-04-30 10:26 118784] "ZoomingHook"="c:\WINDOWS\System32\ZoomingHook.exe" [2004-07-14 15:07 24576] "ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2006-03-30 14:46 71304] "URLLSTCK.exe"="C:\Programme\Norton Internet Security\UrlLstCk.exe" [2004-01-20 17:00 70760] "dla"="C:\WINDOWS\system32\dla\tfswctrl.exe" [2004-07-20 01:04 122939] "UserFaultCheck"="C:\WINDOWS\system32\dumprep 0 -u" [ ] "Symantec NetDriver Monitor"="C:\PROGRA~1\SYMNET~1\SNDMon.exe" [2006-02-07 13:35 100056] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-21 00:26 262401] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-04-27 08:41 282624] "IntelZeroConfig"="C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" [2007-10-08 15:18 995328] "IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2007-10-08 15:13 1101824] "FixCamera"="C:\WINDOWS\FixCamera.exe" [2007-02-10 16:40 20480] "tsnpstd3"="C:\WINDOWS\tsnpstd3.exe" [ ] "snpstd3"="C:\WINDOWS\vsnpstd3.exe" [2006-09-19 10:07 827392] "mxomssmenu"="C:\Programme\Maxtor\OneTouch Status\maxmenumgr.exe" [2007-09-06 14:53 169264] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Acrobat Assistant.lnk - C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe [2005-10-26 16:52:31 82026] Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-09-27 15:23:57 110592] Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696] Google Updater.lnk - C:\Programme\Google\Google Updater\GoogleUpdater.exe [2008-04-22 17:58:55 124400] LRZ VPN Client.lnk - C:\Programme\LRZ VPN Client\vpngui.exe [2005-01-14 17:26:24 1470480] Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04 83360] RAMASST.lnk - C:\WINDOWS\system32\RAMASST.exe [2004-12-19 16:22:52 155648] RMClock.lnk - C:\Programme\RMClock\RMClock.exe [2005-03-25 17:50:54 367616] [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Vector_NTI\\Vector NTI 10.exe"= "C:\\Programme\\SmartFTP Client 2.0\\SmartFTP.exe"= "C:\\Spiele\\poc\\pocxxl\\bin\\pocxxl.exe"= "C:\\Programme\\Mozilla Firefox\\firefox.exe"= "C:\\Programme\\Tcl\\bin\\wish85.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= R2 Maxtor Sync Service;Maxtor Service;C:\Programme\Maxtor\Sync\SyncServices.exe [2007-09-28 12:24] R2 SweepNet;Sophos Anti-Virus Network;"C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE" [2005-04-22 19:28] R3 RTCore;RTCore;C:\Programme\RMClock\RTCore.sys [] S3 InterCheck Control;InterCheck Control;C:\Programme\Sophos SWEEP for NT\icntdrv5.sys [2005-04-22 19:28] S3 InterCheck Filter;InterCheck Filter;C:\Programme\Sophos SWEEP for NT\icntflt5.sys [2005-04-22 19:28] S3 InterCheck Support 01;InterCheck Support 01;C:\Programme\Sophos SWEEP for NT\icntst01.sys [2005-04-22 19:28] S3 InterCheck Support 02;InterCheck Support 02;C:\Programme\Sophos SWEEP for NT\icntst02.sys [2005-04-22 19:28] S3 InterCheck Support 03;InterCheck Support 03;C:\Programme\Sophos SWEEP for NT\icntst03.sys [2005-04-22 19:28] S3 InterCheck Support 04;InterCheck Support 04;C:\Programme\Sophos SWEEP for NT\icntst04.sys [2005-04-22 19:28] S3 InterCheck Support 05;InterCheck Support 05;C:\Programme\Sophos SWEEP for NT\icntst05.sys [2005-04-22 19:28] S3 InterCheck Support 06;InterCheck Support 06;C:\Programme\Sophos SWEEP for NT\icntst06.sys [2005-04-22 19:28] S3 InterCheck Support 07;InterCheck Support 07;C:\Programme\Sophos SWEEP for NT\icntst07.sys [2005-04-22 19:28] S3 InterCheck Support 08;InterCheck Support 08;C:\Programme\Sophos SWEEP for NT\icntst08.sys [2005-04-22 19:28] S3 InterCheck Support 09;InterCheck Support 09;C:\Programme\Sophos SWEEP for NT\icntst09.sys [2005-04-22 19:28] S3 InterCheck Support 10;InterCheck Support 10;C:\Programme\Sophos SWEEP for NT\icntst10.sys [2005-04-22 19:28] S3 InterCheck Support 11;InterCheck Support 11;C:\Programme\Sophos SWEEP for NT\icntst11.sys [2005-04-22 19:28] S3 InterCheck Support 12;InterCheck Support 12;C:\Programme\Sophos SWEEP for NT\icntst12.sys [2005-04-22 19:28] S3 krdpdre;krdpdre;C:\DOKUME~1\Dorian\LOKALE~1\Temp\krdpdre.sys [] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8601d316-f08d-11dc-9778-000e3579286f}] \Shell\AutoRun\command - .\Encryption Tool\MaxtorEncryption.exe *Newly Created Service* - CATCHME . Inhalt des "geplante Tasks" Ordners "2006-05-08 15:43:55 C:\WINDOWS\Tasks\Symantec NetDetect.job" - C:\Programme\Symantec\LiveUpdate\NDETECT.EXE . ************************************************************************** catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-04-28 23:08:10 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-04-28 23:09:51 ComboFix-quarantined-files.txt 2008-04-28 22:09:33 13 Verzeichnis(se), 38,609,600,512 Bytes frei 16 Verzeichnis(se), 39,649,533,952 Bytes frei 154 --- E O F --- 2008-04-08 19:10:56 Hijack-log: Logfile of HijackThis v1.99.1 Scan saved at 23:11:39, on 28.04.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe c:\Programme\LRZ VPN Client\cvpnd.exe C:\WINDOWS\system32\DVDRAMSV.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\Maxtor\Sync\SyncServices.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Apoint2K\Apoint.exe C:\Programme\TOSHIBA\PadTouch\PadExe.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\TOSHIBA\Power Management\CePMTray.exe C:\Programme\TOSHIBA\E-KEY\CeEKey.exe C:\Programme\EzButton\EzButton.EXE C:\Programme\TOSHIBA\TouchPad\TPTray.exe C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe C:\WINDOWS\System32\ZoomingHook.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe C:\WINDOWS\FixCamera.exe C:\WINDOWS\vsnpstd3.exe C:\Programme\Maxtor\OneTouch Status\maxmenumgr.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Apoint2K\Apntex.exe C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\Google\Google Updater\GoogleUpdater.exe C:\WINDOWS\system32\RAMASST.exe C:\Programme\RMClock\RMClock.exe C:\Programme\RMClock\RMClockHLT.exe C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\explorer.exe C:\Dokumente und Einstellungen\Dorian\Desktop\Hijack\This.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: dpevflbg - {B21EAD36-EC0C-4B82-B102-1AB20B481977} - C:\WINDOWS\dpevflbg.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [PadTouch] "C:\Programme\TOSHIBA\PadTouch\PadExe.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe O4 - HKLM\..\Run: [EzButton] C:\Programme\EzButton\EzButton.EXE O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe O4 - HKLM\..\Run: [ZoomingHook] c:\WINDOWS\System32\ZoomingHook.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe O4 - HKLM\..\Run: [mxomssmenu] "C:\Programme\Maxtor\OneTouch Status\maxmenumgr.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1 O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe O4 - Global Startup: LRZ VPN Client.lnk = C:\Programme\LRZ VPN Client\vpngui.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe O4 - Global Startup: RMClock.lnk = C:\Programme\RMClock\RMClock.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: eBay - {C61A2E0E-6D7E-4555-ACA0-50DB2CD83D4B} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = esrf.fr O17 - HKLM\Software\..\Telephony: DomainName = esrf.fr O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = esrf.fr O18 - Protocol: ncbi8 - {2B576DD3-0B3E-4718-BCBF-B15E4FB8009D} - C:\Programme\Vector_NTI\Ncbi.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - c:\Programme\LRZ VPN Client\cvpnd.exe O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Maxtor Service (Maxtor Sync Service) - Seagate Technology LLC - C:\Programme\Maxtor\Sync\SyncServices.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe |
Ist ein Uni Rechner, oder? Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code: File::4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer!) 5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. http://users.pandora.be/bluepatchy/m...s/CFScript.gif 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann Dann öffne Deine HiJackThis nochmal und scanne. Check die klickboxen neben den Einträgen die untenstehend gelistet sind. O3 - Toolbar: dpevflbg - {B21EAD36-EC0C-4B82-B102-1AB20B481977} - C:\WINDOWS\dpevflbg.dll dann Klicke Fix Checked. Schließe HiJackThis. Führe ein Java Update durch! Deinstalliere vorher alle alten Java Versionen (Systemsteuerung / Software). Durch alte Java Versionen können Schädlinge auf Dein System gelangen. Dies gilt für jegliche Software! Nun ein neues HJt Logfile. |
Yo, mein Rechner war mal einige Zeit im Uninetz, wieso? Neustart wollte er nicht. Trotzdem Hijack ausführen? ComboFix.log: ComboFix 08-04-27.3 - Dorian 2008-04-28 23:46:10.2 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.598 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\Dorian\Desktop\ComboFix\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\Dorian\Desktop\ComboFix\CFScript.txt * Neuer Wiederherstellungspunkt wurde erstellt WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! FILE :: C:\WINDOWS\dpevflbg.dll . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\_INST\_INSTALL.EXE C:\WINDOWS\dpevflbg.dll . ((((((((((((((((((((((( Dateien erstellt von 2008-03-28 bis 2008-04-28 )))))))))))))))))))))))))))))) . 2008-04-28 22:32 . 2008-04-28 22:32 4,362 --a------ C:\WINDOWS\system32\tmp.reg 2008-04-24 22:52 . 2008-04-24 22:52 <DIR> d-------- C:\Dokumente und Einstellungen\Dorian\Anwendungsdaten\TmpRecentIcons 2008-04-22 17:58 . 2008-04-28 20:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater 2008-04-13 22:34 . 2008-04-13 22:34 <DIR> d-------- C:\Dokumente und Einstellungen\Dorian\Anwendungsdaten\PlayFirst 2008-04-13 22:32 . 2008-04-13 22:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlayFirst 2008-04-12 19:19 . 2008-04-12 19:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\55-5r-80-24-73-1s 2008-04-12 19:16 . 2008-04-12 19:16 <DIR> d-------- C:\Programme\GameHouse 2008-04-11 23:46 . 2008-04-22 18:36 <DIR> d-------- C:\Programme\Zylom Games 2008-04-11 23:46 . 2008-04-22 18:37 <DIR> d-------- C:\Dokumente und Einstellungen\Dorian\Anwendungsdaten\Zylom 2008-04-11 23:46 . 2008-04-11 23:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom 2008-04-06 20:16 . 2008-04-06 20:16 <DIR> d-------- C:\Programme\ReflexiveArcade 2008-04-06 14:35 . 2008-04-06 14:35 <DIR> d-------- C:\Programme\Maxtor 2008-04-06 13:52 . 2008-04-06 13:53 <DIR> d-------- C:\Programme\Unlocker 2008-04-06 00:34 . 2008-04-06 00:34 <DIR> d--h----- C:\WINDOWS\PIF 2008-04-01 22:52 . 2008-04-07 22:10 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-04-01 22:52 . 2008-04-01 22:52 1,409 --a------ C:\WINDOWS\QTFont.for 2008-04-01 22:00 . 2008-04-01 22:00 <DIR> d-------- C:\WINDOWS\wt 2008-04-01 22:00 . 2008-04-01 22:00 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-04-28 22:39 --------- d-----w C:\Dokumente und Einstellungen\Dorian\Anwendungsdaten\EndNote 2008-04-28 22:10 --------- d-----w C:\Dokumente und Einstellungen\Dorian\Anwendungsdaten\Skype 2008-04-28 22:08 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared 2008-04-28 21:39 --------- d-----w C:\Programme\RMClock 2008-04-27 11:29 --------- d-----w C:\Dokumente und Einstellungen\Dorian\Anwendungsdaten\skypePM 2008-04-22 16:58 --------- d-----w C:\Programme\Google 2008-04-21 17:14 --------- d-----w C:\Programme\Mozilla Thunderbird 2008-04-06 13:12 --------- d-----w C:\Programme\Tcl 2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys 2008-03-16 23:13 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-03-12 23:47 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Maxtor 2008-03-09 19:28 --------- d-----w C:\Dokumente und Einstellungen\Dorian\Anwendungsdaten\gtk-2.0 2008-02-28 21:14 --------- d-----w C:\Programme\WinCoot 2008-02-28 21:04 --------- d-----w C:\Programme\CCP4-packages 2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll 2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll 2008-02-17 23:42 290,816 ------w C:\WINDOWS\Setup1.exe 2008-02-16 08:59 665,088 ----a-w C:\WINDOWS\system32\wininet.dll 2008-01-28 23:11 21,361 ----a-w C:\WINDOWS\AegisP.sys 2008-01-25 22:51 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat 2007-06-24 11:52 30,056 ----a-w C:\Dokumente und Einstellungen\Dorian\Anwendungsdaten\GDIPFONTCACHEV1.DAT . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360] "TOSCDSPD"="C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2003-09-15 15:04 65536] "updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472] "Skype"="C:\Programme\Skype\Phone\Skype.exe" [2008-02-01 18:22 21898024] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-06-10 20:10 339968] "Apoint"="C:\Programme\Apoint2K\Apoint.exe" [2003-10-30 15:46 192512] "PadTouch"="C:\Programme\TOSHIBA\PadTouch\PadExe.exe" [2004-02-12 10:44 1019904] "AGRSMMSG"="AGRSMMSG.exe" [2004-02-21 05:00 88363 C:\WINDOWS\agrsmmsg.exe] "CeEPOWER"="C:\Programme\TOSHIBA\Power Management\CePMTray.exe" [2004-08-18 09:21 135168] "CeEKEY"="C:\Programme\TOSHIBA\E-KEY\CeEKey.exe" [2004-08-06 14:14 643072] "EzButton"="C:\Programme\EzButton\EzButton.EXE" [2004-07-07 15:25 712704] "TPNF"="C:\Programme\TOSHIBA\TouchPad\TPTray.exe" [2004-07-28 15:23 53248] "SmoothView"="C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe" [2004-04-30 10:26 118784] "ZoomingHook"="c:\WINDOWS\System32\ZoomingHook.exe" [2004-07-14 15:07 24576] "ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2006-03-30 14:46 71304] "URLLSTCK.exe"="C:\Programme\Norton Internet Security\UrlLstCk.exe" [2004-01-20 17:00 70760] "dla"="C:\WINDOWS\system32\dla\tfswctrl.exe" [2004-07-20 01:04 122939] "UserFaultCheck"="C:\WINDOWS\system32\dumprep 0 -u" [ ] "Symantec NetDriver Monitor"="C:\PROGRA~1\SYMNET~1\SNDMon.exe" [2006-02-07 13:35 100056] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-21 00:26 262401] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-04-27 08:41 282624] "IntelZeroConfig"="C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" [2007-10-08 15:18 995328] "IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2007-10-08 15:13 1101824] "FixCamera"="C:\WINDOWS\FixCamera.exe" [2007-02-10 16:40 20480] "tsnpstd3"="C:\WINDOWS\tsnpstd3.exe" [ ] "snpstd3"="C:\WINDOWS\vsnpstd3.exe" [2006-09-19 10:07 827392] "mxomssmenu"="C:\Programme\Maxtor\OneTouch Status\maxmenumgr.exe" [2007-09-06 14:53 169264] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Acrobat Assistant.lnk - C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe [2005-10-26 16:52:31 82026] Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-09-27 15:23:57 110592] Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696] Google Updater.lnk - C:\Programme\Google\Google Updater\GoogleUpdater.exe [2008-04-22 17:58:55 124400] LRZ VPN Client.lnk - C:\Programme\LRZ VPN Client\vpngui.exe [2005-01-14 17:26:24 1470480] Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04 83360] RAMASST.lnk - C:\WINDOWS\system32\RAMASST.exe [2004-12-19 16:22:52 155648] RMClock.lnk - C:\Programme\RMClock\RMClock.exe [2005-03-25 17:50:54 367616] [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Vector_NTI\\Vector NTI 10.exe"= "C:\\Programme\\SmartFTP Client 2.0\\SmartFTP.exe"= "C:\\Spiele\\poc\\pocxxl\\bin\\pocxxl.exe"= "C:\\Programme\\Mozilla Firefox\\firefox.exe"= "C:\\Programme\\Tcl\\bin\\wish85.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= R2 Maxtor Sync Service;Maxtor Service;C:\Programme\Maxtor\Sync\SyncServices.exe [2007-09-28 12:24] R2 SweepNet;Sophos Anti-Virus Network;"C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE" [2005-04-22 19:28] R3 RTCore;RTCore;C:\Programme\RMClock\RTCore.sys [] S3 InterCheck Control;InterCheck Control;C:\Programme\Sophos SWEEP for NT\icntdrv5.sys [2005-04-22 19:28] S3 InterCheck Filter;InterCheck Filter;C:\Programme\Sophos SWEEP for NT\icntflt5.sys [2005-04-22 19:28] S3 InterCheck Support 01;InterCheck Support 01;C:\Programme\Sophos SWEEP for NT\icntst01.sys [2005-04-22 19:28] S3 InterCheck Support 02;InterCheck Support 02;C:\Programme\Sophos SWEEP for NT\icntst02.sys [2005-04-22 19:28] S3 InterCheck Support 03;InterCheck Support 03;C:\Programme\Sophos SWEEP for NT\icntst03.sys [2005-04-22 19:28] S3 InterCheck Support 04;InterCheck Support 04;C:\Programme\Sophos SWEEP for NT\icntst04.sys [2005-04-22 19:28] S3 InterCheck Support 05;InterCheck Support 05;C:\Programme\Sophos SWEEP for NT\icntst05.sys [2005-04-22 19:28] S3 InterCheck Support 06;InterCheck Support 06;C:\Programme\Sophos SWEEP for NT\icntst06.sys [2005-04-22 19:28] S3 InterCheck Support 07;InterCheck Support 07;C:\Programme\Sophos SWEEP for NT\icntst07.sys [2005-04-22 19:28] S3 InterCheck Support 08;InterCheck Support 08;C:\Programme\Sophos SWEEP for NT\icntst08.sys [2005-04-22 19:28] S3 InterCheck Support 09;InterCheck Support 09;C:\Programme\Sophos SWEEP for NT\icntst09.sys [2005-04-22 19:28] S3 InterCheck Support 10;InterCheck Support 10;C:\Programme\Sophos SWEEP for NT\icntst10.sys [2005-04-22 19:28] S3 InterCheck Support 11;InterCheck Support 11;C:\Programme\Sophos SWEEP for NT\icntst11.sys [2005-04-22 19:28] S3 InterCheck Support 12;InterCheck Support 12;C:\Programme\Sophos SWEEP for NT\icntst12.sys [2005-04-22 19:28] S3 krdpdre;krdpdre;C:\DOKUME~1\Dorian\LOKALE~1\Temp\krdpdre.sys [] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8601d316-f08d-11dc-9778-000e3579286f}] \Shell\AutoRun\command - .\Encryption Tool\MaxtorEncryption.exe *Newly Created Service* - CATCHME . Inhalt des "geplante Tasks" Ordners "2006-05-08 15:43:55 C:\WINDOWS\Tasks\Symantec NetDetect.job" - C:\Programme\Symantec\LiveUpdate\NDETECT.EXE . ************************************************************************** catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-04-28 23:48:18 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-04-28 23:49:48 ComboFix-quarantined-files.txt 2008-04-28 22:49:21 13 Verzeichnis(se), 39,646,408,704 Bytes frei 16 Verzeichnis(se), 39,636,283,392 Bytes frei 155 --- E O F --- 2008-04-08 19:10:56 |
Sieht man an den installieretn Programmen, an der Domain und Sophos gibts auch nur für Unis und Firmen. Zitat:
|
O3 - Toolbar: dpevflbg - {B21EAD36-EC0C-4B82-B102-1AB20B481977} - C:\WINDOWS\dpevflbg.dll Sorry. diesen Eintrag gibts bei HJt nicht. Was soll ich tun? Vorher manuell mal neustarten? Muss ich Java unbedingt deinstallieren, bevor die neue Version raufkommt? |
Zitat:
Zitat:
|
Sorry, der Java Download dauert anscheinend ziemlich lange. Wie gross ist Java denn? (uninstall war 135MB!). Bin mir auch nicht ganz sicher obs überhaupt funktioniert, nach ausführen der kleinen jxpiinstall.exe öffnet sich ein Fenster "Java Installer wird heruntergeladen". "Dies kann einige Minuten dauern" Dauert jetzt aber schon 10 Min. Habe meine Firewall runtergezogen und nochmal gestartet aber keine Änderung. Hast Du vielleicht eine brauchbare Idee? |
Klick diesen Link mal an. 15,3 MB. |
Danke, der Installer scheint ja Mist zu sein. Java ist nun aktuell... Neues HiJack-log: Logfile of HijackThis v1.99.1 Scan saved at 00:41:47, on 29.04.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe c:\Programme\LRZ VPN Client\cvpnd.exe C:\WINDOWS\system32\DVDRAMSV.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\Maxtor\Sync\SyncServices.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Apoint2K\Apoint.exe C:\Programme\TOSHIBA\PadTouch\PadExe.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\TOSHIBA\Power Management\CePMTray.exe C:\Programme\TOSHIBA\E-KEY\CeEKey.exe C:\Programme\EzButton\EzButton.EXE C:\Programme\TOSHIBA\TouchPad\TPTray.exe C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe C:\WINDOWS\System32\ZoomingHook.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe C:\WINDOWS\FixCamera.exe C:\WINDOWS\vsnpstd3.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Apoint2K\Apntex.exe C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\Google\Google Updater\GoogleUpdater.exe C:\WINDOWS\system32\RAMASST.exe C:\Programme\RMClock\RMClock.exe C:\Programme\RMClock\RMClockHLT.exe C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Dorian\Desktop\jxpiinstall.exe C:\WINDOWS\system32\msiexec.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\Dorian\Desktop\Hijack\This.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [PadTouch] "C:\Programme\TOSHIBA\PadTouch\PadExe.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe O4 - HKLM\..\Run: [EzButton] C:\Programme\EzButton\EzButton.EXE O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe O4 - HKLM\..\Run: [ZoomingHook] c:\WINDOWS\System32\ZoomingHook.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe O4 - HKLM\..\Run: [mxomssmenu] "C:\Programme\Maxtor\OneTouch Status\maxmenumgr.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1 O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe O4 - Global Startup: LRZ VPN Client.lnk = C:\Programme\LRZ VPN Client\vpngui.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe O4 - Global Startup: RMClock.lnk = C:\Programme\RMClock\RMClock.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: eBay - {C61A2E0E-6D7E-4555-ACA0-50DB2CD83D4B} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = esrf.fr O17 - HKLM\Software\..\Telephony: DomainName = esrf.fr O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = esrf.fr O18 - Protocol: ncbi8 - {2B576DD3-0B3E-4718-BCBF-B15E4FB8009D} - C:\Programme\Vector_NTI\Ncbi.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - c:\Programme\LRZ VPN Client\cvpnd.exe O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Maxtor Service (Maxtor Sync Service) - Seagate Technology LLC - C:\Programme\Maxtor\Sync\SyncServices.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe |
Das Log sieht gut aus. Allerdings solltest Du nun noch zwei Deiner Drei Virenscanner deinstallieren. So gewinnst Du Performance, Speicherplatz und Probleme bei der Interoperabilität gehst Du so aus dem Weg. Ich in Deinem Fall würde Sophos und Symantec deinstallieren. Abschließend das System nun mit Avira (oder dem Programm Deiner Wahl, vorher updaten und wie hier beschrieben einstellen) scannen. Den Scanbericht hier posten, es kann durchaus sein das noch Kopien in der Systemwiederherstellung zu finden sind. |
Ersteinmal SUPER VIELEN DANK für Deine kompetente Hilfe! Ich wusste gar nicht das ich Sophos noch drauf habe, ich dachte ich hätte es runtergeschmissen... :) Kann dafür leider keinen "Uninstaller" finden und in der Systemsteuerung/Software tauchts nicht auf. Sophos Ordner ist aber unter Programme vorhanden. Wie wird man es los? Von Symantec benutze ich nur die Firewall. Werde mein Antivir mal trimmen und dann nochmal rüberjagen. Allerdings nicht mehr heute, muss nämlich morgen früh arbeiten... Werde das Ergebnis dann sobald wie möglich hier posten. Vielleicht hast Du noch eine Idee wie ich Sophos loswerde (läuft da noch ein Guard oder ähnliches?) Gruss Dorian |
Bitte kopiere das folgende (Strg+C) und füge es (Strg+V) in eine Notepad Fenster ein (Start / Ausführen / notepad [Enter]) Speichere die Datei auf dem Desktop, stelle den Dateityp auf "Textdateien(*.txt) ein und nenn die Datei FixServices.bat CODE @echo off sc stop SWEEPSRV sc delete SWEEPSRV sc stop SWNETSUP sc delete SWNETSUP exit Jetzt die Datei doppelklicken und damit ausführen. Nun solltest Du den Ordner C:\Programme\Sophos SWEEP for NT löschen können. Bitte noch folgendes: Die Version Deines Acrobat Reader ist veraltet, aktualisiere Deine Version hier. Bei der Installation darauf achten, ihn ohne die Toolbar zu installieren! http://www.saved.im/mji4mth6agi2_vs/acrobat.jpg |
Danke für die Tips! Mache ich morgen, muss jetzt leider schlafen gehen. Bis dann Dorian |
Zitat:
|
Zitat:
Code: @echo off |
Hallo, war gestern leider offline... Habe Antivir getrimmt und einen kompletten Suchlauf gestartet. Die Funde von ComboFix und SmitfrautFix habe ich ignoriert. Leider wurde trotzdem noch etwas gefunden (habe ich in Quarantäne geschickt). Kannst Du Dir das mal anschauen? Habe noch eine Frage: Was macht Dein kleines Skript (zum entfernen von Sophos) eigentlich? Zusätzlich gibt es im Programme Ordner auch noch einen "Sophos" Ordner. Schon mal Danke für Deine Hilfe! LOG-file: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Mittwoch, 30. April 2008 20:28 Es wird nach 1245960 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Boot Modus: Normal gebootet Benutzername: SYSTEM Computername: ID14TMP2 Versionsinformationen: BUILD.DAT : 8.1.00.295 16479 Bytes 09.04.2008 16:22:00 AVSCAN.EXE : 8.1.2.12 311553 Bytes 20.04.2008 23:26:54 AVSCAN.DLL : 8.1.1.0 57601 Bytes 20.04.2008 23:26:54 LUKE.DLL : 8.1.2.9 151809 Bytes 20.04.2008 23:26:55 LUKERES.DLL : 8.1.2.0 12545 Bytes 20.04.2008 23:26:55 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 06:54:46 ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07.03.2008 21:22:23 ANTIVIR2.VDF : 7.0.3.197 1260032 Bytes 22.04.2008 20:19:28 ANTIVIR3.VDF : 7.0.3.235 248832 Bytes 30.04.2008 19:19:22 Engineversion : 8.1.0.37 AEVDF.DLL : 8.1.0.5 102772 Bytes 20.04.2008 23:26:56 AESCRIPT.DLL : 8.1.0.28 233851 Bytes 30.04.2008 19:19:29 AESCN.DLL : 8.1.0.15 119157 Bytes 30.04.2008 19:19:28 AERDL.DLL : 8.1.0.20 418165 Bytes 28.04.2008 20:19:35 AEPACK.DLL : 8.1.1.4 364918 Bytes 30.04.2008 19:19:26 AEOFFICE.DLL : 8.1.0.18 192890 Bytes 20.04.2008 23:26:56 AEHEUR.DLL : 8.1.0.21 1196407 Bytes 30.04.2008 19:19:25 AEHELP.DLL : 8.1.0.14 115063 Bytes 20.04.2008 23:26:56 AEGEN.DLL : 8.1.0.18 299381 Bytes 28.04.2008 20:19:32 AEEMU.DLL : 8.1.0.5 430450 Bytes 20.04.2008 23:26:55 AECORE.DLL : 8.1.0.27 168310 Bytes 20.04.2008 23:26:55 AVWINLL.DLL : 1.0.0.7 14593 Bytes 20.04.2008 23:26:54 AVPREF.DLL : 8.0.0.1 25857 Bytes 20.04.2008 23:26:54 AVREP.DLL : 7.0.0.1 155688 Bytes 26.04.2007 08:42:25 AVREG.DLL : 8.0.0.0 30977 Bytes 20.04.2008 23:26:54 AVARKT.DLL : 1.0.0.23 307457 Bytes 20.04.2008 23:26:54 AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 20.04.2008 23:26:54 SQLITE3.DLL : 3.3.17.1 339968 Bytes 20.04.2008 23:26:55 SMTPLIB.DLL : 1.2.0.19 28929 Bytes 20.04.2008 23:26:55 NETNT.DLL : 8.0.0.1 7937 Bytes 20.04.2008 23:26:55 RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 20.04.2008 23:26:33 RCTEXT.DLL : 8.0.32.0 86273 Bytes 20.04.2008 23:26:33 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: aus Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, Durchsuche Speicher..............: ein Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: aus Archiv Smart Extensions..........: ein Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, Makrovirenheuristik..............: ein Dateiheuristik...................: hoch Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Mittwoch, 30. April 2008 20:28 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avnotify.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'skypePM.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Dot1XCfg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RMClockHLT.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RMClock.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RAMASST.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleUpdater.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AcroTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TOSCDSPD.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ApntEx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'vsnpstd3.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'FixCamera.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iFrmewrk.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ZCfgSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'tfswctrl.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CCAPP.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ZoomingHook.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SmoothView.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TPTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EzButton.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CeEKey.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CePMTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'agrsmmsg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PadExe.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Apoint.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'atiptaxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'symwsc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SWNETSUP.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RegSrvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EvtEng.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'DVDRAMSV.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'cvpnd.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CFSvcs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CeEPwrSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CCPROXY.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CCEVTMGR.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SNDSrvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CCSETMGR.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'S24EvMon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '66' Prozesse mit '66' Modulen durchsucht Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '54' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Dorian\Desktop\ComboFix\ComboFix.exe [FUND] Enthält Erkennungsmuster des SPR/Tool.PV-Programmes [WARNUNG] Die Datei wurde ignoriert. C:\Dokumente und Einstellungen\Dorian\Desktop\SmitfrautFix\SmitfraudFix.exe [FUND] Enthält Erkennungsmuster des Droppers DR/Tool.Reboot.F.89 C:\Dokumente und Einstellungen\Dorian\Desktop\SmitfrautFix\SmitfraudFix.exe [0] Archivtyp: RAR SFX (self extracting) --> SmitfraudFix\Reboot.exe [FUND] Enthält Erkennungsmuster des SPR/Tool.Reboot.C-Programmes --> SmitfraudFix\restart.exe [FUND] Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes [WARNUNG] Die Datei wurde ignoriert. C:\Dokumente und Einstellungen\Dorian\Desktop\SmitfrautFix\SmitfraudFix\Reboot.exe [FUND] Enthält Erkennungsmuster des SPR/Tool.Reboot.C-Programmes [WARNUNG] Die Datei wurde ignoriert. C:\Dokumente und Einstellungen\Dorian\Desktop\SmitfrautFix\SmitfraudFix\restart.exe [FUND] Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes [WARNUNG] Die Datei wurde ignoriert. C:\Dokumente und Einstellungen\Dorian\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\6n9wzbnw.default\Cache\0C5F4A29d01 [FUND] Enthält Erkennungsmuster des Droppers DR/Tool.Reboot.F.89 C:\Dokumente und Einstellungen\Dorian\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\6n9wzbnw.default\Cache\0C5F4A29d01 [0] Archivtyp: RAR SFX (self extracting) --> SmitfraudFix\Reboot.exe [FUND] Enthält Erkennungsmuster des SPR/Tool.Reboot.C-Programmes --> SmitfraudFix\restart.exe [FUND] Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '484dd4d3.qua' verschoben! C:\Dokumente und Einstellungen\Dorian\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\6n9wzbnw.default\Cache\FA4CCC3Fd01 [FUND] Enthält Erkennungsmuster des SPR/Tool.PV-Programmes [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '484cd4fa.qua' verschoben! C:\Programme\Mozilla Firefox\plugins\npWTHost.dll [FUND] Enthält Erkennungsmuster des SPR/WildTangent.B.1-Programmes [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '486fdca9.qua' verschoben! C:\Programme\Mozilla Thunderbird\plugins\npWTHost.dll [FUND] Enthält Erkennungsmuster des SPR/WildTangent.B.1-Programmes [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '486fdcbf.qua' verschoben! C:\System Volume Information\_restore{AD75C7A0-8634-4851-8FE2-E6E685C78125}\RP214\A0083159.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Zlob.lqg [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4848e1af.qua' verschoben! C:\System Volume Information\_restore{AD75C7A0-8634-4851-8FE2-E6E685C78125}\RP218\A0083560.dll [FUND] Enthält Erkennungsmuster des SPR/WildTangent.B.1-Programmes [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4848e1d6.qua' verschoben! C:\System Volume Information\_restore{AD75C7A0-8634-4851-8FE2-E6E685C78125}\RP218\A0083561.dll [FUND] Enthält Erkennungsmuster des SPR/WildTangent.B.1-Programmes [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4848e1dd.qua' verschoben! Ende des Suchlaufs: Mittwoch, 30. April 2008 22:25 Benötigte Zeit: 1:56:32 min Der Suchlauf wurde vollständig durchgeführt. 8871 Verzeichnisse wurden überprüft 551025 Dateien wurden geprüft 15 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 7 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 551010 Dateien ohne Befall 17516 Archive wurden durchsucht 6 Warnungen 7 Hinweise |
Das Script beendet die Dienste, die von Sophos noch aktiv sind. Danach kannst Du den Sophos Ordner unter c:\Programme löschen. Die Funde von Avira sind zu vernachlässigen, die einzigen die nicht von SMF oder Combofix kommen, resultieren wohl von der HP Software. Ansonsten Auffälligkeiten im System? |
Nein, ansonsten läuft alles prima. Leider kann ich das Sophos nicht löschen. Deine bat-Datei scheint leider nicht zu funktionieren. SWNETSUP.exe kann nicht gelöscht werden. Den anderen Sophos Ordner habe ich gelöscht. Gruss Dorian |
1. Öffne bitte HiJackthis nochmal, klicke auf "Open the Misc Tools Section". http://saved.im/mjmzmjmzbwdq_vs/hjtmt1.jpg 2. Klicke auf "Delete an NT Service" http://saved.im/mjmzmjqxbghw_vs/hjtmt2.jpg 3. Gib den Namen der beiden Dienste SWEEPSRV und SWNETSUP ein. Klicke dann auf OK http://saved.im/mjmzmju0yw9p_vs/hjtmt3.jpg Damit solltest Du die Dienste beenden können und dann den Ordner löschen. :) |
Sorry, geht leider nicht. Ich bekomme folgende Fehlermeldung von HiJackthis: Service ´SWNETSUP´ was not found in the registry Make sure you entered the short name of the service., vbExclamation Dies gilt für beide Dateien... |
Ok, dann hat die Batch wohl doch funktioniert. :) Gehe wiefolgt vor Bitte öffne Deine HiJackThis nochmal und scanne. Check die klickboxen neben den Einträgen die untenstehend gelistet sind. O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS dann Klicke Fix Checked. Schließe HiJackThis. Kannst Du nach einem Reboot nun alle Ordner löschen? |
Leider nein. Der Zugriff auf die SWNETSUP.EXE wird immer noch verweigert. |
OK, gehen wir wieder mit HJT vor 1) Open the Misc Tools Section http://www.saved.im/mjmzmjmzbwdq_vs/hjtmt1.jpg 2) Open process manager http://saved.im/mjmzmzr2dwe3_vs/hjtmt4.jpg 3) Prozess suchen, in diesem Fall C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE (oder liegt die Datei woanders?) auf "Kill process" klicken und mit Ja bestätigen. http://saved.im/mjmzmzuwenvi_vs/hjtmt5.jpg 4) Nun solltest Du diese Datei löschen können. |
So hat es leider auch nicht geklappt, da der Prozess von Windows geschützt ist. Ich habe aber das Programm "Unlocker" verwendet, welches die EXE nach einem Neustart löschen konnte. Somit konnte ich auch meinen Sophos NT Ordner löschen. Das sollte dann genügen. Das System läuft jetzt wie vorher und ich bin super glücklich. VIELEN DANK für Deine Hilfe !!! |
Super, Eigeninitiative ist gern gesehen. :daumenhoc |
Prima, bei Problemen wende ich mich wieder an dieses tolle Forum! All the best Dorian |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:35 Uhr. |
Copyright ©2000-2025, Trojaner-Board