|
Hilfe TR/Virtumonde.24576 lässt sich nicht entfernen Hallo erstma, ich bräuchte mal ganz dringen Hilfe. Ich habe über MSN nen virus geschickt bekommen und werde den nicht mehr los. Ich habe MSN schon neu Installiert, von da an ging es eig. mit dem Virenarlam. Jedoch geht mein automatisches Update nicht mehr seit dem ich den Virus habe auch kann ich keine Programme mehr downloaden. Über HiJackThis habe ich einen Log-File erstellen lassen und poste den gleich noch mit. Ich hoffe mir kann hier jemand helfen. Log-File Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:53:16, on 20.6.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe F:\Programme\Sony\PC Studio\Application Launcher\Application Launcher.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe F:\Sicherheit\ZoneAlarm\zlclient.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe F:\Programme\Winamp Player\Winamp\winampa.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\Rundll32.exe C:\Programme\Windows Live\Messenger\MsnMsgr.Exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe C:\Programme\Internet Explorer\IEXPLORE.EXE F:\Programme\52% Alcohol\Alcohol 52\StarWind\StarWindServiceAE.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\wscntfy.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe F:\Programme\Sony\PC Studio\Mobile Phone Monitor\epmworker.exe C:\Programme\Windows Live\Messenger\usnsvc.exe C:\Programme\Mozilla Firefox\firefox.exe c:\programme\antivir personaledition classic\avcenter.exe G:\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://alice.aol.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://alice.aol.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O2 - BHO: {d6ab0bbb-91a4-b229-eb84-a3f2cdd36144} - {44163ddc-2f3a-48be-922b-4a19bbb0ba6d} - C:\WINDOWS\system32\bvivbuqs.dll O2 - BHO: (no name) - {728AAF16-F1AF-4C45-8B1E-45C0F8519A28} - C:\WINDOWS\system32\tuvUMDUn.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: rightonads optimizer - {7D9362F8-77D8-4b29-97B5-621D550890C0} - C:\WINDOWS\System32\gzmrt.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: (no name) - {EDFF8C6C-F534-461E-960F-8D01E8A2D963} - C:\WINDOWS\system32\hgGvwvwW.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [postSetupCheck] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\System32\gzmrt.dll" DllStart O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "F:\Programme\Sony\PC Studio\Application Launcher\Application Launcher.exe" /startoptions O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ZoneAlarm Client] "F:\Sicherheit\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [WinampAgent] "F:\Programme\Winamp Player\Winamp\winampa.exe" O4 - HKLM\..\Run: [memo site kind that] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grid Blue Memo Site\Trust Jump.exe O4 - HKLM\..\Run: [28619efd] rundll32.exe "C:\WINDOWS\system32\pgmitqrx.dll",b O4 - HKLM\..\Run: [BM2b52ad61] Rundll32.exe "C:\WINDOWS\system32\vrodeytw.dll",s O4 - HKCU\..\Run: [AlcoholAutomount] "F:\Programme\52% Alcohol\Alcohol 52\axcmd.exe" /automount O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [1mfcd] C:\DOKUME~1\***\ANWEND~1\MANAGE~1\Internet math the.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = F:\Programme\Adobe Reader\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {065BCD9B-A8B5-43D2-8A04-9D28B58F1A89} - F:\Programme\XP AntiSpy\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {065BCD9B-A8B5-43D2-8A04-9D28B58F1A89} - F:\Programme\XP AntiSpy\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - h**p://download.ewido.net/ewidoOnlineScan.cab O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - h**p://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1208507554406 O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - h**ps://secure.gopetslive.com/dev/GoPetsWeb.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{6A63A18F-776B-46F8-8FC1-4474067522C7}: NameServer = 213.191.74.19 62.109.123.197 O20 - Winlogon Notify: tuvUMDUn - C:\WINDOWS\SYSTEM32\tuvUMDUn.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - C:\WINDOWS\ O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 8144 bytes |
Hallo, eine fast vollständige Sammlung von Schädlingen ,Spionen und allem sonstigen das man eigentlich nicht auf dem PC haben möchte.....:heulen: Hier ist viel zuviel Aufwand nötig, bei viel zu geringer Sicherheit alles erwischt zu haben... Ich schlage eine frische Installation des Betriebssystems vor nach dieser Anleitunng : http://www.trojaner-board.de/51262-a...sicherung.html Du mußt dir dringend über dein abenteuerliches Verhalten im Netz Gedanken machen.. Wenn du so weiter klickst ,kannst du bald wieder von vorne anfangen ! Irrlicht |
Hallo und :hallo: Ladt dir Malwarebytes runter und mache einen kompletten Scan, poste hier den Report davon. |
Das kam dabei raus: [edit] bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 danke GUA http://www.smilies.4-user.de/include...lie_be_027.gif [/edit] |
Poste bitte ein neues HiJackThis Logfile zusammen mit dem Filelist. Filelist 1. Lade das filelist.zip auf deinen Desktop herunter. 2. Entpacke die Zip-Datei auf deinen Desktop (mit einem Packprogramm), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei 3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen 4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein. Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen: Verzeichnis von C:\ Verzeichnis von C:\WINDOWS\system32 Verzeichnis von C:\WINDOWS Verzeichnis von C:\WINDOWS\Prefetch (Windows XP) Verzeichnis von C:\WINDOWS\tasks Verzeichnis von C:\WINDOWS\Temp Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp Credits to Karl83 / KarlKarl :) Ist die Datei zu groß, lade sie bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste den Link. |
Und hab ich glatt vergessen, bitte dies noch. :) MSNFix
|
HiJackThis: Logfile of Trend Micro HijackThis v2.0.2 [edit] bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 danke GUA http://www.smilies.4-user.de/include...lie_be_027.gif [/edit] |
Kommt kein blaues Fenster das bleibt schwarz und will auch nichts von mit -.-* |
Zitat:
Bei Dir ist einiges im argen, daher machen wir dann folgendes ComboFix
Wichtige Hinweise:
Ergänzend lies Dir diese Anleitung durch, drucke sie ggf. aus. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
ComboFix: ComboFix 08-06-20.1 - Kryssi 2008-06-21 3:19:57.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.390 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Kryssi\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\BM2b52ad61.xml C:\WINDOWS\pskt.ini C:\WINDOWS\system32\bvivbuqs.dll C:\WINDOWS\system32\lebukyid.dll C:\WINDOWS\system32\mcrh.tmp C:\WINDOWS\system32\rightonadz-uninst.exe C:\WINDOWS\system32\sjcjrhfr.ini C:\WINDOWS\system32\vkxqnhdy.ini C:\WINDOWS\system32\WwvwvGgh.ini C:\WINDOWS\system32\WwvwvGgh.ini2 . ((((((((((((((((((((((( Dateien erstellt von 2008-05-21 bis 2008-06-21 )))))))))))))))))))))))))))))) . 2008-06-20 22:05 . 2008-06-20 22:05 <DIR> d-------- C:\Dokumente und Einstellungen\Kryssi\Anwendungsdaten\Malwarebytes 2008-06-20 22:05 . 2008-06-20 22:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-06-20 22:05 . 2008-06-19 17:48 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys 2008-06-20 22:05 . 2008-06-19 17:47 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-06-19 17:21 . 2008-06-19 17:21 23,510,720 --a------ C:\WINDOWS\dotnetfx.exe 2008-06-19 15:56 . 2008-06-19 15:57 <DIR> d-------- C:\WINDOWS\system32\NtmsData 2008-06-19 15:48 . 2008-06-19 15:48 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM 2008-06-15 01:51 . 2008-06-15 01:51 <DIR> d-------- C:\Dokumente und Einstellungen\Kryssi\Anwendungsdaten\MSN6 2008-06-15 01:51 . 2008-06-15 01:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MSN6 2008-06-11 15:41 . 2008-04-14 17:51 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys 2008-06-10 18:11 . 2008-06-10 18:11 <DIR> d-------- C:\Dokumente und Einstellungen\Kryssi\Anwendungsdaten\Samsung 2008-06-10 18:04 . 2006-05-03 22:53 174,592 --a------ C:\WINDOWS\system32\framedyn.dll 2008-06-10 18:03 . 2005-08-30 17:59 94,000 --a------ C:\WINDOWS\system32\drivers\ss_mdm.sys 2008-06-10 18:03 . 2005-08-30 17:57 58,320 --a------ C:\WINDOWS\system32\drivers\ss_bus.sys 2008-06-10 18:03 . 2005-08-30 17:58 8,304 --a------ C:\WINDOWS\system32\drivers\ss_mdfl.sys 2008-06-10 18:03 . 2005-08-30 17:58 6,144 --a------ C:\WINDOWS\system32\drivers\ss_cmnt.sys 2008-06-10 18:03 . 2005-08-30 17:58 6,144 --a------ C:\WINDOWS\system32\drivers\ss_cm.sys 2008-06-10 18:03 . 2005-08-30 17:57 5,808 --a------ C:\WINDOWS\system32\drivers\ss_whnt.sys 2008-06-10 18:03 . 2005-08-30 17:57 5,808 --a------ C:\WINDOWS\system32\drivers\ss_wh.sys 2008-06-10 18:03 . 2006-07-24 16:05 5,632 --a------ C:\WINDOWS\system32\drivers\StarOpen.sys 2008-05-23 21:24 . 2008-05-23 21:24 <DIR> d-------- C:\WINDOWS\system32\Adobe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-06-21 01:25 3,432,480 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat 2008-06-21 01:23 42,296 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2008-06-20 18:42 2,553,344 ----a-w C:\WINDOWS\Internet Logs\xDB11.tmp 2008-06-20 18:42 1,574,912 ----a-w C:\WINDOWS\Internet Logs\xDB10.tmp 2008-06-20 11:43 --------- d-----w C:\Dokumente und Einstellungen\Kryssi\Anwendungsdaten\AdobeUM 2008-06-19 22:31 1,931,406 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip 2008-06-19 15:56 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller 2008-06-19 15:33 --------- d-----w C:\Programme\Windows Live 2008-06-19 13:59 2,033,664 ----a-w C:\WINDOWS\Internet Logs\xDBF.tmp 2008-06-17 14:31 2,930,688 ----a-w C:\WINDOWS\Internet Logs\xDBD.tmp 2008-06-17 14:31 2,507,776 ----a-w C:\WINDOWS\Internet Logs\xDBE.tmp 2008-06-10 16:03 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-06-03 13:38 --------- d-----w C:\Dokumente und Einstellungen\Kryssi\Anwendungsdaten\managerfindburn 2008-06-03 13:36 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grid Blue Memo Site 2008-05-18 22:59 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus! 2008-05-17 13:31 3,139,072 ----a-w C:\WINDOWS\Internet Logs\xDBB.tmp 2008-05-17 13:31 2,355,712 ----a-w C:\WINDOWS\Internet Logs\xDBC.tmp 2008-05-16 20:10 --------- d-----w C:\Dokumente und Einstellungen\Kryssi\Anwendungsdaten\Winamp 2008-05-15 19:17 --------- d-----w C:\Dokumente und Einstellungen\Kryssi\Anwendungsdaten\ICQ Toolbar 2008-05-15 15:43 --------- d-----w C:\Dokumente und Einstellungen\Kryssi\Anwendungsdaten\ICQ 2008-05-15 15:34 --------- d-----w C:\Dokumente und Einstellungen\Kryssi\Anwendungsdaten\InstallShield 2008-05-11 14:00 --------- d-----w C:\Programme\MSXML 6.0 2008-05-10 17:07 --------- d-----w C:\Programme\Reference Assemblies 2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys 2008-04-29 16:18 2,125,824 ----a-w C:\WINDOWS\Internet Logs\xDBA.tmp 2008-04-29 13:56 2,112,000 ----a-w C:\WINDOWS\Internet Logs\xDB9.tmp 2008-04-27 18:17 --------- d-----w C:\Programme\NCH Swift Sound 2008-04-27 10:54 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NCH Swift Sound 2008-04-27 10:53 --------- d-----w C:\Dokumente und Einstellungen\Kryssi\Anwendungsdaten\Recordpad 2008-04-27 10:53 --------- d-----w C:\Dokumente und Einstellungen\Kryssi\Anwendungsdaten\NCH Swift Sound 2008-04-27 10:52 --------- d-----w C:\Programme\NCH Software 2008-04-25 10:13 2,041,344 ----a-w C:\WINDOWS\Internet Logs\xDB8.tmp 2008-04-24 14:13 2,033,152 ----a-w C:\WINDOWS\Internet Logs\xDB7.tmp 2008-04-23 19:56 --------- d-----w C:\Programme\Java 2008-04-23 19:50 --------- d-----w C:\Programme\Gemeinsame Dateien\Java 2008-04-23 17:49 --------- d-----w C:\Programme\AvRack 2008-04-23 17:46 --------- d-----w C:\Programme\Realtek AC97 2008-04-20 10:10 697,856 ----a-w C:\WINDOWS\Internet Logs\xDB6.tmp 2008-04-19 10:59 2,015,744 ----a-w C:\WINDOWS\Internet Logs\xDB5.tmp 2008-04-18 23:25 1,904,640 ----a-w C:\WINDOWS\Internet Logs\xDB4.tmp 2008-04-18 15:39 1,900,544 ----a-w C:\WINDOWS\Internet Logs\xDB3.tmp 2008-04-18 15:39 1,823,232 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp 2008-04-18 08:58 277,936,872 ----a-w C:\Programme\WindowsXP-KB835935-SP2-DEU.exe 2008-04-17 16:44 1,434,624 ----a-w C:\WINDOWS\Internet Logs\xDB2.tmp 2008-03-21 13:29 2,560 ----a-w C:\WINDOWS\_MSRSTRT.EXE . ------- Sigcheck ------- 2001-08-18 23:00 12800 adbb33d5893bcf08e75ea54bb5669205 C:\WINDOWS\$ntservicepackuninstall$\svchost.exe 2004-08-04 00:58 14336 65a819b121eb6fdab4400ea42bdffe64 C:\WINDOWS\ServicePackFiles\i386\svchost.exe 2004-08-04 00:58 14336 65a819b121eb6fdab4400ea42bdffe64 C:\WINDOWS\system32\svchost.exe 2001-08-18 23:00 75264 ae894c124feb008ad1876ef655967685 C:\WINDOWS\$ntservicepackuninstall$\ws2_32.dll 2004-08-04 00:57 82944 d569240a22421d5f670bb6fb6dd522b5 C:\WINDOWS\ServicePackFiles\i386\ws2_32.dll 2004-08-04 00:57 82944 d569240a22421d5f670bb6fb6dd522b5 C:\WINDOWS\system32\ws2_32.dll 2002-08-29 05:43 521728 616896b708286da98d6a099293f181d7 C:\WINDOWS\$ntservicepackuninstall$\winlogon.exe 2004-08-04 00:58 507392 2b6a0baf33a9918f09442d873848ff72 C:\WINDOWS\ServicePackFiles\i386\winlogon.exe 2004-08-04 00:58 507392 2b6a0baf33a9918f09442d873848ff72 C:\WINDOWS\system32\winlogon.exe 2002-08-29 04:09 167552 3b350e5a2a5e951453f3993275a4523a C:\WINDOWS\$ntservicepackuninstall$\ndis.sys 2004-08-03 23:14 182912 558635d3af1c7546d26067d5d9b6959e C:\WINDOWS\ServicePackFiles\i386\ndis.sys 2004-08-03 23:14 182912 558635d3af1c7546d26067d5d9b6959e C:\WINDOWS\system32\drivers\ndis.sys 2004-08-03 23:00 29056 4448006b6bc60e6c027932cfc38d6855 C:\WINDOWS\ServicePackFiles\i386\ip6fw.sys 2004-08-03 23:00 29056 4448006b6bc60e6c027932cfc38d6855 C:\WINDOWS\system32\drivers\ip6fw.sys 2001-08-18 23:00 101888 a87c3a6b407fb3b22c566315607ce229 C:\WINDOWS\$ntservicepackuninstall$\services.exe 2004-08-04 00:58 108544 edb6b81761bd60f32f740bbc40afb676 C:\WINDOWS\ServicePackFiles\i386\services.exe 2004-08-04 00:58 108544 edb6b81761bd60f32f740bbc40afb676 C:\WINDOWS\system32\services.exe 2002-08-29 05:43 11776 58239984742e8fd4cd3fceeb545366c1 C:\WINDOWS\$ntservicepackuninstall$\lsass.exe 2004-08-04 00:58 13312 183805eb05bca5a1e4aaaed4d2be3690 C:\WINDOWS\ServicePackFiles\i386\lsass.exe 2004-08-04 00:58 13312 183805eb05bca5a1e4aaaed4d2be3690 C:\WINDOWS\system32\lsass.exe 2002-08-29 05:43 13312 e5ee2f4700b6a85f0d45a18c67da500f C:\WINDOWS\$ntservicepackuninstall$\ctfmon.exe 2004-08-04 00:57 15360 7ce20569925df6789c31799f0c538f29 C:\WINDOWS\ServicePackFiles\i386\ctfmon.exe 2004-08-04 00:57 15360 7ce20569925df6789c31799f0c538f29 C:\WINDOWS\system32\ctfmon.exe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7D9362F8-77D8-4b29-97B5-621D550890C0}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AlcoholAutomount"="F:\Programme\52% Alcohol\Alcohol 52\axcmd.exe" [2007-07-02 12:22 219008] "MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 11:34 5724184] "1mfcd"="C:\DOKUME~1\Kryssi\ANWEND~1\MANAGE~1\Internet math the.exe" [2008-06-03 15:35 446976] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2005-10-10 15:49 7286784] "nwiz"="nwiz.exe" [2005-10-10 15:49 1519616 C:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="NvMCTray.dll" [2005-10-10 15:49 86016 C:\WINDOWS\system32\nvmctray.dll] "SoundMan"="SOUNDMAN.EXE" [2005-09-22 10:42 90112 C:\WINDOWS\soundman.exe] "ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-08-09 05:03 81920] "Sony Ericsson PC Suite"="F:\Programme\Sony\PC Studio\Application Launcher\Application Launcher.exe" [2005-10-26 16:17 159744] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401] "ZoneAlarm Client"="F:\Sicherheit\ZoneAlarm\zlclient.exe" [2007-12-13 19:27 919016] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784] "WinampAgent"="F:\Programme\Winamp Player\Winamp\winampa.exe" [2008-04-01 20:49 36352] "memo site kind that"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grid Blue Memo Site\Trust Jump.exe" [2008-06-21 03:30 4207616] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "F:\\Programme\\ICQ\\ICQ6\\ICQ.exe"= "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"= R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-01-21 18:11] R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-01-21 18:12] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 00:58] S3 ss_bus;SAMSUNG Mobile USB Device 1.0 driver (WDM);C:\WINDOWS\system32\DRIVERS\ss_bus.sys [2005-08-30 17:57] S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINDOWS\system32\DRIVERS\ss_mdfl.sys [2005-08-30 17:58] S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINDOWS\system32\DRIVERS\ss_mdm.sys [2005-08-30 17:59] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Inhalt des "geplante Tasks" Ordners "2008-06-20 15:47:56 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - F:\Programme\Tune Up\SystemOptimizer.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-06-21 03:24:48 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\nvsvc32.exe F:\Programme\52% Alcohol\Alcohol 52\StarWind\StarWindServiceAE.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe F:\Programme\Adobe Reader\Reader\reader_sl.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe F:\Programme\Sony\PC Studio\Mobile Phone Monitor\epmworker.exe C:\WINDOWS\system32\verclsid.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-06-21 3:30:55 - machine was rebooted ComboFix-quarantined-files.txt 2008-06-21 01:30:50 6 Verzeichnis(se), 1,502,638,080 Bytes frei 9 Verzeichnis(se), 1,604,718,592 Bytes frei 204 --- E O F --- 2008-06-11 14:03:28 HiJackThis: Logfile of Trend Micro HijackThis v2.0.2 [edit] bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 danke GUA http://www.smilies.4-user.de/include...lie_be_027.gif [/edit] |
Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code: Folder::4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer!) 5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. http://users.pandora.be/bluepatchy/m...s/CFScript.gif 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann COLOR="Blue"]Datei Upload für die weiter Prüfung[/COLOR] Lade die Datei C:\WINDOWS\_MSRSTRT.EXE bitte hier hoch. Füge Deinen Thread Link ein, dass ist Code: http://www.trojaner-board.de/54378-hilfe-tr-virtumonde-24576-laesst-sich-nicht-entfernen.htmlund trage Deinen Benutzernamen ein. Führe ein Java Update durch! Deinstalliere vorher alle alten Java Versionen (Systemsteuerung / Software). Durch alte Java Versionen können Schädlinge auf Dein System gelangen. Dies gilt für jegliche Software! |
ComboFix 08-06-20.1 - Kryssi 2008-06-21 4:01:38.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.430 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Kryssi\Desktop\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\Kryssi\Desktop\CFScript.txt * Neuer Wiederherstellungspunkt wurde erstellt WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\DOKUME~1\Kryssi\ANWEND~1\MANAGE~1\ C:\DOKUME~1\Kryssi\ANWEND~1\MANAGE~1\\0 C:\DOKUME~1\Kryssi\ANWEND~1\MANAGE~1\\atom ping owns once.exe C:\DOKUME~1\Kryssi\ANWEND~1\MANAGE~1\\cnrzxens.exe C:\DOKUME~1\Kryssi\ANWEND~1\MANAGE~1\\cvkwkmbm.exe C:\DOKUME~1\Kryssi\ANWEND~1\MANAGE~1\\Internet math the.exe C:\DOKUME~1\Kryssi\ANWEND~1\MANAGE~1\\nlwkefio.exe C:\DOKUME~1\Kryssi\ANWEND~1\MANAGE~1\\sbimrneo.exe C:\DOKUME~1\Kryssi\ANWEND~1\MANAGE~1\\type funk tick.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grid Blue Memo Site C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grid Blue Memo Site\Trust Jump.exe . ((((((((((((((((((((((( Dateien erstellt von 2008-05-21 bis 2008-06-21 )))))))))))))))))))))))))))))) . 2008-06-20 22:05 . 2008-06-20 22:05 <DIR> d-------- C:\Dokumente und Einstellungen\Kryssi\Anwendungsdaten\Malwarebytes 2008-06-20 22:05 . 2008-06-20 22:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-06-20 22:05 . 2008-06-19 17:48 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys 2008-06-20 22:05 . 2008-06-19 17:47 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-06-19 17:21 . 2008-06-19 17:21 23,510,720 --a------ C:\WINDOWS\dotnetfx.exe 2008-06-19 15:56 . 2008-06-19 15:57 <DIR> d-------- C:\WINDOWS\system32\NtmsData 2008-06-19 15:48 . 2008-06-19 15:48 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM 2008-06-15 01:51 . 2008-06-15 01:51 <DIR> d-------- C:\Dokumente und Einstellungen\Kryssi\Anwendungsdaten\MSN6 2008-06-15 01:51 . 2008-06-15 01:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MSN6 2008-06-11 15:41 . 2008-04-14 17:51 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys 2008-06-10 18:11 . 2008-06-10 18:11 <DIR> d-------- C:\Dokumente und Einstellungen\Kryssi\Anwendungsdaten\Samsung 2008-06-10 18:04 . 2006-05-03 22:53 174,592 --a------ C:\WINDOWS\system32\framedyn.dll 2008-06-10 18:03 . 2005-08-30 17:59 94,000 --a------ C:\WINDOWS\system32\drivers\ss_mdm.sys 2008-06-10 18:03 . 2005-08-30 17:57 58,320 --a------ C:\WINDOWS\system32\drivers\ss_bus.sys 2008-06-10 18:03 . 2005-08-30 17:58 8,304 --a------ C:\WINDOWS\system32\drivers\ss_mdfl.sys 2008-06-10 18:03 . 2005-08-30 17:58 6,144 --a------ C:\WINDOWS\system32\drivers\ss_cmnt.sys 2008-06-10 18:03 . 2005-08-30 17:58 6,144 --a------ C:\WINDOWS\system32\drivers\ss_cm.sys 2008-06-10 18:03 . 2005-08-30 17:57 5,808 --a------ C:\WINDOWS\system32\drivers\ss_whnt.sys 2008-06-10 18:03 . 2005-08-30 17:57 5,808 --a------ C:\WINDOWS\system32\drivers\ss_wh.sys 2008-06-10 18:03 . 2006-07-24 16:05 5,632 --a------ C:\WINDOWS\system32\drivers\StarOpen.sys 2008-05-23 21:24 . 2008-05-23 21:24 <DIR> d-------- C:\WINDOWS\system32\Adobe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-06-21 02:03 3,485,728 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat 2008-06-21 01:23 42,296 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2008-06-20 18:42 2,553,344 ----a-w C:\WINDOWS\Internet Logs\xDB11.tmp 2008-06-20 18:42 1,574,912 ----a-w C:\WINDOWS\Internet Logs\xDB10.tmp 2008-06-20 11:43 --------- d-----w C:\Dokumente und Einstellungen\Kryssi\Anwendungsdaten\AdobeUM 2008-06-19 22:31 1,931,406 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip 2008-06-19 15:56 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller 2008-06-19 15:33 --------- d-----w C:\Programme\Windows Live 2008-06-19 13:59 2,033,664 ----a-w C:\WINDOWS\Internet Logs\xDBF.tmp 2008-06-17 14:31 2,930,688 ----a-w C:\WINDOWS\Internet Logs\xDBD.tmp 2008-06-17 14:31 2,507,776 ----a-w C:\WINDOWS\Internet Logs\xDBE.tmp 2008-06-10 16:03 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-05-18 22:59 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus! 2008-05-17 13:31 3,139,072 ----a-w C:\WINDOWS\Internet Logs\xDBB.tmp 2008-05-17 13:31 2,355,712 ----a-w C:\WINDOWS\Internet Logs\xDBC.tmp 2008-05-16 20:10 --------- d-----w C:\Dokumente und Einstellungen\Kryssi\Anwendungsdaten\Winamp 2008-05-15 19:17 --------- d-----w C:\Dokumente und Einstellungen\Kryssi\Anwendungsdaten\ICQ Toolbar 2008-05-15 15:43 --------- d-----w C:\Dokumente und Einstellungen\Kryssi\Anwendungsdaten\ICQ 2008-05-15 15:34 --------- d-----w C:\Dokumente und Einstellungen\Kryssi\Anwendungsdaten\InstallShield 2008-05-11 14:00 --------- d-----w C:\Programme\MSXML 6.0 2008-05-10 17:07 --------- d-----w C:\Programme\Reference Assemblies 2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys 2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll 2008-04-29 16:18 2,125,824 ----a-w C:\WINDOWS\Internet Logs\xDBA.tmp 2008-04-29 13:56 2,112,000 ----a-w C:\WINDOWS\Internet Logs\xDB9.tmp 2008-04-27 18:17 --------- d-----w C:\Programme\NCH Swift Sound 2008-04-27 10:54 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NCH Swift Sound 2008-04-27 10:53 --------- d-----w C:\Dokumente und Einstellungen\Kryssi\Anwendungsdaten\Recordpad 2008-04-27 10:53 --------- d-----w C:\Dokumente und Einstellungen\Kryssi\Anwendungsdaten\NCH Swift Sound 2008-04-27 10:52 --------- d-----w C:\Programme\NCH Software 2008-04-25 10:13 2,041,344 ----a-w C:\WINDOWS\Internet Logs\xDB8.tmp 2008-04-24 14:13 2,033,152 ----a-w C:\WINDOWS\Internet Logs\xDB7.tmp 2008-04-23 19:56 --------- d-----w C:\Programme\Java 2008-04-23 19:50 --------- d-----w C:\Programme\Gemeinsame Dateien\Java 2008-04-23 17:49 --------- d-----w C:\Programme\AvRack 2008-04-23 17:46 --------- d-----w C:\Programme\Realtek AC97 2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll 2008-04-20 10:10 697,856 ----a-w C:\WINDOWS\Internet Logs\xDB6.tmp 2008-04-19 10:59 2,015,744 ----a-w C:\WINDOWS\Internet Logs\xDB5.tmp 2008-04-18 23:25 1,904,640 ----a-w C:\WINDOWS\Internet Logs\xDB4.tmp 2008-04-18 15:39 1,900,544 ----a-w C:\WINDOWS\Internet Logs\xDB3.tmp 2008-04-18 15:39 1,823,232 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp 2008-04-18 08:58 277,936,872 ----a-w C:\Programme\WindowsXP-KB835935-SP2-DEU.exe 2008-04-17 16:44 1,434,624 ----a-w C:\WINDOWS\Internet Logs\xDB2.tmp 2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll 2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll 2008-03-21 13:29 2,560 ----a-w C:\WINDOWS\_MSRSTRT.EXE . ------- Sigcheck ------- 2001-08-18 23:00 12800 adbb33d5893bcf08e75ea54bb5669205 C:\WINDOWS\$ntservicepackuninstall$\svchost.exe 2004-08-04 00:58 14336 65a819b121eb6fdab4400ea42bdffe64 C:\WINDOWS\ServicePackFiles\i386\svchost.exe 2004-08-04 00:58 14336 65a819b121eb6fdab4400ea42bdffe64 C:\WINDOWS\system32\svchost.exe 2001-08-18 23:00 75264 ae894c124feb008ad1876ef655967685 C:\WINDOWS\$ntservicepackuninstall$\ws2_32.dll 2004-08-04 00:57 82944 d569240a22421d5f670bb6fb6dd522b5 C:\WINDOWS\ServicePackFiles\i386\ws2_32.dll 2004-08-04 00:57 82944 d569240a22421d5f670bb6fb6dd522b5 C:\WINDOWS\system32\ws2_32.dll 2002-08-29 05:43 521728 616896b708286da98d6a099293f181d7 C:\WINDOWS\$ntservicepackuninstall$\winlogon.exe 2004-08-04 00:58 507392 2b6a0baf33a9918f09442d873848ff72 C:\WINDOWS\ServicePackFiles\i386\winlogon.exe 2004-08-04 00:58 507392 2b6a0baf33a9918f09442d873848ff72 C:\WINDOWS\system32\winlogon.exe 2002-08-29 04:09 167552 3b350e5a2a5e951453f3993275a4523a C:\WINDOWS\$ntservicepackuninstall$\ndis.sys 2004-08-03 23:14 182912 558635d3af1c7546d26067d5d9b6959e C:\WINDOWS\ServicePackFiles\i386\ndis.sys 2004-08-03 23:14 182912 558635d3af1c7546d26067d5d9b6959e C:\WINDOWS\system32\drivers\ndis.sys 2004-08-03 23:00 29056 4448006b6bc60e6c027932cfc38d6855 C:\WINDOWS\ServicePackFiles\i386\ip6fw.sys 2004-08-03 23:00 29056 4448006b6bc60e6c027932cfc38d6855 C:\WINDOWS\system32\drivers\ip6fw.sys 2001-08-18 23:00 101888 a87c3a6b407fb3b22c566315607ce229 C:\WINDOWS\$ntservicepackuninstall$\services.exe 2004-08-04 00:58 108544 edb6b81761bd60f32f740bbc40afb676 C:\WINDOWS\ServicePackFiles\i386\services.exe 2004-08-04 00:58 108544 edb6b81761bd60f32f740bbc40afb676 C:\WINDOWS\system32\services.exe 2002-08-29 05:43 11776 58239984742e8fd4cd3fceeb545366c1 C:\WINDOWS\$ntservicepackuninstall$\lsass.exe 2004-08-04 00:58 13312 183805eb05bca5a1e4aaaed4d2be3690 C:\WINDOWS\ServicePackFiles\i386\lsass.exe 2004-08-04 00:58 13312 183805eb05bca5a1e4aaaed4d2be3690 C:\WINDOWS\system32\lsass.exe 2002-08-29 05:43 13312 e5ee2f4700b6a85f0d45a18c67da500f C:\WINDOWS\$ntservicepackuninstall$\ctfmon.exe 2004-08-04 00:57 15360 7ce20569925df6789c31799f0c538f29 C:\WINDOWS\ServicePackFiles\i386\ctfmon.exe 2004-08-04 00:57 15360 7ce20569925df6789c31799f0c538f29 C:\WINDOWS\system32\ctfmon.exe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AlcoholAutomount"="F:\Programme\52% Alcohol\Alcohol 52\axcmd.exe" [2007-07-02 12:22 219008] "MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 11:34 5724184] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2005-10-10 15:49 7286784] "nwiz"="nwiz.exe" [2005-10-10 15:49 1519616 C:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="NvMCTray.dll" [2005-10-10 15:49 86016 C:\WINDOWS\system32\nvmctray.dll] "SoundMan"="SOUNDMAN.EXE" [2005-09-22 10:42 90112 C:\WINDOWS\soundman.exe] "ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-08-09 05:03 81920] "Sony Ericsson PC Suite"="F:\Programme\Sony\PC Studio\Application Launcher\Application Launcher.exe" [2005-10-26 16:17 159744] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401] "ZoneAlarm Client"="F:\Sicherheit\ZoneAlarm\zlclient.exe" [2007-12-13 19:27 919016] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784] "WinampAgent"="F:\Programme\Winamp Player\Winamp\winampa.exe" [2008-04-01 20:49 36352] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Reader - Schnellstart.lnk - F:\Programme\Adobe Reader\Reader\reader_sl.exe [2005-09-23 23:05:26 29696] Microsoft Office.lnk - F:\Programme\Microsoft Office\Office\OSA9.EXE [1999-04-30 65588] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "F:\\Programme\\ICQ\\ICQ6\\ICQ.exe"= "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"= R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-01-21 18:11] R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-01-21 18:12] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 00:58] S3 ss_bus;SAMSUNG Mobile USB Device 1.0 driver (WDM);C:\WINDOWS\system32\DRIVERS\ss_bus.sys [2005-08-30 17:57] S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINDOWS\system32\DRIVERS\ss_mdfl.sys [2005-08-30 17:58] S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINDOWS\system32\DRIVERS\ss_mdm.sys [2005-08-30 17:59] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Inhalt des "geplante Tasks" Ordners "2008-06-20 15:47:56 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - F:\Programme\Tune Up\SystemOptimizer.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-06-21 04:03:07 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-06-21 4:05:32 ComboFix-quarantined-files.txt 2008-06-21 02:04:41 ComboFix2.txt 2008-06-21 01:30:56 6 Verzeichnis(se), 1,588,101,120 Bytes frei 8 Verzeichnis(se), 1,572,413,440 Bytes frei 190 --- E O F --- 2008-06-11 14:03:28 |
Ok die Datei ist nicht infiziert, das einzige was sie macht ist Windows runterfahren. Lösche sie also bitte! Das Combofix Log sieht sehr gut aus. Um Combofix zu loeschen(den qoobox ordner) gebe unter Start /Ausführen "combofix /u" ein. Ohne die " natürlich. http://img247.imageshack.us/img247/7...ombofixvs6.jpg Und erstelle nun ein neues HiJackThis Logfile. |
Logfile of Trend Micro HijackThis v2.0.2 [edit] bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 danke GUA http://www.smilies.4-user.de/include...lie_be_027.gif [/edit] |
Bitte noch Java updated. Xp Antispy ist ein nicht empfehlenswertes Programm, nicht weil es virenbehaftet ist sondern weil es die Funktionalität Deines Rechners einschränken kann. Überdenke den Einsatz dieses Tools. Ansonsten ist der Rechner soweit sauber. Das System nun mit Avira (vorher updaten und wie hier beschrieben einstellen) scannen. Den Scanbericht hier posten, es kann durchaus sein das noch Kopien in der Systemwiederherstellung zu finden sind. Nach dem scannen, setzte die Einstellungen wieder zurück sie sind nicht ganz alltagstauglich. :) Ich penn jetzt mal. ;) |
So hier mein Report vom Virusscan Als link weil beim Upload is der Ladevorgang hängen geblieben, denke mal war zu groß. File-Upload.net - AVSCAN-20080621-043802-B4568EF3.LOG So werd mich jetzt auch erstma hinhauen die Nacht war antrengend. Schon ma danke im Vorraus für die ganze hilfe, dachte ich verzweifle an meinem Problem. xD |
Sieht gut, aus. Viel Spaß im Netz :) |
leg dier spybot zu (bei sybot:mach ein Update danach imunisire dein system und chek es danach,imunisiren ist auf eine der buttens bei spybot) Spybot - Search & Destroy 1.52 - Freeware - ZDNet.de, Downloads, Utilities, Privacy |
Jo alles kla danke nochma, dachte echt ich muss den jetzt platt machen. -.- Muss sagen das einem hier echt gut geholfen wird. Habe mir eben auch Spybot zugelegt. Und eins weiß ich, nie wieder iwas annehmen! -.- Danke nochma für die SUPER hilfe!!! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 15:31 Uhr. |
Copyright ©2000-2025, Trojaner-Board